Cybersecurity N°1 - Noviembre 2019

Page 1




EDICIÓN N°01

NOTA DE TAPA

2206

SUMARIO

NOVIEMBRE 2019 RISK ASSESSMENT

30 Desafíos en entornos nativos de nube, híbridos SECURITY ARCHITECTURE

y de múltiples nubes

14 La evolución del networking

34 Dominar la seguridad de contenedores en tres pasos

CAREER DEVELOPMENT

FRAMEWORK AND STANDARD

16 CCSK vs CCSP 18 “Un trampolín en el vasto viaje de la seguridad en la nube”

THREAT INTELLIGENCE

36

Todo lo que hay que saber sobre GDPR

40

VOCES

CONTENIDO PATROCINADO

20 Los niveles de inteligencia de amenazas 22 El ciclo de vida de la Inteligencia de Amenazas

44

Servicios en la nube: qué considerar al migrar la infraestructura

42

Alianza con Ricoh potencia las soluciones de Fortinet

GOVERNANCE

48

Visibilidad y protección avanzada para servicios cloud con Netskope ONECloud

50

ACTUALIDAD

24 Los 10 avances tecnológicos del 2019 28 Gobernanza de Seguridad Cibernética


EDITORIAL

Bienvenida Lo que tiene usted en sus manos no es sólo una revista nueva: es un desafío. Es el desafío de contribuir a informar y, sobre todo, concientizar sobre la importancia de la ciberseguridad. Esto es, protección de los datos, personales y corporativos; prevención y detección temprana de amenazas, si todo va bien; remediación, si algo va mal.

Career Development (Desarrollo Profesional), Security Operations (Operaciones de Seguridad), Threat Intelligence (Inteligencia de Amenazas), Threat Intelligence (Inteligencia de Amenazas),Governance (Gobernabilidad), Risk Assessment (Análisis de Riesgos) y Framework and Standard (Marco de Referencia y Estándares), entre otros.

Esta es la primera publicación de su tipo, dedicada exclusivamente a la seguridad informática, con foco en la Nube, y con la contribución de la Cloud Security Alliance. Está pensada y diseñada para los interesados en tecnología y especialistas en seguridad informática aplicada que deseen estar al tanto de los desarrollos más importantes y de las últimas novedades.

La nota principal, el tema de tapa de este primer número estará dedicado a un tema que es tendencia en las conversaciones y en los foros más actualizados de la ciberseguridad: DevSecOps. O sea, Desarrollo y Operación Seguros. Un cambio de paradigma, una nueva cultura o simplemente, nuevos procedimientos, usted verá.

Pero esto que usted acaba de leer es sólo una apretada síntesis de todo lo que gira alrededor de la ciberseguridad disciplina, dicho sea de paso, que no deja de complejizarse y, al mismo tiempo, evolucionar. Es por eso que, en esta publicación, dedicamos secciones a cada una de las especialidades —si se les puede llamar así— asociadas con el tema, como Security Architecture (Arquitectura de seguridad),

Redactada por los protagonistas más relevantes de la ciberseguridad, editada por los comunicadores más experimentados en el área de la tecnología informática y avalada por una organización tan reconocida como la Cloud Security Alliance, Ciberseguridad by ITWare será, en poco tiempo, una publicación de referencia para el CIO, CISO, gerentes de tecnología, de sistemas, oficiales de seguridad e interesados en ciberseguridad en la nube.

Matías Perazzo Director Editorial mperazzo@mediaware.org

Ricardo Goldberger Contenidos rgoldberger@mediaware.org

Leonardo Devia Cybersecurity Consultant - CSA

Suscripciones: info@itwarelatam.com Para publicar en este medio: ventas@mediaware.org www.itwarelatam.com Consultar por suscripción anual La empresa editora no se responsabiliza por las opiniones o conceptos vertidos en los artículos, entrevistas y avisos. Prohibida su reproducción parcial o total sin la expresa autorización del editor Puede leer y descargar la versión digital de esta revista en www.itwarelatam.com.com Edita, diseña, comercializa y distribuye Mediaware Marketing

Buenos Aires - Av. Jujuy 2073, 2ºB, Distrito Tecnológico, Buenos Aires, Argentina Tel.: +5411-4308-6642

7


NOTA DE TAPA

8


NOTA DE TAPA

Resolver la “grieta” entre desarrollo e infraestructura Ricardo Goldberger

Hay momentos en los que en la Argentina se habla frecuente y regularmente de la “grieta”, en referencia, principalmente, a diferencias políticas y sociales. Pero no es la única que hay. Por décadas existió la que separó a los desarrolladores de software de los implementadores de infraestructura, lo que dio origen a una crisis que se resolvió con un cambio cultural novedoso: DevOps. De ahí a incluir la seguridad en el concepto, hubo sólo un paso. Si hay una disciplina afecta a las siglas, ésa es la tecnología y, más específicamente, la informática. Así, entre UPSs, USBs, BI, SCRUM y decenas de miles de otros acrónimos, la informática va construyendo su propia jerga. A ésta se le están añadiendo regularmente nuevas abreviaturas y algunas de las más recientes o, por lo menos, de las que más ruido están haciendo en los últimos tiempos, es DevOps, es decir, Development and Operations. Según la Wikipedia, DevOps surgió de una conferencia sobre “Infraestructura ágil” que brindaron Yhens Wasna y Pa-

9

trick Debois en las Conferencias Agile de Toronto en 2008. Se la define como “una práctica de ingeniería de software que tiene como objetivo unificar el desarrollo de software (Dev) y la operación del software (Ops). La principal característica del movimiento DevOps es defender enérgicamente la automatización y el monitoreo en todos los pasos de la construcción del software, desde la integración, las pruebas, la liberación hasta la implementación y la administración de la infraestructura. DevOps apunta a ciclos de desarrollo más cortos, mayor frecuencia de implementación, lanzamientos más confiables, en estrecha alineación con los objetivos comerciales”. Una definición propuesta por Bass, Weber y Zhu es: “DevOps es un conjunto de prácticas destinadas a reducir el tiempo entre el compromiso de un cambio en un sistema y el cambio que se coloca en la producción normal, al tiempo que garantiza una alta calidad.”


NOTA DE TAPA

Developers vs. sysadmins Según José Luis Cristina, de la empresa española Paradigma Digital, la finalidad de DevOps es crear las condiciones adecuadas para la colaboración entre los departamentos de desarrollo y de operaciones; se basa en la integración entre desarrolladores de software y administradores de sistemas y permite fabricar software más rápidamente, con mayor calidad, menor coste y una altísima frecuencia de releases. Según el ebook publicado por la gente del Capítulo Argentino de DevSecOps, los desarrolladores normalmente quieren poner sus aplicaciones online lo antes posible, sin embargo, los sysadmins quieren asegurarse de que la aplicación es lo suficientemente estable como para entrar en producción sin generar incidentes. En los últimos años este conflicto fue patente en el mundo de IT; algunas compañías tenían reglas tan rígidas que sólo permitían desplegar una vez a la semana, en casos más rígidos sólo una vez al mes y todo esto pensando en la protección del negocio (https://cloudlegion.com.ar/). En una presentación que Andrew Shafer y Paul Nasrat hicieron en la Agile 2009 Conference, sostuvieron que la integración de DevOps se enfoca en la entrega de productos, pruebas continuas, pruebas de calidad, desarrollo de características y versiones de mantenimiento para mejorar la confiabilidad y la seguridad y proporcionar ciclos de desarrollo e implementación más rápidos.

De acuerdo con Cristina, DevOps “no es en sí una cultura, pero sí requiere de un fuerte cambio cultural y organizativo para su implementación. Un cambio cultural hacia la colaboración, la comunicación y, en último término, la completa integración entre las antiguas áreas (en lo habitual rabiosamente estancas) de desarrollo y sistemas”. En cambio, para los autores del eBook, sí lo es: “Para la adopción de la cultura, el equipo debe observar y ejercitar los siguientes valores: Confianza en la labor de su equipo Respeto personal y profesional para todos en el equipo Sinceridad acerca de incidentes y eventos Honestidad sobre las causas de los incidentes (no ocultar nada de su equipo) Entendiendo que el problema es responsabilidad de todos Comprensión de que la solución es responsabilidad de todos Comprensión de que los resultados son el reflejo del trabajo de todo el equipo Dinámica y comunicación efectiva Postura constructiva siempre Espíritu de colaboración” De DevOps a DevSecOps Más allá de resolver —potencialmente— los conflictos entre los INFRA(estructure) y los DEV(elopers), una de las temáticas más relevantes tiene que ver con la seguridad de los datos. “Los desarrolladores deberían preocuparse menos por ser pirateados y más por pre-

10

venir ataques predecibles y recuperarse rápidamente de incidentes cibernéticos como parte de sus actividades de desarrollo” se sostiene desde el eBook “DevSecOps - Guía práctica sobre la nueva era del testing de seguridad”.

DevOps es un conjunto de prácticas destinadas a reducir el tiempo entre el compromiso de un cambio en un sistema y el cambio que se coloca en la producción normal, al tiempo que garantiza una alta calidad.



NOTA DE TAPA

Como era de esperar, la seguridad sigue estando rezagada en los entornos DevOps. Una encuesta reciente a 350 responsables de la toma de decisiones de TI realizada por la firma 451 Research (https://451research.com/) mostró que la mitad de todos los equipos de DevOps todavía no han incorporado la seguridad de las aplicaciones en sus flujos de trabajo de CI / CD, a pesar de tener una gran conciencia de la necesidad de hacerlo. En otra encuesta (https://www.sonatype. com/2018survey) a más de 2.050 profesionales de la comunidad de DevSecOps, el 72% de los encuestados describió la función de seguridad como un “fastidio”, y el 48% de los desarrolladores admitió que, aunque la seguridad era importante, no tenían tiempo suficiente para gastar en eso. La incapacidad de anticipar los ataques es la razón por la que surgen parches en respuesta a las nuevas vulnerabilidades de día cero. Los desarrolladores de DevOps seguro prefieren que su software absor-

ba los ataques y continúe funcionando. En otras palabras, “debe doblarse pero no romperse”, y para ello se requiere un cambio de mentalidad en la forma de enfrentar los ataques. Asegurar un ciclo de vida seguro requiere que el equipo de desarrollo se centre en la integración continua, la Infraestructura como código, la implementación continua y la plataforma automatizada de desarrollo integrado. DevSecOps versión local Como dijimos antes, la implementación de una mentalidad DevOps implica “salvar la grieta” entre los equipos de desarrollo de software y de operaciones de TI, con el objetivo de ser capaces de liberar el software más rápido y con mayor estabilidad. DevSecOps, por lo tanto, es una extensión de la mentalidad de DevOps, y a menudo se presenta con el eslogan de “cambiar la seguridad a la izquierda” (es decir, antes) en el ciclo de vida de desarrollo de software (SDLC), en lugar de abordar las revisiones/inspecciones de seguridad al final del ciclo, cuando cualquier hallazgo que requiera mitigación es más difícil y costoso de implementar. Los conceptos en desarrollo de DevOps incluyen una serie de mejores prácticas que pueden aplicarse para aumentar la seguridad de las aplicaciones desarrolladas. Dentro de estas mejores prácticas se incluyen las siguientes: Técnicas de testeos de seguridad automatizadas, como fuzztest y test de pe-

12

DevOps requiere de un fuerte cambio cultural y organizativo para su implementación. Un cambio cultural hacia la colaboración, la comunicación y, en último término, la completa integración entre las áreas de desarrollo y sistemas.

netración de software, que se agregan al SDLC o al ciclo de integración del sistema. Estandarización del ciclo de integración para reducir la introducción de fallas. Introducción de problemas y limitaciones de seguridad a los equipos de desarrollo de software y sistemas al inicio de los proyectos, en lugar de aplicarlos después del hecho. Según una encuesta de Netcraft realizada en marzo del 2017, había 185 millones de sitios web alojados en Windows 2003, un sistema operativo


NOTA DE TAPA

que ha estado fuera de soporte desde julio de 2015. Para resolver específicamente el tema de la seguridad informática utilizando herramientas ágiles y, especialmente, DevOps, en 2012 se creó DevSecOps (https:// www.devsecops.org/). En su manifiesto, proclaman: “A través de Security as Code, hemos aprendido y aprenderemos que existe simplemente una mejor manera de que los profesionales de la seguridad, como nosotros, operen y aporten valor con menos fricción. Sabemos que debemos adaptarnos rápidamente y fomentar la innovación para garantizar que las cuestiones relativas a la seguridad de los datos y la privacidad no se queden atrás porque fuimos demasiado lentos a la hora de cambiar”. Y concluyen: “No esperaremos a que nuestras organizaciones sean víctimas de errores y atacantes. No nos conformaremos con encontrar lo que ya se sabe, sino que buscaremos anomalías que aún no se han detectado. Nos esforzaremos por ser un mejor socio valorando lo que usted valora.” Poco tiempo después, en 2016, a partir de un grupo de especialistas en seguridad informática nucleados en la consultora Cloud Legion (https:// cloudlegion.com.ar/), se conformó el capítulo local, DevSecOps Argentina. Conversamos con dos de sus fundadores, Luciano Moreira da Cruz, vicepresidente del capítulo argentino de la CSA y Christian Ezequiel Ibiri, CEO & Business Development Manager en Cloud Legion.

