bSecure JULIO

julio 2009 · 54 · www.bsecure.com.mx

EMPOWERING BUSINESS CONTINUITY

10

INDISPENSABLES

SOBRE

POLÍTICAS DE SEGURIDAD

Expertos definen 10 consideraciones a tomar en cuenta a la hora de definir las políticas de seguridad o evaluar su efectividad dentro de las organizaciones.

9 JUL O

ACCESO

04 MAYORÍA DE EMPLEADOS DESOBEDECEN POLÍTICAS

Lo complicado de una estrategia interna de seguridad en una organización no es definir las políticas y los controles de seguridad, sino cumplirlos..

05 PERDER LA LAPTOP CUESTA $50,000 DÓLARES

Extraviar una computadora portátil cuesta en promedio casi $50,000 dólares para las compañías, debido a la importancia de los datos almacenados en el equipo, valor que rebasa por mucho el costo del hardware.

06 HAY MÁS DATOS QUE SEGURIDAD

Supera la cantidad de información disponible la capacidad de las empresas para poder protegerla. Sin embargo, aquellos que dominen el tema serán más demandados en el ámbito laboral.

07 TODOS CONTRA FACEBOOK

Un nuevo ataque de phishing sufre la popular red social Facebook.

08

LAS 10 INDISPENSABLES SOBRE POLÍTICAS DE SEGURIDAD

10 BSECURE CONFERENCE MONTERREY 2009

Un día intenso donde los más de 150 asistentes se actualizaron en temas como forensia remota, legalidad en Monterrey, y el costo de perder los datos.

OPINIÓN

12 ¿QUÉ HACE SEGURO A UN DISPOSITIVO MÓVIL?

14 GOBIERNO DE SEGURIDAD FOR BUSINESS PEOPLE

16 SEGURIDAD EN

APLICACIONES (PARTE 2) CISO TO CISO

18 MONITOREO DE SEGURIDAD ÁREA RESTRINGIDA

20 RSA CONFERENCE 2009 LA LEY Y EL DESORDEN 2.0

22 PROYECTO DE LEY (PARTE 2) 03 EN LÍNEA

24 SINNÚMERO

ENLÍNEA BSECURE.COM.MX

MÁS VULNERABILIDADES DE DÍA CERO AFECTAN A IE Y FIREFOX

Nuevas vulnerabilidades de día cero que afectan a Internet Explorer y Firefox fueron descubiertas, las cuales podrían ser explotadas para correr código arbitrario sin que el usuario se dé por enterado, dio a conocer firma de seguridad. Según reportes de Mozilla citados por Trend Micro, un usuario de Firefox reportó que su navegador dejó de funcionar. Los desarrolladores de Mozilla determinaron que el problema podría resultar en una vulnerabilidad que podría ocasionar que la memoria sea corrompida. Tal falla podría ser aprovechada por un atacante para correr código arbitrario, destacó la comunicación de Mozilla. De acuerdo con el reporte, esta vulnerabilidad no afecta las primeras versiones de Firefox. No así las más recientes, como la 3.5, cuyos usuarios tendrán que deshabilitar la función ‘JIT compiler’ de sus navegadores para evitar un ataque que aproveche la falla, recomendó el blog de Seguridad de Mozilla. Sin embargo, lo anterior no será necesario para los usuarios de Firefox 3.5.1. En el caso de Internet Explorer (IE), la vulnerabilidad afecta a Video ActiveX Control de Microsoft, la cual permite la ejecución de código de forma remota si un usuario accede usando IE a una página Web especialmente elaborada para la explotación, si ejecutara el control ActiveX, explicó Jovi Umawing, técnico en comunicaciones de Trend Micro. Los usuarios que podrían ser mayormente impactados por el ataque son aquellos que ostenten mayores derechos administrativos de usuario.

GENERA DUDAS SEGURIDAD PROMETIDA EN CHROME SO Aún son pocos los detalles que de Google Chrome SO se han dado a conocer con respecto a su seguridad, pero el post de su presentación en el blog oficial de Google levantó grandes expectativas con respecto a su capacidad de evitar el malware. En ese post, Sundar Pichai, director de ingeniería y vicepresidente de gestión de producto de la empresa, dijo que rediseñarán la arquitectura de seguridad subyacente del SO, para que los usuarios ya no tengan que lidiar con virus, malware y actualizaciones de seguridad. Sin embargo, varios cuestionamientos suscita el hecho de que, a pesar de que Chrome SO corra en un nuevo sistema de ventanas sobre una versión del kernel de Linux, tendrá una capa basada en Web, en la cual podrán ejecutarse las aplicaciones Web desde el sistema operativo.

Estos y otros artículos en

www.bsecure.com.mx b:Secure es una publicación mensual de Netmedia, S.A. de C.V. Se distribuye gratuitamente con circulación controlada y calificada. ©2007. Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos. Los artículos reproducidos de otras publicaciones están sujetas a edición. Reserva de derechos ante la Dirección General de Derechos de autor: 042003-052614050400-102. Autorización como publicación periódica por Sepomex, PP09-1119. Certificados de licitud de título (12580) y contenido (10153) por la

Mónica Mistretta DIRECTORA GENERAL

[LOS EDITORES DE NETMEDIA HABLAN SOBRE LOS TEMAS DE MÁS ACTUALIDAD DE LA INDUSTRIA]

FABUOLUS BLOG Fabiola González, editora de InformationWeek México, analiza las tecnologías y los protagonistas que están cambiando la forma de hacer negocios.

Elba de Morán DIRECTORA COMERCIAL Jonathan Hernández Sosa DIRECTOR EDITORIAL Gabriela Pérez Sabaté DIRECTORA DE PROYECTOS ESPECIALES Alejandro Cárdenas DIRECTOR DE ARTE Iaacov Contreras CIRCULACIÓN Y SISTEMAS Gabriela Bernal DIRECTORA ADMINISTRATIVA José Luis Caballero ASESORÍA LEGAL

TEMA LIBRE

Efraín Ocampo, editor online, retoma los sucesos más importantes de la semana para exponerlos de manera crítica y amena.

EL GALLETERO

Jonathan Hernández, director editorial y editor de b:Secure, despotrica sobre lo último de los gadgets y la tecnología de consumo.

CONSEJO EDITORIAL Rafael García, Joel Gómez, Roberto Gómez, Luis Guadarrama, Ricardo Lira, Ivonne Muñoz, Jorge Navarro, Adrián Palma, Luis Javier Pérez, Alejandro Pisanty, Salomón Rico, Ernesto Rosales, Rubén Sáinz, Héctor Méndez, Jorge Varela, Andrés Velázquez, Gilberto Vicente, Carlos Zamora COLUMNISTAS Roberto Gómez, Ricardo Morales, Joel Gómez, Andrés Velázquez, Irving García EDITOR ON LINE Efraín Ocampo WEB MASTER Alejandra Palancares VIDEO Fernando Garci-Crespo

BLOGUEROS INVITADOS Mónica Mistretta (Netmedia), Miguel de Icaza (Novell), y Fausto Cepeda (Banco de México).

Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Editora responsable: Mónica Mistretta (editor@netmedia.info). Impresa en Impresiones Modernas S.A. de C.V., Sevilla 702-B, Col. Portales, México D.F. 03300. Netmedia, S.A. de C. V., Sócrates 128, 4° piso, Col. Polanco, México, D.F. 11560, teléfono 2629-7260 Fax: 2629-7289. www.netmedia.info

SUSCRIPCIONES Para solicitar una suscripción gratuita visite el sitio: www.netmedia.info/forma/ Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: suscripciones@netmedia.info

CARTAS AL EDITOR Dirija su correspondencia a b:Secure, Cartas al editor, Sócrates 128, 4° piso, Col. Polanco, México, D. F. 11560, Fax: 2629-7289 y correo electrónico: cartas@netmedia.info Para efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y correo electrónicol. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones.

PUBLICIDAD Para contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: ventas@netmedia.info

DISEÑO Pablo Rozenberg ASISTENTES DE REDACCIÓN Gabriela Rivera, César Nieto, Oscar Nieto VENTAS Y PUBLICIDAD Morayma Alvarado, Sonia Gómez, Cristina Escobar SUSCRIPCIONES Sonco-Sua Castellanos, Diana Zdeinert

En Estados Unidos y Canadá: Emily Ospenson-Crume, CMP Worldwide Media Networks, Teléfono: (650) 513-4374

Julio, 2009 B:SECURE 3

ACCESO MAYORÍA DE EMPLEADOS DESOBEDECEN POLÍTICAS

Lo complicado de una estrategia interna de seguridad en una organización no es definir las políticas y los controles de seguridad, sino cumplirlos.

E

ste hecho, comprobado comúnmente de manera empírica, fue verificado por un estudio de Ponemon Institute, el cual encontró que la mayoría de los empleados comprometen rutinariamente la seguridad de la información corporativa con actividades riesgosas. Las políticas de seguridad aplicadas a la información de la empresa son ignoradas la mayor parte del tiempo tanto por el nivel ejecutivo como por los empleados, probablemente, indica el estudio, porque tales políticas son difíciles de comprender. El estudio “Tendencias del cumplimiento interno con las políticas de seguridad de la información” del Instituto, halló que más de la mitad (61%) de los cerca de 1,000 ejecutivos y usuarios finales encuestados descargan información a dispositivos móviles no seguros como parte de su rutina de trabajo. Además, 47% de los encuestados dijo compartir sus contraseñas, 43% admitió extraviar dispositivos que contienen información de la compañía y 21% dijo desactivar los controles de seguridad de sus dispositivos móviles.

4 B:SECURE Julio, 2009

“Estoy viendo una confluencia de condiciones que aparentemente contribuyen al reto de conservar la integridad de la información: el desarrollo de nuevas tecnologías móviles que empoderan a los empleados para hacer más mientras se encuentran lejos del oficina; el fracaso de las organizaciones para mantener el paso en las formas en que la tecnología está cambiando la dinámica de la seguridad de la información; y las condiciones actuales de la economía que están poniendo presión extra en los individuos para ser más productivos con menos recursos”, dijo Larry Ponemon, fundador y director del Instituto. Otros de los resultados más importantes del estudio son que 52% de los empleados utilizan el correo electrónico personal en la oficina, 53% descarga software de Internet a dispositivos de trabajo que usa el empleado y 31% usa redes sociales en su horario laboral. No obstante este comportamiento por parte de los empleados, 58% acusa a las compañías para las que trabajan de no proporcionarles adecuado entrenamiento y concientización sobre el tema de la seguridad de la información y 57% dijo que las políticas de su empleador son inefectivas. ●

ACCESO PERDER LA LAPTOP CUESTA $50,000 DÓLARES

E

xtraviar una computadora portátil cuesta en promedio casi $50,000 dólares para las compañías, debido a la importancia de los datos almacenados en el equipo, valor que rebasa por mucho el costo del hardware. Un estudio independiente —encargado por Intel— reveló que existen varios costos asociados a la pérdida o robo de una laptop en taxis, aeropuertos y hoteles, costo que en promedio asciende a $49,246 dólares, tomando en cuenta la información. La pérdida del equipo físico fue evaluada en alrededor de $1,500 dólares promedio. La valuación responde a los costos asociados con el reemplazo, detección, violación de datos, pérdida de propiedad intelectual, pérdida de productividad y los gastos legales, de consultoría y de regulación. De hecho, según el estudio únicamente la violación de los datos representa ya 80% del costo total. Sin embargo, hay variables que influyen en el costo total, como que si la computadora fue encontrada el mismo día. En ese caso, el costo pro-

medio es de $8,950 dólares y, después de más de una semana, el costo puede llegar hasta los $115,849 dólares. De manera inesperada, el reporte halló que no es la computadora del CEO la más valorada, sino la de un director o un gerente. La computadora portátil de un ejecutivo senior tiene un valor de $28,449 dólares, mientras que la de un director o gerente vale entre $60,781 y $61,040 dólares, respectivamente. El estudio encontró que la encriptación de datos hace la diferencia más significativa en el costo promedio; por ejemplo, una laptop perdida con un disco encriptado tiene un valor de $37,443 dólares, comparado con los $56,165 dólares por una versión no encriptada. ●

