página
02 página
04 página
06
página
N°7 - FEBRERO 2021
14
Ciberseguridad como soporte a procesos electorales La tecnología tan lejos y tan cerca en estas elecciones Implementando la Ley de Protección de Datos Personales 8 PASOS para convertirse en un líder de seguridad alineado con el negocio
EDITORIAL Ernesto Landa
FUNDADOR DE CISOBEAT
Infraestructuras Crí cas, Ac vos Crí cos Nacionales y Ciberseguridad Industrial El lunes 8 de febrero el alcalde de la ciudad Oldsmar, ubicada en la costa Oeste de Florida en Estados Unidos, acompañado del Sheriff Bob Gual eri anunciaron en una conferencia de prensa que una planta de tratamiento de agua había sido hackeada con el obje vo de envenenar a más de quince mil pobladores incrementando los niveles de hidróxido de sodio en el agua de la ciudad. Las inves gaciones determinaron que el ataque no fue sofis cado: Los intrusos pudieron acceder al so ware u lizado para ges onar remotamente el sistema de tratamiento de agua aprovechando vulnerabilidades del sistema opera vo Windows 7, el cual se encuentra obsoleto y no cuenta con soporte. “Windows 7 aún se puede instalar y ac var una vez finalizado el soporte; sin embargo, será más vulnerable a los riesgos de seguridad y los virus debido a la falta de actualizaciones de seguridad. Después del 14 de enero de 2020, Microso recomienda encarecidamente que u lice Windows 10 en lugar de Windows 7.” Fuente: Microso Support. Las plantas industriales suelen u lizar equipamientos durante, por lo menos, diez años y la tecnología u lizada para la ges ón y operación de estos equipos no se pueden cambiar, actualizar o reemplazar ya sea por su cri cidad o porque pueden afectar su rendimiento y funcionamiento. Por este mo vo se ven obligados a u lizar sistemas opera vos obsoletos. Sin embargo, esto no jus fica los bajos estándares de seguridad implementados
Es una publicación de CISObeat, organización que integra a más de mil profesionales de la seguridad de la información, de los sectores público y privado.
en la planta de tratamiento de agua teniendo en cuenta que es una Infraestructura Crí ca para Estados Unidos. Este incidente pudo haberse evitado siguiendo los principios básicos de seguridad: aislar las redes industriales de Internet, u lizar contraseñas robustas, no compar rlas, y permi r la ges ón remota de los equipos a través de un enlace VPN y firewalls. En un estudio realizado en La noamérica por el Centro de Ciberseguridad Industrial se observa que el 69% de las empresas encuestadas enen sus redes industriales conectadas directamente a Internet ya sea para facilitar la ges ón remota de los operadores o permi r que los fabricantes de las tecnologías industriales realicen soporte desde sus oficinas. Existen estrategias para implementar un sistema de acceso remoto seguro hacia los equipos industriales, y podríamos explicarlos en futuros números de la revista si es de su interés. ¿Qué hubiera pasado si se trataba de un ataque sofis cado y se concretaba el envenenamiento? “Los síntomas de la intoxicación por hidróxido de sodio incluyen dificultad para respirar, inflamación de los pulmones, inflamación de la garganta, ardor del esófago y del estómago, dolor abdominal severo, pérdida de la visión y presión arterial baja, según el Sistema de Salud de la Universidad de Florida. Los efectos a largo plazo dependen de qué tan rápido se diluye o neutraliza el veneno en el sistema. El daño al esófago y al estómago puede con nuar ocurriendo durante varias semanas después de la inges ón del veneno. La muerte puede ocurrir hasta un mes después.” Fuente: CNN en español. Esto demuestra una vez más la importancia de comprender la complejidad y el impacto de la ciberseguridad industrial y sus diferencias frente a la ciberseguridad y la seguridad de la información. Los ataques ciberné cos impactan directamente en el mundo real de una forma tangible, es decir, enen la capacidad de producir daños sicos a las personas y al medio ambiente. Sin duda alguna, un evento que invoca a la reflexión.
Director: Ernesto Landa Romero Diseño gráfico: Marco Antonio Zeballos Coordinadores: Alfredo Alva, Gianncarlo Gómez Morales, Rafael Bocanegra, Heber Maza. Colaboradores: Elaine Ford, Juan Dávila, Erick Iriarte, Rafael Huamán
pg.02 - FEBRERO 2021
Ciberseguridad como soporte a procesos electorales Juan Dávila
MBA, CISA, CISM, CRISC, ISO 27001 LI&LA, ISO 27032 LCM, ISO 22301 LA, ISO 37001 LA, COBIT 5 F&I&A
L
a cercanía de una nueva jornada electoral en Perú nos recuerda la importancia del aseguramiento transversal del proceso, esto es, desde las teóricas elecciones primarias a nivel par dario, las campañas de los candidatos a las diversas posiciones de gobierno, las ac vidades del día de la votación, y por supuesto, los conteos de las actas que definen a los ganadores. La historia nos ha demostrado casos de procesos electorales en los que hemos sido tes gos de interferencias y amaños, en varios de sus tramos. Y en algunos eventos recientes, la tecnología tuvo un rol cada vez más protagónico. Debemos asumir que el riesgo inherente resulta demasiado atrac vo para ciertos grupos de interés
ávidos por el poder a cualquier costo, pero también inaceptable para quienes esperamos una con enda justa. En este contexto, recordemos que varios países han retrocedido en sus planes de automa zación de los procesos electorales, dados los riesgos implícitos asociados a la tecnología, pero, sobre todo, a la falta de garan as y de transparencia en la ges ón de los componentes tecnológicos que soportan estos procesos. Llegados a este punto, constatamos el innegable papel de la tecnología en el juego democrá co. ¿Cuál puede ser el papel de la ciberseguridad en ese complejo viaje de votantes y votados que permi rán regir los des nos de un país en cada período democrá co?