¿Qué hace, quiénes lo conforman, qué actividades tienen y, sobre todo, cuál es la misión y objetivos del capítulo local de DevSecOps? Luciano Moreira: El capítulo local de DevSecOps Argentina fue una iniciativa impulsada por ambos hace ya 3 años, siguiendo otras iniciativas que ya teníamos con infraestructura ágiles, cloud y luego de ver cómo nacía a nivel mundial esta idea de acoplar seguridad en los pipelines DevOps. Como resultado nace DevSecOps Argentina tomando como Base los capítulos predecesores de USA (Shannon Lietz) y Singapur (Fabián Lim)

Luciano Moreira, Vicepresidente del Capítulo Argentino de la Cloud Security Alliance

Christian Ibiri: ¿Qué hacemos? si lo tuviera que resumir, diría que difundimos el movimiento de DevSecOps en diferentes

13

frentes, tanto privados como públicos, creando materiales del tipo ebook, escribiendo artículos, brindando charlas en eventos y desayunos etc... siempre tomando como base CALMS (Culture, Automation, Learn, Measure, Sharing) la columna vertebral de DevOps y DevSecOps. Tenemos la misión de cambiar la forma en que la seguridad se consume. Este grupo es una comunidad creciente para proporcionar un foro de discusiones y debates sobre cómo lograr la misión de DevSecOps. LM: Mejorar y adaptar el mundo de seguridad para satisfacer las necesidades de innovación y agilidad demandadas hoy por hoy por los métodos como DevOps y Lean Start UP. Unimos las prácticas de seguridad con las prácticas ágiles y DevOps, a través de la experiencia y de la educación en la industria de seguridad. DevSecOps es un organización colaborativa y estamos en la continua búsqueda de voluntarios que quieran participar en este cambio de cómo brindar seguridad en todo los ambientes del negocio y de la industria de tecnología Forman el Board de DevSecOps Argentina Christian Ibiri, Luciano Moreira, Leonardo Rosso, Leonardo Devia, Julio Balderrama y Víctor Cohen. En la actualidad, el capítulo tiene 180 miembros y creciendo y Cloud Legion y Certificación 360 son las empresas sponsors de sus actividades. Por último, con las propias palabras y opiniones de ustedes, porqué se considera que DevSecOps es un cambio de


NOTA DE TAPA

paradigma respecto de lo que se venía haciendo hasta ahora, dónde es más útil, qué obstáculos puede haber para extenderlo e imponerlo y, finalmente, para qué *no* sirve. LM: Creo, en base a mi experiencia como consultor en seguridad y nuevas tecnologías, que el cambio de paradigma en sí no es DevSecOps sino que DevSecOps es una reacción de una acción previa, el famoso y ya trillado “time to market”. El nivel de velocidad que demanda el negocio hoy por hoy hizo que naciera DevOps y a su vez DevSecOps. Por eso la seguridad tradicional tiene que adaptarse a este nuevo ritmo y, si nuevamente pensamos en CALMS: “A = Automation”, automatizar lo más que se pueda para que la seguridad pueda dedicarse a sumar valor y no ser un stopper, como se lo ve normalmente en este mundo más veloz.

Los desarrolladores de DevOps seguro prefieren que su software absorba los ataques y continúe funcionando. En otras palabras, ‘debe doblarse pero no romperse’.

desarrollador (existen plugins para esto), en resumen, usando las herramientas AST (Application Security Testing). LM: El principal obstáculo es el mismo de siempre, creo yo: “el miedo a lo nuevo o a cambiar la cultura de la empresa”; no entender la demanda de los cliente y no adaptarse al cambio en sí. Pero como dice una lámina famosa que me gusta mucho “Netflix no eliminó a Blockbuster, Uber no está matando a los taxis”.

Christian Ibiri, CEO & Business Development Manager en Cloud Legion

CI: Hoy por hoy, podemos ver que la seguridad tradicional, en muchos casos en un SDLC, sólo prueba la aplicación con los ya conocidos pentesting en etapas de preproduccion y que muchas veces ya en producción o en cambios menores no se vuelven a probar ¿Y qué pasa con lo nuevo o lo desconocido? Y eso sin contar el tiempo de retrabajo que demanda una regresión por bug de seguridad (creando así muchas veces ramas informales de despliegue para evitar controles de seguridad). Con DevSecOps esto mejora muchísimo, ya que a nivel cultural promueve que todos son responsables por la seguridad y que con la idea de Shift left tengamos pruebas de seguridad en las etapas más tempranas de un desarrollo. Por ejemplo, modelando amenazas en la etapa de diseño, velando por una codificación segura en la IDE de un

14

CI: ¿No sirve para? qué aprieto, la verdad se me hace difícil, pero lo voy a intentar en base a lo que veo con conocidos y clientes. No sirve como herramienta de reducción de personal por automatizar tareas (puede ser uno de los resultados pero no tiene ese fin), no sirve para evitar ataques a sus aplicaciones (sirve para mejorar la detección temprana de bugs haciendo más robusto el código). Como verás, me cuesta mucho decir para qué no sirve ya que es tan flexible y al tratar de algo más cultural y componible creo que DevSecOps puede adaptarse hasta en el ambiente más tradicional. Como conclusión podemos decir que cuando hablamos de seguridad en aplicaciones, si una empresa quiere desarrollar con calidad tiene que pensar cómo promueve DevSecOps “seguridad como responsabilidad de todos”, ya que seguridad es un atributo de calidad. Para obtener más información. http://www.devsecops.org o http://devsecopsargentina.com. Todas las fotos e imágenes, gentileza de The Cloud Legion.



SECURITY ARCHITECTURE

(Crédito: harris.com)

RÁPIDO REPASO DE LA TECNOLOGÍA DE LAS REDES SD-WAN

LA EVOLUCIÓN DEL NETWORKING Las arquitecturas de seguridad tradicionales se centran principalmente en la protección del perímetro de la red. Se utilizaron firewalls y otros dispositivos para crear una barrera defensiva entre la red interna segura de una organización y la Internet. Si bien la seguridad del perímetro sigue siendo crítica, ya no proporciona una protección adecuada. no está bien adaptado a los patrones de tráfico de red actuales, que enfatizan los servicios de Internet, las aplicaciones basadas en la nube y las herramientas de comunicación como la voz sobre IP (VoIP) y la videoconferencia. La nube, los dispositivos móviles y un entorno de TI cada vez más distribuido, han creado un “perímetro” sumamente poroso y mal definido. Los riesgos de seguridad también han aumentado debido a los cambios en la conectividad de la red (WAN). En el pasado, las organizaciones conectaban las sucursales a la sede mediante líneas dedicadas privadas o servicios de conmutación de etiquetas multiprotocolo (MPLS). Las sucursales generalmente no se conectaban directamente a Internet. En cambio, el tráfico de Internet se condujo a la WAN a través de la sede, que tenía defensas más robustas. MPLS es confiable y seguro, pero también extremadamente caro. Además,

El tráfico de backhauling de Internet crea una latencia que afecta la experiencia del usuario. El acceso local directo a Internet proporciona una mejor experiencia de usuario a un costo mucho menor. Sin embargo, Internet no es confiable ni segura.

El acceso local directo a Internet proporciona una mejor experiencia de usuario a un costo mucho menor. Sin embargo, Internet no es confiable ni segura.

Ventajas de definir por software La necesidad de conectar sucursales directamente a Internet, es uno de los muchos factores que impulsan la adopción de una WAN definida por software (SD-WAN). SD-WAN hace posible combinar múltiples servicios de transporte de datos, incluyendo Internet de banda ancha, para crear una WAN híbrida.

WAN según las condiciones de la red y los requisitos de la aplicación.

El componente “definido por software” es una superposición de comunicaciones y automatización, basadas en políticas, que selecciona la mejor ruta para el tráfico

Pero ¿qué pasa con la seguridad? ¿La conexión directa a Internet no aumenta los riesgos de seguridad? Una solución correcta de SD-WAN puede ayudar a mejorar la

16

Esto ayuda a superar la falta de fiabilidad inherente de Internet, lo que permite a las organizaciones reducir significativamente los gastos de WAN al aprovechar un ancho de banda más rentable.


SECURITY ARCHITECTURE

(Crédito: by Daniel Hocking)

Las mejores soluciones SD-WAN de su clase utilizan autenticación y cifrado, basados en estándares — mayormente IPSEC y AES 256—, para proteger los datos que viajan a través de Internet.

seguridad en un entorno de TI distribuido. Las mejores soluciones SD-WAN de su clase utilizan autenticación y cifrado, basados en estándares —mayormente IPSEC y AES 256—, para proteger los datos que viajan a través de Internet.

con los más altos niveles de seguridad. Un pequeño dispositivo de red local se instala en línea con las conexiones WAN de un sitio, enviando todo el tráfico a través de un túnel VPN seguro a la nube, como es el caso de la Solución de Silver Peak.

La seguridad es un componente central de la solución SD-WAN en Silver Peak, por ejemplo.

El cifrado robusto de extremo a extremo proporciona una mayor seguridad al tráfico WAN de la empresa. Facilita la configuración de una malla de red segura y privada de sitio a sitio, mediante conexiones de Internet de banda ancha.

En la mayoría de las Soluciones de SDWAN se requiere un controlador basado en la nube que prioriza el tráfico de red, administra el ancho de banda y asegura que las políticas comerciales se apliquen a través de cualquier conexión. La instancia de la nube SD-WAN se encuentra en un centro de datos reforzado

Proporciona el mismo nivel de seguridad y confiabilidad que un circuito portador, junto con las características de Calidad de Servicio (QoS) por las que es conocida esta tecnología, así como los componentes críticos de un firewall, que protege con-

17

tra ataques externos, todo incluido en el producto estándar. Los firewalls y otras defensas perimetrales siguen siendo elementos clave de un enfoque de seguridad en capas. Sin embargo, la conectividad en la nube y la naturaleza distribuida del entorno de TI actual significa que los datos atraviesan Internet y las redes privadas. SD-WAN ayuda a proteger esos datos al tiempo que garantiza una experiencia de usuario de alta calidad. En la Argentina, son muy pocas las organizaciones que se han alineado a esta nueva clase de Soluciones. Se pueden mencionar casos como los de Bloomberg y Reuters. Silver Peak ofrece el curso con certificación en el link: https://www.silver-peak.com/ support/training


CAREER DEVELOPMENT

OPINIONES DE EXPERTOS

CCSK vs CCSP (PRIMERA PARTE) Normalmente me hacen dos preguntas cada vez que alguien descubre que soy instructor de los cursos CCSK de Cloud Security Alliance CCS y (ISC)2 CCSP: 1 - “¿Cuál es la diferencia entre las dos certificaciones?” 2 - “¿Qué tan difícil es el examen CCSK?” En este articulo identificaré las diferencias entre dos de las certificaciones de seguridad en la nube más reconocidas de la industria, CCSK y CCSP. Por Leonardo Rosso de riesgos, los aspectos legales, están cubiertos en su mayor parte en el mismo grado, pero lo expandieron para que sea de naturaleza más global.

