julio, 2012 · 71 · www.bsecure.com.mx
EMPOWERING BUSINESS CONTINUITY
Fase Final del triatlón 18 de octubre ciudad de México
PreParan un “tecnoejército” Para mundial en Brasil $80.00 M.N.
Sistemas de videovigilancia, biometría, localización y redes 4G son las armas que el gobierno brasileño podría utilizar para la justa deportiva
Reserve su agenda
2012
23 DE AGOSTO
Show your
Value!
Ante las exigencias de transparentar las inversiones en IT, demuestre el valor de sus decisiones
www.governmentforum.com.mx Informes: Tel: (55) 26297260 opci贸n 4, 2629 7280, 84, 85 > 01 800 670 60 40. eventos@netmedia.info
Un evento de
Con apoyo de Technology Evaluation Centers
jul 2012
ACCESO
EmprEsas han comEnzado a buscar cómo vEngarsE dE los cibErcriminalEs La escalada en el cibercrimen, el hacktivismo y el espionaje Web están obligando a CSO y empresas a buscar formas para contraatacar, legales e ilegales
ESpECiAl
FraudE bancario, un crimEn millonario quE pErmanEcE En lo “oscurito” Mientras los criminales han establecido procesos y organizado su forma de trabajo, las instituciones financieras carecen de políticas internas para la prevención de estos delitos
ESpECiAl
dEstruyEn rEnaut En mEdio dE cuEstionamiEntos y rEclamos Tras meses discusiones sobre la ubicación y estado de los archivos, la Segob por fin anunció la destrucción de los más 98 millones de registros recabados como parte del programa
murO humAnO
intEgración dE la sEguridad En El análisis y disEño dE sistEmas inFormáticos
12 prEparan “tEcnoEjército” para mundial En brasil sistemas de videovigilancia, biometría, localización y redes 4g son las armas que el gobierno brasileño podría utilizar para la justa deportiva
04 lOGin
24 SEGurO quE lO quiErES
Hemos encontrado que muchos analistas y diseñadores conocen muy poco sobre el tema de ciberseguridad, y por ende sus desarrollos son mucho más débiles y carecen de elementos básicos de protección.
Opinión
cómo rEspondEr cuando El iFai llamE a su puErta Hoy, a casi dos años de la publicación de la LFDPPP, el IFAI ha comenzado a tocar puertas y ventanas para pedir explicaciones y atender reclamos, ¿usted ya sabe qué le va a pedir?
Julio, 2012 b:Secure 1
enlínea bSecure.com.mx
Error En sistEma dE nasdaq costó a UBs $350 millonEs dE dólarEs Una falla técnica de la bolsa de valores Nasdaq generó pérdidas de hasta $350 millones de dólares a la compañía UBS, el día en que las acciones de Facebook se ofrecieron al público por vez primera, de acuerdo con reportes publicados. CNBC y The Wall Street Journal citaron el viernes a personas familiarizadas con el tema, quienes dieron información sobre las pérdidas de UBS. Indicaron que el banco analiza la posibilidad de ejercer acciones legales contra Nasdaq. Karina Byrne, vocera de UBS, confirmó que el banco perdió dinero por las fallas técnicas de Nasdaq pero no pudo revelar la cantidad. Byrne agregó que el banco no ha ejercido acciones legales pero sopesa sus opciones para recuperar sus pérdidas. De confirmarse, las pérdidas de UBS eclipsarían los cálculos previos del impacto de las fallas técnicas durante la oferta pública de las acciones de Facebook. Esta semana, Nasdaq informó que otorgará $40 millones de dólares en efectivo y en crédito para reembolsar a las firmas de inversión.
HackEan Email dE candidato rEpUBlicano a la prEsidEncia dE EU Las autoridades investigan si la cuenta privada de correo electrónico del virtual candidato presidencial republicano fue violada por un pirata cibernético. El martes, el sitio de Internet Gawker reportó que un pirata anónimo ingresó a la cuenta personal de Romney en Hotmail. Gawker señaló que el pirata adivinó la respuesta a una pregunta de seguridad sobre la mascota favorita de Romney para accesar a la cuenta y cambiar la contraseña. El ciberpirata, dijo el sitio Web, que la cuenta de Romney en DropBox, un servicio para compartir archivos en la nube, también estaba en riesgo. La oficina de campaña de Romney dijo que “las autoridades debidas estaban investigando este delito”.
Mónica Mistretta directora general Carlos Fernández de Lara director editorial Elba de Morán directora comercial Gabriela Pérez Sabaté directora de proyectos especiales Alejandro Cárdenas director de arte Iaacov Contreras circulación y sistemas Gabriela Bernal directora administrativa José Luis Caballero asesoría legal
consejo editorial Rafael García, Joel Gómez, Alberto Ramírez Ayón, Roque Juárez, Ivonne Muñoz, Adrián Palma, Luis Javier Pérez, Salomón Rico, Raúl Gómez, Mario Velázquez. columnistas Joel Gómez, Adrián Palma, Aury Curbelo, Elihú Hernández, Pablo Corona, Alberto Ramírez, editor on line Francisco Iglesias
Estos y otros artículos en www.bsecure.com.mx [los EditorEs dE nEtmEdia HaBlan soBrE los tEmas dE más actUalidad dE la indUstria]
aunque me corran
Carlos Fernández de Lara, editor de b:Secure, comenta, reseña y critica los temas más relevantes y escalofriantes de la seguridad IT.
Fabuolus bloG
Fabiola González, editora de InformationWeek México, analiza las tecnologías y los protagonistas que están cambiando la forma de hacer negocios.
bloGueros invitados: Mónica Mistretta (Netmedia), Otoniel Loaeza (Telefónica), Pablo Corona (NYCE) y David Schekaiban (Código Verde) b:Secure es una publicación mensual de Netmedia, S.A. de C.V. Se distribuye gratuitamente con circulación controlada y calificada. ©2007. Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos. Los artículos reproducidos de otras publicaciones están sujetas a edición. Reserva de derechos ante la Dirección General de Derechos de autor: 042003-052614050400-102. Autorización como publicación periódica por Sepomex, PP09-1119. Certificados de licitud de título (12580) y contenido (10153) por la
2 b:Secure Julio, 2012
Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Editora responsable: Mónica Mistretta (editor@netmedia.info). Impresa en Impresiones Modernas S.A. de C.V., Sevilla 702-B, Col. Portales, México D.F. 03300. Netmedia, S.A. de C. V., Sócrates 128, 4° piso, Col. Polanco, México, D.F. 11560, teléfono 2629-7260 Fax: 2629-7289. www.netmedia.info
SUSCRIPCIONES Para solicitar una suscripción gratuita visite el sitio: www.netmedia.info/forma/ Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: suscripciones@netmedia.info
CARTAS AL EDITOR Dirija su correspondencia a b:Secure, Cartas al editor, Sócrates 128, 4° piso, Col. Polanco, México, D. F. 11560, Fax: 2629-7289 y correo electrónico: cartas@netmedia.info Para efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y correo electrónicol. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones.
PUBLICIDAD Para contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: ventas@netmedia.info En Estados Unidos y Canadá: Emily Ospenson-Crume, CMP Worldwide Media Networks, Teléfono: (650) 513-4374
web master Alejandra Palancares asistentes de redacción Cecilia Silva, César Nieto, Oscar Nieto ventas y publicidad Eduardo López asistente de ventas Samara Barrera suscripciones Sonco-Sua Castellanos
1a. ETAPA CONCLUIDA
2a. ETAPA
Privacidad de Datos ÚLTIMOS LUGARES
DELITOS INFORMÁTICOS Y FORENSIA DIGITAL
5 de julio Crowne Plaza, Hotel de México
18 de octubre Hotel Marriott Reforma
RESERVE SU AGENDA www.bsecureconference.com.mx Informes: Tel: (55) 2629 7260 opción 4, 2629 7280, 84, 85 > eventos@netmedia.info Un evento de
Producido por
Con apoyo de Technology Evaluation Centers
login LOGIN
Siete de cada 10 empreSaS mexicanaS no Saben cómo manejar baSeS de datoS De acuerdo con la firma de consultoría Deloitte 70% de las empresas mexicanas no cuenta con el control tanto jurídico como tecnológico para llevar a cabo un buen manejo de las bases de datos y así cumplir con los derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO) establecidos en la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP). Los derechos ARCO deben ser tomados de manera independiente. El de acceso es el derecho que tiene el titular de la información paras saber cuáles son los datos que se tienen de él, para qué se están utilizando y cómo se obtuvieron. En tanto, el derecho de rectificación trata sobre la modificación de los datos que resulten ser inexactos. El de cancelación es el derecho a que se borren los datos a petición del interesado. Por último el derecho de oposición se refiere a la prohibición del uso de la información así como a la eliminación de la misma de las bases de datos. El incumplir ante los derechos ARCO repercute en una sanción de hasta 320,000 días de salario mínimo, un aproximado de $18 millones de pesos, de acuerdo con la empresa y la falta que se haya cometido. La LFDPPP, cuyo objetivo es proteger los datos personales en posesión de los particulares y regular su tratamiento legítimo, controlado e informa-
do, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de los individuos. Por ello, es vital que las empresas consideren los derechos ARCO como el primero y uno de los procesos fundamentales en el cumplimiento de la regulación. La ley obliga a las empresas a designar ya sea a una persona o departamento que se encargue de dar trámite y respuesta a las posibles solicitudes de derechos ARCO, así como fomentar la protección de los datos personales. Sin embargo, en México siete de cada 10 empresas no llevan a cabo estas medidas de seguridad por lo que no saben cómo actuar ante este tipo de solicitudes, por la falta de metodología y tecnología para responder en el tiempo que indica la ley, máximo 20 días. La firma CeNeI asegura tener una solución en torno al cumplimiento de la ley de datos personales, que promete que automatizar la recepción, seguimiento y respuesta a las solicitudes ARCO de forma confiable y expedita y con total apego a los requerimientos de la LFPDPPP. “CeNeI Datos Personales no sólo es una herramienta diseñada especialmente para cumplir con los requisitos de esta Ley, sino que permite a los departamentos responsables de la protección de la información ser más eficientes aún con menos personal”, comenta María Flores, directora de Operaciones de CeNeI.
méxico, Segundo lugar a nivel global en número de pc deSprotegidaS Al parecer los mexicanos no creen en la premisa de que la información digital es el activo más valioso de los negocios, usuarios y gobiernos del siglo XXI, pues de acuerdo con un análisis de McAfee, el país de América Latina se coloca como el segundo del mundo con el mayor número de equipos de cómputo totalmente desprotegidos. México cerró con 21.57% de PC sin ningún tipo de software de seguridad instalado, ni siquiera de versiones gratuitas, cifra que sólo es superada por Singapur que lidera el índice global con 21.75%. “La libertad de navegar por Internet trae consigo la posibilidad de tener un contacto directo o indirecto con grupos cibercriminales que viven del robo de información y fraude”, comentó en el análisis Steve Petracca, SVP de Pymes y Móviles de McAfee. Sin embargo, México no es la única nación cuyos usuarios navegan por el Web sin programas de seguridad, pues McAfee advierte que 17% de las casi 1,400 millones PC de todo el mundo no cuentan con este tipo de software y únicamente 83% cuenta con un nivel básico de protección. El ranking de la firma de seguridad es liderado por Finlandia, donde menos del 10% de los equipos de cómputo del país carecen de sistemas de protección de información instalados. El asunto es más crítico para el creciente mundo móvil, pues McAfee advierte si bien 17% de las PC carecen de protección, más del 96% de los teléfonos inteligentes y tabletas de todo el planeta no cuentan con seguridad alguna. Aunque los expertos confirmaron que es complejo colocar un precio promedio a la información, 27% de los usuarios entrevistados para el aná4 b:Secure Julio, 2012
lisis admitieron que si “llegaran a perder, sin posibilidad de recuperarlos, todos sus archivos de su maquina”, sería una pérdida promedio de más de $10,014 dólares por usuario.