SUFREN PÉRDIDA DE INFORMACIÓN PyME LATINOAMERICANAS

T

res son las principales preocupaciones relacionadas con la seguridad informática que enfrentan las pequeñas y medianas empresas (PyME) en América Latina, las cuales están relacionadas con la protección y la pérdida de la información. De acuerdo con los resultados de la Encuesta 2009 sobre Seguridad y Almacenamiento en

las PyME de Symantec, las principales preocupaciones están relacionadas con los virus (77%), las fugas de datos (73%) y el control y la protección de dispositivos portátiles que se conectan a la red de forma remota (72%). La encuesta halló que 33% de las PyME latinoamericanas ha enfrentado una brecha de seguridad, lo cual implica que información confidencial de las empresas ha sido extraviada o robado, e incluso consultada y utilizada sin autorización. “Aunque las PyME entienden los riesgos de seguridad que enfrentan, una cantidad sorprendente de estas empresas en América Latina no implementa prácticas elementales de seguridad”, concluyó el estudio. Casi 30% de los representantes encuestados de 1,425 PyME dijeron no tener la protección más básica; 37% dijo que sus presupuestos limitados son un impedimento para proteger su información y asegurarla; y 28% dijo que por falta de tiempo y de concientización sobre las actuales amenazas de seguridad de IT no han hecho algo al respecto, dio a conocer el reporte. ● Julio, 2009 B:SECURE

5

ACCESO

HAY MÁS DATOS QUE SEGURIDAD Supera la cantidad de información disponible la capacidad de las empresas para poder protegerla. Sin embargo, aquellos que dominen el tema serán más demandados en el ámbito laboral.

E

l reporte anual “Universo Digital” publicado por la firma de análisis de mercados IDC trae una buena noticia a los profesionales de la seguridad de la información pero también una muy mala. La buena es que en el universo digital de los próximos años se visualiza una gran cantidad de ofertas de trabajo para los tecnólogos especializados en temas de seguridad. La mala, según el reporte, es que tendrán una gran cantidad de trabajo tal que los rebasará. Esto es porque la información creada por los individuos y negocios continúa creciendo exponencialmente, de manera exacta, duplicando su volumen cada 18 meses. En el reporte, IDC considera que a este ritmo el contenido existente en todo el mundo se quintuplicará de 486 Hexabytes a más de 2,500 Hexabytes para finales de 2012. Como ocurre siempre, lo que para algunos significan malas noticias, como en este caso para los profesionales de la seguridad, para otros es músi6 B:SECURE Julio, 2009

ca para sus oídos, por ejemplo para las compañías especializadas en almacenamiento, respaldo y tecnologías de deduplicación, por ejemplo. Este reto será consecuencia y lo es ya, de acuerdo con IDC, de las grandes cantidades de contenido que los individuos crean todos los días que es cargado a Internet, como video, audio, imágenes y en menor medida, texto. De hecho, cerca de 70% de la información existente es creada por personas, los cuales lo generan gratuitamente y requieren protegerlo. Sin embargo, el reporte prevé que 85% de ese contenido llegue a entornos empresariales, donde sí existe la responsabilidad e incluso la obligación de asegurar y proteger la información. Para almacenar, manejar y proteger todo este cúmulo de información, las organizaciones deberán asignar mayores presupuestos IT para infraestructura, no así en la contratación de personal de seguridad, la cual se incrementará levemente en los próximos cinco años. ●

ACCESO TODOS CONTRA FACEBOOK

Un nuevo ataque de phishing sufre la popular red social Facebook, pero también analistas indican que las bajas ganancias de la red social no son lo que todos esperarían, por lo que deberá cambiar pronto su modelo de negocio.

L

os usuarios de Facebook, confiados de que es un contacto el que colocó un vínculo de Internet, dan clic en la liga maliciosa con mayor probabilidad, lo cual resulta en que, aparentemente, el servicio haya sacado al usuario de la red social enviándolo a una página de inicio apócrifa que simula ser la de Facebook, por lo que para volver a su perfil escribirá sus datos de ingreso. Sin embargo, los usuarios estarán facilitándole a los atacantes su usuario y contraseña al volverla a escribir en esta página de inicio falsa. De esta forma, los atacantes estarán recolectando datos de cuentas de Facebook, de acuerdo con el reporte de Symantec. Pero amenazas de seguridad no es lo único que asedia a Facebook, sino también que sus bajas ganancias están poniendo en entredicho su actual modelo de negocios. La directora de investigación de ContentNext Media, Lauren Rich, aseguró en análisis que es hora de que Facebook comience a “cobrar renta”. Y parece que la red social se lo ha tomado muy en serio, ya que según un reporte de Tameka Kee, corresponsal de la división de contenido de la misma compañía, dio a conocer que Facebook planea realizar pruebas de su propio sistema de pagos en línea en unas semanas más. “Cansado, quizás, de perderse millones de dólares que fueron gastados en bienes virtuales y juegos ’sociales’ que corren en su plataforma, Facebook planea probar su propio sistema de pagos en próximas semanas”, dijo Kee. ●

10

REGLAS (BÁSICAS)

SOBRE

POLÍTICAS Por Jonathan Hernández Sosa

8 B:SECURE

Julio, 2009

L

as políticas de seguridad en las empresas muchas veces se quedan cortas para los encargados de la seguridad, pero para los usuarios son muy “apretadas”. Peor aún son aquellas empresas que no cuentan con ninguna política de seguridad. Precisamente para dar un repaso por las reglas básicas que ayudan a los encargados de seguridad a generar o evaluar sus políticas, b:Secure esbozó, con ayuda de algunos expertos, los 10 puntos a tomar en cuenta. Sin embargo, es importante definir antes qué son las políticas de seguridad. De acuerdo con Israel Cortés, experto de seguridad IT en EDS, “las políticas son declaraciones hechas por las organizaciones a cada uno de sus miembros. Las políticas son las reglas del juego bajo los cuales, las áreas de negocio, los custodios y los terceros, deben desempeñar todas sus labores, con alineación a lo que la comapñía espera de ellos. Es una declaración de posición que tiene la organización hacia a la información y a la seguridad de la misma.” Tenerlas, añadió, sirve fundamentalmente para cumplir con regulaciones que se tienen, establecer bases de acciones disciplinarias, guías para el comportamiento profesional sobre la información a la que tienen acceso las empresas y constituyen un pilar para las reglas del juego e imponen mejores prácticas al juego. “Es imponer la filosofia de la corporación a las cosas diarias”, puntualizó Cortés. “En cuanto a seguridad: son el corazón de las actividades de seguridad de una organización. Si no las tienen bien establecidas y hechas a la medida, esa empresa está condenada a tener problemas de seguridad”, advirtió. Por otro lado, Pablo Maldonado, director de desarrollo de negocios en soluciones de seguridad para México, Centroamérica y el Caribe en Alcatel Lucent, comentó que las políticas generan más productividad para las empresas. “Además, deben ser reforzadas con tecnologías para ser más ágiles y seguras, como por ejemplo, controles integrales y de accesos, monitoreo, etcétera”, puntualizó Maldonado. Estos son los 10 puntos a considerar cuando se establecen o se redefinen las políticas de seguridad:

1. QUIÉN ESTÁ DETRÁS Un comité de seguridad, entre física y lógica, deben de establecer el tipo de software, accesos en la red, passwords y los mecanismos necesarios para, por ejemplo, tener los antivirus actualizados y tener todos los parches, explicó Pablo Maldonado.

2. SER INFLEXIBLES Si las políticas de seguridad se dejan flexibles, añadió Maldonado, en algún punto, los usuarios van a romper las reglas. “Eso no implica que estas políticas no sean amigables con el usuario”.

3. DESDE EL CONTRATO Muchas empresas definen y marcan estas políticas en los contratos de los empleados, de tal forma que los obligan a cumplir-

las a penalidad de rescindírselos, continuó Maldonado, de Alcatel Lucent.

4. CASI UNA BIBLIA Las políticas, expresó Israel Cortés, sirven fundamentalmente para cumplir con regulaciones que se tienen, establecer bases de acciones disciplinarias, y guías para el comportamiento de los empleados en las empresas. “Constituyen un pilar para las reglas del juego e imponen mejores prácticas al juego”.

5. DEFINIR ESTÁNDARES “Los estándares son reglas muy específicas en una situación específica”, puntualizó Cortés. Son orientaciones obligatorias que se deben cumplir y son diseñadas para soportar el interactuar de la gente y los procesos. Es mandatorio. Es común que haya entre 800 y 900 estándares. “Todas las empresas necesitan tener políticas de seguriad para definir que está permitido que sí que no. En la PyME terminas con 250 a 350 estándares. Se reducen porque la complejidad de negocio y procesos soportados por tecnología son distintos en cada organización”.

6. ESTABLECER POLÍTICAS GENERALES En una política general de seguridad se tienen otras 10 o 12 políticas de seguridad que demarcan cuestiones de acceso y disponibilidad de la información, administración de la gente, etcétera, dijo Cortés, de EDS.

7. LA NORMATIVIDAD “Normatividad son los procedimientos o prácticas y definiciones de cómo estas guías y estándares deben seguirse. Es el cómo”, precisó Cortés.

8. TRAJE A LA MEDIDA Las políticas son un traje a la medida de una organización. “En seguridad y en otras áreas se habla de mejores prácticas. En políticas son un punto de referencia a considerar, no a seguir. Las políticas son a la medida porque depende del nivel de madiurez tecnología que tenga cada empresa”, dijo Cortés.

9. NO ES UNA VARITA MÁGICA Las políticas no resuelven problemas. Son carpetas que en la ejecución o trabajo diario se deben reflejar. “Un error es difundirlas y creer que la gente las va leer y ejecutar. Previo a ser la difusión, se hace un programa de consientización basados en tres objetivos: que la gente identifique la seguridad, reconozca la seguridad y se preocupe por ella. Es común que en ese programa se enseñe la normatividad, pero no debería ser así, como siguiente esfuerzo es el programa de entrenamiento con la normatividad que aplique a cada quien”, explicó Cortés.

10. ESTAR LISTOS “Hay que segurarnos que tenemos los recursos para que una vez que los usuarios entiendan la importancia de la seguridad y quieran llevar el cumplimiento, se les pueda dar respuesta”, añadió Cortés.

Julio, 2009 B:SECURE 9

ESPECIAL BSECURE CONFERENCE MONTERREY 2009 Un día intenso donde los más de 150 asistentes se actualizaron en temas como forensia remota, legalidad en Monterrey, y el costo de perder los datos.