pg.03 - FEBRERO 2021 Empecemos por el mismo factor de siempre, la educación. Las en dades tutelares de los procesos electorales, además de la academia y los profesionales especializados, tenemos un rol crí co en la capacitación del votante. El perfilamiento del ciudadano sobre la base de los usos insospechados de sus publicaciones en redes sociales, el efecto de las fake news a través de vídeos, fotos, tuits y posts, el uso no autorizado de sus datos personales, la suplantación de iden dad, entre otras tantas manifestaciones que son posibles con el uso de la tecnología, son aspectos que pueden ser explotados por fuerzas polí cas con la finalidad de condicionar su comportamiento y su voto. El siguiente paso está relacionado con una evaluación de riesgos y la cer ficación de la tecnología u lizada para soportar el proceso electoral. La iden ficación temprana de riesgos permi rá implementar las medidas técnicas y
organiza vas adecuadas para su tratamiento. Por supuesto, un equipo de monitoreo, soporte y ges ón de incidentes debe estar preparado para actuar antes, durante y después de cualquier afectación al proceso. El gran desa o está asociado a la cer ficación de la infraestructura tecnológica, dado que aún no disponemos de un esquema de auditoría y cer ficación transparente de los componentes tecnológicos, lo que permi ría un gran avance en la automa zación de las justas electorales. Mientras tanto, debemos avanzar en tareas de aseguramiento de calidad de personas, procesos y componentes tecnológicos que permitan brindar niveles razonables de seguridad y resiliencia al proceso electoral, lo suficiente como para establecer bases para con nuar fortaleciendo nuestro sistema democrá co. Por supuesto, convenimos que estos escenarios serán posibles y efec vos, en tanto sean ges onados por autoridades capacitadas y transparentes. ¤
El gran desafío está asociado a la certificación de la infraestructura tecnológica
pg.04 - FEBRERO 2021
La tecnología: tecnología: tan lejos y tan cerca en estas elecciones Elaine Ford
Directora fundadora de D&D Internacional - Democracia Digital. Presidente de Internet Society (ISOC) - Perú Autora del libro “El reto de la democracia digital. Hacia una ciudadanía interconectada” (2019)
D
esde inicios de la pandemia, hace casi un año, pudimos prever que nos enfrentaríamos a un proceso electoral que estaría marcado por el escenario online. Es decir, las campañas de los candidatos a la presidencia y al Congreso estarían forzadas a emplear Internet, las redes sociales y las diversas herramientas digitales para diseñar sus estrategias polí cas comunicacionales. La tecnología ha estado muy cerca de todos ellos y viene siendo u lizada de dis ntas formas, algunas más acertadas que otras, pero finalmente es el medio más eficaz en la circunstancia actual. Lo lamentable es que, al mismo empo, esta misma tecnología no ha sido considerada y menos aprovechada desde el ámbito electoral de gobierno. Nos acercamos a unas elecciones
que retornan al formato tradicional de voto y que poco han aventurado en usar las virtudes de las herramientas digitales para evitar las aglomeraciones y exponer a millones de votantes a las consecuencias nefastas de un virus cada vez más mortal. Esto úl mo es muy grave debido a dos situaciones que se van a generar el 11 de abril y que cualquier persona puede va cinar: 1) un evidente aumento de contagios y 2) una alta tasa de deserción de votantes. Si bien desde la Oficina Nacional de Procesos Electorales (ONPE) se han establecido protocolos y el voto escalonado lo cual es una ayuda, desde mi punto de vista no es suficiente, pues hay que considerar también a los miembros de mesa, personeros, observadores, personal electoral y otras personas quienes brindarán sus servicios
pg.05 - FEBRERO 2021 a lo largo de la jornada. Y cuando digo grave no exagero, porque ambas situaciones pueden tener terribles consecuencias. Ni la crisis sanitaria actual en el país, ni la debilitada polí ca nacional están en condiciones para sufrir más reveces. Nos encontramos en un entrampamiento. Y ahí va mi crí ca: a esa poca capacidad de planificar para hacer las cosas. Señores, vamos casi un año con esta pandemia y con unos resultados muy deplorables en términos de contagios y muertes. La evidencia nos mostraba que la salida no sería fácil. ¿Por qué no hubo esa visión de cara a las elecciones? En estos meses hemos sido tes gos de cómo el trabajo, la educación y el comercio se han adaptado a la vida online. Sin embargo, cuando alguien menciona la palabra “tecnología” en el ámbito electoral, son muchos los que reaccionan con temor y suspicacia. Es necesario pensar en términos tecnológicos para diseñar e implementar la herramienta más efec va, confiable y segura de votación. Es necesario cocrear, convocar a la comunidad técnica nacional para encontrar juntos soluciones y alterna vas de votación, las cuales hubieran podido ofrecer grandes beneficios en el escenario actual si se hubiera actuado de manera estratégica y planificada. Estas alterna vas de votación tendrían que considerar también las cifras actuales de conec vidad, así como la tecnología disponible para crear soluciones acordes a dicha realidad. Según el Ins tuto Nacional de Estadís ca e Informá ca (INEI) el 64,8% de la población accedió a Internet en el segundo trimestre de 2020. En Lima Metropolitana alcanzó el 81,1%, en el resto urbano 67,5% y en el área rural 33,1%. Sabemos, además, que un 90,7% de la población usa Internet exclusivamente por teléfono móvil, que hay 39.9 millones de disposi vos móviles en el Perú y se es ma que casi el 75% de la población hace uso de teléfonos inteligentes en la actualidad ¹. En cuanto a la labor de los candidatos, las medidas sanitarias decretadas por el Gobierno peruano sin duda limitan las ac vidades presenciales a las que ¹ Cifras tomadas de Bole n Siliconweek h ps://www.siliconweek.com
estamos acostumbrados. No obstante, también han sido una oportunidad para la crea vidad y para impulsar nuevas formas de aproximación a la ciudadanía, empleando las vías digitales. Vemos hoy en día a los principales candidatos dando a conocer sus propuestas por medio de las dis ntas plataformas online. Videos, chats, podcasts, hashtags y cuentas oficiales en las principales redes sociales son los recursos más empleados que se difunden y viralizan a gran velocidad y a empo real e irán en aumento conforme nos acerquemos a la fecha de las elecciones. Pero los posts más exitosos serán aquellos que brinden contenido acorde a sus propuestas y plan de gobierno. Un contenido que sume. Internet y la tecnología nos ofrecen múl ples formas para llegar a los electores, captar votantes y par darios. Incluso a nivel de par do permite afianzar a la organización en té r m i n o s d e co m u n i ca c i ó n y a s u nto s financieros-administra vos. Su uso debe ser sostenible en el empo, pues es un proceso que no se da de la noche a la mañana. A través de su performance serán los mismos ciudadanos los encargados de premiarlos o rechazarlos en las urnas. Confiemos en que la tecnología se acerque cada vez más a todos los actores que intervienen en este complejo escenario electoral, quizás no será este 11 de abril, pero debemos avanzar hacia esa dirección. ¤
Es necesario pensar en términos tecnológicos para diseñar e implementar la herramienta más efectiva, confiable y segura de votación.