breveS Roban y publican más de seis millones de contRaseñas de linkedin La red social profesional, LinkedIn, fue víctima de un ciberataque que como consecuencia significó la pérdida de información de más de seis millones de usuarios. De acuerdo con la BBC, más de seis millones de nombres de usuario y contraseñas fueron publicadas en un foro de hackers rusos a principios de junio. Inicialmente la red social mantuvo una posición escéptica frente al robo de información, sin embargo a los pocos días confirmó que en efecto poco más de 6.5 millones cuentas, de los más de 150 millones que administra, fueron comprometidas. Tras confirmar el ataque, LinkedIN adivirtió a los usuarios que la cuentas afectadas serían desactivadas hasta que sus dueños actualizaran sus contraseñas de acceso. La empresa indicó a través de su blog oficial, que los usuarios afectados por el robo de cuentas ya han sido notificados por medio de un correo electrónico, en el que se les invita urgentemente a modificar su código de acceso. Las contraseñas que no han sido modificadas a la fecha serán desactivadas y los usuarios tendrán que seguir una serie de pasos para reactivarlas y cambiarlas de manera inmediata, explica el blog de la red social. LinkedIn aseguró que no hay registro de que se haya presentado algún robo de identidad o que el perfil de algún usuario haya sido comprometido tras el robo y publicación de contraseñas.
la mitad de las compañías sufRen Robos de infoRmación; 29% a manos de empleados El Informe Global sobre Fraude de Kroll 2011 reveló la mitad de las compañías son vulnerables al robo de datos corporativos, donde los ejecutivos de alto nivel de la misma empresa son autores del 29% de estas pérdidas, frente a 8% de los ejecutivos menores. Tanto las empresas financieras como las de tecnología, medios y telecomunicaciones son las que tienen mayor incidencia de robo de información (29% cada una), seguidas por las compañías de salud, farmacéuticas y de biotecnología (26%) y posteriormente las de servicios profesionales. “El robo de información sensible y secretos corporativos es uno de los delitos con mayor incidencia en las empresas no sólo a nivel mundial, sino también en México. Muchas veces éste es consecuencia de empleados que se llevan la información que generaron o con la cual trabajaron en la compañía al momento de cambiarse de trabajo, o al tener algún problema con su jefe inmediato”, dijo Andrés Velázquez, presidente y fundador de MaTTica. Velázquez exhorta a las empresas a tener cuidado con los empleados que se quedan después de sus horas o que de manera muy cotidiana trabajan fines de
semana. Asimismo, aconseja estar al pendiente de trabajadores que se oculten para realizar llamadas telefónicas o que deseen tener conocimiento de proyectos confidenciales. Según el estudio de McAfee y Science Applications International Corporation, 25% de las compañías han tenido problemas de fusión, adquisición o implementación de algún producto o solución por culpa de alguna filtración de información. “En muchos casos, las computadoras y los teléfonos celulares son los medios que se usan para cometer los fraudes. Hemos tenido casos en los cuales se han coordinado reuniones de entrega de información a través de mensajes de texto, o en los que usan correos corporativos o personales desde la computadora de la empresa”, agregó Velázquez. De acuerdo con el ejecutivo, las compañías deben establecer políticas de uso de tecnologías en el ambiente corporativo. “Creo que es un tema de educación, entender cómo se puede proteger la información dentro de las empresas, así como, qué se puede llegar a investigar en el caso de que el robo suceda”, explicó Andrés Velázquez.
Blue Coat presentó Cache Flow un software que promete ahorro en ancho de banda de entre 40 y 50% y seguridad en sus servicios de Internet a los cableros. El equipo permite a los proveedores de servicios administrar de forma más eficaz los aumentos excesivos en el tráfico y el crecimiento de usuarios de la red generando un ahorro en el ancho de banda. Excelerate Systems formalizó el lanzamiento de su solución dirigida a PyMes y usuarios únicos para detectar vulnerabilidades en el sistema sin la necesidad de contratar un agente. PureCloud escanea todos los dispositivos en redes pequeñas —hasta detrás del firewall— sin que se necesite un hardware pues la información es enviada y analizada en la Nube. Una vez que se hizo la evaluación, se le entrega al usuario en un correo electrónico un reporte con las vulnerabilidades encontradas. Kaspersky anunció una alianza en la que todos los equipos Sony Vaio en América incluirán una suscripción por 30 días a la solución Premium de seguridad de la firma de origen ruso, Kaspersky Internet Security 2012. El software está instalado en todos los equipos desde mayo pasado.
Julio, 2012 b:Secure 5
sección especial patrocinada
UnA verdAderA visión de 360º en protección de dAtos
Elías Cedillo Hernandez Director general de Buró Mexicano de Consultores en Seguridad Informática
BuroMC logró combinar la mejor tecnología en seguridad IT, con un profundo conocimiento jurídico para desarrollar una oferta única en el mercado, que apoya a las organizaciones mexicanas en el cumplimiento de la LFPDPPP
A
dos años de su publicación en la Diario Oficial de la Federación, la mayoría de las organizaciones mexicanas aún viven en la incertidumbre de cómo lidiar y alinear su negocio a la Ley Federal de Datos Personales en Posesión de Particulares (LFPDPPP), ante esta realidad BuroMC y ELIT Infrastructure Services han desarrollado la única oferta efectiva para alcanzar el cumplimiento a través de la implementación de una estrategia interdisciplinaria y de gran alcance. “Siempre he pensado que una estrategia interdisciplinaria, combinando varias ramas del conocimiento, actúa como el elemento central para producir los mejores resultados”, explica Elías Cedillo Hernández, director general de Buro Mexicano de Consultores. 6
b:Secure Julio, 2012
El ejemplo más claro para Cedillo y su equipo de trabajo, es que el marco regulatorio que vela por la integridad de los titulares de los datos personales en relación al tratamiento de los mismos, no se puede cumplir si no se cuenta con el apoyo de una base tecnológica bien diseñada, implementada y administrada. “No existe la menor duda que en la actualidad las Tecnologías de Información y los datos digitales por sí solos, se han convertido en un factor estratégico para el desarrollo de las organizaciones del siglo XXI”, apunta. Basados en este concepto es que Buro Mexicano de Consultores en Seguridad Informática ha trabajado durante los últimos dos años en
la construcción de una estrategia que permita a las organizaciones entender el cumplimiento de la ley desde una perspectiva jurídica-tecnológica “Tenemos una visión única en el mercado, que realmente entrega valor a los negocios porque hemos logrado concebirla de la unión de dos disciplinas, de modo que esté soportada por la integración de un equipo legal, liderado por nuestro gerente Jurídico, Sergio Barranco, y un grupo de tecnólogos y especialistas en protección de datos encabezado por nuestro Product Manager, Miguel Ángel Trujillo”, dice Cedillo. Lo que buscamos, añade, es fortalecer la operación y continuidad del negocio mediante la consolidación de tecnologías de seguridad IT que brinden confidencialidad, integridad y disponibilidad a la información, haciendo uso de herramientas, estándares y conocimiento de vanguardia y clase mundial. Hoy, todavía son muchas las organizaciones mexicanas que carecen o ignoran el impacto, repercusiones e incluso el contenido mismo de ley de protección de datos personales, ¿no le parece una situación preocupante? En efecto, porque las empresas tienen que entender que el no conocimiento de cualquier ley no los eximirá de las posibles sanciones o multas, por faltar o desobedecer a ella. Está misma máxima jurídica también es aplicable a la Ley Federal de Protección de Datos personales en Posesión de Particulares (LFPDPPP). En este sentido, creo que el mejor camino para comprender el impacto y alcance de una ley es tratar de obtener un definición clara y entendible, que permita a los responsables de seguridad del negocio dar los primeros pasos para iniciar en su competencia y ámbito de aplicabilidad. La LFPDPPP puede definirse, para efectos sencillos, como un marco regulatorio mediante el cual se norma el tratamiento lícito, legítimo, controlado e informado de los datos personales, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas. Lo estimulante de este sencillo concepto, es la orientación de licitud, legitimidad, control de información con la que se deben tratar los datos personales (los cuales se definen como: “cualquier información concerniente a una persona identificada o identificable”), así como el establecimiento del bien tutelado a proteger, la persona misma (en su privacidad y la autodeterminación informativa). Sin duda el primer aspecto que todo CISO o responsable de priva-
Recuadro 1: un Abc de loS derechoS Arco • Acceso: Posibilidad del titular de los datos para acceder a su información con la finalidad de saber qué o cuáles están en posesión de una persona física o moral determinada
• Rectificación: Acción de corregir datos erróneos o de actualización • Cancelación: A petición del titular de los datos, podrá solicitar al responsable cancelar los mismos por así convenir a sus intereses, sin que ello implique eliminar o suprimir los datos
• Oposición: Acto del titular de solicitar el no tratamiento de su información
Figura 2: lA neceSidAd de dAr SeguridAd A loS dAtoS en europA EL Consejo Europeo vio la necesidad de proteger la información personal como consecuencia de cambios económicos, políticos y sociales. 1. Se recurría cada vez más al tratamiento de datos personales en diferentes sectores de la actividad económica y social. Además el avance de las tecnologías de la información facilitaba considerablemente el tratamiento y el intercambio de dichos datos 2. Se incrementaba cada vez más el flujo transfronterizo de datos personales entre los agentes de la vida económica y social (públicos o privados) 3. La creación de la directiva buscaría el robustecimiento (igual o similar) de la protección de los datos personales en los países que integraban la Unión Europea con la finalidad de que estos pudiesen transferirse de un país a otro 4. Respeto a la intimidad 5. Que el tratamiento de datos personales fuese para fines lícitos y leales, y que los datos recolectados fueran adecuados, pertinentes y no excesivos en relación a los objetivos perseguidos, los cuales debían estar determinados antes de la recolección 6. Que los titulares de los datos personales pudieran prohibir su uso, cuando los objetivos perseguidos atentaran contra su intimidad o libertades fundamentales. 7. Establecer aquellas excepciones al tratamiento de datos personales por causas justificadas y de interés público.