10 B:SECURE Julio, 2009

C

on la participación de unos 150 asistentes, entre directivos de Seguridad y administradores de Sistemas, esta mañana dio inicio la tercera edición de la conferencia más importante del mundo de la seguridad de la información, organizada por Netmedia. En la apertura del evento, Mónica Mistretta, directora general de Netmedia, dijo: “De acuerdo con la encuesta elaborada a principios de este año por Netmedia Research, en general las empresas se muestran pesimistas, pues solo 17% esperan que haya menores incidentes de seguridad en 2009, pero la mayoría no están haciendo lo suficiente para protegerse a sí mismas y la información de sus clientes. La falta de entrenamiento y capacitación al personal en general, y la obligatoriedad para los staffs IT de certificaciones en particular, complican el panorama. En otras palabras, una mayor conciencia de la seguridad viene acompañada de mejores prácticas. De hecho, entre las organizaciones que han implantado entrenamiento de seguridad para su staff IT, 81% considera que ha mejorado la seguridad de sus organizaciones”. De ahí la necesidad de difundir con mayor énfasis la cultura de la seguridad y Netmedia quiere aportar “su granito de arena”, dijo Mistretta. Para evidenciar este esfuerzo, la 3ª edición del bSecure Conference Monterrey cuenta con la participación de 15 patrocinadores, líderes en distintos segmentos del mercado de la seguridad, entre los que se encuentran Check Point, Ernst & Young, Symantec, Websense, F5, Oracle, TippingPoint, McAfee, Enterasys, Arame y Compuware. Entre los asistentes, figuran representantes de organizaciones como Alfa Corporativo, Bancomext, Banorte, ABA Seguros, Femsa, GMac, Poder Judicial del Estado, HEB México, Grupo Financiero Afirme, Axtel, Farmacias Benavides y Caterpillar, entre muchas otras.

LA SEGURIDAD EN MÉXICO El keynote de Carlos Chalico apertura del b:Secure Conference Monterrey 2009 estuvo a cargo de Ernst & Young, que aprovecharon el micrófono para presentar los resultados de su Encuesta Anual de Seguridad. “Son 11 años consecutivos con esta encuesta global, y de las 1,400 empresas encuestadas, 100 fueron mexicanas por lo que México ocupó el tercer lugar después de Estados Unidos e India. El perfil de las personas encuestadas son gente de finanzas e IT”, especificó Carlos Chalico, socio del área de Risk Advisory Services de Ernst & Young. Sergio Raúl Solís, gerente de Advisory de la firma añadió que el 31% de los encuestados son de servicios financieros, y en cuanto al tipo de empresas de menos de $100 millones de dólares (mdd) son 26% y entre $1,000 y $10,000 mdd son más del 20%. De acuerdo a la encuesta, 50% en el mundo se incrementó la inversión anual en seguridad como parte total de los gastos. En México fue el 38% que reportó un incremento. Globalmente el 45% se mantuvo igual y en México el 58%. Se redujo en 5% en ambos casos. “Se reconoce que está asociado a un tema de riesgos, en esta situación se reconoce más y la seguridad no está siendo castigada. El mismo análisis de la revista b:Secure da esa lectura: los budgets de IT van a la baja pero no los de seguridad”, dijo Chalico. Un 46% global y 44% en México, reconocen que hacen análisis de riesgos como un ejercicio formal de gestión de riesgos, el resto lo hace de una manera informal o no lo está haciendo. “¿Cómo saber a dónde va la estrategia si no sabemos donde están los mayores riesgos en la compañía?”, cuestionó Solís. “37% en México y 33% global está integrada con la estrategia IT de la empresa. Pero los que tienen una estrategia específica para seguridad son 29% en México y el 20% en el mundo. Pero los que lo hacen integrada con el ne-

gocio son solo 12% en México y 18% global. Si no se tiene un enfoque de negocio no se está llevando en buen camino la estrategia”, añadió Solís. “Le hace falta conciencia a la organización. No hay suficiente, ha crecido, estamos de acuerdo, pero es el principal reto a vencer porque el segundo es tener una disponibilidad de recursos humanos capacitados. Sabemos que hay universidades que están enfocándose en esto, la verdad no es común ver que integran dentro de la curricula. Creemos que tiene que ser más acelerada y trabajar con seriedad para que el modelo de seguridad sea tan efectivo como demandan las organizaciones”, explicó Chalico. En México el 64% lo hacen a través de evaluaciones internas de IT mientras que en el mundo es un 77%. O lo hace el departamento de auditoría interna en un 50% en MX y 67% global. En México un 37% de las evaluaciones son hechas por proveedores externos. El 77% en mx lo hacen desde internet, al igual que con pruebas de infraestructura. “El eslabón más débil es la gente y son muy pocas las pruebas que se hacen de ingeniería social”, precisó Solís. “Las malas noticias: las funciones de Seguridad de la Información (SI) nacen en IT pero el tema de SI no debe ser visto como tecnología sino como negocio. Desde hace 11 años hemos preguntado cómo ha evaluado la conciencia de la SI y sigue un apego muy grande a las áreas de IT. Las juntas con el CIO son muy seguido en México y el mundo, mientras que un 15% en México lo hacen con los CEO, CFO o COO una vez al mes o trimestralmente. El 26% de las empresas en el país nunca se han reunido con los CxO, frente al 19% a nivel global. “En 5 o 6 años las cosas no han cambiado en México y no terminamos de crear una conciencia entre la gente que dirige el negocio. Esa es la mala noticia, que parece que no está despegando. Pero sí creemos que hay un acercamiento con los CxO. Se está ganando un poquito más de terreno”, afirmó Chalico. “Hay una buena noticia: en el tiempo, México se ha venido viendo con prioridades y necesidades distintas al resto del mundo y hoy vemos una alineación. Eso no quiere decir que el mundo esté bien, pero hay retos. El principal reto es la falta de profesionales de seguridad y más de la mitad de las organizaciones mexicanas asignan a IT la responsabilidad sobre la continuidad de las operaciones del negocio y no hay que olvidar accidentes aéreos, AH1N1, Hermosillo, Inseguridad pueden cambiar las reglas del juego”. La exigencia es común: compromiso con el negocio.

LA LEY Y EL ORDEN: MONTERREY Durante el panel de Delitos Informáticos: 10 años después, Ivonne Muñoz, abogada, expuso cuáles son los delitos que ya se tipifican en la ley como tales en el estado de Nuevo León:- Delito contra la seguridad de la comunidad. “Es decir, traer en tu auto escaners de redes inalámbricas”. - Difamación. “Si difaman a alguien por correo electrónico, redes sociales, messenger o medios electrónicos son de 3 a 6 meses de prisión”. - Chantaje. “Por medios electrónicos también se sancionan. NL tiene mayor índice de secuestro por correo electrónico”. - Acceso ilícito a sistemas de información. “El clásico que alguien entró a los sistemas es ilegal en NL”. - Eliminación o modificación de datos también es un delito. - Afectación de sistemas para que cambie su funcionamiento. - Clonación de instrumentos de crédito a nivel federal. Skimming también es un delito. - Acceso indebido a sistemas de información bancarios.

REVISA LA GALERÍA DE FOTOS EN: http://www.netmedia.info/galeria/iii-bsecure-conference-mty

Julio, 2009 B:SECURE

11

´ OPINIÓN ¿QUÉ HACE A UN DISPOSITIVO MÓVIL SEGURO? Por Andrés Velázquez

L

os dispositivos móviles son cada vez más recurrentes dentro de las empresas, Treo’s, Blackberries y otros smartphones son la solicitud de los altos ejecutivos o de la gente que debe estar siempre “comunicados”, pero pocas veces se cuestionan desde el punto de vista de seguridad de la información contenida en ellos. Y es que no es raro ver en una junta de negocios o en la junta con algún proveedor, de que todos tienen estas pequeñas cajas negras que podrían darnos información de prácticamente toda la empresa. Hace unos años, eran las PDA’s o agendas electrónicas y las laptops los puntos vulnerables de la información que se encontraba literalmente dando la vuelta por las calles de esta ciudad o del mundo. Vayamos a esos tiempos, donde un ejecutivo almacenaba todos sus datos dentro de una costosa laptop que cargaba en sus viajes de negocios y en los fines de semana familiares. Sin embargo, la dejaba sin problema alguno dentro del cuarto del hotel, en la casa de campo o en el automóvil mientras paseaba con la familia. Esa computadora se encontraba vulnerable, en su información; y eso que no estamos contando con el hecho de que probablemente la información contenida en ella no estaba encriptada e inclusive que una simple contraseña de Windows era la “barrera” de la divulgación de la misma. Después llegaron las PDA’s o Agendas Electrónicas; donde la problemática se centraba en el hecho de que al ser dispositivos “pequeños” en ese entonces, los altos directivos las perdían como si fuera una acción recurrente y necesaria. La seguridad que existía para el acceso al dispositivo era básico, pero eran pocos quienes los activaban. Hoy tenemos los SmartPhones, dispositivos que no solo son computadoras de un tamaño portátil que tienen acceso a Internet, sino se han convertido en una plataforma móvil que pocos saben sacarle provecho y que muchos consideran un grillete electrónico (si no lo sabe usar). Se piensa que con estos dispositivos realmente se encuentra uno “conectado” con los demás: actualizar facebook o myspace, enviar mensajes a twitter, recibir y enviar correo electrónico a todas horas (incluyendo altas horas de la noche como si fueran las doce del día) y hablar por teléfono. Tengo varios amigos que tienen un SmartPhone, cabe mencionar que ninguno de ellos trabaja en el área de telecomunicaciones, y es común que no cuenten con una contraseña para poder acceder al dispositivo donde tienen su correo electrónico, fotografías, todos sus contactos y probablemente los contactos de su organización si es que los tienen compartidos. 12 B:SECURE Julio, 2009

Nos hemos olvidado que estas pequeñas cajitas tienen más información de lo que pensamos, creemos y sabemos. Incluso pocos saben que las Blackberries tienen un sistema para poder sobreescribir información de manera remota en caso de que ésta se vea comprometida, robada o perdida. Y en algunos casos, depende de cómo accedemos a nuestro correo con esto dispositivos, el proveedor podría ver nuestros correos. Pero entonces, ¿dónde queda la seguridad en estos dispositivos? ¿Acaso no es simplemente una amplificación del problema actual de seguridad de la información en equipos normales? ¿La misma problemática que tenemos en una red? ¿La misma labor que debemos de hacer al explicar a los usuarios de la tecnología a la cual van a tener acceso? Un dispositivo como éstos que he mencionado serán pronto el futuro para todos, no sólo los altos ejecutivos tendrán acceso a ellos ni los dedicados al área de sistemas. Las amas de casa tendrán uno, posiblemente con un lector de código de barras o de RFID para poder “escannear” los productos que les hacen falta poner en la lista para ir al supermercado; o podrán obtener información de la televisión de un nuevo producto que desean comprar. Ya estamos empezando a ver la banca desde dispositivos celulares; ¿es entonces un adiós a las tarjetas de crédito como las conocemos? ¿Pero, y si me roban mi celular con el que hago pagos? ¿Y qué sigue? ¿A dónde vamos a llegar? ¿Llegaremos a los implantes en el cuerpo humano? Y usted, ¿ya tiene un SmartPhone? ¿Va a un valet parking y le avisa que trae una laptop para que la apunten en el boleto? Si le quitara su teléfono celular en este momento, ¿qué podría saber de usted? ¿De su familia? ¿De su trabajo? Yo lo único que sé es que he aprendido a través del tiempo a dejar mi laptop en la caja fuerte del hotel, a encriptarla y bajarla del carro cuando lo dejo en un valet parking; a configurar finalmente mi Blackberry para que no suene toda la noche, que tenga una contraseña y a tratar de generar conciencia de lo que está pasando a mi alrededor. ●

Andrés Velázquez es un mexicano, profesor de la facultad de seguridad en redes de la University of Advancing Technology (UAT) en Phoenix, Arizona; que cuenta con las certificaciones CISSP, GCFA, ACE, IAM, IEM y BS7799. avelazquez@uat.edu

Obtenga el reconocimineto que su organización y su gente merecen

Participe en la 2da edición de este importante estudio.* consulte las bases en: www.las50innovadoras.com.mx Fecha límite de recepción: 11 septiembre, 2009. Los resultados se darán a conocer en la edición de diciembre 2009 de la revista InformationWeek México.