CCSK | Certificado de Conocimiento de Seguridad en la Nube El CCSK de la Cloud Security Alliance, se considera que es el abuelo de las certificaciones de seguridad en la nube. ¿Por qué? Principalmente porque fue, literalmente, el primer examen de la industria, cuando se lanzó en 2011. El desglose del curso se divide entre la discusión (técnica) y estratégica (orientada al negocio) de la seguridad en la nube. Es agnóstico en su enfoque. Actualización para CCSK versión 4 La mejor manera de describir las actualizaciones de CCSK V4 es que, desde una visión estratégica, es más de lo mismo. La gobernanza, los contratos, la gestión

Sin embargo, desde de un punto de vista más táctico, la versión actualizada es muy diferente. Ejemplo: aprovechar la computación sin servidor y el almacenamiento de objetos para eliminar las rutas de ataque de red al centro de datos no es exactamente un elemento de gobierno; pero desde un enfoque más estratégico, realmente muestra los diferentes patrones de arquitectura que se pueden aprovechar en la nube, que son básicamente imposibles en la computación tradicional. También incluye discusiones que no existían antes, como contenedores, herramientas de CI / CD, DevOps, ingeniería de caos y discusiones ampliadas sobre conceptos de seguridad de redes definidas por software. Detalles del curso CCSK El curso CCSK en sí, se entrega en dos formatos diferentes:

18

Una persona que tiene un pie en ambas áreas tácticas y estratégicas es bastante rara, y eso es lo que hace que el examen CCSK sea tan difícil.

• Fundamentos de CCSK (curso de 1 o 2 días) • CCSK PLUS (curso de 2 o 3 días) ¿Cuál es la principal diferencia entre los dos formatos, aparte de la duración del curso? Se trata de experiencias prácticas y ejercicios de curso. • El formato de Fundamentos de CCSK se puede entregar en un día, lo que significa que hay tiempo para revisar la teoría, pero no el suficiente para una discusión en profundidad en la clase o ejercicios prácticos.


CAREER DEVELOPMENT

El CCSK de la Cloud Security Alliance, se considera que es el abuelo de las certificaciones de seguridad en la nube porque fue, literalmente, el primer examen de la industria, cuando se lanzó en 2011. • El CCSK PLUS tiene todo lo presentado en el formato de Fundamentos de CCSK, pero con más tiempo, de modo de realmente poder llevar a casa los principales temas y objetivos de aprendizaje con los ejercicios / actividades del curso. Literalmente, se aplica la siguiente fórmula:

Las personas son tipos tácticos o tipos de gobierno estratégico. Los tipos tácticos disfrutan de los bits y bytes de la computación y eso es totalmente genial. Entonces, tienes los tipos de gobierno. Estos son los gerentes, directores y otros en los que la mentalidad es cómo la adopción de la nube puede afectar al negocio en su conjunto. Una persona que tiene un pie en ambas áreas es bastante rara, y eso es lo que hace que el examen CCSK sea tan difícil. Una cosa es tener un examen a libro abierto que no se supervisa, sino que se toma en línea desde cualquier ubicación. Parece que estos rasgos llevan a algunos a pensar que es más fácil que el examen cerrado y supervisado. Todavía sostengo que los exámenes a libro abierto correctamente

Credito by macrovector - www.freepik.es.jpg

Desglose del examen de CCSK

escritos son difíciles. Creo que sería imposible responder 60 preguntas en 90 minutos si se tienen que investigar todas las preguntas. Créditos de Educación Profesional Continua (CPE) El curso de CCSK es CPE elegible. Tenga en cuenta que las pautas de CPE para los cursos son que debe tener en cuenta el almuerzo y las pausas.

19

Nota- CCSK no requiere mantenimiento CPE Reflexiones finales sobre CCSK Con el contenido actualizado de v4, CCSK sigue siendo muy relevante para los profesionales de seguridad que buscan un curso que ofrezca una comprensión táctica y estratégica general de los desafíos y ventajas de la nube.


CAREER DEVELOPMENT

HISTORIAS DE ÉXITO DE LA CERTIFICACIÓN CCSK

“UN TRAMPOLÍN EN EL VASTO VIAJE DE LA SEGURIDAD EN LA NUBE” Javier Carbone es consultor especializado en seguridad de la información y privacidad de datos. Tiene más de 12 años de experiencia en TI multifuncional en ciberseguridad, consultoría, protección de la información y privacidad de datos, asesoría y gestión de riesgos y análisis de negocios. Puede mostrar varias implementaciones de PCI DSS, ISO 27001, auditorías y actualmente trabaja como security advisory para Techint, con sede en Buenos Aires, cuidando la garantía de terceros y las evaluaciones de riesgo de la nube. Posee varias certificaciones internacionales, que incluyen CEH, CCSK e ISO27001 LA.

¿Cuál es tu rol en la actualidad? En este mundo diverso, conectado a la nube y dinámico, no es fácil para mí describir un rol específico, ya que tengo que usar varios sombreros, según la mesa en la que esté sentado. Dicho esto, actualmente estoy desempeñando una función de asesoría de riesgos en uno de los holdings más grandes. Esta posición me retiene en el desafío de realizar aseguramiento de riesgo contractual, consultas de privacidad de datos y evaluación de riesgo tecnológico. ¿Qué te llevó a la seguridad en la nube en primer lugar? ¿Qué te hizo decidir certificar el CCSK (Certificate of Cloud Security Knowledge)? Para mí, la seguridad en la nube es un tema interesante y en evolución. Creo que

20

la adopción de la nube es inevitable para las organizaciones en esta era, ahora. Por este motivo, mantenerme actualizado sobre el conocimiento imprescindible en la nube, me hizo prestar atención a su seguridad. Un colega amigo, Leonardo Devia, me recomendó esta certificación de CSA Cloud Security Alliance. Una vez que me decidí a poner mis manos en la seguridad de la nube, me convencí de que el CCSK era la mejor opción para profundizar con los conceptos, ya que cubre todos los fundamentos de escenarios complejos del mundo real: en la implementación de la nube, la migración, evaluación de la nube y muchos otros tópicos dentro de los 14 dominios que tiene el estudio del CCSK. ¿Podrías explicar cómo los materiales cubiertos en el examen te ayudaron específicamente? Claro, el objetivo de este examen es evaluar qué tan bien los elementos o dominios de los modelos / servicios en la nube son entendidos por los candidatos. Por lo tanto, este examen internacional espera que estés al tanto de áreas clave como la gobernabilidad, los desafíos legales, la respuesta a incidentes, el cumplimiento y la gestión de riesgos, que son muy importantes y desafiantes en la adopción de la nube, tanto para los consumidores como para los proveedores de servicios de la nube. ¿Cómo te preparaste para el examen CCSK? Principalmente seguí el kit de preparación disponible en el sitio de CSA. Además de


CAREER DEVELOPMENT

La nube es un mundo en constante cambio, con nuevas amenazas y desafíos que evolucionan casi todos los días. Por lo tanto, elevaría mi conocimiento al examinar los materiales de estudio actuales de CSA y exploraría los desafíos y soluciones reales en las industrias, para la implementación y adopción de la nube.

contar con experiencia en ciberseguridad y con la evaluación de riesgos de terceros, me ayudó a descifrar el examen CCSK. Si pudieras volver y tomarlo de nuevo, ¿te prepararías de manera diferente? Como mencioné anteriormente, la nube es un mundo en constante cambio, con nuevas amenazas y desafíos que evolucionan casi todos los días. Por lo tanto, elevaría mi conocimiento al examinar los materiales de estudio actuales de CSA y exploraría los desafíos y soluciones reales en las industrias, para la implementación y adopción de la nube. ¿Hubo algún tema específico en el examen que hayas encontrado más complicado que otros? Sentí que la gestión legal y de cumplimiento, junto con los incidentes de seguridad que

manejaban los dominios, eran bastante interesantes. Principalmente, porque estas áreas presentan diferentes desafíos para los servicios en la nube, especialmente al detallar los roles, responsabilidades y limitaciones tanto para los consumidores en la nube como para los proveedores. ¿Cuál es tu consejo para las personas que están considerando obtener su certificación CCSK? Recomiendo encarecidamente a los aspirantes de CCSK que vean este examen como un curso fundamental y lo utilicen como un trampolín en el vasto viaje de la seguridad en la nube. CCSK no sólo lo diferenciará de los demás al otorgarle una credencial, sino que también lo ayudará en un viaje más largo, independientemente de su función (consumidor en la nube, proveedor o asesor de riesgos independiente,

21

etc.) debido a sus conceptos esenciales, que no son específicos para ningún proveedor / solución particular en la nube. Por último, ¿qué material de CCSK ha sido el más relevante en tu trabajo y por qué? Es un poco difícil para mí señalar uno o varios dominios específicos, ya que la mayoría de los dominios y materiales fueron y son relevantes para mi trabajo. Dada la naturaleza de los negocios en los que estamos actualmente, tengo que desempeñar múltiples funciones. Específicamente, uso la Guía de seguridad y la Matriz de controles de la nube al tratar con la administración de riesgos de los proveedores. Éstas ayudan a aclarar los roles y responsabilidades clave entre el proveedor de la nube y el consumidor. Además, estos documentos sirven de guía para tranquilizarme con los conceptos de la nube.


THREAT INTELLIGENCE

CUANDO HABLAMOS DE THREAT INTELLIGENCE

LOS NIVELES DE INTELIGENCIA DE AMENAZAS (Crédito: Ben Tavener CC BY 2.0)

Paradigmas para el tratamiento de amenazas La inteligencia cibernética se presenta en muchas formas. Algunas son urgentes, otras meramente informativas; otras son altamente técnicas, mientras que otras son amplias y genéricas. El reto consiste en determinar cómo hacer llegar la información de seguridad correcta al responsable de la toma de decisiones correcto de la manera correcta. Los profesionales de la seguridad pueden aprender mucho de la manera en que el Departamento de Defensa de los Estados Unidos (DoD) enfoca la inteligencia. Hace años, la agencia estaba absolutamente abrumada por la información sobre las actividades adversas y tuvo que establecer marcos para tratar con los datos. Como resultado, los militares ahora consideran la inteligencia en tres niveles: estratégico, operativo y táctico.

Al igual que con la inteligencia convencional, existen diferentes niveles de inteligencia de amenazas cibernéticas: operativa, táctica y estratégica. La inteligencia estratégica informa a los más altos responsables de la toma de decisiones, la inteligencia operativa se dirige a quienes toman las decisiones cotidianas y la inteligencia táctica se centra en las unidades que necesitan información instantánea. Cada nivel difiere en la naturaleza y el formato del material transmitido, su audiencia prevista y su aplicación. La inteligencia operativa de amenazas a menudo se relaciona con detalles de posibles operaciones inminentes contra una organización. Aunque no siempre es fácil de obtener, al utilizar un enfoque de todas las fuentes, un proveedor de inteligencia podrá detectar, por ejemplo, las conversaciones de activistas cibernéticos que analizan objetivos potenciales para una próxima campaña o datos filtrados o vendidos en un foro oscuro. Eso podría ser utilizado en una operación contra la empresa. Los proveedores de inteligencia de amenazas cibernéticas generalmente proporcionarán inteligencia de amenazas operativas en una combinación de formatos compatibles con humanos y máquinas.

22

La inteligencia operativa de amenazas a menudo se relaciona con detalles de posibles operaciones inminentes contra una organización.


THREAT INTELLIGENCE

Los proveedores de inteligencia de amenazas cibernéticas generalmente proporcionarán inteligencia de amenazas operativas en una combinación de formatos compatibles con humanos y máquinas.

(Crédito: Freepik.com)

La inteligencia de amenazas tácticas consiste en material relacionado con las técnicas, tácticas y procedimientos (TTP) utilizados por los actores de amenazas. Los indicadores de compromiso (IOC) son los principales productos a entregar por los proveedores de inteligencia de amenazas tácticas. Estos son particularmente útiles para actualizar sistemas de defensa basados en firmas, para protegerse contra tipos de ataque conocidos, pero también pueden ser útiles para medidas más proactivas, como ejercicios de búsqueda de amenazas.

Por lo tanto, es particularmente útil para los defensores de la red, como los Centros de Operaciones de Seguridad (SOC). Los proveedores de TI (Threat Intelligence) generalmente suministrarán IOC en formatos legibles por máquina, mientras que la inteligencia en las TTP estará en formatos legibles por humanos, y requerirá la asimilación y la acción de los operadores. La inteligencia de amenazas estratégicas existe para informar a los tomadores de decisiones de alto nivel sobre cam-

23

bios más amplios en el panorama de amenazas. Debido a esta audiencia prevista, los productos de inteligencia estratégica se expresan en un lenguaje sencillo y se centran en cuestiones de riesgo empresarial en lugar de terminología técnica. El formato de informe de los productos estratégicos de inteligencia sobre amenazas cibernéticas reflejará esta visión a más largo plazo; por ejemplo, a menudo se difundirá mensualmente o trimestralmente para ayudar a la formulación de la estrategia a más largo plazo.