cidad de datos debe dominar es la definición y alcance de los derechos ARCO (Recuadro 1: Un ABC de los derechos ARCO).. Además es importante destacar que las raíces de la LFPDPPP, se encuentran en la Directiva 95/46/CE del Parlamento Europeo y el Consejo de la Unión Europea de fecha 24 de Octubre del 1995 (Recuadro 2: La necesidad de dar seguridad a los datos en Europa). Pero en contraste con el la situación europea, en México la ley no entró como respuesta a una necesidad preventiva para el tratamiento, obtención, uso, divulgación o almacenamiento de datos personales, través de cualquier medio, sino como un solución “urgentemente correctiva”, porque dentro de los principales motivos de su creación y aprobación están un posible combate al secuestro, las extorciones y a la oferta desmedida de servicios y productos no solicitados. ¿Desde su punto de vista dónde radica la mayor dificultad o complejidad que enfrenta las empresas mexicanas en el cumplimiento de la LFPDPPP? El problema con la información en el siglo XXI es que se ha convertido en un intangible digital, algo que no podemos ver, ni tocar, pero sabemos que existe. Esta realidad presenta el enorme reto de cómo manejar, identificar y controlar los datos personales dentro de las infraestructuras tecnológicas. Hoy, un dato puede estar en archivos estructurados o no estructurados, en formato de texto, presentación, hoja de cálculo, imagen, Julio, 2012 b:Secure
7
sección especial patrocinada Lo anterior, sin contar el acceso que poseen los servicios de hosting, almacenamiento, infraestructura y correo electrónico con terceros o bajo modelos de cómputo en nube, pues aunque estos proveedores garanticen niveles de servicio y seguridad, muchas veces las empresas que los contratan desconocen qué tipo de controles tienen implementados para asegurar que únicamente el dueño de los datos pueda manipularlos. Lamentablemente, los ciberataques, el robo de bases de datos o la pérdi“Nuestra misión es da significativa de información o propiedad intelectual del negocio son las apoyar a las empresas principales causas que obligan a las emen sus necesidades de presas a invertir en programas y proyectos de seguridad. protección y seguridad de Contrario esperar a que un incidente ocurra, las organizaciones deberían datos, para que puedan preguntarse: ¿Cuál es mi información adoptar y aprovechar realmente valiosa? ¿Qué pasa si esa información fuese divulgada? ¿Cuánto vale la tecnología como un en manos de mis competidores? ¿Qué pasaría si fallo en protegerla y no cumverdadero elemento de plo con regulaciones establecidas (como crecimiento, desarrollo e LFPDPPP)? Gran parte de estas respuestas se pueden obtener de un Análisis innovación”, Elías Cedillo de Riesgos y un BIA, el único inconveniente es que estos suelen ser largos y demandan muchos recursos humanos y para los negocios, porque quizá conozcan qué datos son los que se tie- económicos. En BuroMC tenemos el objetivo de proveer a los altos mandos de nen que proteger —de acuerdo con lo establecido por la LFPDPPP—, sin embargo la dificultada radica en la capacidad de la organización las organizaciones un conocimiento detallado de cada vulnerabilidad, para identificar, clasificar y definir dónde se encuentran esos archivos amenaza y riesgo que afecte a cualquier elemento crítico de IT, permitiendo así una toma de decisiones rápida y oportuna. y cómo protegerlos. El tema se vuelve más complicado aún, porque la mayor parte del presupuesto asignado al área de seguridad es destinado a infraestructu- ¿Cómo identificar las tecnologías que requiere una organización en ra de seguridad perimetral, debido a que tiene un Retorno sobre la In- busca de una estrategia de protección de datos? versión (ROI, en inglés) mucho más tangible, frente aquellas soluciones Con orgullo te puedo decir que somos una empresa 100% mexicana, altamente especializada en el diseño e implementación de soluciones que protegen los datos en sí. Si el firewall de un negocio llega a fallar o la red se cae, el impacto se integrales y servicios de consultoría en seguridad IT, que trabaja con refleja casi de inmediato. En cambio, si la organización sufre un robo las tecnologías líderes en el ámbito de protección, aseguramiento y reso fuga de información, es posible que éste no se detecte hasta días, se- guardo de información. Existen tecnologías como DLP (Data Loss Prevention), criptografía y manas o incluso meses después. Este tipo de elementos hacen que las estrategias de protección de datos carezcan del enfoque y la importan- DAM (Database Activity Monitoring), que pueden facilitar y habilitar el cumplimiento y los requerimientos en cuanto a seguridad de datos en cia adecuadas. entornos corporativos se refiere. La criptografía, por ejemplo, es considerada como “el estado del arte” ¿Entonces el problema más complejo de protección de datos es uno de en temas de privacidad. Si las bases de datos, de esas historias de terror infraestructura? En parte, porque muchas veces el problema en la falta de protección de que todos hemos escuchado, hubieran estado cifradas, te garantizo que el desenlace habría sido muy diferente. la información viene desde dentro de la organización. El problema es que muchas empresas rehúyen al uso de este tipo de Pensemos en un escenario operativo de negocio, en donde es común que los empleados accedan a datos de la empresa a través de diversos soluciones porque las consideran complejas, difíciles de administrar aplicativos. Sin embargo, no son los únicos que lo hacen, pues el admi- (las llaves principalmente) y conllevan un impacto en el rendimiento y nistrador de servidores, de dominios, de redes, de respaldos y los DBA tiempos para acceder a la información. Sin embargo, BuroMC tiene el liderazgo de trabajar con tecnolo(Data Base Administrator), generalmente poseen niveles de acceso de “confianza” a bases de datos, recursos de red, información de discos gía para cifrado de bases de datos, discos de almacenamiento, enlaces o la SAN (Storage Area Network) e incluso al tráfico de los servidores, WAN, sistemas de virtualización y servidores de archivos, que operan de manera efectiva, con un mecanismo de protección robusto y que no dependiendo de su función. dentro de una base de datos, un correo electrónico y puede ser manipulado en una PC, laptop o servidor, o hasta en una tableta multimedia, smartphone y demás dispositivos tecnológicos que hay en la actualidad. Esta diversidad de ambientes, formatos y mecanismos de manipulación de la información presenta un problema complejo de privacidad
8
b:Secure Julio, 2012
afectan el tiempo de respuesta de las aplicaciones, ni la disponibilidad de los datos. “De esta manera, se gestiona el acceso a las llaves de cifrado, con base a las necesidades, a las funciones que desempeñen y a los roles que se les asignen. De modo que, un DBA podría tener acceso a las tablas, un administrador de respaldos a la SAN y el responsable de infraestructura a los archivos de los sistemas virtuales, pero al estar los datos cifrados ninguno tendría la capacidad para visualizar todo el contenido, aun cuando lograra transportar la información a otro sistema de condiciones similares. En el caso de las soluciones DLP ¿qué tan vitales son en torno a regulaciones como la LFPDPPP? Las soluciones DLP contemplan y tiene por objetivo proteger la mayor parte de los puntos de acceso a los datos a nivel de red, desde el Endpoint, los dispositivos periféricos (Impresoras, escáneres, etcétera), hasta los equipos móviles, que por el momento son los más difíciles de controlar. Una buena implementación de un sistema de DLP contempla cuatro pasos centrales: clasificación de información, monitoreo, descubrimiento y protección. La clasificación de la información supone un arduo trabajo que involucrar a todas las áreas de negocio, en donde el uso de consultoría puede llegar a ser costoso, por ello la mayoría de las soluciones DLP integran
Recuadro 3: NueSTrO DIMAD Algunas de las actividades clave en la estrategia de Administración de Seguridad de Datos: • Definir políticas y estándares para la confidencialidad y privacidad de datos • Definir el departamento y el perfil encargado de los datos personales • Clasificación de los datos • Establecer el aviso de privacidad • Definir los procesos y procedimientos para gestionar los derechos ARCO • Definir las tecnologías que intervienen en el manejo de los datos • Identificar la ubicación de los datos • Diseñar e implementar controles de seguridad de datos • Administrar permisos de acceso a datos • Auditar la seguridad de los datos • Monitoreo permanente a los requerimiento de la ley
plantillas personalizadas para el manejo de datos, con base en distintos requerimientos de regulaciones como la ley de protección de datos personales, estándares de industria como PCI o incluso acorde al giro del negocio, con el objetivo de generar una “preclasificación” de los datos. El siguiente paso, el monitoreo, debe cubrir todos los puntos a nivel de red por los cuales podría existir una fuga de datos: Web, correo electrónico, mensajería instantánea y demás servicios. Aquí es importante tomar en cuenta soluciones que contemplen el análisis de tráfico encapsulado en protocolos seguros (como HTTPS). La fase del descubrimiento, considerada el elemento mágico de toda solución de DLP, consiste en buscar en toda la red, con base a las plantillas definidas, la ubicación de los datos de valor sin importar si están almacenados en un servidor de archivos, una base de datos, un archivo de presentación o bajo cualquier otro formato. Para el cumplimiento de la LFPDPPP este factor es clave, porque permite conocer quién puede tener acceso a los datos y desde ahí comenzar a protegerlos. Es importante resaltar que estas dos últimas etapas son cíclicas y fáciles de implementar, por lo que no es necesario empezar con el monitoreo, sino que es posible ejecutar primero el descubrimiento de datos para luego realizar el análisis. La cuarta etapa es la más compleja, consiste en ubicar los datos a proteger, su uso y nivel de acceso. Realizar este procedimiento nos posibilita implementar políticas de protección para evitar la fuga de datos. Como toda solución, que interviene en procesos de negocio tan importantes, es necesario llegar a una fase de maduración, que permita conocer el entorno de acceso a los datos y los alcances de la tecnología DLP, por lo cual resulta indispensable elegir una solución que se adapte a nuestras necesidades. Aun así, es evidente que no basta sólo con tecnología bien implementada o el proyecto de protección de datos podría no tener los resultados y alcance deseados En efecto, es imprescindible que las organizaciones establezcan a los “datos” como un activo, en donde desarrollen la adopción de disciplinas y marcos de referencia como “Data Management”, que les permita implementar un Gobierno de datos (Data Governance), con procesos y guías prácticas para la planeación, supervisión y control sobre la administración de datos y su uso tal como lo define DAMA International (Data Management International ) (Recuadro 3: Nuestro DIMAD para la privacidad de datos). “En Buro Mexicano de Consultores no solo vendemos tecnología, sino que proveemos soluciones de seguridad informática especializadas en redes corporativas, y creamos, en conjunto con nuestros clientes, estrategias y controles de seguridad para sus organizaciones. Nuestra misión principal es apoyar a las empresas en el cumplimiento de la ley y de sus necesidades en protección y seguridad de datos, que les permitan adoptar y aprovechar la tecnología como un verdadero elemento de crecimiento, desarrollo e innovación”, afirma Elías Cedillo. l
Julio, 2012 b:Secure
9
acceso
Arresto de hAcker que robó 44,000 números de tdc, no es ni LA puntA deL iceberg: AutoridAdes
El caso podría ser tan sólo la superficie de una nueva red global de cibercriminales dedicada al robo y venta ilegal de tarjetas bancarias e identidades en Internet
L