Es el sello que distingue a los organismos públicos que han logrado hacer de las tecnologías de la información un elemento estratégico para generar valor entre sus usuarios y ciudadanos, así como optmizar sus procesos internos

´ OPINIÓN EL GOBIERNO DE SEGURIDAD EN LA INFORMACIÓN;

¿ES UNA FALACIA, UN FENÓMENO EN CIERNE O YA ES UNA REALIDAD? [PARTE DOS] Por Raúl Aguirre

E

xisten alrededor de 20 empresas certificadas en ISO27001 ó BS7799-2, adicionales a las no certificadas pero que ya cuenta con un SGSI. ¿Qué porcentaje de empresas se pudieran encontrar en esta última situación? De ellas, ¿cuántas estarán en un nivel de madurez aceptable? Dudo que lleguemos a un número muy alto. Lo anterior sin minimizar el mérito y la importancia de la certificación. Si entendemos que Gobierno de Seguridad de la Información implica estos tres conceptos fundamentales: 1. Tener el control total del funcionamiento del Sistema de Gestión de Seguridad de la Información, el cual se enfoca: en lo sustantivo y los riesgos más importantes de protección, buscando prevenir, estar concientes, detectar y analizar los incidentes de seguridad así como estar preparados para recuperar o reaccionar ante contigencias, corregir, ajustar o reorientar los procesos de seguridad. 2. Que el Due Diligence está funcionando en su máxima expresión y retroalimentando los resultados y control de todo lo que está operando con la actitud adecuada del Due Care muy bien establecido. Due Diligence y Due Care precisan la responsabilidad de seguridad. 3. Tener elementos concretos que demuestren dar valor a la empresa que se da al integrar la seguridad en los servicios y productos que se entregan a los clientes y en toda la cadena de valor. Ello se puede cuantificar utilizando el ROSI Retorno de la Inversión en Seguridad) correspondiente de la aportación de valor integrado en lo que deja de perder al implementar y operar los controles de seguridad, al ROI y sumar las utilidades por las preferencias de los clientes por la confianza ganada al estar seguros en sus procesos de negocio. Se pueden dar factores negativos por esfuerzos de Gobierno de Seguridad que no están bien orientados, con alcances mal definidos y que por lo tanto se ven vanos o irrealizables, pudiendo ser

14 B:SECURE Julio, 2009

considerados una falacia o un estado del arte ideal y utópico. Algunos de los puntos que se deben afrontar e intentar vencer son: UÊ ÕÃV>ÀÊ >Êà « V `>`ÊÞÊ >ÊÛ Ã Ê>V Ì>`>Ê`iÊV ÀÌ Ê« >â °Ê UÊ /i iÀÊ` v VÕ Ì>`ÊÞÊ Ê }À>ÀÊi Ê Û ÕVÀ> i Ì Ê`iÊ ÃÊ Õ}>` ÀiÃÊ clave. UÊ >ÊVÕ ÌÕÀ>Ê`iÊÃi}ÕÀ `>`Ê`iÊ >Ê v À >V ÊÊ ÊiÝ ÃÌiÊi ÊÊ >Ê` ÀiVción y por lo tanto no asume su responsabilidad. UÊ -iÊ`i i}>ÊÃÕÊ`iv V ÊÞÊiÃÌÀ>Ìi} >Ê>Ê >ÊÀië Ã>L `>`Ê`iÊ ÃÊ mandos medios y de la operación, cuando debe ser una iniciativa del comité de dirección. UÊ -Õ« iÀÊ«jÀ` `>Ê`iÊ« `iÀÊÞÊ` °Ê Ê}i iÀ> Ê >ÞÊÌi ÀiÃÊ>Ê rendir cuentas por el manejo de la empresa (dar cuentas). Esto ÃiÊÀiv i >Êi Ê V ÃÊ`iÊ« `iÀÊi Ê ÃÊ` viÀi ÌiÃÊà ÃÊ`iÊ >Ê À}> zación. UÊ ÊÌi ÀÊ« ÀÊi ÊV> L Ê`iÊ >ÊÌÀ> ë>Ài V >Ê`iÊ >Ê v À >V Ê>Ê >Ê competencia, a los socios y a los empleados cuando esta es necesaria. Para romper el ciclo vicioso y crear el virtuoso con factores positivos se debe primero trabajar con la dirección general o comité de dirección. A la par se deben diseñar e implementar controles preventivos, una estrategia de empuje con revisiones de cumplimiento, criterios de evaluación, autorización y evaluación de riesgos para buscar acabar con las fallas. Asimismo, se de trabajar en la promoción y difusión del tema, buscando siempre un enfoque de liderazgo. La propensión a implementar el gobierno es mayor cuando ya existe en la cultura organización la adopción implementación de sistemas de gestión Por ejemplo: sistema de control Interno, sistema de gestión de calidad, sistema de gestión de la relación con clientes, sistema de gestión de los servicios y productos, y por lo tanto cada uno de ellos cuenta con una estrategia de dirección de negocios, con usuarios, clientes y terceros, de productos, desarrollo y producV ]Ê`iÊÀiVÕÀà ÃÊ Õ > Ã]Ê`iÊà ÃÌi >ÃÊ`iÊ v À >V ÊÞÊiÃÌÀ>Ìi} >Ê de administración Interna, relacionados a su objetivo. ¿Por dónde empezar? Los primeros pasos están en el diseño del V ÌÀ Ê ÌiÀ ]Êi ÊVÕ> Ê «>VÌ ÃÊÀi> iÃÊiÊ ÃÌ À V ÃÊ`iÊ« ÀÊ Ê i ÃÊ

un año a la fecha. Integrar incidentes con evidencias de las pérdidas ocurridas ayuda al inicio para despertar la curiosidad así como investigar lo que les está pasando a otras instituciones al respecto. Con los montos de pérdidas, lo más reales posibles, defina una estrategia para hacer conciencia de los riesgos potenciales al comité de dirección, considerando en ésta de forma inmediata la protección de la información, lo que hoy se tiene en controles, sustentado por políticas que deben autorizar los directores involucrados en los procesos. A la par es recomendable establecer en dicha estrategia la visión hacia el diseño e implementación de un sistema de gestión de seguridad en la información con alcance realista en el corto plazo (no más de un año). El propio proceso del sistema, si se cumplen los pasos básicos que se recomienda hacer, permitirá a través de mejora continua alcanzar un sistema de gobierno de seguridad. Lo importante aquí es demostrar el valor que aporta cada ciclo. Este reto no necesariamente implica demasiada inversión o gasto para lograr el Gobierno de Seguridad. Requiere por lo menos de los siguientes ingredientes: UÊ ÃÊ ?ÃÊÕ ÊV> L Ê`iÊ>VÌ ÌÕ`Ê> ÊV «À à ÊÞÊ> ÊÌÀ>L> Ê`iÊÌ dos, a pesar que hay roles y funciones específicas de la administración de riesgos, de la autorización e implementación de los controles, de la operación y monitoreo, del manejo de incidentes y de la revisión y del reporte, y del proceso de mejora continua. Se responsabiliza de ello a todos en lo que les corresponde, desde la Dirección, a su estructura estratégica y táctica, como a todos los usuarios involucrados en el alcance, según lo que les toque en definir, documentar, operar, revisar, instruirse, reportar, entre otros. UÊ -iÊÀiµÕ iÀiÊ«>À>Êi Êi Ê«À Vià Ê`iÊV V i V >V ÊÞÊ`iÃ>ÀÀ Ê organizacional UÊ -iÊiÃÌ>L iViÊ Ê Ê iViÃ>À Ê`i ÊV ÌÀ Ê ÌiÀ ÊÞÊ >V i ` Ê énfasis en: UÊ >Þ ÀÊÀ iÃ} ÊÞÊiÃÌ>L iViÊÕ Êà ÃÌi >ʵÕiÊÌÀ>L> >Ê«>À>Êà i «ÀiÊ tender al punto de equilibrio de lo que se debe gastar para minimizar la mayor cantidad de riesgo. UÊ Ê ÃÊ«À Vià ÃÊ`iÊ Ì Ài ÊÞÊÃÕ«iÀÛ Ã ]Ê ` V>` ÀiÃÊÞÊ jtricas, así como el proceso de mejora continua, todo ello sin perder de vista eficientar la operación.

UÊ -iÊ` VÕ i Ì>Ê Ê Ê iViÃ>À ÊV ÊÕ ÊiÃÌ? `>ÀÊ«À?VÌ V ]Ê para darle consistencia y difusión. Definitivamente en América Latina, el gobierno de seguridad de la información es un requerimiento en cierne, como consecuencia de implementar el Sistema de Gestión de Seguridad en la Información. La seguridad informática se logrará mejor con la implementación de un SGSI. Y el SGSI no tiene sentido si no tiende a lograr el gobierno de la seguridad. Considero que en los siguientes 5 años se tendrá una buena práctica de gobierno de seguridad dominada en las empresas financieras y aseguradoras que ya lo tienen considerado entre sus proyectos de corto o mediano plazo. Hay intentos incipientes importantes en las firmas consultoras para dar ejemplo y demostración de saber hacer en otras empresas lo que ya han implementado en casa, para que no se diga que “En casa del herrero, azadón de palo”, o que “Las palabras mueven, pero los ejemplos arrastran”. Para concluir, puede ser una falacia para aquellos que tienen la inquietud, pero no cuentan con los elementos claros y completos para implementar un SGSI, empezando por la cultura de alto nivel, la falta de un líder de alto nivel y de recursos suficientes. Es una realidad qué afrontar para las empresas que compiten fuertemente con otras, y es parte del ahorro por dejar de perder. porque deben incursionar en cómo debe ser su SGSI ya que es una necesidad de cumplimiento regulatorio, de competencia para sobrevivir y de valor agregado; ello lleva automáticamente al Gobierno de Seguridad en la Información. En otras palabras son sinónimos o son identidades, es decier SGSI = GSTI. Pero estamos en cierne porque en la mayoría de las empresas se camina apenas en la fase del PLAN y más en la de DO del modelo

i }°Ê i ÃÊiÃÌ? Êi Ê >Êv>ÃiÊ`iÊ ÊÞÊi Ê >Ê`iÊ /°ÊÊ iÀne significa en este contexto, no haber cerrado el primer ciclo De }°Ê iÊ>ÀÀ iÃ} Ê>ÊiÃÌ >ÀʵÕiÊi Ê« ÀVi Ì> iÊà ʫ V>ÃÊ >ÃʵÕiÊ han cerrado un ciclo completo y correcto del proceso de seguridad

i }Ê­* Ê "Ê Ê /®°Ê ÃÊÕ ÊÀiÌ ÊÞÊÌ> L j ÊÕ ÊV «À miso el buscar sustentar lo más posible este comentario de mi parte. Independientemente de ello, ¿lograste deducir en qué posición está tu empresa y cuál debería ser la siguiente acción? Si así es, bienvenido al reto de tender a un GSTI con su SGSI. ● REFERENCIAS: (*1) El Sistema de Control Interno como un elemento esencial para garantizar la eficacia del Gobierno Corporativo. Guillermo Cruz –Delloitte- (Centro de Exelencia en GC - 2006). (*2) Information Security Governance - Guidance for Board of Directors & Executive Management, 2nd. Edition, IT Governance Intitute (*3) Gobierno de TI y Continuidad del Negocio. José Peña Ibarra ISACA Mty (*4) Seguridad y Buen Gobierno, Juan Ignacio Ruiz Guinaldo, Grupo AVIVA