THREAT INTELLIGENCE

(Crédito: Gentileza ebuyer.com)

ETAPAS DE THREAT INTELLIGENCE

EL CICLO DE VIDA DE LA INTELIGENCIA DE AMENAZAS El objetivo de cualquier producto o servicio de inteligencia de amenazas (Threat Intelligence) es proporcionar conocimiento y recomendar soluciones acerca de las amenazas a la seguridad de la información. En términos generales, esto significa identificar a los atacantes y comprender sus motivaciones, métodos y características. La inteligencia relacionada con las amenazas cibernéticas, se identifica generalmente a partir de dos categorías de fuentes: fuentes técnicas, como el tráfico de red, los archivos recuperados de archivos de malware y las bases de datos tanto públicas como privadas; y fuentes humanas, a través de la infiltración de grupos de piratas informáticos y fraudes, charlas en las redes sociales y mediante el intercambio de información entre otros grupos de la industria o agencias de aplicación de la ley. Los servicios de sistemas automatizados, ofrecidos por algunos productos y servicios de inteligencia de amenazas, son eficientes para recopilar datos de fuentes técnicas, pero evaluar esos datos, o la información obtenida de fuentes humanas, siempre requerirá de un toque humano para ser efectivo. A medida que el volumen de datos técnicos crece día a día, se vuelve cada vez más difícil separar el trigo de la paja sin algún tipo de análisis.

El ciclo de vida de inteligencia de amenazas que Cloud Security Alliance (CSA), define para la ciberseguridad, se asemeja mucho a su matriz de la CID (Confidencialidad, Integridad y Disponibilidad) Las fases pueden enumerarse entonces, de acuerdo a lo planteado, de esta manera: • Dirección: al igual que en la comunidad de inteligencia más amplia, la dirección viene de arriba: el CISO de una organización, por ejemplo, o el líder del centro de operaciones de seguridad (SOC) de una organización. Los elementos esenciales de la información necesarios para dar una

dirección adecuada a la transferencia desde el ámbito físico al digital: mientras una agencia de inteligencia del gobierno puede centrarse en una determinada área geográfica, un SOC podría optar por centrarse en las amenazas directas a su red e identificar indicadores de compromiso. • Recolección: Los datos se recogen de fuentes técnicas y humanas. En estos días, cuando podría llevar millones o incluso miles de millones de puntos de datos individuales construir un tamaño de muestra suficientemente grande para identificar patrones confiables, la automatización ofrecida por los productos de inteligen-

La realidad no es una función del evento como evento, sino de la relación de ese evento con el pasado y los eventos futuros.

24


THREAT INTELLIGENCE

Los servicios de sistemas automatizados, ofrecidos por algunos productos y servicios de inteligencia de amenazas, son eficientes para recopilar datos de fuentes técnicas, pero evaluar esos datos, o la información obtenida de fuentes humanas, siempre requerirá de un toque humano para ser efectivo.

cia de amenazas ayuda en la etapa de recopilación. Los datos de fuentes solo públicas, a menudo no son suficientes: cooperar con otras organizaciones para compartir datos privados de la web profunda e incluso tener una presencia activa en la web oscura, conduce a conjuntos de datos más completos. • Procesamiento: al igual que los grandes conjuntos de datos hacen que la automatización sea necesaria en la fase de recopilación, ésta también es necesaria para procesar esos datos y convertirlos en algo comprensible. Muchos productos de inteligencia de amenazas ofrecen herramientas automatizadas efectivas para producir informes y otros recursos. Pero el fuerte trabajo en equipo, entre los humanos y las máquinas, también hace mucho aquí: un ojo experto puede proporcionar el contexto y la intuición necesarios para eliminar la ambigüedad. En una industria en la que los segundos pueden hacer toda la diferencia para responder a una amenaza, la dirección correcta proporcionada por un experto humano puede ayudar, incluso a los procesos automatizados más rápidos,

a realizar una búsqueda inteligente y eficiente en lugar de confiar sólo en la fuerza bruta. • Análisis y producción: Como antes, los datos procesados d ​​ eben ser coherentes y ordenados de manera efectiva y, una vez más, ninguna automatización puede realmente compensar un toque experto. Como se definió anteriormente, la inteligencia incluye un análisis de las motivaciones y predicciones sobre el comportamiento futuro y ese tipo de análisis sólo puede ser realizado bien por personal armado con la tecnología adecuada. • Difusión: el producto terminado vuelve a la cima, iniciando el ciclo nuevamente. • Retroalimentación: la efectividad de un ciclo de inteligencia de amenazas determinará los elementos esenciales de la información necesaria para el próximo ciclo, incluidos los espacios en los que se enfocará al recopilar datos y la rapidez con la que se deben tomar medidas. En resumen: Responder de manera rápida, flexible e inteligente.

25

(Crédito: by Martin Vorel)

“La realidad no es una función del evento como evento, sino de la relación de ese evento con el pasado y los eventos futuros”. Visualizar la inteligencia como un ciclo de vida, pone énfasis en el proceso por sobre el producto y el contexto, por sobre la información en bruto. Las amenazas, en general, son excepcionalmente diversas, y van y vienen a velocidades vertiginosas. Para tener resiliencia operativa, el equipo de ciberseguridad en cualquier organización debe trabajar para refinar sus procesos y aprender a responder de manera rápida, flexible e inteligente ante cualquier amenaza.


GOVERNANCE

LAS TENDENCIAS Y LOS NUEVOS DESAFÍOS QUE ANTICIPÓ CSA

Aunque ya estamos avanzados en el año, las tendencias y los nuevos desafíos que anticipó un estudio de Cloud Security Alliance (CSA), siguen vigentes y más fuertes que nunca. Según los consultores especialistas, algunas de las tendencias tecnológicas que caracterizarían este 2019, ya se han confirmado en la práctica: los asistentes virtuales serían cada vez “más humanos” y surgirían nuevas aplicaciones basadas en blockchain, entre otras.

El análisis de lo sucedido a lo largo del año muestra que lo que se previó, no sólo se está concretando, sino que avisa de lo que está por. Cada nueva tecnología, cada avance, renueva el desafío de la necesidad de cobrar conciencia de qué habrá que mejorar en las medidas de seguridad, en evitar ciberataques y optimizar el cuidado de datos para proteger la privacidad de los usuarios.

2. Nuevas Arquitecturas

1. Redes 5G

3. Inteligencia Artificial (IA)

Las redes 5G aspiran a ser hasta 100 veces más veloces que las 4G. Según CSA, esto incrementará el desarrollo de video 4K y 8K, así como también el avance de la Realidad Virtual y Aumentada. Entre sus principales bondades, favorece el desarrollo de Internet de las Cosas (IoT según sus siglas en inglés) y de vehículos autónomos donde la baja latencia resulta fundamental.

La optimización de las nuevas arquitecturas potenciará el desarrollo de los distintos modos de Inteligencia Artificial (Deep Learning, Machine Learning, Data Visualization, etc.) y, por otro lado, serán evidentes los avances en materia de la Computación Cuántica.

Los resultados de CSA señalan que las Arquitecturas de computación heterogéneas, sistemas con más de un tipo de procesador y circuitos integrados con aplicación específica (ASIC), continuarán sorprendiendo. Todo apunta a mejorar el procesamiento de datos, optimizar la eficiencia energética y la reducción de la latencia.

Para la optimización de estos procesos, se comenzaron a usar cada vez chips

26

(Crédito: by libreshot.com)

(credito technofaq.org)

LOS 10 AVANCES TECNOLÓGICOS DEL 2019


GOVERNANCE

Los asistentes serán cada vez más humanos, útiles y compañeros de los humanos que los usarán tanto para que se les faciliten las tareas, así como para interactuar con ellos para sentirse más acompañados.

4. “Virtualmente más humanizados” Los asistentes virtuales integrados en parlantes, computadoras y teléfonos se han vuelto cada vez más inteligentes: responden preguntas, se anticipan a las necesidades del usuario y hasta cuentan chistes. El aprendizaje de las máquinas no sólo los está volviendo cada vez más efectivos, sino cada vez más “humanizados”. Los nuevos asistentes podrían pasar el test de Turing en algunas situaciones, lo que significa nuevos desafíos. Será necesario establecer nuevas regulaciones y mecanismos de control para que no se abuse de esta tecnología para, por ejemplo, cometer fraudes. También habrá que mejorar la seguridad de estos equipos para evitar que se filtren conversaciones. Los asistentes serán cada vez más humanos, útiles y compañeros de los humanos que los usarán tanto para que se les faciliten las tareas, así como para interactuar con ellos para sentirse más acompañados.

5. Capacidades cognitivas Las redes neuronales supuestamente emulan el funcionamiento del cerebro humano. Esto les otorga, a las máquinas, cada vez mayores capacidades cognitivas, de análisis y hasta sentido común. El uso de técnicas de aprendizaje profundo (deep learning) permitiría resolver situaciones que antes no se podían abordar. En este sentido se podría comenzar a entender cómo las redes neuronales de IA toman decisiones, lo que permitiría mejorar el entrenamiento de las máquinas y continuar hacia un futuro cada vez más inteligente.

(Crédito: Margot Lombaert CC BY-NC 4.0)

de inteligencia artificial más potentes. Estos microprocesadores especializados podrían convertirse en los elementos más relevantes dentro del hardware utilizado para el entrenamiento de la inteligencia artificial.

6. Smart Cities Uno de los grandes desafíos de este año es encontrar opciones para mejorar la calidad de vida en las ciudades. En un contexto donde cada vez hay mayor concentración de habitantes en espacios reducidos, se vuelve vital mejorar la gestión de residuos, optimizar los medios de transportes y disminuir la contaminación ambiental, entre otros ejemplos. Así es que se utilizarán cada vez más modelos de simulación urbana que, a partir de plataformas computacionales,

27

podrán reproducir, con precisión, los movimientos en tiempo real en las ciudades. Además, estos sistemas contarán con modelos algorítmicos predictivos para interpretar mejor los datos no estructurados, como los videos. CSA afirmó que, durante este año, se invertirá más dinero y recursos en el desarrollo de aplicaciones para optimizar estos modelos de simulación para la gestión de las ciudades inteligentes.


GOVERNANCE

7. Vehículos autónomos Algo que resulta vital para lograr instalar los vehículos autónomos es mejorar la seguridad en la conducción independiente. Se espera que en los próximos dos o tres años, esta tecnología esté lo suficientemente madura como para implementarla en el transporte público y para la entrega de paquetes de manera automatizada.

Todo apunta a mejorar el procesamiento de datos, optimizar la eficiencia energética y la reducción de la latencia.

8. La Identidad Digital Los sistemas biométricos como el reconocimiento facial, el lector de huellas y de iris, entre otros, están transformando las formas de autenticación.

(Crédito: by needpix.com)

Este año se siguió expandiendo esta tecnología, que ya se usa para verificar la identidad, confirmar pagos o verificar ingresos de personas en los establecimientos. También es probable que surjan nuevas formas de autenticación biométrica. Ya hay varias líneas de investigación que plantean utilizar, por ejemplo, los latidos del corazón. 9. Privacidad de los datos

10. Blockchain

El mayor desafío de la actualidad es encontrar mecanismos para cuidar la privacidad de los usuarios. La economía de los datos requiere que se refuercen las medidas de seguridad para evitar que se filtre información privada. En este sentido, se está avanzando en la implementación de sistemas para evitar ataques cibernéticos y para expandir la trazabilidad entre sistemas.

La tecnología de cadena de bloques se comenzó a expandir para validar transacciones de manera segura. Se espera que surjan mayor cantidad de aplicaciones basadas en este sistema, desde facturas electrónicas hasta registros judiciales. El blockchain ya se está usando para hacer contratos inteligentes, títulos universitarios, cauciones, seguros, garantías, y hasta en el rubro de logística.

28

Uno de los beneficios del blockchain es que los bloques están entrelazados para evitar la modificación de datos que ya fueron publicados y añadidos a la cadena. Esto le otorga mayor fiabilidad y transparencia al sistema. Como dijimos al comienzo, lo que señala el estudio de la CSA es cuáles serán las tendencias a las que hay que prestarle mayor atención y qué desafíos presentarán para implementar una protección segura de los datos de los usuarios.


GOVERNANCE


GOVERNANCE

PRIMERO, EVALUAR EL RIESGO, LUEGO ACTUAR EN CONSECUENCIA

GOBERNANZA DE SEGURIDAD CIBERNÉTICA El directorio de una organización es responsable —especialmente ante los accionistas, reguladores y clientes— del marco de estándares, procesos y actividades que, en conjunto, aseguran a la organización contra el riesgo cibernético.