o que comenzó como una investigación por un ataque cibernético a un restaurante de Seattle llegó hasta las cortes federales de Rumania, donde David Benjamin Schrooten, un holandés de 21 años, se declaró inocente de los cargos de hacking global y el robo de datos de al menos 44,000 números de tarjetas de crédito. Los fiscales federales explicaron que Schrooten es una figura prominente en el mundo del cibercrimen, que operaba bajo el seudónimo de “Fortezza” y que logró colocar en el mercado negro del Web miles de números de tarjetas de crédito robados de diversas partes del mundo. Las autoridades advirtieron que los poco más de 44,000 números de tarjetas de crédito de los que se le acusa, actualmente provienen de una sola venta. Algunos expertos incluso señalaron que el caso de Fortezza podría ser tan sólo la punta del iceberg de una red global de cibercriminales dedica al robo y venta ilegal de tarjetas bancarias e identidades en Internet. Schrooten fue detenido en Rumania y extraditado a Seattle el sábado pasado, y ya ha sido acusado de 14 delitos, que van desde el fraude de acceso ilegal a dispositivos, hasta cargos por robo y suplantación de identidad. “La gente piensa que los criminales cibernéticos no puede ser encontrados o capturados. Hoy sabemos y demostramos con este tipo de operaciones que eso no es cierto y que, por más que lo crean, no se pueden ocultar en el ciberespacio”, dijo el Procurador estadounidense responsable del caso Jenny A. Durkan en conferencia de prensa. “Vamos a encontrarlos, los haremos pagar, los vamos a extraditar y los procesaremos”. 10
b:Secure Julio, 2012
Las autoridades de Seattle acreditaron que el caso e investigación en contra Schrooten comenzó gracias al reclamo y denuncia de un propietario de un restaurante local italiano. Corino Bonjrada, dueño del lugar, dijo que se alarmaron después de recibir varias quejas de sus clientes por supuestos cargos sospechosos después de haber cenado en Modello Risorante Italiano. “Algunos de mis clientes estaban diciendo que no sabían si querían volver”, dijo Bonjrada. “Tenía miedo del futuro de mi negocio”. Al principio los clientes sospecharon de que los mismos trabajadores del lugar habían tomado la información de las tarjetas de crédito para realizar los fraudes, pero Bonjrada no encontró ninguna evidencia de eso, situación que lo llevó a llamar a expertos en informática y, finalmente, a la policía, dijo. La investigación condujo a la policía con Christopher A. Schroebel, de 21 años de Maryland, que confesó haber plantado dos códigos maliciosos en los sistemas de venta de dos empresas de Seattle, de decenas que habían sido elegidas como blancos. Schroebel hurtó al menos 4,800 números de tarjetas de crédito en 2011. Schroebel fue detenido en noviembre de 2011 y se declaró culpable el mes pasado de cargos federales que incluían fraude bancario y acceso ilegítimo a cientos de equipos de cómputo. Se espera que sea condenado en agosto. Los investigadores dijeron que Schrooten trabajó de cerca con Schroebel en la creación de sitios Web para vender los números de tarjetas de crédito. l
acceso
Las redes sociales, el mercado negro de Internet y el gusto por las protestas digitales han permitido la proliferación de grupos hacktivistas por todo el planeta
BrotAn nuevos grupos hAcktivistAs A lA somBrA de Anonymous Por Sergio López
A
nonymous ha perdido el poder y control que tenía sobre los hacktivistas en la red. En los últimos meses surgieron diversos grupos de piratas cibernéticos que han comenzado a librar sus propias batallas sin el apoyo de grupos externos. Uno de los conjuntos que ha comenzado a pelear de manera independiente y lejos de Anonymous es LulzSec. Esta semana los hacktivistas publicaron una lista de 10,000 nombres y usuarios de Twitter que consiguieron tras haber hackeado la aplicación TweetGif. La filtración de dichos documentos fue interpretada por la prensa como el regreso de LulzSec, uno de los grupos hacktivistas que en el pasado emprendió junto a Anonymous más de una decena de operaciones, entre las que destacó #AntiSec, un movimiento en contra de los sistemas informáticos de diversos gobiernos del mundo. Expertos aseguran que la independencia de LulzSec se debe a que los nuevos miembros del grupo hacktivista no son aquellos que trabajaban con Anonymous en el pasado. Cabe recordar que en marzo pasado el FBI atrapó y sentenció a prisión a varios de sus miembros fundadores, entre ellos el joven inglés Ryan Cleary. El caso de LulzSec no es singular, en mayo surgió The WikiBoat un grupo hacktivista que como meta inicial se planteó atacar a 40 de las principales firmas globales. Desde su inicio, el grupo marcó su diferencia con Anonymous y pidió a la prensa que no se les comparara, al argumentar que ellos no perseguían fines sociales y políticos como lo hace el popular conjunto hacktivista. Sin embargo, The WikiBoat utiliza la misma imagen de Anonymous en sus comunicados.
Aunque la primera operación de The WikiBoat no fue exitosa, el FBI lanzó una alerta a los sitios amenazados y señaló que se encontraba trabajando para atrapar a los miembros del nuevo grupo.
IndependencIa Interna Anonymous no sólo ha visto surgir nuevos grupos. También ha sido testigo de cómo sus propios miembros luchan y lanzan embates en su nombre al argumentar que no existen líderes y cada miembro sigue la línea que desea. En América Latina, Anonymous hispano ha sido responsable de poner en jaque al gobierno mexicano, peruano, argentino y brasileño. Así como firmas transnacionales con base en Sudamérica. Recientemente Anonymous publicó los datos personales del candidato presidencial Enrique Peña Nieto, además de apoyar las movilizaciones de los jóvenes #YoSoy132 en México. Lo mismo sucede en Medio Oriente donde representantes de Anonymous han incluso apoyado las manifestaciones y revoluciones sociales como en Egipto y Siria. De acuerdo con especialistas en seguridad, la apertura y anarquía que domina el grupo es la misma que pone en riesgo su credibilidad, pues cualquiera puede realizar un embate cibernético o un hackeo y escudarse en el nombre de Anonymous, sin que éste sea desmentido desde la base central del grupo. Frente a este panorama, la médula central de Anonymous, con base en Estados Unidos, únicamente se dedica a emprender sus propias operaciones y de vez en cuando mostrar su apoyo a ciertos movimientos tanto externos como de los propios representantes locales del conjunto. l Julio, 2012 b:Secure
11
netmedia events Más allá de lo que la ley dice Hablar de la ley ya quedó atrás, el reto real de las organizaciones frente a LFPDPPP es comenzar a responder a las solicitudes y requerimientos de la autoridad sin contratiempos ni errores
l
legó la hora de dejar atrás la explicación sobre los artículos de la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), sus multas, reglamento o de explicar el significado de los avisos de privacidad. En pocas palabras, es hora de dejar estudiar y comenzar a cumplir con la ley. ¿Cómo responder ante una queja o reclamación de derechos ARCO? ¿Cómo actuar ante una solicitud de información o requerimiento del IFAI?
¿Más allá del aviso de privacidad, está al día mi organización con lo que exige el reglamento de la ley? ¿Cómo debo reaccionar ante una vulnerabilidad o robo de datos? Están los empleados conscientes del impacto de la regulación en sus actividades diarias? Algunos de los expertos en materia de protección de datos más reconocidos en México buscarán encontrar respuesta a estas preguntas durante la siguiente fase del triatlón del b:Secure Conference Ciudad de México.
La enfermedad de La era digitaL: La promiscuidad de datos El outsourcing entrega varios beneficios a las empresas, pues les da la oportunidad de concentrarse en las actividades ‘core’ del negocio, al delegar funciones o actividades a terceros. Sin embargo, estas ventajas competitivas traen consigo varios retos en torno a la seguridad de la información y la privacidad de datos, principalmente porque estos “tercerizadores” de servicios procesan, almacenan o tienen acceso a cientos o miles de datos de clientes, proveedores o empleados de nuestro organización. La LFPDPPP sirve de marco legal, pero los responsables deberán supervisar de manera exhaustiva a los encargados y a los terceros de los datos de los titulares y así evitar caer en la promiscuidad de datos.
conferencista: alberto ramírez ayón, ciso de Bnp paribas cardif
uso de ontoLogías para organizar eL conocimiento en protección de datos Las ontologías, dentro del campo de las ciencias de la información, son la representación formal del conocimiento a través de conceptos y dominios. Esta exposición pretende dar a los involucrados en la protección de datos una perspectiva del concepto de ontología como una herramienta que les permita organizar el conocimiento de estándares, leyes y requerimientos de las empresas aplicado a sus áreas de interés.
conferencista: armando Becerra, especialista en protección de datos
privacidad de datos personaLes: un reto más para La seguridad de La información de Las compañías en méxico Las empresas mexicanas libran una compleja y apremiante batalla en el campo de la regulación, que las obliga a buscar la correcta implementación de controles de seguridad, con el fin de alcanzar el preciado objetivo de cumplir con la ley federal de protección de datos personales. Es decir, se trata de aprender a proteger los datos de un tercero, cuando muchas veces ni él mismo es consciente del poder que otorga a las compañías al proporcionar su información. Las dudas, controles innecesarios y un desconocimiento del tema en México, logran apoderarse de los proyectos de aseguramiento de cumplimiento a la ley, creando aún mayor incertidumbre sobre lo implementado y lo faltante por implementar ¿Cuáles son los retos y los obstáculos a superar en el entendimiento de la ley y su consecuente cumplimiento?
conferencista: clementina chávez, cisa y miembro de auditoria interna de it de telefónica méxico
12
b:Secure Julio, 2012
cassandra, pedrito y el loBo feroz en la lfpdppp
el Maratón del cso en el día a día del negocio
Revisar los requerimientos que exige la LFPDPPP y su reglamento, así como los posibles elementos de revisión de parte de la autoridad y las actividades que hay que realizar para apegarnos a un esquema de cumplimiento. ¿Qué hacer cuando el IFAI toca a nuestras puertas?
La labor del responsable de seguridad IT va más allá de simplemente proteger fierros y programas, de firewalls y programas antivirus. Un verdadero CSO requiere del desarrollo y uso de habilidades que le permitan dar valor al negocio y fomentar a lo largo de toda la organización el tema de seguridad como habilitador para enfrentar los retos de los negocios siglo XXI.
conferencista: pablo corona fraga, iso 20000 e iso 27000 lead auditor itsMs professional
conferencista: rosa María camargo, cso de prosa
Malware, la gran aMenaza para la seguridad de nuestra inforMación
Mitos y realidades de los Modelos de protección y privacidad de datos
La información se ha convertido en uno de los principales blancos de los ataques informáticos. La proliferación de herramientas capaces de extraer información de nuestros equipos personales permite que estos queden a disposición del mejor postor. ¿Estamos preparados para este nuevo reto? ¿De qué manera podemos tomar acción y responder ante esta amenaza?
¿Se ha puesto a pensar en dónde y cómo tienen almacenados sus datos? ¿A cuántos recursos tendría que recurrir si su información está dispersa? ¿Dónde radica la información de terceros? ¿Quién tiene acceso a esa información? ¿Qué deber hacer su empresa para cumplir con la normatividad? Acompáñenos a descubrir cómo se relacionan estas preguntas con una estrategia eficiente de protección y privacidad de datos. Explore si existen beneficios reales en el descubrimiento electrónico, y entendamos de los expertos la probabilidad de ser requeridos en proporcionar información a las autoridades dentro del marco de la LFPDPPP y cuán preparados estamos.
conferencista: roberto Martínez, analista de malware del equipo global de investigación y análisis de Kaspersky américa latina
reflexiones de seguridad en las organizaciones Hoy se ha vuelto esencial identificar e implementar medidas de seguridad como partes medulares de cualquier proyecto de IT. A través de esta charla, queremos compartir con los asistentes, experiencias y lecciones de la vida real así como ayudarlos a ponderar la importancia de contar con buenas prácticas de seguridad dentro de su estrategia de tecnología.
conferencista: sinue Botello y francisco gonzález, especialistas de seguridad para oracle México reporte de seguridad weB 2012 Las amenazas de malware están creciendo en tamaño y sofisticación. Protéjase con conocimiento. Asista a la presentación del Reporte de Seguridad 2012 para conocer los últimos lanzamientos de descubrimientos de amenazas y las mejores prácticas de mitigación de malware. Aprenda sobre: Malnet (redes malware), estrategias y tácticas y el panorama de amenazas malnet 2011 y su impacto. Conozca un análisis que le permitirá defender de los riesgos y amenazas digitales del nuevo siglo.