Julio, 2009 B:SECURE 15

for

BUSINESS PEOPLE

SEGURIDAD EN APLICACIONES ¡UPS! (PARTE 2) Por Adrián Palma

E

n esta segunda entrega hablaremos de la importancia de la seguridad en el ciclo de desarrollo de las aplicaciones, donde las “Best Practices” dicen que si la seguridad no es analizada, diseñada, implantada y probada en el desarrollo de las aplicaciones muy difícilmente se podrá revertir cuando estén en producción. Recordemos que hemos estado hablando de la seguridad nativa de la aplicación. A través del tiempo, la visión del desarrollo de aplicaciones ha permanecido sobre aspectos de funcionalidad, desempeño y operación de los programas/aplicaciones, para soportar la ejecución de los procesos de negocio en las organizaciones. De esta forma, es difícil encontrar que la seguridad de la información pueda ser considerada en las fases de diseño y desarrollo de los sistemas, por lo que es común encontrar que, una vez que el aplicativo se libera al ambiente de producción, se intente construir la seguridad, con un enfoque correctivo, costoso e impráctico. En este contexto, los problemas en el uso, confiabilidad y auditabilidad de las aplicaciones, han aumentado sensitivamente, debido al pobre o nulo diseño de controles en la estructura de las aplicaciones. De esta forma, la incorporación de aspectos de seguridad en cada una de las fases del ciclo de vida de desarrolloSegunda de sistemas,de se convierte 2 partesen un 16 B:SECURE

elemento imprescindible, y cada vez más necesario. Cuando un sistema sea migrado al ambiente de producción, enfrentará múltiples amenazas que pueden hacerlo fallar, generando posibles impactos inconmensurables al negocio. Al estandarizar la seguridad en el desarrollo de las aplicaciones, no obstante que resulta complejo debido a la gran diversidad de herramientas, metodologías, lenguajes de programación, arquitecturas, entre otros, que hoy día existen, se pueden considerar algunos elementos genéricos que deben ser observados en estas prácticas de desarrollo, tales como: UÊ *ÀiÛi V Ê>ÊÌÀ>ÛjÃÊ`iÊ >ÊV> `>`Ê`iÊ >ÃÊi ÌÀ>`>à UÊ ,>ÃÌÀi>L `>`ÊÞÊ>Õ` Ì À > UÊ Ì Ài Ê UÊ v `i V > `>`Ê`iÊ >Ê v À >V UÊ -i}ÕÀ `>`Êi Ê` viÀi ÌiÃÊ Ûi iÃÊ­ Õ Ì iÛi ÊÃiVÕÀ ÌÞ® UÊ ÕÌi Ì V>V Ê­V ÌÀ Ê`iÊ>VVià ® UÊ Ìi}À `>`° La definición, desarrollo e implementación de herramientas y mecanismos para la observación de esta características o principios elementales en el desarrollo de aplicaciones seguras, se puede convertir en una

tarea de tiempo completo para las organizaciones, la cual demandará recursos y tiempo particulares. Muchas organizaciones tienen su propio ciclo de vida de desarrollo de sistemas para asegurar que un proceso planeado y repetible es utilizado para el desarrollo de sus aplicaciones. Las diversas metodologías incluyen típicamente fases que guían los objetivos del equipo del proyecto, generan requerimientos y obtienen aprobación para diseñar, construir, probar, implementar y mantener un sistema. Sin embargo, muchas metodologías de desarrollo no toman en consideración aspectos de seguridad de forma adecuada, resultando en la producción de aplicaciones inseguras. El aseguramiento de los procesos utilizados para la construcción de las aplicaciones en cualquier organización que cuente con áreas encargadas de estas actividades, radica mayormente en la identificación de prácticas que tengan como propósito la implementación de controles que protejan la integridad, confidencialidad y disponibilidad de la aplicación, de forma temprana y de manera estandarizada en la metodología de desarrollo y así mismo sobre las consideraciones de seguridad que se deben de tener presentes al evaluar y adquirir aplicaciones. Es así que, para lograr la asertividad en este proceso, es factor crítico de éxito el desarrollo de actividades de identificación sobre el estado actual de las características de seguridad implementadas en la metodología de desarrollo. Más aún, estas actividades de identificación deben de representar de forma precisa la realidad de la seguridad en las aplicaciones bajo observación y contar además con el respaldo de mejores prácticas al respecto. Pero que se puede hacer? Por donde empezar? A continuación algunos lineamientos de una metodología propietaria y desarrollada através de los diferentes proyectos realizados de seguridad en aplicaciones. Los conceptos fundamentales sobre los que se encuentra basado el siguiente esquema de evaluación, son los siguientes: Evaluación. Se requiere tener un esquema de evaluación para poder determinar las deficiencias de control en el proceso de desarrollo de aplicaciones, algunos topicos a evaluara serían: Madurez. La madurez del proceso indica la posición “dentro de una escala” sobre la cual el proceso de desarrollo de aplicaciones se encuentra: [1] definido, [2] gestionado, [3] medible, [4] controlado y [5] efectivo. Esta madurez implica un potencial de crecimiento e indica la completitud del proceso, y la consistencia con que este es aplicado a lo largo del proceso de desarrollo de aplicaciones. Vulnerabilidad. La vulnerabilidad del proceso indica una condición de debilidad en (o ausencia de) procedimientos de seguridad, controles técnicos, controles físicos, u otros controles, dentro del proceso, que pueden ser explotados por una amenaza. Se debe de tener en cuenta que tanto la madurez como la vulnerabilidad se establecen en términos de proceso, pues el enfoque de la evaluación radica en la observación del proceso de desarrollo de aplicaciones desde el punto de vista de los controles de seguridad que lo soportan; por lo tanto al hacer referencia a madurez o vulnerabilidad, se trata específicamente del nivel alcanzado por los elementos de seguridad observados en dicho proceso.

CREACIÓN DE GUÍAS DE EVALUACIÓN DE APLICACIONES

Las guías de evaluación de aplicaciones son herramientas que se tendran que crear para poder realizar la valoración de los controles y puntos de revisión. Estas guías deberán estár elaboradas con base en estándares y mejores prácticas relacionadas al Ciclo de Vida de Desarrollo de Sistemas (SDLC) e Ingeniería de Software, bajo un remarcado enfoque de seguridad. Para su elaboración, se pueden considerar diversas metodologías de desarrollo de sistemas. En ese sentido, el primer paso es identificar las fases y actividades teniendo en consideración que los parámetros de seguridad evaluados como soporte a las actividades identificadas contribuyen al establecimiento de la madurez y la vulnerabilidad. Las fases identificadas, resultado de ese proceso son: Inicio. Actividades relacionadas a la planeación del proyecto de desarrollo y determinación de requerimientos de seguridad. Diseño. Actividades relacionadas con la incorporación de elementos de seguridad a la aplicación desde su representación a nivel conceptual. Desarrollo. Actividades relacionadas con la incorporación de mecanismos de seguridad durante la programación (codificación), así como controles de aseguramiento del proceso. Pruebas. Actividades relacionadas con el aseguramiento del proceso de pruebas, así como pruebas sobre los controles de seguridad incorporados al desarrollo. Implementación. Aseguramiento del proceso de implementación, monitoreo de las características de seguridad, certificación y acreditación. Una vez terminada la etapa de evaluación se requiere empezar a implementar controles en el proceso de desarrollo alineados a las vulnerabilidades encontradas del mismo, un control fundamental es la creación del marco normativo de seguridad para el desarrollo de aplicaciones y/o adquisiciones el cual tiene como finalidad proporcionar los lineamientos normativos, compuestos por políticas, estándares y guías, que permitirán proteger tanto la información como sus recursos de tecnología para el proceso de desarrollo. El contenido del marco normativo tendría dos secciones principales, las cuales son: UÊ * Ì V>ÃÊ«>À>Êi Ê`iÃ>ÀÀ ÊÞÉ Ê>`µÕ à V Ê`iÊ>« V>V iÃ°Ê UÊ ÃÌ? `>ÀiÃÊ `iÊ >ÃÊ « Ì V>ÃÊ «>À>Ê i Ê `iÃ>ÀÀ Ê ÞÉ Ê >`µÕ à V Ê `iÊ aplicaciones. Es de suma importancia el que este marco normativo no sea letra muerta es decir se debe garantizar que se implemente para esto es necesario crear roles y responsabilidades para las distintas audiencias (analista, diseñador, programador, dueño de los datos, base de datos, etc.) este sin duda es un factor critico de éxito para la implantación del marco normativo. Otros dos controles fundamentales para la implementación del marco normativo es el awareness y los procedimientos se requiere de estos controles para garantizar una adecuada implantación de dicho marco, por otro lado recordemos que la seguridad en el desarrollo de aplicaciones es una seguridad netamente preventiva y proactiva la cual sin temo r a equivocarme representara ventajas en su organización recordemos que los grandes fraudes e incidentes de seguridad ocurren en esta capa. ●

Adrián Palma es licenciado en Informática. Cuenta con más de 22 años de experiencia en Seguridad Informática y TI, actualmente es Director General de Integridata , tiene las certificaciones CISSP,CISA,CISM,BSA, conferencista a nivel internacional y catedrático del diplomado de Seguridad en el ITESM, Ex presidente de la ALAPSI Internacional y actualmente director de educación de la misma. educacion@alapsi.org B:SECURE 17

CISOTOCISO

Por Ricardo Morales

MONITOREO DE SEGURIDAD ARQUITECTURA DE PROCESOS DE SEGURIDAD DE INFORMACIÓN/ FRAMEWORK DE SEGURIDAD

E

n artículos anteriores establecimos las bases de una Arquitectura de Procesos de Seguridad de Información o Framework de Seguridad de Información, que consta de seis procesos básicos: Concientización, Administración de Riesgos, Manejo de Incidentes, Continuidad de Negocios, Control de Accesos y Monitoreo de Seguridad. El pasado artículo trató sobre el proceso de Control de Accesos, ahora veremos el Proceso de Monitoreo de Seguridad.