(Crédito: by welcomia)

Todas las juntas deben ser conscientes del panorama de los peligros cibernéticos y comprender qué son las amenazas persistentes avanzadas. Un chequeo de salud del gobierno cibernético es un buen punto de partida para identificar áreas en las que el consejo debe actuar para mejorar su gestión de riesgo cibernético. Estrategia de seguridad cibernética La seguridad cibernética debe basarse en una evaluación de riesgos y debe abordar los dominios clave de seguridad cibernética: personas, procesos, tecnología y cumplimiento. Las evaluaciones de riesgos de seguridad cibernética son el punto de partida para una estrategia. Nuestros consultores de seguridad cibernética pueden realizar dicha evaluación por usted, o puede ir a un curso certificado para aprender cómo hacerlo usted mismo y/o puede

comprar un kit de herramientas de administración de riesgos de seguridad cibernética. Cada vez más, las organizaciones implementan marcos de arquitectura empresarial para diseñar sus infraestructuras de TI y de seguridad de modo que estén alineadas y sean compatibles con aquélla. Auditoría de Seguridad, Pruebas de Intrusión Los servicios de consultoría deben incluir auditorías de la existencia y efectividad de los controles de seguridad cibernética. Estas auditorías generalmente se llevan a cabo en marcos como los controles ISO27002 y los 20 controles de seguridad críticos. También ofrecemos un servicio acreditado por CREST de control de estado de TI y pruebas de penetración. El cumplimiento normativo es un aspecto clave de un cibergobierno efectivo.

30

El secreto radica en contar con información, libros, productos y servicios que ayudan a las juntas a desarrollar, implementar y mantener un marco de gobierno de seguridad cibernética.


GOVERNANCE

La seguridad cibernética debe basarse en una evaluación de riesgos y debe abordar los dominios clave de seguridad cibernética: personas, procesos, tecnología y cumplimiento. Los reguladores prestan más atención a las violaciones cibernéticas y las multas son cada vez más onerosas. El daño reputacional de las infracciones regulatorias también puede ser significativo. Las organizaciones también pueden tener que cumplir con los requisitos del Código de conexión, ya sean requisitos de G-Cloud, PSN, IG Toolkit / N3 o Gambling Commission. Planes de Recuperación y Continuidad

(Crédito: by MechQuester CC BY-SA 2.0)

La resistencia cibernética es una filosofía de seguridad cibernética subyacente crucial. Tarde o temprano cualquier defensa cibernética será vulnerada. Las organizaciones deben desarrollar una serie de procesos probados que le permiten responder adecuadamente a incidentes de todos los tamaños, incluidos aquellos que aumentan y amenazan la supervivencia de la organización. Habilidades de seguridad cibernética La seguridad cibernética es un área cada vez más compleja. Las organizaciones necesitan emplear personal que tenga habilidades y conocimientos adecuados o, reconociendo que existe una escasez global de dichas habilidades, garantizar que el personal de seguridad adquiera y mantenga las habilidades adecua-

das. IT Governance es el proveedor líder de servicios de capacitación de seguridad cibernética certificados y una vía de aprendizaje de seguridad cibernética única. Como organización, también ofrecemos una gama creciente de productos y soluciones de seguridad para proteger el contenido, incluidas las tecnologías de cifrado y las tecnologías de prevención de pérdida de datos (DLP).

31

El secreto radica en contar con información, libros, productos y servicios que ayudan a las juntas a desarrollar, implementar y mantener un marco de gobierno de seguridad cibernética. En muchos casos, esto implica implementar uno o más estándares del sistema de administración de seguridad cibernética.


RISK ASSESSMENT

CSA IDENTIFICA RETOS DE SEGURIDAD ÚNICOS

DESAFÍOS EN ENTORNOS NATIVOS DE NUBE, HÍBRIDOS Y DE MÚLTIPLES NUBES (© Copyright 2019, Cloud Security Alliance. All rights reserved.)

La Cloud Security Alliance (CSA), la organización líder mundial dedicada a definir y dar a conocer las mejores prácticas para ayudar a garantizar un entorno de cloud computing seguro, anunció los resultados de un nuevo estudio titulado “Complejidad de la seguridad en la nube: Desafíos en la gestión de la seguridad en entornos híbridos y multi-nube” (Cloud Security Complexity: Challenges in Managing Security in Hybrid and Multi-Cloud Environments). La encuesta a 700 profesionales de TI y seguridad tuvo como objetivo analizar y comprender mejor el estado de adopción y seguridad en los actuales entornos híbridos de seguridad en nube y multi-nube, incluyendo la nube pública, la nube privada o el uso de más de una plataforma de nube pública.

La visibilidad y el control holístico de la nube sobre entornos cada vez más complejos son esenciales para el éxito de las implementaciones en diversos escenarios de nube. exclusivas preocupaciones de seguridad, especialmente al integrar múltiples servicios y plataformas de nube en un entorno de TI ya de por sí complejo”, dijo John Yeoh, Vicepresidente Global de Investigación de CSA.

“A medida que empresas de todos los tamaños aprovechan el valor de la nube con su agilidad y flexibilidad mejoradas, también se enfrentan a nuevas y

“Los resultados del estudio demuestran lo importante que es para las empresas tener una visibilidad y gestión holística de la nube en sus cada vez más complejos entornos de redes híbridas para mantener la seguridad, reducir el riesgo de inte-

(© Copyright 2019, Cloud Security Alliance. All rights reserved.)

32


RISK ASSESSMENT

Los resultados del estudio demuestran lo importante que es para las empresas tener una visibilidad y gestión holística de la nube en sus cada vez más complejos entornos de redes híbridas para mantener la seguridad, reducir el riesgo de interrupciones y errores de configuración, y cumplir con las exigencias de auditoría y cumplimiento.

rrupciones y errores de configuración, y cumplir con las exigencias de auditoría y cumplimiento”. “Esta encuesta deja claro que no existe un modelo único de implementación de cloud computing: las organizaciones están optando por adoptar y utilizar los recursos de cloud computing de la forma que mejor se adapte a sus necesidades de negocio. Pero esta flexibilidad de la nube también crea muchos retos de seguridad para la empresa actual. Independientemente de cómo decidan utilizar los recursos de la nube, la visibilidad de extremo a extremo a través de las redes es crítica para cumplir con las obligaciones de

seguridad y cumplimiento”, dijo Jim Reavis, CEO de CSA. “La robusta gestión y automatización de la seguridad de la red es cada vez más crítica para la misión. Vemos que las organizaciones se mueven para automatizar la gestión de la seguridad a través de la nube nativa, la multi-nube y las redes híbridas, lo que impulsa la agilidad a la vez que garantiza la seguridad continua para los entornos empresariales de próxima generación”. Resultados del estudio Los hallazgos clave del estudio incluyen: La nube crea problemas de configuración y visibilidad: Cuando se les pidió

que clasificaran en una escala del 1 al 4 aquellos aspectos de la gestión de la seguridad en nubes públicas que les resultaban problemáticos, los encuestados citaron la detección proactiva de errores de configuración y riesgos de seguridad como el mayor reto (3,35), seguido de cerca por la falta de visibilidad de todo el parque de nubes (3,21). La preparación y el cumplimiento de las auditorías (3.16), la gestión holística de los entornos cloud y on-prem (3.1), y la gestión de múltiples nubes (3.09) completan los cinco primeros puestos. ●• Los errores humanos y de configuración son las principales causas de interrupciones: el once por ciento (11,4%) de los encuestados reportaron un incidente de seguridad en la nube el año pasado, y el 42,5% tuvo una interrupción en la red o la aplicación, Las dos causas principales fueron errores operativos/humanos en la administración de dispositivos (20%), cambios en la configuración de dispositivos (15%) y fallas de dispositivos (12%). ●• Cumplimiento de la nube y aspectos legales: El cumplimiento (compliance) y los desafíos legales se identificaron como

(© Copyright 2019, Cloud Security Alliance. All rights reserved.)

33


RISK ASSESSMENT

Las preocupaciones sobre los riesgos de pérdidas y fugas de datos también eran altas entre los usuarios cuando se implementaban en la nube. el cumplimiento normativo (57%) y la integración con el resto del entorno de TI de las organizaciones (49%).

●• La seguridad es la principal preocupación en los proyectos de nube: El 81% de los usuarios de la nube dijo que se encontraron con importantes problemas de seguridad. Las preocupaciones sobre los riesgos de pérdidas y fugas de datos también eran altas entre los usuarios cuando se implementaban en la nube (citadas por el 62%), seguidas de cerca por las preocupaciones sobre

La encuesta también buscó obtener información sobre temas como las cargas de trabajo que se están utilizando o trasladando a la nube y cómo se están implementando o migrando; los tipos de plataforma(s) de nube que utilizan las empresas; los retos de seguridad comunes a los que se enfrentan las empresas al implementar cargas de trabajo en la nube; los métodos de

gestión de riesgos y vulnerabilidades en el entorno de la nube; y las causas de las interrupciones de la red o de las aplicaciones y la cantidad de tiempo que se tarda en remediarlas. Nota del editor: Los patrocinadores de la investigación de CSA son los miembros corporativos de CSA, que apoyan los resultados del proyecto de investigación, pero no tienen ninguna influencia añadida en el desarrollo del contenido ni en los derechos de edición. El informe y sus conclusiones son agnósticos a los proveedores y permiten la participación global.

(Crédito: by GeographBot CC BY-SA 2.0)

preocupaciones principales al pasar a la nube (57% de cumplimiento regulatorio; 44% de preocupaciones legales).

(© Copyright 2019, Cloud Security Alliance. All rights reserved.)

34



RISK ASSESSMENT

CONTENEDORES Y CIBERSEGURIDAD

DOMINAR LA SEGURIDAD DE CONTENEDORES EN TRES PASOS Los contenedores de aplicaciones como Docker han crecido en popularidad entre los equipos de TI y desarrollo en todo el mundo.Con todo el entusiasmo y el estado de adopción casi convencional, es importante comprender las razones por las que la seguridad sigue siendo el principal desafío en las implementaciones de contenedores. Desde su inicio en 2013, el software Docker ha sido descargado 80 mil millones de veces, más de 3,5 millones de aplicaciones han sido adaptadas para ejecutarse en contenedores y cerca de 37 mil millones de aplicaciones dockerizadas fueron descargadas. Por lo menos, según los números oficiales de Docker.com La seguridad es el principal desafío De estudio en estudio, la seguridad aparece como el principal desafío de la administración de contenedores. En muchos sentidos, los problemas de seguridad de los contenedores no son diferentes a los que afectan a la TI tradicional. La mala seguridad cibernética, como los desarrolladores que usan versiones vulnerables de Kubernetes o los servicios de Docker mal configurados, crean una gran cantidad de disturbios en el tramado de los contenedores. Los equipos de seguridad necesitan encontrar vulnerabilidades y priorizar su remediación en función del

riesgo cibernético real, tal como lo harían con cualquier otro activo informático. Pero, desde otro punto de vista, los problemas de seguridad de los contenedores son bastante únicos. El desarrollo de aplicaciones modernas de hoy en día se centra principalmente en ensamblar componentes de software existentes, muchos de los cuales son de código abierto, en lugar de escribir desde cero. Por ejemplo, muchos desarrolladores recurren a los “repos” de imágenes de contenedor como DockerHub para construir sus propias imágenes de rápidamente. Desafortunadamente, muy pocos de estos componentes ensamblados, son realmente analizados por los equipos de seguridad como para evaluar el riesgo comercial. Y los riesgos son reales, recientemente se descubrieron y eliminaron 17 imágenes Docker de DockerHub porque se

36

Los equipos de seguridad necesitan encontrar vulnerabilidades y priorizar su remediación en función del riesgo cibernético real, tal como lo harían con cualquier otro activo informático.