conferencista: eduardo rico, senior systems engineer de Blue coat systems
conferencistas: sylvia Martínez socia de servicios de asesoría corporativa de ernst & young México, geldard valle ingeniero en sistemas large enterprise y rafael garcía, experto en seguridad informática de symantec México
la protección de los datos inicia desde la conexión a la red Muchas veces nos preocupamos de que los datos no salgan del lugar donde los almacenamos o de las manos de las personas a quien se los confiamos, sin embargo nunca pensamos en la seguridad ligada a la conectividad. Desde hace varios años la conectividad juega un rol importante, tanto preventivamente como reactivamente, para controlar el acceso de usuarios y definir dentro de sus atributos o restricciones con qué dispositivos, servidores o aplicaciones se pueden conectar. El objetivo de la charla explicará cómo reducir las variables de fuga de información, al limitar usuarios, aplicaciones, dispositivos, sistemas operativos, lugares de conexión y horas de acceso a la red corporativa del negocio.
conferencista: ricardo argüello ortega, irector regional de enterasys networks para México, centro américa y región andina
Julio, 2012 b:Secure
13
prepArAn en brAsil un “tecnoejército” pArA lA copA del mundo Aunque el gobierno brAsileño debe dAr el sí definitivo, el pAís podríA convertirse en el primero en utilizAr tecnologíA de últimA generAción pArA gArAntizAr lA seguridAd en un evento tAn mAsivo como el mundiAl de fútbol Por Paul Lara
b
rasilia (enviado).- La mañana del 12 de junio de 2014 todo está listo para inaugurar la XX edición de la Copa Mundial de Futbol en Brasil. El día pinta para fiesta, el sol calienta las ansias de los fanáticos de todo el mundo que aguardan impacientes el pitazo inicial. Sin embargo, 30 minutos antes de que inicien los festejos, una alarma llega al Centro de Comunicaciones y Guerra Electrónica del Ejército (CCOMGEX): hay un conato de violencia a la entrada del estadio Corinthians, sede del partido inaugural. Cuatro hombres han despojado de sus pertenencias a varios aficionados y los han golpeado. El general Santos Guerra, líder del CCOMGEX, y su equipo se preparan para evitar que el hecho pase a mayores. El uso de computadoras con tecnología de punta, conectadas a redes de cuarta generación, mejor conocidas como LTE, son su principal herramienta en la toma de decisiones. Un “tecnoejército”, como les dice bromeando Eduardo Stefano, presidente de Motorola Solutions Brasil, actúa para evitar incidentes graves.
14 b:Secure
Julio, 2012
Dos vehículos tipo Hummer, que han sido equipados con antenas y computadoras —llamadas oficinas móviles— están en las calles para auxiliar a los soldados. Diversas cámaras que transmiten desde el interior y las afueras del estadio mandan información en tiempo real a computadoras en el centro de comando, así como a dispositivos móviles, llámense laptops, tablets, lentes y radios digitales, que portan los soldados. En menos de dos minutos se sabe quiénes son los causantes de la trifulca y se detecta que no van armados. Las cámaras han identificado sus rostros, y gracias a una base de datos biométricos se sabe sus nombres, dirección, nacionalidad, edad, entre otros datos. Santos Guerra ha visto con sus lentes especiales, mismos que le permiten conocer las imágenes que captan las cámaras del estadio y mantener comunicación con el centro de comando, y manda a su equipo a actuar. Al llegar el ejército, los agitadores se mezclan con la gente para ocultarse. A 500 metros a la redonda se sabe qué pasa y se ha hecho un cerco para evitar que se escapen los ahora delincuentes.
Como película de ciencia ficción, los soldados se mezclan con la gente, y con sistema biométrico detectan rostros para dar con los delincuentes. En cinco minutos se encuentra a los cuatro agresores, se les captura, y se les hace una prueba de iris para confirmar que sean son ellos. Al dar el centro de comando la aprobación de identificación, son llevados ante las autoridades correspondientes. Muy pocos los saben pero gracias a este “tecnoejército” la inauguración del mundial del fútbol se lleva en orden y sin retrasos. Lo narrado no proviene de un guión de Hollywood, sino que es una simulación hecha en las calles de Brasilia como parte de un programa piloto que Motorola, junto con el ejército brasileño, lleva a cabo para demostrar que tienen la tecnología más óptima para seguridad. Santos Guerra afirma que 89% de las decisiones en un caso de emergencia se toman dependiendo de la información de voz y datos que se tienen en ese momento. “Ahora con video y otras tecnologías como GPS, estamos 99% conscientes de que lo que hacemos es lo correcto y sin poner en riesgo a la población”, señala. Brasil deBe elegir si acepta
La nueva tecnología podría ser usada en los próximos encuentros deportivos que se realizarán en Brasil en los próximos años: Copa Confederaciones, Mundial de Futbol y Juegos Olímpicos. Guerra añade que también puede utilizarse en casos de operativos de emergencia, desastres naturales o accidentes viales. “El costo de este programa de seis meses lo ha absorbido Motorola, y suma poco más de $2 millones de dólares”, dice en entrevista con b:Secure, Eduardo Stefano, de Motorola Solutions Brasil. Pero el gobierno brasileño tiene la última palabra sobre si acepta la propuesta de Motorola para comprar sus equipos y capacitar a la policía nacional. Además de dar parte del espectro radioeléctrico en la frecuencia de 700 MHz —que pronto licitará y que es la más ideal para el uso de LTE—, y colocar cámaras en helicópteros de los medios de comunicación para tener una mejor cobertura. Según Stéfano, Motorola tiene buena tecnología de encriptación, proporcionada por Ericsson, que garantiza un funcionamiento seguro y a prueba de hackers. “Pero si algo falla, el sistema puede desactivarse de inmediato, impidiendo el acceso a los datos recabados”, dice el presidente de Motorola Solutions Brasil. pelea tecnológica
En la prueba piloto, que inició a finales de mayo pasado, el Ejército usa cinco computadoras de mano, igual número de radios digitales, tablets y lentes especiales. El Centro de Mando debe cumplir con dos o tres personas para ayudar en la operación. “Se comprobará la eficacia de la tecnología y se ampliará poco a
poco su uso, porque tenemos el desafío de ganar parte de la subasta de 700 Mhz para seguridad”, dice Stefano. Santos Guerra comentó en entrevista que la milicia ya solicitó la autorización de la Agencia Nacional de Telecomunicaciones de Brasil (Anatel) para utilizar la banda de 700 MHz durante las pruebas, pero que se está cobrando un ancho de banda de 20 MHz en la frecuencia para mejorar la seguridad pública en todo el país. “Esperamos obtener la autorización en el corto plazo, ya que es una solución fundamental que se utiliza no sólo en los eventos deportivos”, dice. En el posible uso de la banda de 2.5 GHz, aclara: “No es nuestro objetivo el usar esta frecuencia comercial.” Este tipo de tecnología, según el ejecutivo de Motorola Solutions, se prueba además en otras ciudades: San Francisco (California), el Condado de Harris (Texas) y el estado de Mississippi, en Estados Unidos. También hay ensayos similares en Israel, Hong Kong, Australia y Abu Dhabi. “Nuestro interés es que este tipo de tecnología pueda ser utilizada por los gobiernos. Imagina de que utilidad podría ser México con el tema del crimen organizado. Ya estamos en pláticas con autoridades de ese país, pero aún no hay nada concreto para iniciar pruebas como en Brasil”, explicó Stefano. Agrega que en los próximos cuatro años se verán transformaciones en los equipos, a una velocidad que anteriormente hubieran durado 40 años, en gran medida como reflejo de la inversión en investigación y desarrollo de cerca de $1,000 millones de dólares al año, que realiza la firma de telecomunicaciones. Stefano contextualiza la lucha contra el narcotráfico en Brasil: El mercado de las drogas en Brasil equivale a $69,000 millones de dólares al año, y se gastan cerca de $20,000 millones de dólares en solucionar problemas relacionados con la venta y consumo de estupefacientes. El gobierno invierte $6,000 millones de dólares en combate a este mal, y sólo tienen una eficiencia de 2.5%. “Te puedo asegurar que con estos equipos y su utilización contra el crimen, se podría subir este porcentaje a 30 puntos porcentuales”, añade Stefano. pasiones desBordadas sólo en los estadios
A las 18:00 horas de ese 12 de junio de 2014, se han terminado las actividades deportivas, pero los elementos del ejército no pueden aún descansar. Se ha reportado que los inchas argentinos han comenzado a discutir contra su contraparte brasileña, y se ha iniciado otra trifulca. Afortunadamente, las cámaras detectan que sólo se llegó a palabras y empujones, y los soldados reciben la orden de Santos Guerra de sólo calmar los ánimos y se les permita continuar con el festejo. Los impulsores de este proyecto confían en que el tecnoejército sea una realidad que garantice seguridad para los ciudadanos del mundo en las competencias internacionales, sin el temor a tener que tomar decisiones equivocadas. l
Julio, 2012 b:Secure 15
acceso EmprEsas han
comEnzado a buscar cómo vEngarsE dE Los cibErcriminaLEs
Por carlos fernández de Lara
L
a sofisticación y frecuencia en los ciberataques y la falta de capacidad de las autoridades para castigar a los criminales han generado una enorme frustración dentro de miles empresas, que los ha llevado a tomar la justicia por cuenta propia, de acuerdo a un reporte de Reuters. Conocido en la industria de la seguridad IT como “defensa activa” o “venganza digital”, estas estrategias tienen como objetivo utilizar la tecnología para desplegar represalias que van desde medidas para distraer y retrasar el hacker, hasta algunas un poco más controvertidas. Los expertos en seguridad dicen que incluso se ha sabido de varios casos en los que las empresas han tomado medidas que podrían violar leyes de Estados Unidos u otros países, tales como la contratación “hackers” para que vulneren los sistemas de los cibercriminales que los atacaron. Hecho que contrasta con los procedimientos actuales, que están enfocados a mitigar, controlar y prevenir el ataque, más que a responder o vengarse por del ataque. Sin embargo, el informe de la agencia de noticias señala que: a medida que la prevención se ha hecho cada vez más compleja y el software malicioso más fácil de conseguir en Internet, las compañías son cada vez más agresivas en la persecución de los delincuentes cibernéticos. “Ya no se trata sólo de apagar el fuego, sino que también busca cómo atrapar al pirómano”, dijo a Reuters Shawn Henry, el ex jefe de investigaciones de delitos informáticos del FBI, que en abril se unió a la compañía de seguridad Cyber CrowdStrike. Según Shawn, una vez que una empresa detecta una violación en su red, en lugar de expulsar a los intrusos, es posible retrasar y agotar a los hackers dándoles falsos accesos al sistema y a supuestos datos sensibles. Dimitri Alperovich cofundador de Cyber CrowdStrike no recomienda que las empresas tratan atacar y destruir el equipo de los cibercriminales, pero reconoce las organizaciones deben luchar con mayor audacia contra el espionaje cibernético.
OjO pOr OjO, datO pOr datO Sin embargo para otros expertos, una respuesta más agresiva podría causar más daños de los que corrige, pues al ser tan abierto el ciberespacio una 16
b:Secure Julio, 2012
La escalada en el cibercrimen, el hacktivismo y el espionaje Web están obligando a cSO y empresas a buscar formas para contraatacar, legales e ilegales venganza podría crear daños colaterales y en escalada. “Ningún resultado positivo puede derivar de este tipo de acciones”, dijo a Reuters John Pescatore, veterano de la Agencia de Seguridad Nacional y del Servicio Secreto. “No hay nada que puedas hacer” para impedir que los hackers decididos y bien financiados roben la información de una organización, dijo Rodney Joffe, tecnólogo senior de infraestructura de Internet de Neustar. Joffe explica que recientemente analizó el tráfico de 168 de las 500 empresas del Fortune 500, de los cuales detectó que las máquinas de 162 de la firmas transmitieron datos a cibercriminales sin saberlo. A pesar de ellos los profesionales de seguridad IT reconocieron que todavía faltan leyes y castigos más estrictos, que no han sido aprobadas.