MONITOREO DE SEGURIDAD DE INFORMACIÓN Siguiendo con nuestro modelo de Seguridad de Información hemos llegado al último proceso en mi lista de procesos básicos de seguridad, no por ser el último es el menos importante, podemos ver el monitoreo por diversas perspectivas. A) Desde el punto de vista del modelo de mejora continua de Deming (plan-do-ckeck-act), en la fase de check en la práctica usamos técnicas de auditoria o de monitoreo B) Desde un punto de vista de una filosofía general del vox populi todo sistema sin control se degenera, es decir, sin monitoreo perdemos el control. “Lo que no se mide, no se conoce, no se controla y nunca se podrá mejorar” Las organizaciones más exitosas han entendido que la clave está en la medición de todo (lo financiero, contable, procesos, recursos humanos, etc.). La palabra original de la que procede Monitoreo es del verbo latino “moneo-monere”, cuyo significado es recordar, aconsejar o avisar. Cómo aplicar el Proceso de Monitoreo en un modelo de Seguridad de Información La orientación que debemos de cuidar es que el Proceso de Monitoreo esté orientado a los procesos de Seguridad de Información (por ejemplo: Concientización, Administración de Riesgos, Manejo de Incidentes, Continuidad de Negocios y Control de Accesos) Ejemplos de variables a monitorear. Concientización Número de personas con nivel de concientización aceptable Número de personas que tomaron cursos de capacitación de Seguridad Administración de Riesgos Número de escenarios de riesgos identificados Número de escenarios de riesgos fuera del nivel de riesgo aceptado 18 B:SECURE Julio, 2009

Número de escenarios de riesgos mitigados con al menos un control de seguridad Manejo de Incidentes Número de incidentes globales en un período de tiempo Número de incidentes de Seguridad de severidad 3 de una determinada área Número de incidentes de Seguridad no resueltos en un tiempo aceptable Continuidad de Negocios Número de procesos críticos identificados en un análisis de impacto Número de escenarios de desastres identificados Número de planes de prueba que se recuperan en el tiempo establecido Control de Accesos Número de activos de información con controles de accesos Número de autenticaciones en los sistemas que violan la política de Seguridad Número de intentos fallidos de autorización de acceso en una unidad de tiempo

ESTABLECIMIENTO DE LÍMITES ACEPTABLES (TRESHOLDS) Para cada variable que se monitorea será necesario establecer los límites tolerables, en cada caso siguiendo el enfoque de mejora continua cada vez que se rebase el límite tolerable será necesario realizar una acción correctiva. Ejemplo: Variable a monitorear: Porcentaje de retraso en los planes de implementación de los tratamientos de riesgos en la etapa de “DO” Limite tolerable: <=20% Es decir, si este porcentaje excede a 20% se tiene que hacer un plan de mejora, por ejemplo revisar las causa raíz del atraso, si por ejemplo esto se debe a algunos atrasos de proveedores se tendrá que hacer un plan de remediación para trabajar con estos proveedores y así resolver este “treshold” no tolerable. Extendiendo el alcance. Definitivamente además de enfocar el proceso de monitoreo a los procesos de seguridad debemos no dejar de lado monitorear los activos de información. Esto implica revisar información técnica y por lo mismo implementar mecanismos tecnológicos para el adecuado monitoreo.

Normatividad en el proceso de Monitoreo (orientación a monitoreo de Activos de Información) Definitivamente si no alineamos nuestro proceso a mejore prácticas será de seguro no exitoso, a continuación les menciono algunas de esas mejores prácticas al diseñar el proceso de monitoreo. UÊ -iÊ`iLi ÊiÃÌ>L iViÀÊ«À Vi` i Ì ÃÊ«>À>Êi Ê Ì Ài Ê`iÊ >ÃÊL Ì?V ras técnicas o de mensajes generados por los activos de información µÕiÊà « ÀÌi Ê >ÃÊ>« V>V iÃÊ`i Ê i} V Ê>à ÊV Ê >ÃÊ`iÊ ÃÊ- ÃÌimas de Información, estos procedimientos cumplan con las leyes y regulaciones locales así como las reglas de negocio UÊ -iÊ`iLi Ê`iv ÀÊ >ÃÊÛ>À >L iÃÊ>Ê Ì Ài>ÀÊ`iÀ Û>`>ÃÊ`iÊ >ÃÊL Ì?V ras técnicas seleccionadas así como de los mensajes generados por ÃÊ>VÌ Û ÃÊ`iÊ v À >V ÊÞÊ ÃÊà ÃÌi >ÃÊ`iÊ v À >V °Ê >ÃÊL Ì?V À>ÃÊ>Ê Ì Ài>ÀÊ`iLi ÊÃiÀÊ> Ê i Ã\ Bitácoras técnicas de fallas Bitácoras técnicas de operaciones privilegiadas Bitácoras técnicas de accesos autorizados Bitácoras técnicas de accesos No autorizados Bitácoras técnicas de las operaciones normales generadas por los sistemas operativos de los activos de información así como las de las aplicaciones de negocio Ì?V À>ÃÊÌjV V>ÃÊ`iÊV> L ÃÊ`iÊ ÃÊ>VÌ Û ÃÊ`iÊ v À >V Ê Êà Ãtemas de información UÊ -iÊ`iLi Ê V Õ ÀÊ`i ÌÀ Ê`iÊiÃÌ ÃÊ«À Vi` i Ì ÃÊ v À >V Ê`iÊ >Ê ÌiÀ«ÀiÌ>V ÊÞÊV ÀÀi >V Ê`iÊ >ÃÊÛ>À >L iÃÊ`iÊ >ÃÊL Ì?V À>ÃÊ>à ÊV Ê de los mensajes generados que incluyan la información a monitorear `iÀ Û>`>Ê`iÊÕ Ê> ? à ÃÊ`iÊÀ iÃ} Ã]ÊÊÃiÊ`iLiÊV à `iÀ>ÀÊi ÊiÃÌ ÃÊ«À Vi` i Ì ÃÊÕ >ÊLÕi >Ê` ÃVÀ >V Ê`iÊiÛi Ì ÃÊ ÊVÀ Ì V à UÊ -iÊ`iLiÊiÃÌ>L iViÀÊ >ÊvÀiVÕi V >]Ê ÌiÀÛ> ÃÊÞÊÌ i « ÃÊ`iÊ Ì Ài Ê«>À>ÊV>`>ÊÕ >Ê`iÊ >ÃÊÛ>À >L iÃÊ`iÊ >ÃÊL Ì?V À>ÃÊÌjV V>ÃÊ Ê`iÊ ÃÊ mensajes generados por los activos de información y los sistemas de información dependiendo de la criticidad de la información, la expeÀ i V >Êà LÀiÊ v ÌÀ>V iÃÊ Ê V `i ÌiÃÊ«>Ã>`>ÃÊÞÊ« ÀÊ >Êv À >Ê`iÊ >ÃÊ interconexiones de sistemas UÊ -iÊ`iLi Ê`iv ÀÊÕ LÀ> iÃÊ>Vi«Ì>L iÃÊiÊ >Vi«Ì>L iÃÊ« ÀÊV>`>ÊÌ « Ê `iÊÛ>À >L iÊ`i Ê«Õ Ì Ê> ÌiÀ À UÊ -iÊ`iLiÊ}i iÀ>ÀÊÞÊÀi} ÃÌÀ>ÀÊ> >À >ÃÊVÕ> ` Ê ÃÊÕ LÀ> iÃÊÃi> Êà LÀi«>Ã>` ÃÊÊ UÊ -iÊ `iLiÊ }i iÀ>ÀÊ «À Vi` i Ì ÃÊ «>À>Ê }i iÀ>V Ê `iÊ Ài« ÀÌiÃÊ `iÊ Ì Ài Ê«>À>ÊV>`>ÊÕ >Ê`iÊ >ÃÊL Ì?V À>ÃÊÌjV V>ÃÊ `i Ì v V>`>ÃÊ>Ã Ê como de mensajes generados por los activos de información y los sistemas de información. UÊ -iÊ`iLi Ê` VÕ i Ì>ÀÊ >ÃÊ>VV iÃÊ>ÊÌ >ÀÊi ÊV>à Ê`iʵÕiÊÃiÊà LÀi«>Ãi Ê ÃÊÕ LÀ> iÃÊ`iÊ >ÃÊÛ>À >L iÃÊ Ì Ài>`>Ã] UÊ -iÊ`iLi ÊiÃÌ>L iViÀÊÀië Ã>L `>`iÃÊ«>À>Ê >ÊÀiÛ Ã Ê`iÊL Ì?V À>ÃÊ y de mensajes generados por los activos de información y los sistemas de información con una adecuada segregación de funciones

“QUÉ DICE EL ISO27001:2005”

iv Ì Û> i ÌiÊ i Ê iÃÌ? `>ÀÊ `iÊ -i}ÕÀ `>`Ê `iÊ v À >V Ê -"Ê ÓÇää£\ÓääxÊÃiÊ VÕ«>Ê`i Ê Ì Ài ° Ê >ÊÃiVV Ê`i Êà ÃÌi >Ê`iÊ}iÃÌ Ê`iÊiÃÌ>Ê À >]Ê«Õ Ì ÃÊ{Ê> Ên\ {°ÓÊ ÃÌ>L à }Ê> `Ê > >} }ÊÌ iÊ - {°Ó°ÎÊ Ì ÀÊ> `ÊÀiÛ iÜÊÌ iÊ - xÊ > >}i i ÌÊÀië à L ÌÞ x°£Ê > >}i i ÌÊV Ì i Ì > >}i i ÌÊà > Ê«À Û `iÊiÛ `i ViÊ vÊ ÌÃÊV Ì i ÌÊÌ ÊÌ iÊiÃÌ>L à i Ì]Ê « i i Ì>Ì ]Ê «iÀ>Ì ]Ê Ì À }]ÊÀiÛ iÜ]Ê > Ìi > ViÊ> `Ê «À Ûi i ÌÊ vÊÌ iÊ - -°

Lo anterior está relacionado a monitoreo del sistema de gestión de seguridad de información. Ê ÊµÕiÊÀiëiVÌ>Ê> Ê> iÝ Ê ]Ê >ÞÊ ÕV ÃÊ>«>ÀÌ>` ÃÊ` `iÊi Ê Ì Ài ÊiÃÊvÕ `> i Ì> Êi Ê ÕV ÃÊV ÌÀ iÃ]Ê« ÀÊ i V >ÀÊÕ Êi i « \ A.10.10 Monitoring Objective: To detect unauthorized information processing activities. Lo anterior está relacionado a los controles de seguridad de información en los procesos operativos día a día. NIST Special Publication 800-55, Performance Measurement Guide for Information Security ÃÌiÊ `i ÊVÕLÀiÊ{ÊV « i ÌiÃÊ\ UÊ -ÌÀ }Ê1««iÀÊq iÛi Ê > >}i i ÌÊÃÕ«« ÀÌ UÊ *À>VÌ V> Ê v À >Ì Ê-iVÕÀ ÌÞÊ* V iÃÊEÊ*À Vi`ÕÀià UÊ +Õ> Ì v >L iÊ*iÀv À > ViÊ i>ÃÕÀià UÊ ,iÃÕ ÌÃÊ"À i Ìi`Ê i>ÃÕÀiÃÊ > Þà à ISO/IEC 27004 Information security management measurement ÃÌiÊÃiÀ?Êi ÊiÃÌ? `>ÀʵÕiÊÃiÊ >À?ÊV>À} Ê`iÊ >Ê i` V Ê`iÊ ÃÊ- ÃÌi >ÃÊ `iÊ-i}ÕÀ `>`]Ê«iÀÌi iViÊ>Ê >Êv> >ÊÓÇäääÊÞÊiÃÌ?ÊL> Ê`iÃ>ÀÀ ° -iÊL>Ã>Êà LÀiÊi Ê `i Ê*