pg.06 - FEBRERO 2021
Implementando la Ley de Protección de Datos Personales Gianncarlo Gómez
Head of Cybersecurity Audit en BanBif, LA27001, ISO 27032, ISO 31000, ISO 22301,LPDP,CSX
E
l pasado 28 de enero, se celebró el Día Internacional de la Protección de Datos Personales, este día fue una inicia va del Comité de Ministros del Consejo de Europa para conmemorar la fecha en que se firmó el Convenio 108 (Convenio del Consejo de Europa para la protección de las personas respecto al tratamiento automa zado de datos de carácter personal).
Protección de Datos Personales en América Latina Existe una diversidad de leyes y regulaciones relacionadas a protección de Datos Personales en los países de América La na.
Países como México, Uruguay, Argen na y Perú; Man enen una legislación aprobada de Protección de Datos Personales, un organismo supervisor encargado de verificar el cumplimiento de la legislación aplicable y asesorar en su implementación, y en algunos casos, un registro nacional que brinda información a los tulares de datos personales sobre los encargados del tratamiento y sus finalidades. En el 2017, tuve la oportunidad de liderar un estudio relacionado a determinar los niveles de madurez de protección de datos personales en los países miembros de la OEA, a través de la Comisión Interamericana de Telecomunicaciones - CITEL, con estos resultados:
pg.07 - FEBRERO 2021
Ley 29733 Ley de Protección de Datos Personales y su reglamento El Perú man ene la Ley 29733, Ley de Protección de Datos Personales aprobada el 03 de Julio de 2011, y su reglamento aprobado mediante DS 03-2013-JUS el 22 de Marzo de 2013 el cual indica una vigencia a par r del 08 de mayo de 2013 y un límite para su implementación hasta el 08 de mayo del 2015.
Lo cual indica que todas las en dades públicas, en dades privadas y personas naturales que no hayan implementado la Ley de Protección de Datos Personales hasta el 08 de mayo del 2015, se encuentran en falta y estarían sujetas a algún po de sanción por parte de la Autoridad Nacional de Protección de Datos Personales:
pg.08 - FEBRERO 2021
¿Qué es un Dato Personal? La Ley de Protección de Datos Personales ene el objeto de garan zar el derecho fundamental a la protección de los datos personales, previsto en el ar culo 2 numeral 6 de la Cons tución Polí ca del Perú, a través de su adecuado tratamiento, en un marco de respeto de los demás derechos fundamentales que en ella se reconocen.
Datos Sensibles Datos personales cons tuidos por los datos biométricos que por sí mismos pueden iden ficar al tular; datos referidos al origen racial y étnico; ingresos económicos, opiniones o convicciones polí cas, religiosas, filosóficas o morales; afiliación sindical; e información relacionada a la salud o a la vida sexual.
Roles y Responsabilidades La Ley 29733 define algunos roles y responsabilidades relacionas a la protección de datos personales:
Un Dato Personal es todo po de información que permite iden ficar o hacer iden ficable a una persona natural, es aquella información numérica, alfabé ca, gráfica, fotográfica, acús ca o de cualquier otro po concerniente a las personas naturales que las iden fica o las hace iden ficables a través de medios que puedan ser razonablemente u lizados.