RISK ASSESSMENT

Los problemas de seguridad de los contenedores no son diferentes a los que afectan a la TI tradicional. La mala seguridad cibernética, como los desarrolladores que usan versiones vulnerables de Kubernetes o los servicios de Docker mal configurados, crean una gran cantidad de disturbios en el tramado de los contenedores.

habían instalado mineros de criptomoneda en servidores de usuarios ignorantes de que tal cosa era posible. La pregunta que todos debemos hacernos es: ¿Sabemos de dónde provienen las imágenes de los contenedores? Los enfoques tradicionales no funcionan Para hacer las cosas más difíciles, los enfoques tradicionales de administración de vulnerabilidades no funcionan para asegurar los contenedores. La vida útil promedio de un contenedor, a menudo, se mide en horas, lo que hace que sea muy difícil descubrir los contenedores en ejecución utilizando grandes rangos de IP en la configuración de escaneo. Luego, si se encuentra un contenedor en ejecución en un escaneo, es difícil evaluarlo debido a sus principios de diseño de “sistema operativo suficiente”. Muchos contenedores no tienen una dirección IP o inicio de sesión SSH para ejecutar un análisis con credenciales. Finalmente, si encuentra un problema de seguridad en un contenedor, no sólo se aplica un parche para remediar la falla. Más bien, tiene que cerrar el contenedor,

corregir el error en el código de imagen y luego volver a desplegarlo, como parte de la nueva mentalidad de infraestructura inmutable, donde la infraestructura de TI se trata como código. Tres pasos para dominar la seguridad de los contenedores. Si bien los contenedores Docker han puesto de cabeza la gestión tradicional de vulnerabilidades, hay un camino a seguir. Puede dominar la seguridad del contenedor siguiendo tres pasos: • Descubrir y asegurar la infraestructura de contenedores. Esto incluye la detección de Docker en su entorno, parches en los hosts y en la infraestructura de orquestación y el host de parches y el fortalecimiento de los servicios basados en las mejores prácticas de la industria. • Guardias con controles de seguridad, aplicar los controles de seguridad “antes”. Enfocarse en las pruebas de seguridad, aseguramiento de políticas y flujos de trabajo de remediación en el proceso de desarrollo, antes de que el software se envíe a producción para evitar vulnerabilidades.

37

(Crédito: by Magnus Manske)

• Incorporar contenedores en el programa holístico de exposición cibernética. En lugar de confiar en una solución puntual para asegurar un nuevo tipo de activo informático, asegurarse de que su enfoque de administración de vulnerabilidades admita contenedores junto con otros activos en toda su superficie de ataque.


Esos emails provienen de todas las empresas que tratan con datos de ciudadanos europeos en la web, no importa si son de países de la UE o de fuera. Gracias a este reglamento, la forma en la que se les debe informar sobre los datos que están cediendo, y para qué los están usando, cambia drásticamente. Puede que el reglamento sea europeo, pero sus ramificaciones se extienden al resto del mundo y por eso a todos nos debería importar, independientemente de dónde vivamos. A modo de resumen vamos a explicar de una manera sencilla y concreta cómo afecta el reglamento y por qué es importante.

LA PRIVACIDAD ES UN DERECHO DE TODA LA HUMANIDAD

TODO LO QUE HAY QUE SABER SOBRE GDPR Como casi todos saben, el RGPD (Reglamento General de Protección de Datos de la Unión Europea o, más popularmente, GDPR, por sus siglas en inglés) es de cumplimiento obligatorio. Y es muy probable que, aunque no nos encontremos en la Unión Europea (UE), la bandeja de entrada haya recibido ingente cantidad de correos que avisan sobre cambios en la política de privacidad. La norma entró en vigor el 24 de mayo de 2016 y se ha otorgado un plazo de dos años para que todas las empresas se adecuen a ella. En ese tiempo las corporaciones deberán explicarnos bien qué hacen con nuestros datos, solicitar nuestro consentimiento para usarlos y, además, ofrecernos la oportunidad de borrarlos o revocarles el permiso para seguir procesándolos.

Quienes fallen en acatar el reglamento podrían ser multados con hasta el 4% de lo que facturen en todo el mundo al año o hasta 20 millones de euros. Pareciera que la utilidad del reglamento sería relativa si todo se solucionara con un simple email, como antes. La diferencia es que ese correo con infor(Crédito: by ZapTheDingbat CC BY 2.0)

(Crédito: by Cerillion is licensed under CC BY 2.0)

FRAMEWORK AND STANDARD

¿Para qué sirve la normativa GDPR? Esta regulación le da a la UE el poder para hacer responsables a empresas y organizaciones de la forma en la que recolectan y manejan la información personal de los usuarios, es decir, nuestra información, la suya.

38


FRAMEWORK AND STANDARD

(Crédito: by BitsFromBytes is licensed under CC BY 2.0)

Ese correo con información no deja a las empresas lavarse las manos y asumir que dimos nuestro consentimiento de forma tácita, como pasaba antes.

mación no deja a las empresas lavarse las manos y asumir que dimos nuestro consentimiento de forma tácita, como pasaba antes. Recibimos los emails porque las empresas de todo el mundo tienen la obligación de ponerse en contacto con nosotros, tanto para informarnos de forma transparente y sencilla qué hacen con nuestros datos, como para renovar el consentimiento de uso que dimos, si este no cumplía ya con la GDPR.

que hace es obligarlas a explicarnos lo que están haciendo. Ahí es donde entra nuestra parte de la responsabilidad. Si no damos nuestro consentimiento activo, una empresa no podrá hacer cosas como enviarnos publicidad, vender nuestros datos a terceros, usar esos datos para hacer venta cruzada, etc.

¿Qué pasa si aceptamos… y qué, si no aceptamos?

Tampoco vale que una empresa marque todas las casillas por su cuenta: la privacidad tiene que ser la opción por defecto, nosotros debemos hacer todos los clicks y aceptar todas las formas en las que nuestros datos serán usados.

Es importante remarcar que el reglamento no impide que organizaciones y empresas usen nuestros datos para todos los fines que les plazca, siempre que hayamos dado nuestro consentimiento. Lo

De más está decir que lo primero que debemos hacer es leer la política de privacidad. Por supuesto que da pereza, a nadie le gusta leer las condiciones y términos de servicio, primero porque esos artículos son demasia-

39

do largos; segundo, son demasiado densos y tercero, son demasiado aburridos. La GDPR exige que ahora las políticas y los términos de servicio deberían ser más fáciles de entender, que deberían estar escritos en términos sencillos y no en una jerga legal incomprensible por el ser humano promedio. Si se nos ha informado, si la política se ha rediseñado para ser clara, si han solicitado nuestro consentimiento de forma correcta, nos sigue dando pereza y aceptamos las condiciones de todas formas, porque queremos seguir usando un servicio u otro, ya es nuestra responsabilidad. Pareciera que si no vivimos en Europa nada de esto nos importa, pero gracias al alcance territorial del reglamento —y a la supraterritorialidad de Internet, entre


FRAMEWORK AND STANDARD

otras cosas— y a que cualquier organización que trate con datos de residentes de la UE debe cumplir con él, el impacto de la GDPR alcanza a todas las grandes empresas que conocemos, como Apple, Google, Facebook, Microsoft y demás. Puede que en nuestro país no existan estas reglas estrictas, pero algunas organizaciones y empresas han optado por mantener estos principios y ofrecer las mismas opciones de privacidad y protecciones para sus usuarios fuera de UE. Algunas quizás de buena fe y otras, para no quedar mal con el resto del mundo y cuidar su imagen.

La GDPR exige que ahora las políticas y los términos de servicio deberían ser más fáciles de entender, que deberían estar escritos en términos sencillos y no en una jerga legal incomprensible por el ser humano promedio.

¿Qué son los “Datos personales”? Técnicamente se habla de Información de Identificación Personal (PII, según sus siglas en inglés). Es información que puede ser utilizada para distinguir o rastrear la identidad de un individuo, como su nombre, número de documento, fecha y lugar de nacimiento, apellido de soltera de la madre, registros biométricos, incluyendo cualquier otra información personal que esté vinculada o se pueda vincular a un individuo específico”. Esto se ha convertido en un tema lo suficientemente importante como para que el NIST haya creado una lista de campos específicos que constituyen la IIP. Pues bien, según GDPR, datos personales significa “cualquier información relativa a una persona física identi-

¿Qué pasa con nuestros datos si no queremos compartirlos con nadie? Uno de los que nos otorga este reglamento es el Derecho a la portabilidad de los datos, es decir, que debemos tener acceso a todos los datos que una organización ha recolectado sobre nosotros. Además, también tenemos derecho a moverlos a otro proveedor sin perder el historial que hemos recopilado, para que nosotros también podamos beneficiarnos de nuestros propios datos. Y,

40

ficada o identificable”. Para la norma, “persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física”. En otras palabras, la información personal incluye la definición de IIP, pero además puede incluir la dirección IP (sí, incluso IPs dinámicas con un usuario detrás de un router haciendo NAT/PAT), preferencia sexual, recetas médicas, ocupación, color de ojos, tamaño de zapatos e, incluso, hobbies.

finalmente, tenemos derecho a solicitar que toda nuestra información sea eliminada, si así lo decidimos, de las bases de datos de una organización. La GDPR no va a detener mágicamente la recolección de datos por parte de múltiples organizaciones, pero probablemente sí los hará pensar dos veces sobre la cantidad de datos que recopilan, pues necesitarán justificar su propósito e informar sobre él. Es un paso adelante para que se adopten mejores prácticas de recolección.



VOCES

ENTREVISTA A GHASSAN DREIBI DE CISCO

“NO HAY FORMA DE GARANTIZAR QUE LA AMENAZA NO ME LLEGUE” Durante Cisco Connect, el evento que festejó los 25 años de la empresa en la Argentina, Cibersecurity aprovechó para entrevistar al referente de ciberseguridad de la compañía, Ghassan Dreibi. Desde que en 2013 compró Sourcefire, Cisco comenzó una política de aumentar y mejorar su portafolio de ciberseguridad. Hoy se posiciona como un jugador fuerte en el área y, en el marco del Cisco Connect Argentina 2019, donde se dieron cita ejecutivos regionales y locales, colaboradores de la empresa y más de 700 asistentes entre clientes de distintos sectores, partners, prensa y analistas, Cibersecurity conversó con Ghassan Dreibi, director de operaciones de ciberseguridad para Latinoamérica. ¿Cuáles serían desde tu punto de vista (o del de Cisco) las tres o cuatro grandes tendencias a las que hay que prestar atención en estos próximos años? No sé si tendencias, pero sí pilares. En opinión de Cisco, la seguridad deja de ser un tema corporativo y se transforma en algo más personal, porque los agresores buscan las personas, no sólo las empresas. Nosotros tenemos que estar el 100% del tiempo seguros y, en cambio, ellos tienen que acertar sólo una vez. Por eso el primer pilar es estar

seguros siempre, como ciudadanos, como usuarios, como personas. El segundo pilar es la responsabilidad: la ciberseguridad tiene que estar presente, desde el día uno, en cualquier nuevo servicio, en cualquier nueva situación, y no volverse una excepción. Y finalmente, aprovechando el tema de las nuevas regulaciones [GDPR], la simplificación. ¿Que hemos estado haciendo? Tenemos problemas con virus, compramos un antivirus; tenemos problemas con el spam, compramos un antispam… Y ahí se generó un Frankenstein de soluciones que complica. Entonces la simplificación es: ¿cuál es la mejor forma de seguridad o de ciberseguridad para cada individuo de la organización, para cada seguimiento corporativo… ¡para el gobierno! Esos son los pilares que más apalancamos. ¿Y desde el punto de vista de la tecnología? En tecnología lo que estamos viendo es que no hay cómo mantenerse seguro hoy en día sin tener algo más cerca del usuario. Por un tiempo se pensó dar seguridad a la red, proteger la red y eso sigue siendo superválido, pero no hay forma de garantizar que la amenaza

42

Ghassan Dreibi de Cisco

no llegue a mí; va a llegar. Cuando llegue, tengo que tener, lo más rápido posible, la información de que hay algo nuevo que me molesta, y eso sólo se puede hacer más cerca del endpoint. El otro punto es la visibilidad. Con tanta cosa conectada en el mundo, se perdió la visibilidad de la red, no se sabe quién se ha conectado. Y por fin, la nube. La gran revolución del mundo es la nube. Viajé sólo con mi tableta y mi smartphone. Todos mis datos están en la nube, todos. Todo lo que hace Cisco, aprobación de descuentos, contratar gente, todo está en la nube. ¿Cuál es el punto más importante? El certificado, si yo soy yo mismo en la nube. Entonces, la autenticación del usuario, la


VOCES

En opinión de Cisco, la seguridad deja de ser un tema corporativo y se transforma en algo más personal, porque los agresores buscan las personas, no sólo las empresas.

visibilidad de lo que hago y proteger lo más posible el endpoint que uso ahora. Esos son los pilares de tecnología que más veo como estratégicos. Muchos especialistas marcan como puntos claves, por un lado, la nube; por el otro lado el cambio que hubo del ataque masivo al ataque dirigido y, sobre todo, la movilidad… BYOD por ejemplo, que en algún momento hizo mucho ruido ¿Ustedes cómo lo ven? Cómo veo el mundo: veo cada vez menos dispositivos con datos locales. Un problema personal: en los últimos cuatro meses me asaltaron tres veces… La última vez me robaron mi smartphone, me quedé trastornado… Pensé qué voy a hacer… Fui, compré un teléfono nuevo, puse mi contraseña y en cinco minutos tenía todos mis datos disponibles. Ese es el nuevo mundo, no perdí fotos, no

perdí archivos… nada. Tampoco datos bancarios, todo estaba en la nube. Y la única forma de llegar allí es mi contraseña y mi nombre de usuario. La nube sí es segura, según mi concepción, la gran dificultad es garantizar que yo soy yo mismo. Porque después de que me asaltaron, yo recibí spams buscando mi contraseña. Primero me mandaron un mensaje de texto, después un whatasapp. Y mensajes bien hechos, con cara de Apple. En este nuevo mundo, la credencial es fundamental. Es el único punto crítico. Entre los más técnicos, está también el concepto de DevSecOps ¿Cuál es tu punto de vista? Estamos a full en esto. Cisco está patrocinando y tiene un grupo muy fuerte de DevSecOps. En la misma Latam, en Brasil, se armó un grupo que llamamos DevNet, dedicado al desarrollo de tecnologías involucradas en ciberseguridad, y empezamos a organizar Hackatons, varias soluciones del desarrollo de tecnologías comprometidas o específicas… Hicimos el último en Brasil hace dos semanas, en la Expo más grande de Finanzas en Latinoamérica y fue increíble la recepción. ¿Cuál sería el enfoque de la prevención? Nada de esto que hablamos sirve de algo sin inteligencia. Yo escucho mucho del nuevo SOC, de la nueva forma de manejar… Pero escucho muy poco la preocupación de threath intelligence. Ese término se usa muy poco. Y en Cisco hablamos mucho de eso; tenemos una organización dedicada a threath intelligence, a esa búsqueda de amenazas.