Ê­* > ÊqÊ ÊqÊ iV ÊqÊ VÌ®°Ê -iÊ« `À >ÊÀiÃÕ ÀÊiÃÌ Êi Ê >Ê `i>ʵÕi]Ê >ÃÊ i` V iÃÊiÃÌ? Ê À i Ì>`>ÃÊ«À V «> i ÌiÊ> ʺ »Ê­ « i i Ì>V ÊÞÊ «iÀ>V Ê`iÊ- - ®]Ê V ÊÕ >Êi ÌÀ>`>Ê«>À>Êi ʺ iV »Ê­ Ì À â>ÀÊÞÊÀiÛ Ã>À®]ÊÞÊ`iÊiÃÌ>Êv À >Ê« `iÀÊ>` «Ì>ÀÊ`iV à iÃÊ`iÊ i À>Ê`i Ê- - Ê>ÊÌÀ>ÛjÃÊ`i ʺ VÌ» 1 >Ê À}> â>V Ê`iLiÊ`iÃVÀ L ÀÊV ÊÃiÊ ÌiÀÀi >V > ÊiÊ ÌiÀ>VÌÖ> Êi Ê- ÃÌi >Ê`iÊ-i}ÕÀ `>`ÊÞÊ >ÃÊ i` V iÃ]Ê`iÃ>ÀÀ > ` Ê}Õ >ÃÊ que aseguren, aclaren y documenten esta relación, con todo el deta iÊ« à L i° ÃÊ L iÌ Û ÃÊ`iÊiÃÌ ÃÊ«À Vià ÃÊ`iÊ i` V iÃÊà \ UÊ Û> Õ>ÀÊ >ÊiviVÌ Û `>`Ê`iÊ >Ê « i i Ì>V Ê`iÊ ÃÊV ÌÀ iÃÊ`iÊÃiguridad. UÊ Û> Õ>ÀÊ >Êiv V i V >Ê`i Ê- - ]Ê V ÕÞi ` ÊV Ì Õ>ÃÊ i À>ð UÊÊ*À ÛiiÀÊiÃÌ>` ÃÊ`iÊÃi}ÕÀ `>`ʵÕiÊ}Õ i Ê >ÃÊÀiÛ Ã iÃÊ`i Ê- ÃÌi >Ê `iÊ-i}ÕÀ `>`]Êv>V Ì> ` Ê i À>ÃÊ>Ê >ÊÃi}ÕÀ `>`ÊÞÊ ÕiÛ>ÃÊi ÌÀ>`>ÃÊ para auditar. UÊÊ Õ V>ÀÊÛ> ÀiÃÊ`iÊÃi}ÕÀ `>`Ê>Ê >Ê À}> â>V ° UÊÊ-iÀÛ ÀÊV Êi ÌÀ>`>ÃÊ> Ê« > Ê`iÊ> ? à ÃÊÞÊÌÀ>Ì> i Ì Ê`iÊÀ iÃ} ð

CONCLUSIÓN ÃÊvÕ `> i Ì> Ê«>À>ÊÌ ` Ê -"ÊV à `iÀ>ÀÊi Êi Ê `i Ê`iÊ-i}ÕÀ `>`Ê de Información lo relacionado al monitoreo, la mejor forma de apunta >ÀÊ >Ê i À>ÊV Ì Õ>Ê`i Ê- ÃÌi >Ê`iÊ-i}ÕÀ `>`Ê`iÊ v À >V ÊiÃÊi Ê iÃÌ>L iV i Ì Ê`i Ê Ì Ài Ê`i Ê Ã ÊV Õ Ì> ` ÊiÃÌ ÊV Ê«À?Vticas como auditoria. Es importante no considerar inicialmente un número muy grande `iÊÛ>À >L iÃÊ>Ê Ì Ài>À]Ê`iLiÊ`iÊÃiÀÊÕ Ê Ö iÀ Ê>Vi«Ì>L iÊÞʵÕiÊÃiÊ «Õi`>ÊV ÌÀ >À]ÊV>`>Ê À}> â>V Ê`iLiÀ?Ê i}>ÀÊ>ÊÃÕÊ Ö iÀ Ê>`iVÕ>` Ê`iÊÛ>À >L iÃÊ>à ÊV ÊÃÕÃÊ«À Vià ÃÊÀ LÕÃÌ ÃÊ`iÊ Ì Ài °Ê ÃÊiÝVi i ÌiÊ«À?VÌ V>Ê iÛ>ÀÊiÃÌ>Ê v À >V Ê`iÊ Ì Ài Ê>Ê ÃÊ ÌjÃÊ`iÊ -i}ÕÀ `>`Ê`iÊ v À >V °ÊÊ● Ricardo Morales está a cargo del área de Seguridad de Información de Alestra, es presidente de ALAPSI Noreste. Alestra es el primer prestador de Servicios en Telecomunicaciones en México y otros países en obtener el certificado ISO27001. Su mail: rmoralesg@alestra.com.mx.

Julio, 2009 B:SECURE 19

ÁREARESTRINGIDA

DE VISITA EN SAN FRANCISCO: RSA CONFERENCE 2009 Por Roberto Gómez Cárdenas

20 B:SECURE Julio, 2009

D

el 20 al 24 de abril en el Moscone Center dentro de la ciu- ce de todos. Por otro lado la criptografía basad en códigos de errores dad de San Francisco California, USA tuvo lugar una de las se basa en la dificultad de decodificar o encontrar un codeword de conferencias más prestigiadas en el área de seguridad infor- peso mínimo sobre un código lineal largo sin estructura visible. Enmática, RSA Conferencie 2009. La conferencia cuenta con keynotes tre los criptosistemas más famosos de este tipo encontramos a McEy diferentes conferencias divididas en 17 tracks, así como una ex- liece y Nediderreiter. Una de las ponencias interesantes fue la de Rick Howard en la que posición. En los stands de la exposición se encuentran los más importantes compañías y organizaciones relacionadas con seguridad se expusieron las tendencias y amenazas en el 2009. Se habló acerca del crecimiento de las bootnets y como el crecimiento de estas coninformática. Los panelistas de los keynotes expusieron las tendencias que hay en el área de seguridad informática. Entre KENNY PATERSON DE LA UNIVERSIDAD lo que vale la pena resaltar podemos mencionar la seguDE LONDERS PRESENTO UN CONJUNTO ridad en cloud computing así como la importancia de la DE ATAQUES DIRIGIDOS AL PROTOCOLO colaboración entre las empresas del medio. IPSEC, APROVECHÁNDOSE DE Con respecto a cloud computing se dieron a conocer los principales aspectos de seguridad a tomar en cuenta VULNERABILIDADES QUE PRESENTA cuando uno utiliza este tipo de esquemas. Es importante cuidar la autenticación de la gente que se está conectando a un servicio proporcionado por la nube. La integridad de los tinuará. También se predijo la presentación de nuevas vulnerabilidatos es un factor a tomar en cuenta, así como la responsabilidad y dades por parte de los investigadores de seguridad, el incremento acciones a tomar en el caso de pérdida de datos (¿el proveedor cuen- de ataques de infiltración corporativa por parte de los chinos a sus ta con respaldos de la información que tenia almacenada?). Un punto competidores, así como la partición de Rusia como un actor la gueimportante a considerar es la parte de normatividad, no existen es- rra cibernética. Howard presento los disruptors de la seguridad informática. Un tándares de auditoría específicos a la nube. En vista de la cantidad de organizaciones que están adoptando este tipo de tecnología, se disruptor es una tecnología que cambia la forma en que se venían decidió crear una alianza entre diferentes proveedores para definir haciendo las cosas. Un ejemplo es la línea de ensamble de Ford que mejores prácticas y guías. La alianza tomó el nombre de CSA (Clo- vino a cambiar la forma en que se construían los coches. Otro ejemud Security Alliance) y uno de las primeras acciones fue la publica- plo más moderno es la forma que itunes empezó a comercializar múción de un documento denominado Security Guidance for Critical sica. Entre los disruptors relacionados con seguridad informática se Areas of Focus in Cloud Computing que se puede obtener en la pá- mencionaron las amenazas a los dispositivos móviles, la liberación por parte de la gente de Apple del SDK para desarrollo de aplicaciogina de la CSA. El track de criptografía fue el más académico de todos. Kenny Pa- nes para el iphone proporcionará una herramienta para el diseño de terson de la Universidad de Londers presento un conjunto de ataques hacks sobre esta plataforma. Los mundos virtuales ofrecen toda una dirigidos al protocolo IPSec, aprovechándose de vulnerabilidades que gama de posibilidades para el desarrollo de nuevas tecnologías y popresenta dicho protocolo cuando se usa ESP sin autenticación. El sibles amenazas dentro de estos mundos. En el reporte 2009 Cyber ataque permite recuperar contenidos completos de los datagramas Threats and Trends se expone más a profundidad este tema. Stephen Northcourt presentó una plática sobre Endpoint Security, protegidos por IPSec. Sin embargo no es posible recuperar las llaves. En el mismo track se presentaron las opciones para la implemen- en particular sobre la seguridad de los browsers. El expositor recotación de algoritmos de llave pública que no dependan del problema mienda el uso de dos browsers como máximo; si se usan dos utilide factorización de números grandes en factores primos. Entre las al- zar uno para bajar archivos y tener el otro lo más limpio posible. No ternativas se encuentran el uso de curvas elípticas, de criptografía acceder a una liga que aparezca en una ventana pop up, ya que fremultivariable y del uso de códigos de detección de errores en cripto- cuentemente abren sitios maliciosos o de spyware. Aunque suenan a algo ya conocido, la mayor parte de los usuarios no llevan a cabo sistemas de llave pública. Los criptosistemas de cifrado multivariable son considerados este tipo de prácticas. Gary McGraw estuvo a cargo de un panel sobre la forma de explotar como opciones viables para criptografía post-quantum. Se basan en el problema de resolver un sistema de ecuaciones representado por los juegos en línea. Un dato que llamo la atención fue el hecho de que el juego de nombre WoW (World of Warcraft Game) cuenta con más de 10,000,000 de subscriptores, tomando en cuenCON RESPECTO A CLOUD COMPUTING ta que los jugadores deben realizar un pago de $14 USD SE DIERON A CONOCER LOS por mes, estamos hablando de un negocio de $1.68GB por PRINCIPALES ASPECTOS DE SEGURIDAD año. Esto lo hace un mercado interesante para ciertos ataA TOMAR EN CUENTA CUANDO UNO ques. Sin embargo esto no se limita a los juegos en líneas, sino va hasta los mundos virtuales. Existe gente que lleva a UTILIZA ESTE TIPO DE ESQUEMAS. cabo negocios dentro de esos mundos virtuales y algunos aspectos legales aun no están claros. En la conferencia se trataron más temas como métrica de la segupolinomios multivariables. Este tipo de sistemas es tan difícil de resolver para una computadora cuántica como para cualquier otro tipo ridad, legislación, normatividad, malware, etc. RSA 2009 conto con de computadora. Lo cual lo convierte en una opción para garanti- los más destacado de la seguridad informática y lo único que espero zar confidencialidad cuando la computación cuántica esté al alcan- es poder estar presente el próximo año. ● Julio, 2009 B:SECURE 21

LALEYYELDESORDEN 2.0 UNIDAD DE VÍCTIMAS DEL CIBERCRIMEN

Por Joel A. Gómez Treviño

PROYECTO DE LEY FEDERAL PARA LA PROTECCIÓN DE LOS DERECHOS DE LOS USUARIOS DE INTERNET SENADORES DEL PRD SE PONEN LAS PILAS Y PROPONEN LEY QUE ASUSTARÁ A LA IP. SEGUNDA Y ÚLTIMA PARTE