pg.09 - FEBRERO 2021
Principios Rectores La Ley 29733 define 8 principios rectores que permiten garan zar el adecuado tratamiento de los datos personales, esos principios son los siguientes: 1. Principio de Legalidad: El tratamiento de los datos personales se hace conforme a lo establecido en la ley. Se prohíbe la recopilación de los datos personales por medios fraudulentos, desleales o ilícitos. 2. Principio de Consen miento : Para el tratamiento de los datos personales debe mediar el consen miento de su tular. 3. Principio de Finalidad: El tratamiento de los datos personales no debe extenderse a otra finalidad que no haya sido la establecida de manera inequívoca como tal al momento de su recopilación, excluyendo los casos de ac vidades de valor histórico, estadís co o
cien fico cuando se u lice un procedimiento de disociación o anonimización. 4. Principio de proporcionalidad : Todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la que estos hubiesen sido recopilados. 5. Principio de Calidad: Los datos personales que vayan a ser tratados deben ser veraces, exactos y, en la medida de lo posible, actualizados, necesarios, per nentes y adecuados respecto de la finalidad para la que fueron recopilados. 6. Principio de Seguridad: El tular del banco de datos personales y el encargado de su tratamiento deben adoptar las medidas técnicas, organiza vas y legales necesarias para garan zar la seguridad de los datos personales. 7. Principio de Disposición: Todo tular de datos personales debe contar con las vías
pg.10 - FEBRERO 2021 administra vas o jurisdiccionales necesarias para reclamar y hacer valer sus derechos, cuando estos sean vulnerados por el tratamiento de sus datos personales. 8. Nivel de Protección Adecuado: Para el flujo transfronterizo de datos personales, se debe garan zar un nivel suficiente de protección para los datos personales que se vayan a tratar o, por lo menos, equiparable a lo previsto por esta Ley o por los estándares internacionales en la materia.
Derechos ARCO Los derechos ARCO son los llamados derechos de Acceso, Rec ficación, Cancelación y Oposición. Estos derechos permiten que los tulares de los datos personales puedan controlar su información personal.
Derecho de Acceso: Toda persona ene derecho a obtener la información que sobre sí mismo sea objeto de tratamiento en bancos de datos de administración pública o privada. Ÿ Derecho de Rec ficación: Es el derecho del tular de datos personales que se modifiquen los datos que resulten ser parcial o totalmente inexactos, incompletos, erróneos o falsos. Ÿ Derecho de Cancelación: solicitar la supresión o cancelación de sus datos personales de un banco de datos personales cuando éstos hayan dejado de ser necesarios o per nentes para la finalidad para la cual hayan sido recopilados. Ÿ Derecho de Oposición: Toda persona ene la posibilidad de oponerse, por un mo vo legí mo y fundado, referido a una situación personal concreta, a figurar en un banco de datos o al tratamiento de sus datos personales, siempre que por una ley no se disponga lo contrario. Ÿ
pg.11 - FEBRERO 2021
Infracciones y Sanciones La Ley 29733 indica un conjunto de infracciones y sus posibles sanciones catalogadas como infracciones leves asociadas a impedir el
Implementación de la Ley de Protección de Datos Personales La implementación de la Ley 29733 es una decisión estratégica que debe involucrar a toda la organización y que debe ser apoyada y dirigida desde la dirección.
ejercicio de los derechos al tular de los datos personales, infracciones graves como incumplir la obligación de confidencialidad, hasta infracciones muy graves como dar tratamiento a los datos personales contraviniendo los principios establecidos en la Ley 29733.
Su diseño dependerá de los obje vos y necesidades de la empresa, así como de su estructura. Para realizar un adecuado proceso de implementación, se ha elaborado el siguiente método tomando como referencia los requisitos definidos en la Ley de Protección de Datos Personales.
pg.12 - FEBRERO 2021
01) Conformación de Comité de trabajo Es importante que la Alta dirección conforme un Comité de trabajo, que será el máximo órgano consul vo sobre protección de datos personales en la en dad.
03) Determinación de los requisitos En esta fase se definen los requisitos legales, los requisitos técnicos y organizacionales, así como los responsables de atender los derechos ARCO en la organización.
Este comité deberá estar conformado por las áreas relevantes y que aporten a la protección de datos personales, como la alta dirección, recursos humanos, administración, legal, áreas core y tecnologías de la información.
04) Determinación de la Finalidad Los datos personales deben ser recopilados para una finalidad determinada, explícita y lícita. El tratamiento de los datos personales no debe extenderse a otra finalidad que no haya sido la establecida de manera inequívoca como tal al momento de su recopilación
02) Inventario de Bancos de Datos De acuerdo a los procesos de la organización, se debe realizar un inventario de Bancos de Datos Personales administrados por la organización, este inventario deberá contener información sobre el nombre del banco de datos, ubicación, empo de conservación y propietario.
05) Proceso de Registro Se debe realizar el registro de los Bancos de Datos Personales ante la Autoridad Nacional de Protección de Datos Personales del MINJUS, este registro ene el carácter de obligatorio y lo
pg.13 - FEBRERO 2021 ene carácter de
que pueden hacer uso los tulares de datos personales.
06) Evaluación de Impacto en la Protección de Datos Personales En esta fase se realiza el análisis de los riesgos que un producto o servicio puede entrañar para la protección de datos de los afectados y, como consecuencia de ese análisis, la ges ón de dichos riesgos mediante la adopción de las medidas necesarias para eliminarlos o mi garlos.
Este documento debe estar disponible como información documentada para las partes interesadas.
reportado en el registro declaración jurada.
07) Clasificación de los Datos Personales En esta fase se clasifican los bancos de datos personales sobre la base de los pos de datos personales contenidos, can dad, empo de retención, etc: 08) Elaboración de direc va Documento donde se describen los procesos y lineamientos relacionados a la protección de datos personales de la en dad. 09) Polí ca de Protección de Datos Personales Documento de alto nivel, donde se evidencia el compromiso y los canales de comunicaciones
10) Formación y Concien zación Las personas que trabajan bajo el control de la organización deben ser conscientes de la protección de datos personales; su contribución a la efec vidad del tratamiento; y las implicancias de no tener conformidad con los requisitos de lo establecido en la ley 29733. 11) Revisiones y Auditorias La organización debe conducir auditorías en intervalos planificados para proporcionar información sobre si la protección de datos personales está en conformidad con los requisitos de la Ley 29733. 12) Mejora Con nua La alta dirección debe revisar la protección de datos personales de la organización a intervalos planificados para asegurar su conveniencia, adecuación y efec vidad con nua. ¤
pg.14 - FEBRERO 2021
8 PASOS para convertirse en un líder de seguridad alineado con el negocio
Ÿ Los CISOs se enfrentan al desafío de traducir los riesgos de seguridad
cibernética en riesgos comerciales.