43

Tenemos un equipo que hace hacking en cámaras, en switches, access points, buscando vulnerabilidades e informando a las empresas vulnerables. Hay un grupo llamado Talos que busca amenazas no conocidas alrededor del mundo y que avisa si algo surge. Y esa es una gran ventaja de la inteligencia. Finalmente todos vamos a ser atacados, y si no tenemos cómo protegernos, o dónde buscar soporte cuando se necesita, no estamos bien. Lo que hace mucha falta son equipos de respuesta a incidentes. Fui atacado, y ahora… ¿qué hago? Porque esa es la verdad… yo sé que voy a ser atacado… ¿Qué servicio tengo, qué proyecto tengo, cómo me preparo? Algunos también plantean que la inteligencia artificial, machine learning, es el futuro inmediato del ciberataque… Tenemos que prestar una atención especial para manejarnos, porque no hay cómo; son muchos datos, es mucha información y hay que tener algo más inteligente o más rápido que yo para tomar decisiones, pero eso implica un tema de ética. O sea: ¿cuánto de información tuya realmente puedo tomar para ayudarte a defenderte? Y ese es un punto muy importante. La discusión que estamos teniendo hoy es si vale la pena enseñarle ética a la computadora… es fundamental. El punto es, no hay salida; hay que tener machine learning. Yo creo que el mundo va a ser más intrusivo, porque vamos a sufrir muchas pérdidas de datos, de información, de valores… y no hay forma de garantizar seguridad sin tener información. Ése es el mundo que vamos a vivir…


CONTENIDO PATROCINADO

ALIANZA CON RICOH POTENCIA LAS SOLUCIONES DE FORTINET En julio pasado, Fortinet y Ricoh anunciaron la firma de una alianza estratégica local, orientada a ofrecer mayor seguridad en un ambiente multicloud y lograr un entorno aún más seguro. Ambas compañías anunciaron, en un evento dirigido a clientes, que se llevó a cabo a principios de julio pasado, que desarrollarán conjuntamente soluciones con medidas de seguridad, para complementar la oferta de gestión documental. Áreas de diseño de Ricoh con áreas de diseño de Fortinet trabajarán en conjunto para que las soluciones armadas puedan contar con seguridad embebida. “Estamos muy contentos de que Ricoh nos haya seleccionado para hacer una alianza para complementar sus soluciones” aseguró Gonzalo García, VP de ventas del sur de Latinoamérica de Fortinet. En un aparte del evento, García habló con Cibersecurity acerca de las ventajas de este acuerdo. Y algunas otras cosas más.

¿En qué consiste este acuerdo que hicieron con Fortinet? Tiene que ver con complementar la oferta de soluciones de transformación digital de Ricoh, donde la gestión documental es una parte muy importante de su portafolio. Pero no está limitado a eso. Con bastante proactividad Ricoh dijo que si

va a estar haciendo una serie de soluciones para Transformación Digital, le gustaría contar con seguridad embebida, nos convocaron y vimos que la alianza hacía mucho sentido. Hemos puesto a trabajar gente de diseño de Ricoh con gente de Fortinet y, en la medida en que vayan saliendo proyectos personalizados para determinados clientes, que sepan que la seguridad va a ir embebida. Dentro de una solución integral, que tiene componentes de hardware, software y servicios, vamos a ir complementándola con la seguridad embebida. ¿Y cómo se resuelve el probable conflicto entre los partners o los canales? Seguramente estaremos atentos al ecosistema de ventas de Ricoh, si quiere conocer un poco más de Fortinet, así como el ecosistema de Fortinet quiera conocer algo de Ricoh. Lo interesante de esto es que le sacamos al canal el problema de tener que pensar en cómo diseñar la solución, integrarla, probarla, homologarla, etc. porque se la vamos a dar llave en mano, lo que redunda en mayor rapidez de respuesta. El canal que transacciona con Ricoh comprará la solución completa.

44

Gonzalo García,

Vicepresidente de Fortinet para Sudamérica

Eso es un beneficio porque cuando tenés doble integración a veces con empresas distintas, los tiempos de respuesta son distintos, tenés más factores a coordinar. Yendo a un plano más general, como proveedores de soluciones multicloud, ¿cuáles son los obstáculos más frecuentes que ven para ingresar a la nube? En algunos casos, el marco regulatorio indica que los datos tienen que residir en un lugar concreto, no es un tema tecnológico. Pero cuando sí es tecnológico, la visión es que la nube, al fin del día es la computa-


CONTENIDO PATROCINADO

dora de alguien más. En ese contexto una de las preocupaciones totalmente válidas de las empresas es cómo mantener la seguridad. Hay una buena concientización acerca de la seguridad, pero cuando se trata de la cloud, se quedan con la seguridad por defecto que ofrece el provider. Ahí hay todavía un trabajo que hacer porque la seguridad por defecto del provider no es equivalente a la seguridad implementada en tu “casa”. Por eso tenemos acuerdos con los principales providers para poder complementar. El mensaje ahí es que en un ambiente multicloud, la solución del cloud provider no alcanza, para equiparar los niveles de control on premise y tampoco es eficiente si tenés más de un provider porque cada uno de ellos tiene un enfoque distinto. Fortinet, en un ambiente multicloud, ayuda a los clientes a llevar al mismo nivel de seguridad que si lo tuvieran on premise, ya sea cloud pública o privada, en un ambiente virtual y, además, a que tengan una visión homogénea de la seguridad y que sea intrascendente quién es el cloud provider. Los proveedores de cloud anuncian a la seguridad como uno de sus servicios ¿es cierto eso? Primer consejo: no confiar en la seguridad por defecto. No confiar en la seguridad por defecto es una premisa de la industria. Luego, que analicen si los controles que vienen en la seguridad embebida en los cloud providers son los equivalentes a los que implementarían en la casa del cliente.

En la mayor parte de los casos la respuesta es no. Que sepan que es posible llevar el mismo nivel de seguridad a la cloud. El cliente de nube no tiene que ocuparse tanto por la base instalada y lo que estamos observando es que se pueden abrir a evaluar enfoques diferentes. Si esto no está sucediendo es que todavía falta un nivel de concientización de que sí se puede llevar el negocio a la cloud con seguridad. En este momento, la mayoría de los vendors están recomendando nube híbrida ¿qué propuesta tiene Fortinet? Nosotros venimos a aportar la simplicidad. Para Fortinet Security Fabric es indistinto el ambiente en el que está corriendo: si es físico, virtual propio o de alguien más. El abordaje que podemos aportar es integral desde un único punto de vista. En lo que llamamos multicloud también está incorporado el mundo físico, por lo que la gestión de la seguridad, los reportes, puede haber cierta complejidad en la infraestructura, pero todas las superficies van a tener el mismo nivel de protección y un único punto de vista y gestión de administración. Finalmente, ¿qué pasa si el ataque se produce? En el cloud se pueden tomar decisiones mucho más libres porque si la aplicación es cloud ready, la infraestructura es más dinámica. De ahí que las empresas se deben permitir desafiar su concepto de prevención basada en lo último de la industria de seguridad, pero al final

45

No confiar en la seguridad por defecto es una premisa de la industria. Luego, que analicen si los controles que vienen en la seguridad embebida en los cloud providers son los equivalentes a los que implementarían en la casa del cliente.

del día, hay que trabajar también en la ciber resiliencia. O sea, trabajar en la prevención, pero saber que pueden pasar cosas malas y tener una infraestructura que sea capaz de detectar rápidamente, automáticamente, a velocidad digital y en lo posible sin intervención humana, y que permita también reaccionar a velocidad digital. Es el enfoque de Fortinet en Security Fabric: trabajamos fuertemente en la prevención, pero también en la detección y la respuesta de la infraestructura. Cubrir toda la superficie de ataque trabajando en la prevención, detección y mitigación de amenazas.


CONTENIDO PATROCINADO

(Crédito: by AdobeStock)

SERVICIOS EN LA NUBE: QUÉ CONSIDERAR AL MIGRAR LA INFRAESTRUCTURA #1 Conocer al proveedor de servicios

Por Cecilia Pastorino,

Especialista en seguridad informática de ESET Latinoamérica

Hoy en día, la mayoría de las empresas ya volcaron gran parte de sus servicios e información a la nube. Las razones son muchas, y van desde cuestiones económicas hasta prácticas: evitar comprar equipamiento que luego se vuelve obsoleto o pierde su valor, evitar gastos de mantenimiento o energía, o simplificar las tareas del área de TI. Incluso, desde la perspectiva de la pequeña empresa, agregar un servidor o contratar un servicio específico con solo apretar un botón. Si se tienen servicios en la nube o se está analizando migrar la infraestructura, ESET acerca algunas consideraciones que evitarán tener una mala experiencia:

Con la gran variedad de servicios de cloud computing que existen hoy en el mercado, el primer paso es decidir a quién se le va a confiar la información y sistemas de la compañía. Para tomar esta decisión no alcanza con considerar los servicios y plataformas que ofrecen los diferentes proveedores, también es importante tener en cuenta su reputación y leer atentamente las condiciones de contratación. ¿Es la empresa responsable con la información que maneja? ¿Qué medidas de seguridad implementa? ¿Está certificada en materia de seguridad? ¿Ha tenido incidentes? ¿Cómo los manejó? Quizá los servicios de una empresa con mejor prestigio sean un poco más costosos que los de una no tan conocida. Sin embargo, las tareas de mantenimiento para que una infraestructura permanezca segura demandan tiempo y esfuerzo, lo cual se traduce en costo extra para el cliente. En términos de seguridad, lo barato puede salir muy caro.