¿La ciberguerra fría? Pero la propagación del malware y el hacktivismo no son las únicas problemáticas para gobiernos y empresas de todo el mundo en materia de seguridad IT. El reciente descubrimiento de Flame levantó señales de alarma sobre posible espionaje industrial en Medio Oriente patrocinado por gobiernos. Debido a que algunos gobiernos nacionales son sospechosos en los ataques a las empresas privadas occidentales, es natural que algunas de las víctimas quieren unirse a sus propios gobiernos para luchar. En abril, el Departamento de Seguridad Nacional, Janet Napolitano dijo al diario San Jose Mercury News que el gobierno está contemplando, la creación de medidas “proactivas” frente a los ciberataques. Pero no sólo los CSO están frustrados frente a la evolución del cibercrimen, en años recientes la mayoría de las firmas de seguridad han cambiado su discurso de ventas y promoción de servicios. Del “es mejor prevenir que lamentar y hay que estar preparados”, ahora siguen el mensaje del Pentágono y del FBI que afirma “que existen dos tipos de empresas las hackeadas y las que están apunto de ser hackeadas”. Reuters afirma que las organizaciones deben aprender a identificar su propiedad intelectual más preciada y mantenerla fuera de los ordenadores de la red y considerar posibles mecanismos de acción evasiva. l
Consulte las bases en:
www.innovadorassectorpublico.com Informes: Tel: (55) 2629 7260 opci贸n 4, 2629 7280, 84, 85 eventos@netmedia.info Un estudio realizado por
Con el apoyo
Producido por
especial
Por Ángel Álvarez
D
tras meses discusiones sobre la ubicación y estado de los archivos, la segob por fin anunció la destrucción de los más 98 millones de registros recabados como parte del programa
Destruyen renaut en meDio De cuestionamientos y reclamos
espués de poco más de tres años de que comenzó la recolección de información personal de los usuarios de telefonía móvil por parte de la Cofetel y tras reconocer varias fallas en el programa, el pasado 15 de junio la Secretaría de Gobernación (Segob) anunció la destrucción de la base de datos del tan controversial Renaut (Registro Nacional de Usuarios de Telefonía Móvil) que contaba con 98 millones 455,246 archivos. La eliminación de los archivos fue el resultado de semanas de fuertes señalamientos a manos de asociaciones civiles y del mismo Instituto Federal de Acceso a la Información (IFAI), organo que solicitó inicialmente a Segob y Cofetel la explicación sobre el estado, cuidado, uso y destrucción de los datos recabados en 2010.
Problemas desde su gestación El Renaut se creó en 2009 a petición de la Cámara de Diputados y era parte de un proyecto que obligaría a los usuarios de teléfonos móviles a entregar, a sus respectivos proveedores de servicios, datos personales como nombre, número telefónico y Clave Única de Registro de Población (CURP). Al entrar en vigor, el 10 de abril de 2010, los legisladores califcaron al Renuat como una medida de prevención del uso indebido de líneas móviles para cometer crímenes como la extorsión, amenazas, secuestros o alguna acción relacionada con la delincuencia organizada. El programa fue señalado por expertos y medios de comunicación, pues el proceso de registro no contaba con filtros ni con mecanismos de contol y validación del ciudadano. Sin embargo, el programa nunca paso de la primera fase, la recolección, porque el proceso de validación, en el que el dueño de la líne debía acudir directamente a corroborar los datos, resultó ser un fracaso incosteable y, prácticamente, imposible de realizar. A finales de 2010, la Comisión Federal de Telecomunicaciones (Cofetel) señaló que era necesario hacer un análisis para saber si el programa era funcional o si los resultados que se tenían eran negativos. Ante la ineficiencia descubierta del programa, en el 2011 el Senado de la República decidió aprobar la derogación del mismo, aunque cabe señalar, que no especificaron qué pasaría con los millones de datos recaudados.
¿Y los datos? A principios del 2012, junto con la aprobación de la Ley de Geolocalización, los diputados decidieron derogar el Renaut por considerarlo ineficien18
b:Secure Julio, 2012
te y contradictorio con las normas que habían aprobado para rastrear líneas de telefonía móvil utilizadas por criminales. Días después de la derogación, el Instituto Federal de Acceso a la Información (IFAI) hizo uso de sus facultades en su condición de órgano garante del derecho a la protección de datos personales y ordenó a las autoridades competentes destruir todos los datos recabados en el Renaut. El IFAI aseguró que la Cofetel y la Segob debían informar al Congreso de la Unión los mecanismos y procedimientos que tomarían para el correcto resguardo y la eventual destrucción de la base de datos. La comisionada presidente del IFAI, Jacqueline Peschard, dio a conocer en ese momento que se había creado un grupo de trabajo especial junto con la Segob y la Cofetel con el objetivo de garantizar que la destrucción de los datos del Renaut se hiciera conforme a la ley. Sin embargo, pasó el tiempo y tanto la Segob como la Cofetel se deslindaron de la responsabilidad de la información recaudada con el Renaut. Las dependencias “se echaron la bolita entre ellas”, dijo a b:Secure, Irene Levy, presidente de Observatel, asociación encargada de analizar la actualidad y evolución de las telecomunicaciones en el país. De acuerdo con Mayra Castillo, directora del Registro Nacional de Población e Identificación Personal (Renapo), dependiente de la Segob, “la obligación de elaborar y actualizar el Renaut es de los concesionarios de redes públicas de telecomunicaciones. El fundamento jurídico que invoca el solicitante es relativo a una atribución que corresponde a la SCT, que ejerce por conducto de la Cofetel”. Mientras, la Cofetel respondió que “no es competente para dar respuesta a la solicitud de referencia, en virtud de que la información relativa al Renaut en ningún momento fue administrada por este órgano. Es importante destacar que los datos que son enviados por los usuarios son recibidos por el Renapo, dependiente de la Secretaría de Gobernación”. Luego de semanas de dimes y diretes de las dependencias y con la presión de diversos grupos ciudadanos la Segob, en una ceremonia protocolaria, anunció la destrucción de la base de datos del Renaut ante la presencia de representantes del IFAI y de la UNAM. Gustavo Mohar, subsecretario de población, migración y asuntos religiosos el proceso de eliminación fue sólido, transparente e impecable. Aun así expertos cuestionan si los datos no fueron copiados o duplicados en otras bases. l
especial mientras los criminales han establecido procesos y organizado su forma de trabajo, las instituciones financieras carecen de políticas internas para la prevención de estos delitos
FraudE bancario, un crimEn millonario quE pErmanEcE En lo “oscurito”
Por sergio López
E
n 2010 los fraudes bancarios provocaron que las entidades financieras del país tuvieran pérdidas por hasta $476 millones de pesos, revelan cifras de la Comisión Nacional para la Defensa de los Usuarios de las Instituciones Financieras (Condusef). Para 2012 el panorama no es alentador y expertos opinan que lejos de disminuir, dicha cifra se podría mantener o incluso incrementar. De acuerdo con Oscar Camarillo, especialista en Soluciones de Detección y Prevención de Fraude de SAS, la tasa de crímenes relacionados con la banca aumentó debido a la irresponsabilidad de las entidades financieras y de los propios clientes. El experto asegura que mientras los criminales financieros han establecido procesos y organizado su forma de trabajo, las instituciones financieras carecen de políticas internas para la prevención de los delitos. Mientras tanto, los clientes no tienen conciencia sobre lo que significa un contrato bancario y por lo tanto descuidan sus datos e información financiera, lo que en consecuencia provoca que ésta sea utilizada en su contra. “Los clientes usualmente compran en sitios Web sin verificar la seguridad del portal, descuidan sus estados de cuenta y en algunos casos comparten sus códigos de seguridad con sus conocidos, acciones que los vuelven vulnerables frente a un fraude”, sentencia. Prueba de lo señalado por Camarillo son las cifras que expone la Condusef, tan sólo en 2011 el organismo recibió más de 119,000 quejas asociadas a alguna actividad criminal. Cabe destacar que esta situación no es única en México, 30% de los tarjetahabientes en América Latina fueron víctimas de un fraude bancario durante los últimos dos años.
Organización cOmO base Camarillo explica que los fraudes bancarios son diversos y dependen tanto de la capacidad del criminal, como de la ambición y capacidad de organización del mismo. “Entre los delitos bancarios más comunes en México se encuentra la clonación de tarjetas, el robo de claves personales y la extracción de información para obtener créditos a nombre de sus víctimas”, asegura. El especialista explica que dichos crímenes no suelen ser realizados de manera solitaria y justamente a esta situación deben su éxito. “Estos delincuentes operan con bandas de criminales financieros a su lado, cada miembro tiene una función específica dentro de la organización y
esto dificulta que sean rastreados y atrapados por las autoridades”, lamenta. Mientras que los criminales financieros son capaces de organizar y definir funciones, los bancos tienen que combatir el crimen y además lidiar con sus propios empleados, que está involucrados con dichas asociaciones delictivas en la mayoría de los fraudes.
La anaLítica para prevenir eL deLitO Pese a que los criminales financieros tienen un método de trabajo bien establecido, en el mercado existen herramientas que permiten a los bancos adelantarse a los delincuentes y de esta manera evitar su éxito. Camarillo asegura que las bancos podrían optar por soluciones de inteligencia y analítica, que ofrecen una visión única de los clientes, presume. “El área de mercadotecnia debe de compartir los datos de cada usuario con el departamento de prevención de fraudes y viceversa. Esto ofrecería un perfil único de cada cliente, lo que permitiría conocer los hábitos de consumo y así predecir cuál será su comportamiento financiero”, explica. Lamentablemente en México las instituciones financieras no han optado por este tipo de soluciones y como consecuencia enfretan constantemente cientos de casos relacionados con fraudes sin saber cómo resolverlos. Contar con soluciones de analítica e inteligencia de negocios en los sistemas permite a las instituciones financieras detener transacciones fraudulentas o conocer en qué momento se está cometiendo un delito, subraya.