Ÿ Los líderes de seguridad deben poder traducir los datos técnicos de riesgo en
términos de negocio para contribuir a la dirección estratégica de la organización.
Ÿ TENABLE propone ocho mejores prácticas que todo líder de seguridad
debería incorporar en su trabajo diario, a fin de comprometerse con la alineación empresarial.
A
medida que las organizaciones cambian al trabajo remoto y adoptan nuevas tecnologías para impulsar la transformación digital, la superficie de ataque con núa expandiéndose, lo que requiere un nuevo enfoque de la ciberseguridad. El riesgo ciberné co ahora es igual al riesgo empresarial, ya que los ac vos crí cos pueden ser víc mas de ciberataques, que pueden afectar la con nuidad del negocio. Esto significa que los
líderes de seguridad de hoy deben estar preparados para trabajar con sus homólogos ejecu vos de negocios para reducir el riesgo ciberné co. Actualmente, la gran mayoría de los ejecu vos de organizaciones globales alineadas con el negocio (80%) informan tener un Oficial de seguridad de la información empresarial (BISO) o un tulo similar, en comparación con sólo el
pg.15 - FEBRERO 2021 35% de sus contrapartes menos alineadas, según un estudio reciente realizado por Forrester Consul ng y encargado por Tenable¹. Ahora, más que nunca, los líderes de seguridad buscan nuevas formas de mejorar su alineación con el negocio, asumir una visión empresarial e influir en la dirección estratégica de la organización para mejorar la visibilidad de la postura de seguridad, predecir las amenazas entrantes y actuar para abordar el riesgo. Cuando se le preguntó a Cesar Garza, CISO de The Home Depot México sobre cómo conver rse en un líder de ciberseguridad alineado con la empresa, respondió: "Comprenda su negocio, comprenda lo que preocupa a sus líderes del negocio, sea un facilitador y dedique empo a comunicarles los riesgos y a escucharlos. "A menudo, esta es la parte más desafiante porque todos queremos tener razón y ser la prioridad, pero todos somos una prioridad: el negocio, la ciberseguridad y la operación, si.” Garza reconoció el desa o de traducir los riesgos de seguridad ciberné ca en riesgos del negocio para comunicarse con los ejecu vos. "En algunos casos, necesitamos imaginarnos el peor de los escenarios, hablar de multas, daños a la marca y pérdida de la lealtad del cliente, para enviar realmente el mensaje. Entonces, me gusta decir: hablemos de riesgos para que podamos entender las inversiones en ciberseguridad. “ Para ayudar a los líderes de seguridad a alinearse con el negocio, Tenable reunió ocho mejores prác cas que todos los CISOs deberían incorporar en sus operaciones diarias:
01 02
1. Manténgase actualizado con todos los recursos corpora vos externos. Los CISOs deben dedicar empo a revisar los documentos públicos que brindan información valiosa sobre el estado actual de la organización para obtener una mayor información del negocio.
2. Mantener una comunicación permanente con todas las áreas del negocio. Un líder de seguridad
debe establecer y nutrir la comunicación con los jefes de cada departamento para conocer cuáles son sus necesidades y desa os diarios, su misión será sensibilizar, educar y capacitar a la organización sobre el riesgo ciberné co.
03
3. Establecer un entendimiento de las prioridades y desa os que enfrenta la organización y su industria. El CISO debe comprender la visión del negocio, saber qué procesos y datos son crí cos y qué información respalda el crecimiento y el desarrollo. 4. Implementar reuniones periódicas con la alta dirección. Los mejores líderes de seguridad en enden que una de sus responsabilidades más importantes es mantener abierta la línea de comunicación entre la junta direc va y la unidad de seguridad del negocio. Dado que los directores reconocen que la seguridad es tan crí ca como cualquier otra unidad estratégica del negocio, los CISOs deben con nuar refinando sus estrategias para comunicar el riesgo de manera efec va y responder a sus preguntas en términos de negocio.
04 05
5. Jus fique el ROI. La jus ficación del presupuesto de seguridad debe explicarse claramente, u lizando una terminología y un lenguaje adaptados a la alta dirección. Los CISOs deben prestar atención a cómo los jefes de cada departamento demuestran el retorno de su inversión y deben encontrar formas de adaptar sus propias métricas de ROI de seguridad de manera similar.
06
6. Iden fique y u lice una red de asesores de negocio confiables. Es importante que los CISOs con en en los asesores para escuchar las diversas perspec vas y ayudarlos a comprender el negocio.
07
7. Establecer relaciones con los profesionales de riesgos de la organización. Un buen líder en seguridad debe par cipar en el desarrollo de estrategias de ges ón de riesgos empresariales para priorizar la ciberseguridad.
¹ ¨El surgimiento del ejecu vo de seguridad alineado con la empresa¨: un estudio encargado por Forrester Consul ng en nombre de Tenable
pg.16 - FEBRERO 2021 8. Comprender la relación de la empresa con terceros. Los CISOs deben conocer las relaciones clave entre la empresa y sus socios externos, como los proveedores de servicios de procesamiento de nóminas o planificación de recursos empresariales, así como obtener visibilidad de las herramientas y plataformas que aprovechan para realizar negocios. Esta visibilidad es fundamental para mantener una comprensión de la postura de seguridad a fin de mi gar el riesgo.