E

n la revista pasada se publicó la primera parte de este artículo, en donde se buscó sintetizar los principales puntos de este proyecto de ley, y hacer unos breves comentarios sobre el mismo. En el presente artículo finalizaremos con esta síntesis, para finalizar con un análisis y crítica constructiva sobre el proyecto. Me toca iniciar esta segunda parte con algo que seguro será de mucho interés para la industria bancaria y financiera. Los artículos 20 y 22 establecen obligaciones para las instituciones financieras que presten servicios a través de internet, particularmente la de “garantizar que toda transacción relacionada con su actividad se realice de forma segura”. Para tal efecto se estipula que “las instituciones financieras deberán de contar con certificados de seguridad válidos y vigentes, así como proveer la tecnología más avanzada disponible para el efectivo envío y recepción de datos encriptados que impidan su revelación en caso de interceptación o desvío”. De inmediato surgen las dudas para los expertos… ¿qué es “la tecnología más avanzada”? ¿Quién determinará lo que es “la tecnología más avanzada”? Hoy se habla de “certificados de seguridad” en los navegadores, mañana… ¡quién sabe! El artículo 22 obliga a las instituciones financieras a establecer mecanismos de seguridad que permitan la protección contra fraude para las operaciones concretadas a través de Internet. También, establece que la institución financiera, en caso de que le sea reportado un fraude electrónico por un usuario, “deberá descontar del saldo exigible al usuario, hasta en tanto no se concluya la investigación correspondiente, el monto de la transacción que haya sido notificada como fraudulenta”. Aunque el objetivo es en esencia bueno, a ningún banco le agradará que le impongan estas obligaciones que se traducirán en inversión y la modificación actual de sus mecanismos de investigación. Diversos artículos, como el 21 y el 25, estipulan obligaciones de confirmación de transacciones vía correo electrónico, lo cual es una 22 B:SECURE Julio, 2009

acertada adaptación de lo dispuesto en la Directiva sobre Comercio Electrónico de la Unión Europea. El Capítulo V contempla toda una serie de obligaciones en materia de protección de datos personales. Como lo comentamos en el número anterior, las definiciones de “datos personales” de este proyecto de ley no coinciden con la Ley de Protección de Datos Personales para el Distrito Federal. Además, es curioso (y lamentable) que incluyan dentro de esta definición a “la dirección IP desde la que se realice la conexión del usuario”. Una dirección IP jamás debe ser considerada como “dato personal”, por varias razones: 1) no es un dato que identifique a una persona, sino en el mejor de los casos, a un equipo de computo; 2) las directivas europeas más importantes que regulan la protección de datos personales (95/46/CE y 2002/58/CE), no contemplan a la dirección IP como “dato personal”; 3) las direcciones IP, tratándose de consumidores o usuarios que se conectan a internet desde casa, universidades, “hot spots” o sitios públicos, son siempre dinámicas (vs. fijas), por lo que resultaría un absurdo considerarlas como “dato personal” si cambian cada vez que un usuario se conecta a la red. Las direcciones IP probablemente caen dentro de la definición de “dato de localización” o “dato de tráfico”, como lo establecen los considerandos y el artículo 2, incisos b) y c), de la Directiva 2002/58/CE sobre la Privacidad y las Comunicaciones Electrónicas de la Unión Europea. Las referencias continuas a legislación europea en este artículo, se deben a que es la más avanzada y “antigua” en materia de protección de datos personales. El segundo párrafo del artículo 27 establece que “los datos personales de un usuario podrán ser revelados únicamente a la autoridad judicial que así lo solicite mediante orden o resolución judicial debidamente fundada y motivada en donde se especifiquen los datos que

han de ser revelados y el motivo para su revelación. De toda solicitud de revelación de datos personales deberá correrse traslado al usuario cuyos datos estén siendo solicitados por la autoridad judicial”. Esto trae un impacto grave y negativo al procedimiento de disputas de nombres de dominio en México (LDRP), pues es común que los abogados que llevan esta clase de casos soliciten a NIC México los datos de contacto (todos ellos caen bajo la definición de “datos personales” bajo este proyecto de ley) del titular de un determinado nombre de dominio, para notificarle el inicio de un procedimiento LDRP o enviarle una carta de “cese y desistimiento”. El artículo 29 del proyecto a grandes rasgos prohíbe el spam físico y electrónico (envío de propaganda comercial no solicitada). Aunque con una muy desafortunada redacción, el inciso VI del artículo 76 bis de la Ley Federal de Protección al Consumidor, ya contempla la misma prohibición: “El proveedor respetará la decisión del consumidor en cuanto a la cantidad y calidad de los productos que desea recibir, así como la de no recibir avisos comerciales”. Es lamentable el uso del término “aviso comercial”, pues está regulado por otro ordenamiento (Art. 100 de la Ley de la Propiedad Industrial), que nada tiene que ver con protección al consumidor. En lugar de duplicar prohibiciones y sanciones, busquemos reformar la desatinada redacción de la Ley Federal de Protección al Consumidor. El artículo 31 prohíbe la instalación de “cookies” sin el consentimiento expreso del usuario. Aunque es razonable y tal vez hasta deseable que exista este tipo de regulación, no es práctico implantar este tipo de requerimientos, pues hoy en día la gran mayoría de los sitios web, nacionales y extranjeros, trabajan a base de “cookies”. Además, todos los navegadores más populares en el mercado, tienen la opción para que el usuario controle las “cookies” como mejor le convenga. El artículo 33 establece que “las comunicaciones o archivos de cualquier tipo que se transmitan a través de Internet tendrán el carácter de confidenciales. En consecuencia, queda prohibida toda acción que tenga por objeto observar, interceptar, desviar, supervisar, restringir o alterar la libre transmisión de las comunicaciones o archivos a través de Internet”. ¿Y dónde dejamos el derecho de los patrones de monitorear las comunicaciones electrónicas de sus empleados en horario laboral y haciendo uso de las herramientas informáticas de la empresa? Es bien conocido por todos que la web 2.0, las redes sociales y los programas de mensajería instantánea son uno de los principales factores que afectan seriamente la productividad de los trabajadores en las empresas. México todavía no ha explorado la regulación informática desde el punto de vista laboral. La tendencia jurisprudencial anglosajona, que inexorablemente suele permearse en México, es que los empleados no pueden tener expectativas razonables de privacidad cuando están usando computadoras, recursos informáticos y herramientas de trabajo proporcionadas por la empresa en tiempo laboral. El artículo 37, ya en el capítulo VI denominado “de la libre utilización de programas, aplicaciones o herramientas para la transmisión de voz sobre IP y de redes de pares”, regula someramente el tema de redes peer-to-peer: “Ningún prestador de servicios de conexión a Internet, entidad gubernamental o institución pública o privada podrá impedir o restringir el uso de programas que tengan por objeto crear redes de pares. Queda prohibida toda acción que tenga por objeto disminuir el

rendimiento de los programas para crear redes de pares o la disminución en el ancho de banda que afecte la transferencia de archivos a través de las redes de pares”. Creo que la mayoría de los que conocemos poco o mucho de informática, sabemos que desafortunadamente el uso primordial que se les ha dado a las redes “peer-to-peer” ha sido para delinquir, o para que no se lea tan feo, “para violar derechos de autor”. Tan solo entre 2003 y 2005, la Recording Association of America promovió 14,000 demandas en contra de usuarios de redes P2P. Es un tema álgido, pues por un lado esta el interés de los usuarios de internet en “compartir” cualquier archivo que tengan en sus computadoras, y por otro lado, el obvio interés de la industria por proteger a capa y espada los derechos de autor de artistas que representan, que se traducen en jugosas regalías que dejan de ganar por estos actos de piratería. ¿Por qué regular tan a la ligera un tema que amerita profundo debate y análisis? El Capítulo VII (De los derechos de autor sobre obras publicadas a través de Internet) no lo voy a comentar, por que al igual que muchos artículos de este proyecto, el contenido del mismo debería de estar contemplado como propuesta de reforma a la Ley Federal del Derecho de Autor. El Capítulo VIII plasma una visión interesante los procedimientos para la defensa de los derechos de los usuarios de Internet. Establece cuáles son las autoridades competentes para conocer y sancionar las violaciones a los derechos otorgados por el proyecto de Ley. El Capítulo IX establece el catálogo de infracciones a la ley propuesta. El artículo 53 del Capítulo X (Delitos) convierte en delincuentes a quienes: I. Observen, supervisen, intercepten, desvíen, restrinjan o alteren el envío y recepción de datos a través de Internet sin la autorización expresa del usuario; II. Comercialicen, traspasen, cedan, intercambien, donen o transfieran el dominio de la información relativa a los datos personales a que se refiere la presente Ley sin la autorización expresa del usuario al que pertenezcan dichos datos; y III. Reincidan en alguna de las conductas establecidas en las fracciones VI, VII, VIII, IX, XVI, XVII, XVII o XIX del artículo cincuenta y uno (catálogo de infracciones) de la presente Ley. En otras palabras, de aprobarse el proyecto de ley: 1) tu patrón que revisas los correos electrónicos y la mensajería instantánea de tus empleados, serás un delincuente; 2) tu empresa de internet que comercializas, intercambias o traspasas bases de datos con datos personales de tus clientes sin su consentimiento, serás un delincuente; y 3) si reincides en cualquiera de las 20 infracciones, serás un delincuente! Para concluir solo me resta decir que, a pesar de todo, este proyecto de ley es “bien intencionado”. Los usuarios de internet somos los más desprotegidos, pues gran parte de las reformas legislativas en México a la fecha en materia de comercio electrónico, han sido encaminadas a darle certeza jurídica a quienes hacen negocios electrónicos (reconocimiento y validez legal de contratos electrónicos, mensajes de datos, y firma electrónica). Sin embargo, creo que este proyecto tiene muchas áreas de oportunidad. Mucho de lo que pretende regular es materia de otras leyes federales, y no se justifica regularlo “aparte” solo para que los derechos de los usuarios de internet se encuentren en un solo “compendio normativo”. Confiamos en que propuestas como esta, sigan llegando al Congreso, para eventualmente, contar con una protección justa para los usuarios de internet. ●

Joel Gómez (abogado@joelgomez.com) es Licenciado en Derecho egresado del ITESM, con Maestría en Derecho Comercial Internacional de la Universidad de Arizona. Abogado especialista en Derecho Informático y Propiedad Intelectual desde 1996. Julio, 2009

B:SECURE 23

SINNÚMERO YA SOMOS UN MONTÓN Aunque la Secretaría de Comunicaciones y Transportes quiere duplicar el número de internautas en México para 2012, este mes la Asociación Mexicana de Internet (AMIPCI) anunció las cifras que ellos manejan de los resultados de 2008:

Somos 27.6 millones de internautas

22.7 millones de ellos tienen de seis años en adelante y viven en zonas urbanas Hay 18.2 millones de PCs, pero solo 11.3 millones están conectadas a internet Son 3.5 computadoras personales por cada 10 hogares

49% de los equipos con conexión a Internet fueron adquiridos para empresas Todavía hay 462 mil enlaces a internet por dial-up en México El 29% de los internautas ganan menos de $8,000 pesos al mes por hogar

Fuente: AMIPCI 2009

24 B:SECURE Julio, 2009