cOmpartir infOrmación entre afectadOs Otra de las recomendaciones de Camarillo esta relacionada con el intercambio de información entre las entidades financieras. El ejecutivo asegura que ésta práctica permite prevenir conductas fraudulentas y saber cómo reaccionar frente a un incidente. La recomendación de Camarillo esta sustentada en los procedimientos que siguen los bancos en Estados Unidos y Canadá, que por ley están obligados a intercambiar información relacionada con fraudes. En México, los miembros de la Asociación Mexicana de Seguros están obligados a compartir la información en su poder, factor que ha ayudado a su desarrollo y a mejorar el servicio que ofrecen a sus clientes. Camarillo concluyó que mientras las entidades financieras no opten por el desarrollo e implementación de tecnologías proactivas no podrán enfrentar a los delincuentes de manera acertada, finalizó. l Julio, 2012 b:Secure
19
opinión Cómo responder CUando el IFaI llame a sU pUerta
Hoy, a casi dos años de la publicación de la LFDPPP, el IFAI ha comenzado a tocar puertas y ventanas para pedir explicaciones y atender reclamos, ¿usted ya sabe qué le va a pedir? Por Pablo Corona Fraga
U
n gran amigo inicia sus presentaciones sobre Protección de datos personales hablando de la historia de Casandra, hija de Hécuba y Príamo, reyes de Troya, quien tenía el don de la profecía y la adivinación. Pero era una habilidad maldita, pues como Casandra rechazó el amor del dios Apolo, este en castigo le escupió a la adivinadora en la boca, permitiendo que conservará su don para predecir el futuro, pero quitándole cualquier credibilidad posible. Una simple loca a los ojos de los comunes. Aunque la metáfora requiere un poco de imaginación, creo que el mito griego puede verse hoy reflejado, si se analiza con detenimiento dentro de los parámetros de la Ley Federal de Protección de Datos Personales en Posesión de Particulares En innumerables ocasiones he comentado que la ley fue publicada hace ya casi dos años y desde entonces decenas de voces han clamado a los cielos todo lo que podría pasar si no cumplen con la regulación, pero ha pasado tanto tiempo sin que se sepa de alguna compañía haya enfrentado alguna consecuencia, que muchos nos sentimos como Casandra o el mismo Pedrito, del cuento infantil de Pedro y el lobo: sabemos que algo malo va a suceder, pero ya nadie cree que realmente pase. Pues les tengo buenas y malas noticias. La buena es que aquellos Casandros y Pedros, que tanto predecían y advertían no están del todo locos; la mala es que al parecer el lobo ya está aquí. Hace una semanas llegaron a mis manos una serie de cartas y documentos en los que el IFAI hace requerimientos a empresas, en los que les solicita varios elementos para corroborar la forma en la que la empresa actuó ante peticiones particulares de ejercicios de derechos ARCO. Para complementar la información el IFAI solicita varios elementos, que trataré de resumir a continuación: • Copia de los documentos donde recaba el consentimiento expreso cuando se trata de datos sensibles • La política de confidencialidad de la empresa según lo que expresa el Artículo 21 de la Ley • El aviso de privacidad y la forma en la que se da a conocer Hasta aquí suenan todas fáciles, pero la siguiente parte puede ser una golpe para muchas organizaciones: • La forma en la que se garantiza la confidencialidad de los datos per-
sonales (hablando ya de garantizar, por lo que dependiendo del volumen y sensibilidad de los datos, habrá que contar con controles de seguridad que puedan asegurarnos su confidencialidad) • Informar si han tenido o sufrido vulnerabilidades a sus sistemas y datos. Esto bajo los términos de la Ley y el Reglamento • Manifestar qué personal de la organización tiene acceso a lo datos personales y de qué manera han sido concientizados sobre la importancia de los datos que manejan. Tratándose de empresas con un buen número de empleados, esto ya no es labor de un par de días, el programa de concientización y capacitación debe hacerse extensivo a prácticamente a todo el personal, desde los que reciben identificaciones en la puerta, los vendedores, hasta personal que atiende a los clientes • Informar sobre las medidas físicas, técnicas o administrativas que ha implementado para tratar los datos personales Como dije al principio, parece es de vital importancia comenzar a tomar en serio las medidas de protección de datos y asegurarnos que estemos en completo cumplimiento. Para ello recalco algunas acciones que mencioné en un artículo anterior: • Clasificar los datos, señalando los que sean sensibles; recordando que son considerados así los que puedan poner en riesgo grave o puedan prestarse a discriminación del titular • Poner especial atención en los expedientes de recursos humanos de empleados potenciales, actuales y pasados de la organización. Así como en los de clientes que sean personas físicas, ya sean prospectos, actuales o pasados • Realizar un análisis de los riesgos a los que están expuestos los datos personales, considerando las posibles vulneraciones que contempla el Artículo 63 del reglamento. • Realizar una análisis de brecha sobre qué controles ya tenemos implementados y establecer un plan de trabajo para implementar los faltantes. Recordando que tenemos hasta junio de 2013 para tenerlos implementados. • Asegurarnos que contamos con un aviso de privacidad que esté alineado a los elementos señalados por el Art. 26 del reglamento y el 16º de la Ley. l
pablo es ingeniero en Sistemas, certificado como MCSA, ITIL, ISO/IEC20000 Service Manager, RiskAssessment y IT Governance. Gerente de Certificación de Sistemas de Gestión de TI en NYCE. Ha participado en el diseño, implementación y mantenimiento de infraestructura de TI, gestión de servicios y administración de sistemas en empresas de diferentes ramos, implementando las mejores prácticas de TI. Es auditor en ISO20000 e ISO27000 y desarrolló el Kit de implantación de ISO20000 para PyMES. 20 b:Secure Julio, 2012
AlwAys Mind
the inforMAtion security GAp
El mal dE la Era WEb: la promisCuidad dE los datos Libres, compartidos y globales son sustantivos que constantemente enaltecemos al hablar de la era digital, al menos hasta que descubrimos que nuestros datos personales también podrían ir acompañados de ellos Por alberto ramírez ayón, CISM , CISA, CRISC, CBCP
C
omienzo con un par de noticias que me hacen reflexionar sobre la cantidad de información y datos personales que se comparten con terceras partes, ya sea por outsourcing, por “tercerizar” servicios, o alguna otra razón. A finales de marzo millones de tarjetahabientes fueron robados tras el hackeo a Global Payments, afectando a clientes de VISA, MasterCard y American Express. Ese mismo mes, en Estados Unidos se reportó que un empleado robó 228,000 registros de pacientes y los manda a su mail personal. De acuerdo a Miguel Tijerina Schon de Buró de Crédito, a diario hay alrededor 880 denuncias por robo de identidad y tienen su origen en tres causas principales: la física, la telefónica y la electrónica. ¿A cuántas empresas le has dado tus datos personales, sensibles o información confidencial? ¿No tienes idea? Quizás podríamos empezar por tu banco o bancos, tu escuela o trabajo, médicos y hospitales donde hayas estado, créditos a los que hayas aplicado, la lista puede ser tan grande como tu memoria te dé.
Promiscuidad de datos en sodoma, Gomorra y outsourcinG Quiero hablar de la “promiscuidad” de datos corporativa. Una que se vive cuando un servicio o actividad es tercerizada y en la que la privacidad podría ponerse en duda si no existen los controles adecuados. Vivimos en mundo globalizado donde el intercambio de información es masivo, rápido y transfronterizo. Las empresas, hoy, subcontratan personal u otras organizaciones para que realicen, usualmente, actividades que no son el core del negocio, como limpieza, infraestructura, reclutamiento, etcétera. Son estos procesos los que dan inicio al intercambio de datos e información de usuarios, empleados, clientes, socios y anexas. Pensemos por un momento el siguiente caso: 1. Si una persona X, hace un contrato bancario o hipotecario con Banco A 2. Banco A tiene subcontratados algunos servicios como manejo de su infraestructura con empresa B, además procesa y almacena los datos con su matriz en otro país C 3. Empresa B, a su vez, subcontrata a D para servicios de personal y tienen su sitio de procesamiento con E
4. Además, Banco A venderá otro tipo de servicios, por lo que subcontrata a F, quien hará la labor de venta a través de diferentes medios y requiere “outsourcear” servicios con otras compañías, G y H, por los perfiles que manejan El ejempló podría continuar hasta el infinito, o más bien hasta que usted se canse de leer y yo de escribir. Lo que quiero demostrar aquí es: donde parece que la persona X sólo tiene un contrato de crédito bancario con A, la realidad es que sus datos están siendo accedidos, almacenados, procesados, transferidos por B, C, D, E, F, G, algunos de ellos incluso fuera del país. No es de extrañar que este escenario sea común actualmente, pero los controles de información entre las empresas mencionadas, posiblemente diverjan en alcance y procesos. Me parece una tremenda falacia argumentar que para eso fue creada la LFDPPP. Si bien es cierto que la ley normará lo que respecta a la privacidad de datos personales en México, aún existe un enorme desconocimiento alrededor de estas cadenas de promiscuidad de datos. En particular cuando el intercambio es transfronterizo y donde se involucren una o más empresas de outsourcing. ¿Qué intento transmitir en este texto? Que la responsabilidad de los datos NO se puede endosar a otra empresa. Si la empresa A es con quien el usuario X tiene una relación. Aunque A tenga outsourcing con B, y B lo tenga con C y D, y éstas a su vez creen una relación con E,F,G o Z si quieren, los datos del usuario X son responsabilidad —a los ojos de su dueño— de la empresa A. Es ésta quien tendrá que asegurarle al usuario y a las autoridades que los controles de privacidad y seguridad son los mínimos requeridos, tanto en la propia empresa, como con en el resto de las organizaciones con quien comparte los datos (B, C, D, E, F, G). Es responsabilidad también de la empresa A asegurarse, hacer revisiones y auditar que éstas últimas tengan dichos controles. O de lo contrario viviremos en una especie de Sodoma y Gomorra del mundo digital. Y por más que eso suene tentador para muchos, les garantizo que es menos atractivo de lo que imaginan. l Mind the Information Security Gap… always. Julio, 2012 b:Secure 21
muro humano IntegracIón de la SegurIdad en el análISIS y dISeño de SIStemaS InformátIcoS Por aury m. Curbelo
E
n una organización o empresa, el análisis y diseño de sistemas se refiere al proceso de examinar y analizar un problema, con el propósito de que sea solucionado mediante el diseño de una plataforma de información y con la finalidad de mejorar los métodos y procedimientos de dicha organización. Una tarea que reace en el analista de sistemas, el encargado de realizar —valga la redundancia— las tareas de análisis y diseño que mejor se ajusten a las necesidades de la organización o firma para la cual trabaja. Este analista debe conocer, que para comenzar cualquier desarrollo de proyecto es necesario realizar un estudio de sistemas, para detectar todos los detalles del estado actual de la infraestructura IT en la la empresa y proveer soluciones reales y seguras. Desde el punto de vista del desarrollo de sistemas, es importante mencionar que el mismo consta de dos partes. La primera parte es el “Análisis”, el cual se define como el proceso de clasificación e interpretación de hechos, diagnóstico de problemas y empleo de la información para recomendar mejoras al sistema. La segunda parte es el “Diseño”, el cual especifica las características del producto terminado. A través de este artículo se propone la revisión del modelo de desarrollo de sistemas de información, añadiendo un nuevo componente a este modelo el cual es la “seguridad en informática”. Este nuevo modelo propone que se enmarque la seguridad en cada proceso de análisis y diseño, teniendo en mente el desarrollo e implantación de proyectos seguros desde todos las partes de los ciclos y elementos de la infraestructura.
un modelo general, el objetivo es promover una discusión entre los analistas y diseñadores de sistemas sobre la seguridad en todos los ciclos y elementos del desarrollo de soluciones IT. Hemos encontrado que muchos analistas y diseñadores conocen muy poco sobre el tema de ciberseguridad, y por ende sus desarrollos son mucho más débiles y carecen de elementos básicos de protección.
elementos de un sistema it los fierros o el hardware Desde la perspectiva de los elementos que componen un sistema de información se pueden mencionar varios, entre ellos el equipo o hardware. Este es el elemento en donde se implementará la operación del sistema. Por lo tanto el diseño del hardware es la primera pieza que debe integrar seguridad. De acuerdo a Grand (2004) [2], el diseño del hardware comúnmente se toma a la ligera desde el ciclo de vida del desarrollo del producto, dejando fuera importantes consideraciones de diseño y generando un producto vulnerable a ataques de hackers, que eventualmente ocasiona pérdida de servicios, ganancias, o reputaciones de buenas empresas.