08
A través de estas mejores prác cas, los líderes de seguridad pueden transformar su rol para alinearse óp mamente con el negocio. La colaboración fortalecida permite a los ejecu vos alinear estrategias, comprender las prioridades y reducir el riesgo ciberné co como un frente unido. ¤
Acerca de Tenable Tenable®, Inc. es la compañía de ¨Cyber Exposure¨ (disciplina emergente para medir y ges onar el riesgo ciberné co en la superficie de ataque moderna). Más de 27,000 organizaciones de todo el mundo con an en Tenable para comprender y reducir el riesgo ciberné co. Como creadora de Nessus®, Tenable ha extendido su experiencia en vulnerabilidades para entregar la primera plataforma del mundo y obtener visibilidad y protección de cualquier ac vo digital en cualquier plataforma informá ca. Más del 50% de los clientes de Tenable están en la lista de Fortune 500, más del 25% en Global 2000 y en las grandes agencias gubernamentales. Para mayor información ingrese a www.tenable.com CONTACTO DE PRENSA coRPkom Maria Fernanda Torres Comunicación corpora va y relaciones públicas mariafernandatorres@corpkom.com
ENTREVISTA
pg.17 - FEBRERO 2021 “El modus operandi de estos tres riesgos son muy similares. Siempre ten cuidado con los mensajes o correos que usen palabras como “especial”, “oferta”, “premio”, “oportunidad”, “bloqueo de tu tarjeta”, “transacción no autorizada”, entre otros para llamar tu atención”, comenta Rodríguez.
Consejos para evitar riesgos en COMPRAS VIRTUALES Existe consenso entre los especialistas en que la responsabilidad de la seguridad en las compras virtuales no es solo de los clientes, sino también de las empresas. Todas aquellas que se dedican a realizar este po de ventas virtuales, deben adver r y comunicar claramente a sus consumidores sobre posibles ataques de ciberdelincuentes. Para DIEGO RODRÍGUEZ, Chief Informa on Security Officer de B89, hay que recordar que los centros comerciales no tendrán la misma afluencia de siempre. Y así como los clientes y comercios se preparan para comprar por internet, los ciberdelincuentes se pondrán crea vos para saber cómo atacar por este medio. Una campaña de concien zación o darle a conocer al cliente los términos y condiciones de seguridad que están aplicando para protegerlos, no sólo podría prevenir ataques, sino también ayudaría a las empresas a mejorar su reputación y generaría confianza en los procesos de compra”, asegura Rodríguez. Además, señala algunos riesgos a tener en cuenta. Los principales son el robo de dinero de cuentas o tarjetas, el secuestro de información personal y el robo de iden dad.
“Ningún comercio se libra de estas acciones. De hecho, hace unas semanas se detectaron campañas de ciberataques en las que se u lizaba al gigante del comercio electrónico Amazon para obtener los datos de sus clientes”, añade el especialista en ciberseguridad de B89.
Cuatro consejos para tener en cuenta
Para evitar estos riesgos hay que poner atención a ciertos detalles. Por un lado, si recibes una oferta con descuentos de más de 50% en un producto de costo elevado, prende las señales de alerta. Lo ideal sería que puedas comunicarte con la empresa para ayudarla a prevenir cualquier ataque. La mayoría cuenta con canales an -fraudes, pero también podrías lograrlo a través de atención al cliente. Asimismo, no hagas clic en cualquier enlace que recibas. Mejor dirígete directamente a la web de la enda y busca el ar culo que quieres comprar. Si el remitente es desconocido, es mejor ni siquiera abrir el mensaje.
Rodríguez señala que hay que asegurarse que cuando un mensaje o correo te solicite datos personales como nombres completos, documento de iden dad, fecha de nacimiento; o información financiera como número de tarjeta, fecha de vencimiento y código de seguridad, inmediatamente comunícate con la empresa porque posiblemente es un intento de fraude. Además, si recibes un correo electrónico para restablecer tu contraseña sin haberlo solicitado, o te no fican el bloqueo de tu cuenta y que, para desbloquearla, le des click a un archivo adjunto o a un link, no hagas caso y elimina el mensaje. ¤
Gestionando la ciberseguridad en tiempos de crisis – Una experiencia del sector financiero El teletrabajo se ha conver do, quizás, en la tecnología clave y primordial para la con nuidad de las operaciones de muchas empresas a nivel mundial. C o nve rs a m o s c o n LU I S MIGUEL GASTULO SALAZAR, especialista que lidera la jefatura de ciberseguridad, aplicaciones y datos en una importante empresa financiera peruana, sobre los retos que ha experimentado parra asegurar la información en empos de COVID-19. Luis considera que la ges ón de la ciberseguridad es tan importante como su operación: “Las áreas de ciberseguridad y seguridad de la información normalmente se encuentran dentro de los departamentos de TI, pero por un tema de segregación de funciones deberían estar separados. En el sector financiero la estructura se encuentra en un nivel de madurez adecuado, donde la ges ón de riesgos de seguridad de la información y la operación de la ciberseguridad están en áreas dis ntas. La ciberseguridad requiere bastante destreza técnica y hay que dedicarle empo no solo a las configuraciones o implementaciones de las tecnologías u lizadas, sino también en el soporte, monitoreo y ac vidades de mejora.”
ENTREVISTA
pg.18 - FEBRERO 2021 El especialista también sos ene que es vital que los líderes de ciberseguridad conversen con los líderes de la empresa y en conjunto definir un “Road Map” o plan de estratégico de ciberseguridad que de soporte a las necesidades del negocio. “El apoyo de la alta dirección es vital porque de ello depende que todos los esfuerzos aporten verdadero valor al negocio. El área de ciberseguridad no debe ser percibido por el negocio como un obstáculo para cumplir sus obje vos, sino una pieza clave que acompañe las estrategias desde el inicio y garan ce que el despliegue de los productos digitales contemple controles de seguridad antes de ser distribuidos a los clientes”. Lo primero que debe hacer un responsable de ciberseguridad es entender al negocio. Primero siempre es el negocio. “yo recomiendo que primero debemos enfocarnos en comprender los obje vos del negocio y sus necesidades de seguridad para poder determinar cómo podemos generar valor desde nuestra ges ón”.