46

#2 Entender el negocio y sus necesidades Antes de tomar una decisión importante, siempre se debe pensar en cómo afecta al negocio y los objetivos de la empresa. Si se requiere una comunicación rápida, sin demoras ni latencia entre la oficina y los servicios de la nube, quizá lleve algunas decepciones. Si bien almacenar archivos en la nube y accederlos desde cualquier lugar es una solución tentadora, si se trata de consultas a bases de datos, los tiempos de respuesta pueden llegar a afectar el negocio. Si se manejan grandes volúmenes de información en tiempo real, tal vez se podría considerar alguna opción de optimización antes de llevar esos servicios a la nube. #3 Cifrar la información Cifrar tanto los datos almacenados en la nube como en tránsito. Si bien puede demandar un esfuerzo extra y aumentar la complejidad de las operaciones, esto añade una capa adicional de seguridad a toda la información confidencial. Hay soluciones de cifrado fáciles de usar cómo ESET Endpoint Encryption que proporcionan control remoto completo de las claves de cifrado y las políticas de seguridad para todos los archivos almacenados en unidades de discos rígidos, dispositivos portátiles y correos electrónicos. Además, es clave recordar que si se decide contratar servicios en la nube se estará delegando, en gran medida, la protección de esa información. Por más


CONTENIDO PATROCINADO

El backup es hoy en día una de las protecciones básicas y fundamentales en cualquier esquemade seguridad. El 70% de los afectados por ransomware en Latinoamérica perdieron información, dinero o ambas cosas.

seguro y confiable que sea un proveedor no está de más cifrar los datos críticos para que, en caso de que haya una brecha de seguridad, no queden expuestos.   #4 Controlar el acceso a la nube Si bien los datos y aplicaciones ya no estarán físicamente dentro de la organización, no significa que haya que desligarse de la administración. Un proveedor de servicios puede brindar numerosos controles de seguridad y mantener la infraestructura protegida, pero si se deja la puerta abierta, de nada servirá. Es importante limitar el acceso a la información al igual que se haría si estuviera alojada en la organización. Segregar las

funciones y limitar las conexiones de los usuarios. De hecho, es recomendable utilizar medidas extras de protección, soluciones como ESET Secure Authentication, por ejemplo, posibilitan controlar el acceso a la nube agregando un doble factor de autenticación. Una forma simple y efectiva para que todo tipo de empresas implementen la autenticación en varias fases en los sistemas utilizados con mayor frecuencia. #5 Respaldar la información El backup es hoy en día una de las protecciones básicas y fundamentales en cualquier esquema de seguridad. Si bien este servicio suele estar incluido dentro del contrato y ser parte de las tareas que realiza el proveedor, no hay que olvidarse que no se trata solamente de guardar la información, sino también de que la misma se pueda recuperar.

47

Para poner en perspectiva, el 70% de los afectados por ransomware en Latinoamérica perdieron información, dinero o ambas cosas. En este sentido, ESET Latinoamérica puso a disposición una Guía de Backup para ayudar a los usuarios a resguardar su información. Además, acerca Xopero, seguridad completa, backup y recuperación de datos corporativos, sin importar dónde estén almacenados. Protege el entorno completo, desde las endpoints hasta Microsoft Exchange y los entornos virtuales. Realizar restauraciones periódicas de la información resguardada es un punto básico. De esta forma, no solo se verifica que el proveedor este cumpliendo con esta parte del contrato, sino también se asegura que la información estará integra y disponible cuando se necesite.


CONTENIDO PATROCINADO

Es un error común pensar que el malware no afecta a equipos en la nube. Así como existen códigos maliciosos pensados para atacar plataformas de virtualización, también debemos tener en cuenta el resto de las amenazas que continúan propagándose por los sistemas operativos ya conocidos.

#6 Leer cuidadosamente los términos y condiciones del servicio Prestar especial atención a los apartados que hablen acerca de la privacidad y la responsabilidad sobre la información que se aloja en la nube. No sería la primera vez que aparezcan frases como: “Usted nos da el derecho de acceder, retener, usar y divulgar la información de su cuenta y sus archivos, con el fin de proporcionarle soporte y resolver problemas técnicos” o “No garantizamos que sus archivos no estarán sujetos a apropiación indebida, pérdida o daño y no seremos responsables si sucede”. Verificar también los tiempos de respuesta y SLA (Acuerdo de Nivel de Servicio) que otorga el proveedor y asegurarse de que sean acordes a los tiempos y compromisos que se tiene con los clientes. Evitar encontrarse con estas sorpresas al momento de tener un incidente o hacer un reclamo. #7 Recordar: la nube también puede infectarse Es un error común pensar que el malware no afecta a equipos en la nube. De hecho, desde ESET hemos visto diversas variantes del malware Crisis, el cual infectaba equipos con sistemas VMWare. Así como

existen códigos maliciosos pensados para atacar plataformas de virtualización, como Venom, también debemos tener en cuenta el resto de las amenazas que continúan propagándose por los sistemas operativos ya conocidos.   Contar con una infraestructura en la nube no exime de utilizar una buena solución integral de seguridad, que incluya protección para servidores y servicios, así como también para los equipos que acceden a ella. ESET Virtualization Security y ESET File Security realizan un análisis antimalware que

48

combinan velocidad, precisión y un mínimo impacto en el sistema. Por supuesto que la nube ofrece grandes beneficios para las empresas, y dependerá de cada negocio qué tipo de servicios e información se deciden migrar a esta plataforma. Sea cual sea el caso, tener en cuenta estos consejos para tener la información protegida y que la migración sea lo más segura posible. Para obtener más información sobre las soluciones e incluso una cotización a medida, complete el formulario del Sitio Web para ser contactado por nuestros asesores.


CONTENIDO PATROCINADO


CONTENIDO PATROCINADO

VISIBILIDAD Y PROTECCIÓN AVANZADA PARA SERVICIOS CLOUD CON NETSKOPE ONECLOUD Por PorAlain Alain Karioty Karioty

Regional Regional Sales SalesDirector Director de deNetskope Netskope para paraLatinoamérica Latinoamérica

La paulatina utilización de servicios cloud está favoreciendo un modelo de trabajo más ágil y colaborativo, pero también, la irrupción de nuevos desafíos. La plataforma de seguridad cloud Netskope ONECloud, proporciona La paulatina utilización de servicios cloud está protección avanzada de datos y favoreciendo un modelo de trabajo más ágil y prevención integralladeirrupción amenazas colaborativo, pero también, de nuevos de SaaS, IaaS y servicios desafíos.a través La plataforma de seguridad cloud Netskope ONECloud, proporciona protección avanzada Web para ayudar a los equipos de de datos y prevención integral de amenazas a seguridad de la información a preservar través de SaaS, IaaS y servicios Web para ayudar datosde yseguridad activos deenlalainformación nube. a lossus equipos a preservar sus datos y activos en la nube.

Netskope ONECloud es la opción más recomendada por analistas y organizaciones de todo el mundo para cubrir los casos de uso más comunes que pueden impactar contra la infraestructura empresarial: Localizar y evitar la exposición de datos sensibles en la nube: Las aplicaciones cloud como Office 365, OneDrive, Box y Google Drive agilizan la colaboración al facilitar la compartición de datos, pero suponen un riesgo. Netskope alerta sobre los datos confidenciales que se exponen de forma externa o pública, elimina los datos sensibles compartidos públicamente y/o restringe su visualización y previene contra la pérdida de datos en la Nube con DLP, incluyendo capacidad OCR para la inspección de imágenes. Control granular para aplicaciones cloud no gestionadas: Las aplicacio-

50

nes permitidas por TI suponen el 2% de las empleadas en la empresa. El resto, denominadas Shadow IT, son utilizadas con frecuencia por áreas de negocio y, comúnmente, implican riesgos como la fuga de datos confidenciales. Sin visibilidad sobre ellas, desde TI se utilizan tácticas de seguridad heredadas como el bloqueo en el perímetro o en el endpoint, lo cual genera fricción con los usuarios y excepciones, para no bloquear áreas de negocio. Netskope ofrece visibilidad y control granular en tiempo real para miles de aplicaciones cloud, excluyendo las que suponen un alto riesgo y permitiendo las de confianza, controlando los movimientos de datos desde dentro y fuera del perímetro. Asegurar el cumplimiento en redes sociales: Pese a sus ventajas, las redes sociales presentan un peligro significativo para la exposición de datos confidenciales y las violaciones de cumplimiento vinculadas al uso de información privilegiada, leyes de privacidad y más. Netskope proporciona control granular de las redes sociales, asegurando el cumplimiento y favoreciendo su uso seguro en la empresa. Evaluación continua de la estrategia de seguridad IaaS: La Evaluación Continua de Seguridad de Netskope para IaaS detiene los riesgos asociados a configuraciones erróneas que pueden producir que los recursos de AWS, Azure y Google Cloud Platform queden expuestos en Internet. Netskope monitoriza y audita las configuraciones de seguridad, utilizando


CONTENIDO PATROCINADO

Pese a sus ventajas, las redes sociales presentan un peligro significativo para la exposición de datos confidenciales y las violaciones de cumplimiento vinculadas al uso de información privilegiada, leyes de privacidad y más.

cimiento del contexto para equilibrar el nivel de confianza con el del riesgo vinculado al acceso. El control de acceso se realiza sobre los dispositivos gestionados por las empresas que acceden a la nube y a la web y sobre los no gestionados que acceden a los servicios cloud gestionados por TI. En ambos casos, la aplicación del contexto ayudará a abordar el riesgo y a mejorar la experiencia del usuario. Netskope ONECloud es la única plataforma nativa en cloud, que permite desde un solo punto controlar SaaS, IaaS y Web con políticas uniformes.Y es interesante

mejores prácticas como CIS, NIST, PCI para identificar errores de configuración y ayudar a remediarlos, garantizando la seguridad y el cumplimiento. Protección contra malware y software malicioso alojado en la nube y en la Web: Netskope proporciona seguridad avanzada contra el malware y el software malicioso alojado en la nube y en la web, protegiendo a las empresas contra las amenazas en tiempo real, además de las que integran los datos en reposo en docenas de aplicaciones cloud gestionadas por TI. Control de acceso adaptativo para cloud y web: Netskope utiliza el cono-

51

ver los casos de uso de seguridad en la nube que nuestros clientes están tratando con Netskope. Desde la protección contra la exposición de datos confidenciales en la nube hasta el control granular de aplicaciones en la nube no gestionadas por TI, nuestros clientes están gestionando el riesgo, protegiendo los datos y obteniendo resultados que no podrían conseguir sin Netskope. Algunos de los resultados obtenidos son completa prevención de pérdida de datos en la nube con funciones como Reconocimiento óptico de caracteres para la inspección de imágenes.


ACTUALIDAD

Últimas Noticias VMware llega a un acuerdo definitivo para adquirir Carbon Black VMware, Inc. especialista en software empresarial y virtualización, y Carbon Black compañía dedicada a la protección de terminales nativas en la nube, anunciaron que ambas compañías han firmado un acuerdo definitivo por el cual VMware adquirirá Carbon Black en una transacción en efectivo de US$26 por acción, lo que representa un valor empresarial de US$2.100 millones. Según el comunicado oficial, “La combinación de las soluciones de Carbon Black con las ofertas de seguridad de VMware, incluidas AppDefense, Workspace ONE, NSX y SecureState, creará una plataforma moderna de seguridad en la nube para cualquier aplicación, ejecutable en cualquier nube y en cualquier dispositivo. Esta oferta combinada proporcionará a los clientes detección avanzada de amenazas y una visión detallada del comportamiento de las aplicaciones para detener ataques complejos y acelerar la reacción a estos”. “Al incorporar Carbon Black a la familia VMware, estamos dando un gran paso adelante en seguridad y brindando una plataforma de nivel empresarial

para administrar y proteger las cargas de trabajo, las aplicaciones y las redes”, dijo Pat Gelsinger, CEO de VMware. “Con esta adquisición, VMware también tendrá una posición de liderazgo importante en seguridad para la nueva era de aplicaciones modernas suministradas desde cualquier nube a cualquier dispositivo” concluyó el directivo.

Grupo de espionaje despliega un novedoso conjunto de herramientas en ataques contra gobiernos El grupo de espionaje Waterbug (conocido también como Turla) ha seguido atacando gobiernos y organizaciones internacionales durante los últimos dieciocho meses, en una serie de campañas que han mostrado un conjunto de herramientas de rápida evolución y, en un ejemplo notable, el aparente secuestro de infraestructura de otro grupo de espionaje. Según el Equipo y laboratorios de seguridad y protección de redes de DeepSight Adversary Intelligence de Symantec, la actividad reciente de Waterbug puede dividirse en tres campañas distintas caracterizadas por diferentes conjuntos de herramientas. Una de las campañas implicó una puerta trasera nueva, nunca antes vista, denominada Neptun (Backdoor.Whisperer). Una segunda campaña utilizó Meterpreter (una puerta trasera disponible públicamente) junto con dos cargadores personalizados: una puerta trasera personalizada denominada photobased.dll y una puerta trasera perso-

52

nalizada de llamada a procedimiento remoto (RPC). La tercera campaña desplegó una puerta trasera personalizada de RPC distinta a la que utilizó en la segunda campaña. Esta puerta trasera utilizó código derivado de PowerShellRunner (una herramienta disponible públicamente) para ejecutar scripts de PowerShell sin usar powershell.exe. Esta es la primera vez que Symantec observa a un grupo de ataque dirigido a secuestrar y usar presuntamente la infraestructura de otro grupo. Sin embargo, aún es difícil establecer el motivo que subyace tras el ataque. Aún se desconoce si Waterbug simplemente aprovechó la oportunidad para crear confusión en torno al ataque o si el ataque implicó una planeación más estratégica.




Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.