BaSe de Seguridad mantenimiento del SiStema
inveSitigación preliminar
CiClo de vida del desarrollo de sistemas El análisis y diseño de sistemas es un procedimiento para la resolución de problemas [1]. Cuando se trata del diseño de sistemas de IT, se busca analizar detenidamente la entrada o flujo de datos, su transformación, almacenamiento y salida en el contexto de una organización particular. También es utilizado para analizar, diseñar e implementar mejoras que puedan incorporarse en la organización y puedan ser alcanzadas al usar un sistema de información computarizado. Como se describió anteriormente los diseños de sistemas de información trabajan con datos, ¿así que por qué no tomarse el tiempo en diseñar proyectos seguros desde el principio? La figura 1 indica el modelo conceptual que proponemos, en donde la función del analista de sistemas o el diseñador de proyectos de informática posee una base sólida en materia de seguridad IT. Aunque es 22 b:Secure Julio, 2012
implementación del SiStema
deSarrollo del SiStema
análiSiS del SiStema
diSeño del SiStema
Figura 1. Modelo propuesto del ciclo de vida del desarrollo de sistemas que incluya una base en el tema de seguridad.
La Revista ExtremeTech [3] publicó un sin numero de casos en donde los errores en el diseño del hardware atentan contra la seguridad de los usurarios. De igual forma, el Centro de Aparatos y Salud Radiológica de Estados Unidos o el Center for Devices and Radiological Health (CDRH) [4] reportó que existe una preocupación en la falta de cuidado en el diseño de aparatos médicos, que eventualmente podría afectar a los pacientes e inclusive provocar su muerte. Es claro que todo analista debe tener en mente que no existe ningún sistema 100% infalible. Por lo tanto, es importante que cuando se diseñe hardware se considere que tarde o temprano será atacado.[5]
InformacIón de 1 y 0 Los datos son todas aquellas entradas que necesita el sistema diseñado para generar el resultado que busca la organización. En el análisis y diseño de cómo se va a manejar el flujo de datos o información, resulta evidente que el elemento de seguridad esté presente. El triángulo de la seguridad: integridad, disponibilidad y confidencialidad debe ser la norma en este aspecto. Sobra mencionar la cantidad de pérdidas millonarias a causa de brechas o fugas de información, simplemente por que el diseñador de sistemas no consideró la seguridad en las transmisiones de datos. Varios estudios indican que las tres causas principales detrás de una fuga o robo de archivos son: la pérdida o robo de equipos como laptops o dispositivos móviles (35%), accidentes provocados por terceros, es decir los cibercriminales (32%) y la falla de uno o más sistemas (29%). [6]
La herramIentas o eL software Los programas o el software son los responsables de hacer que los datos de entrada sean procesados y generen los resultados esperados. Sin embargo, la industria del diseño de software es considerada una de las más complejas y demandantes. Es bien conocida la prisa y urgencia con la que muchas compañías de desarrollo se ven obligadas a liberar una “solución mágica”, que para la mala fortuna de sus clientes está llena de errores en programación y hoyos de seguridad. Esta situación tiene dos puntos de vista. El primero es que ningún “software” es perfecto, por lo tanto los errores y fallas en programación son muy comunes. Segundo, si los errores y fallas se lograrán corregir los parches y el hacking ya que no existirían. El problema es que como la tecnología está en constante cambio el desarrollo de software también lo está, por lo que se convierte en una industria muy volátil y difícil de predecir. Para medir la efectividad de un programa es importante tomar en consideración ciertos factores dentro de su diseño. Estos factores son: la planificación del diseño, donde se debe considerar quiénes serán sus usuarios finales, que datos procesará, analizará y sensibilidad de los mismos; también es importante considerar el propósito final, lo último que queremos es que un software venga a traer más problemas de los que resuelve. Quién podría olvidar el estreno de Microsoft Vista, el cual ha sido considerado como uno de los errores técnicos más grande de la década [7]. La firma de investigación Pigdom [8] presentó hace poco los 10 errores históricos en la industria del software y sus consecuencias. El mayor desastre en diseño de software es el no tomar en cuenta la seguridad desde su gestación. ¿Por qué no integrar seguridad en el diseño
y planificación desde el principio? ¿Por qué no analizar las consecuencias de malas programaciones antes de que ocurran?
La capa 8 o eL recurso humano Finalmente, dentro del análisis y diseño de sistemas de información el recurso humano es el más importante de todos, ya que representan todas las personas que utilizarán el sistema. Muchos autores e investigadores coinciden en que el eslabón menos fuerte de toda cadena de seguridad son los humanos. Así que al analizar y diseñar un sistema, la prioridad debe residir en proteger al máximo la información de los mismos humanos, ¿irónico verdad? Pese a los muchos esfuerzos que las empresas realizan a diario para educar y adiestrar al personal no técnico en aspectos de seguridad IT, todavía es mucho lo que hay que hacer para resguardar la información. Varios reportes muestran el rol activo de los empleados en todos los casos de brechas de información [9] [10]. De hecho en la mayoría de las ocasiones es el usuario el culpable de dichas fugas y no los sistemas que las áreas IT han instalado para evitar justo eso. Ahora bien, si la integración de seguridad en el análisis y diseño de sistemas informáticos son tan importantes y de extrema urgencia, ¿Por qué no se implementan? ¿De quién es la culpa?
razones para La faLta de ImpLementacIón. El Instituto de Sans publicó un estudio llamado Security Scenarios in Analysis and Design [11], en el cual se revisaron seis libros de textos relacionados al tema de análisis y diseño de sistemas informáticos a nivel universitario. Estos libros son utilizados en diversas universidades en Estados Unidos, en donde se imparten programas relacionados a las ciencias en Computación. De acuerdo al estudio, se encontró que en la mayoría de libros revisados discutían el tema de la seguridad de manera muy general y en algunos casos simplemente no se mencionaba. De hecho, el instituto concluye en que la mayoría de los casos, a nivel universitario. el tema de seguridad en informática no está incluido en la enseñanza del tema de análisis y diseño de sistemas de informática. Esta investigación representa un reto para los académicos para que incorporen el tema de la seguridad de los sistemas de información como parte de la enseñanza en los módulos de análisis y diseño. Muchos analistas están acostumbrados a desarrollar contramedidas una vez terminado los procesos de diseño e implantación de sistemas. En su lugar, este artículo propone la incorporación del tema de seguridad en todos los ciclos y elementos del desarrollo de sistemas. Para lograr esto se requiere un cambio en el paradigma de la enseñanza y entender a profundidad que todo lo que se analice y se diseñe, desde el ojo del analista de sistemas, debe incluir la posibilidad de un ataque. Además significa que la seguridad debe ser una prioridad en la planificación del diseño y no una consecuencia. l [1] http://www.rena.edu.ve/cuartaEtapa/Informatica/Tema11.html [2] http://www.grandideastudio.com/wp-content/uploads/secure_embed_paper.pdf [3] http://www.extremetech.com/extreme/129764-tech-wrecks-lessons-from-some-of-the-biggest-hardware-screw-ups?print [4] http://www.fda.gov/medicaldevices/deviceregulationandguidance/guidancedocuments/ucm094957.htm [5] http://www.onthemedia.org/blogs/on-the-media/2011/sep/21/hacking-hardware/ [6] http://talentmgt.com/articles/view/study-most-companies-fault-employees-for-data-breaches [7] http://www.time.com/time/specials/packages/article/0,28804,1898610_1898625_1898627,00.html [8] http://royal.pingdom.com/2009/03/19/10-historical-software-bugs-with-extreme-consequences/ [9] http://www.hotelmanagement.net/technology/study-finds-negligent-employees-at-fault-for-data-breaches-14548 [10] http://www.itworld.com/security/269570/82-data-breaches-due-staff-errors-4-it-trusts-users-it-still-blame [11] http://www.sans.org/reading_room/whitepapers/application/security-scenarios-analysis-design_29
La doctora Aury M. Curbelo es consultora y conferencista internacional en el área de seguridad en informática, cuenta con las acreditaciones de Hacker Ético y Forense. Además es profesora en el área de Sistemas Computadorizados de Información. Síguela en twitter: @acurbelo
Julio, 2012 b:Secure 23
seguro… que lo quieres Surface TableT, el nuevo enemigo de iPad
Luego de casi tres años de vivir entre rumores y comentarios, Microsoft por fin anunció la salida de Surface Tablet, el dispositivo con el que planea desbancar a iPad.
Pronto estaremos en ese mercado, dijo Steve Ballmer, CEO de Microsoft, en su conferencia magistral del Consumer Electronic Show (CES) en 2010. Pero luego de tres generaciones de iPad, dos de Galaxy Tabs y un mercado desbordante de tablets ese “pronto” por fin se ha hecho realidad con el anuncio de la nueva Surface Tablet. Microsoft no sólo busca competir en el mercado de tablets, con Surface también tiene el objetivo de levantar el interés alrededor de su nuevo sistema operativo Windows 8 y su ecosistema de desarrollo. Así, el reto real de Tablet Surface no es uno de hardware, sino de software. ¿Logrará dominar en el ecosistema de desarrollo como con lo hace con Windows OS?
Seguro que Lo quiereS Porque
Seguro que no Lo quiereS Porque
• Trabajas en Microsoft o eres fan de la firma y en el fondo te genera odio no poder presumir una Tablet de tu empresa favorita frente a todos los iPad o Android Tab users
• Llegar a competir en un mercado con tres años de retraso sólo significa una cosa: producto incompleto. Vas a esperar a que Microsoft libere “La nueva Surface Tablet”, dentro de uno o dos años
• Su enorme pantalla de 10.6 pulgadas Microsoft’s ClearType HD Display hacer ver a las iPad y Galaxy Tab del mercado como Netbooks sin teclados: pequeñas e inferiores
• Te agrada la idea de compatibilidad entre plataforma (PC y Tablet), pero te preocupa que Windows 8 sea una plataforma naciente en cuento a desarrollo de apps se refiere, más que nada te asusta pensar que no podrás jugar Angry Birds y Plants VS Zombies
• Necesitas tener y usar Windows 8 y todos los aplicativos de Office, no más apps “que pretenden hacer lo que Office hace” • Tiene puertos MicroSD (MicroSDXC en la versión Pro) MiniDisplay Port o MicroHD Video, memoria de 32GB hasta 128GB. Todo eso es genial pero Microsoft realmente te convención en el momento que Ballmer dijo: “cuenta con puerto USB o USB 3.0” • El hecho de que corran con Windows 8 o Windows RT sólo significa algo: compatibilidad entre programas y aplicaciones
24 b:Secure Julio, 2012
• La versión con Windows 8 Pro pesa 903 gramos, casi dos veces lo que la nueva iPad, para eso mejor te compras una Ultrabook • Podrá tener pantalla de 11 pulgadas, pero es una burla si se comparan con los 2048 por 1536 pixeles de resolución que ofrece el Retina Display • ¿Windows 8? ¿Microsoft? ¿Ballmer? Simplemente no tienes idea de qué te están hablando.
Septiembre 11-12, 2012 WTC, Ciudad de México
Big Challenge, Big Innovation,
Big Business,
Big Data
5,900 millones
de teléfonos celulares en uso en 2011
30,000 millones de contenidos son compartidos a través de Facebook cada mes
40%
Cada año crece la generación de contenido digital mientras que el gasto global en IT crece 5%
15 de 17
sectores en Estados Unidos tienen más información almacenada por compañía que la Biblioteca del Congreso de EUA
RESERVE SU AGENDA www.demoshow.com.mx
Informes: Tel: (55) 2629 7260 opción 4, 2629 7280, 84, 85 > 01 800 670 60 40 > eventos@netmedia.info Un evento de
Con apoyo de Technology Evaluation Centers