Retos y Proyectos Durante la Pandemia
Luis Miguel nos comenta que en su empresa ya se había implementado teletrabajo antes de la pandemia, “Nosotros entregamos equipos a los empleados del banco que están configurados con polí cas y controles de seguridad, como por ejemplo encriptación de discos, control de disposi vos extraíbles, sistemas avanzados de protección de end point, an virus, entre otros. La navegación web estaba prohibida en redes ajenas a las de la organización, sin embargo, esto ya no fue sostenible porque los empleados
ENTREVISTA
pg.19 - FEBRERO 2021
pasamos de trabajar en la oficina a nuestras casas, y tuvimos que desplegar rápidamente un sistema que permita replicar las polí cas de acceso a páginas web confiables y bloquee todo intento de conexión o comunicación con si os web maliciosos”. Como en varias empresas, el sistema que centraliza los accesos hacia internet en una empresa y valida que la comunicación sea segura se encuentra instalada en la red interna de la misma. “Con este proyecto pudimos permi r que los empleados puedan navegar en Internet manteniendo nuestros estándares de seguridad”, indicó.
Los líderes de las empresas deben ser conscientes que la ciberseguridad es importante, y debe exis r una persona que se dedique a ella y dejar de cometer el error de asignar esta responsabilidad al jefe de TI, a un analista de sistemas o de redes donde la ges ón de la ciberseguridad es una función más que enen que desempeñar. “Las empresas que enen un nivel de madurez alto en ges ón de riesgos saben que se requieren varios roles para poder garan zar la seguridad de su información y estos roles deben ser asignados a personas que puedan dedicarle el 100% de su empo a ello.
Otros proyectos importantes estaban relacionados al fortalecimiento de los servicios an fraude y fortalecimiento del CyberSoc: “Asegurar la protección de la marca es vital para mantener una buena relación con nuestros clientes y futuros clientes. Poder detectar oportunamente cuando las tarjetas asociadas al banco han sido robadas, o cuando las credenciales de usuarios del personal se encuentran expuestas, fueron puntos donde se pone foco”.
Se deben madurar los controles relacionados al teletrabajo, ahondar en la concien zación del personal y analizar “el regreso a casa”, cuando los empleados regresen a trabajar a sus oficinas, o esquema híbrido. Al mismo empo analizar con los líderes del negocio lo que se viene en el corto plazo para contemplar los controles necesarios.
Reflexiones finales Las personas que recién ingresan a este mundo, deben tener en cuenta que la ciberseguridad requiere de varios pos de perfiles que van desde la ges ón hasta lo técnico. “Les recomiendo que iden fiquen cual es el rubro que les agrada existen muchas posibilidades como hacking é co, ges ón de riesgos, auditorias, operación del SOC, analizar eventos de seguridad, compliance, entre muchos otros. En base a ello busquen capacitarse”.
Sobre el Entrevistado
LUIS MIGUEL GASTULO SALAZAR ene 12 años de experiencia ges onando y operando tecnologías de información y en los úl mos 5 años se ha especializado en temas de ciberseguridad. Actualmente se encuentra liderando el área de Ciberseguridad en el sector financiero. Lidera los proyectos de ciberseguridad en Cloud, aplicaciones, infraestructuras tecnológicas y los relacionados a ges ón de iden dades y controles de accesos. ¤
pg.20 - FEBRERO 2021
es n o i c Elec2021
Elecciones 2021:
La Agenda Digital Mínima
Erick Iriarte
CEO EBIZ La n America
Lo interesante de una columna corta es tener que aprender a escribir en pocos caracteres ideas complejas pero de una manera sencilla, algo así como los tweets :) En estas próximas elecciones hay algunos puntos mínimos que deben ser considerados por todos los candidatos (y sus par dos) en lo que se denomina la Agenda Digital para la construcción de un #PeruDigital. 0. Cumplimiento de la Polí ca 35 del Acuerdo Nacional, #PeruDigital. 1. Creación de la Agencia de Sociedad de la Información: Como en dad ar culadores de
polí cas y regulación en la materia, permiendo que se incorporen componentes de TICs para el Desarrollo (TICpD) o polí cas digitales en todas las Polí cas de Estado. 2. Gobierno sin Papeles y desde tu Casa: Virtualización de los Principales Tramites Gubernamentales, donde los ciudadanos podrán realizar sus trámites u lizando una ventanilla que estará disponible para disposi vos electrónicos como: computadora, laptop o Smartphone (celular), evitando la ges ón de trámites que demanden costo y empo a los peruanos. Facilitándole la vida al ciudadano podrán acceder a servicios y tramites desde su casa, las 24horas del día los 7 días de la semana, el gobierno a ordenes del ciudadano, cuando el ciudadano lo requiere. 3. Urna de Cristal, Transparencia Total: El Gobierno se hará totalmente transparente u lizando tecnologías, permi endo a la ciudadanía un adecuado acceso a la información pública como instrumento para luchar contra la corrupción, de esta manera todo acto se podrá acceder por instrumentos digitales. Se deberá hacer que la Autoridad de Acceso a la Información y Transparencia sea autónoma. 4. Datos Abiertos: Como lineamiento primero esta el Gobierno Abierto como instrumento de lucha contra la corrupción, de fomento de la transparencia del estado y por ende del empoderamiento de la ciudadanía. No se trata solamente de brindar la información en bruto, sino del desarrollo de una cultura de transparencia permanente basada en la u lización de las TICs. 5. Industrias Crea vas: Creación de espacios para el emprendimiento digital enfocándose en industrias crea vas (so ware, juegos, creación de contenidos, videos, cine, música). 6. Escuelas Conectadas: Todas las escuelas deben tener conexión a internet, y maestros capacitados en el uso de TICs en los procesos educa vos, para ser instrumentos de la educación. No se trata de reemplazar al maestro con tecnologías, sino que sirvan en los procesos pedagógicos. Más aún mientras se termina el proceso de vacunación.
pg.21 - FEBRERO 2021 7. #InternetLibre para Todos: Los espacios públicos contarán con una red inalámbrica para permi r el acceso a internet, para que la información fluya y permi r el libre acceso a la información. De igual manera se establecerán puntos de carga de electricidad en los diversos parques y espacios públicos. 8. Monitoreo contra la Inseguridad 360º: Establecer un nuevo centro de monitoreo público con cámaras para comba r la delincuencia. Esta red será capaz de conectarse con redes ya establecidas y con la Policía Nacional y respetando la protección de datos personales. 9. Postas Medicas y Comisarías Conectadas: Se deberá desplegar conec vidad en todas las comisarías y postas medicas para servir a la población de una manera mas eficiente y efec va; al igual que incorporar energías renovables, sobre todo en zonas rurales. 10. Facilidades para la incorporación de tecnologías digitales a la industria: En el marco de la 4ta Revolución Industrial se debe establecer la incorporación de tecnologías digitales en todas las industrias para recuperar compe vidad, incluyendo beneficios tributarios para adquirir servicios como servicios en la nube, publicidad en plataformas de contenidos, servicios de programación, entre otros. 11. Ciberseguridad, Ciberdefensa y Cibercrimen: Se debe desplegar la reglamentación de la ley de ciberdefensa, insis r con la promulgación de la ley de ciberseguridad (en el Congreso) y establecer la legislación en informá ca forense y desarrollar capacidades desde la escuela en una cultura de ciberseguridad para tod@.
12. Desarrollo de Industrias Aplicadas: desde extracción de li o, hasta reciclaje de equipos electrónicos, pasando por robó ca aplicada a la industria (en especial agrícola, pesca y minería); uso de tecnoogías para biotecnología y mejoramiento de alimentos; uso de tecnologías para luchar contra los efectos del cambio climá co, desde monitoreo de bosques hasta control de glaciares. 13. Inteligencia Ar ficial: desarrollo de los acuerdos OECD en materia de uso é co de la inteligencia ar ficial, sin que el desarrollo de dichas herramientas terminen afectando a las personas, pero sobre todo u lizándoles en el marco del desarrollo humano. 14. Creación de capacidades digitales: tanto en la educación básica como en aquellos que son migrantes digitales (de toda edad), esto además nos permi rá una menor resistencia a la u lización de tecnología en procesos sociales; hay que añadir que se debe cerrar la brecha de carencia de profesionales con conocimientos profundas en tecnología (desde ciberseguridad hasta inteligencia ar ficial, pasando por internet de las cosas, conec vidad, robó ca, analí ca de datos, programación, etc.); desarrollar una cer ficación mínima al salir de la escuela en capacidades digitales. 15. Con nuidad de una polí ca de estado en materia digital: Cumplimiento de la Polí ca 35 del Acuerdo Nacional, #PeruDigital. Este es una agenda mínima para un #PeruDigital. ¤
pg.22 - FEBRERO 2021
Análisis de un Centro de Comando y Control de EMOTET Rafael Huamán
Consultor de Ciberseguridad Red Team en el Sector Industrial Energé co OSEH | CEH Prac cal | LCSPC | ISO 27001IA
Ips C2 de la red EMOTET:
E
l equipo de Ciber inteligencia de MAXIMA SEGURIDAD CORP analizó un centro de comando y control de EMOTET ubicado en Inglaterra, este servidor está bajo el control de un cibercriminal y pertenece a una red de equipos infectados (botnet). El servidor analizado ene 23 vulnerabilidades expuestas a Internet, el atacante explotó una falla en el servicio vulnerable para acceder al sistema del servidor, una vez dentro del sistema escala privilegios para ser root, luego habilita el servicio Nginx en el puerto 8080 para conectar con los hosts víc mas que caían en la trampa de phishing al habilitar la macro del archivo adjunto, el troyano envía una solicitud HTTP al C2, esperando como respuesta payloads para controlar el sistema víc ma.
Recomendaciones: Ÿ
Ÿ
Ÿ
Mantener actualizado los servicios y sistemas expuestos a Internet para evitar la explotación de vulnerabilidades. Monitorear las conexiones entrantes y salientes de los diferentes sistemas expuestos a Internet. Configurar la lista negra en los sistemas de defensa (firewall).
46.101.58.37 103.212.120.175 159.138.129.213 159.65.156.124 18.157.146.93 18.191.255.159 18.205.231.45 18.235.194.156 199.192.29.119 34.245.179.53 34.83.111.76 46.101.148.53 51.15.120.169 68.183.105.208 91.133.91.218 97.64.34.143
Las mayoría de IPs iden ficadas, son servicios Wordpress vulnerados.
Conclusión: Así como EMOTET, existen diferentes troyanos y botnets, sus creadores escanean sistemas y servicios las 24 horas buscando iden ficar vulnerabilidades CVE que puedan ser aprovechadas. Aquí radica la importancia de mantener actualizados los ac vos digitales con el fin de reducir riesgos de seguridad que puedan generar impacto crí co en las operaciones del negocio de una organización. ¤