MAYO 2016
CENTRO DE OPERACIONES DE SEGURIDAD – SOC EXTERNALIZACIÓN DE SERVICIOS DE SEGURIDAD
SEGURIDAD DE LA INFORMACIÓN
SEGURIDAD UN COMPROMISO COMPARTIDO ENTRE IT Y EL CEO ¿CÓMO HACKEARON LOS PANAMA PAPERS?
CIRCULA CON AMÉRICA ECONOMÍA • 4.000 EJEMPLARES
ASESORÍA • REPARACIONES • ESTUDIOS DE CALIDAD DE ENERGÍA
energía sin interrupciones
INGENIEROS EXPERTOS EN UPS
www.nobreak.com.ec
GUAYAQUIL: Av. Luis Plaza Dañín y Av. de Las Américas - Telfs.: 04 600 5515 - 04 600 3986 QUITO: Leonardo Murialdo Oe 112 y Av. Galo Plaza Lasso - Telf.: 02 2416 760 - 0999 444 039
notas del
EDITOR
Seguridad de la información
N
os enfrentamos a un panorama de amenazas de seguridad cada vez más dinámico. Las empresas están expuestas y se vuelven vulnerables a ciberataques y propensas a que su información privilegiada sea arrebatada, razón por la cual es necesario adoptar mecanismos
de protección ante posibles vulnerabilidades y prever ataques. Hoy en día las medianas y grandes empresas consideran a la seguridad informática como parte fundamental para la operatividad, gestión y reputación del negocio. Y en esta dinámica la externalización de servicios de seguridad es una tendencia, sobre todo en estos momentos, en que las empresas deben enfocarse en el negocio. Los Centros de Operación de Seguridad, SOC son una de las alternativas que ponemos a consideración de los encargados de la seguridad y CIO como una opción para delegar actividades de monitoreo y gestión de seguridad. Si eres líder de tecnología y quieres recibir de cortesía la revista IT ahora, escríbenos a: info@itahora.com Comentarios o sugerencias escríbanos a redaccion1@itahora.com
Directora Janeth Martinez - janeth.martinez@itahora.com Editora Anavela Herrera - anavela.herrera@itahora.com Redacción Karen González - redacción1@itahora.com Colaboradores Marcelo Erazo Relaciones Públicas Cora Hevás Una producción de Innovacom 593.2.601 6511 / 593.2.224 7910 SÍGUENOS EN: @itahora / Revista de Tecnologia online del Ecuador itahora www.itahora.com
I
SEGURIDAD
Servicios y SOC, L alternativas para la estrategia de seguridad
4
a información y datos son el intangible de mayor valor en las empresas y también el foco de amenazas externas. Los CIO o CISO tienen la misión de velar por el buen manejo de la misma y tomar las acciones del caso a la hora de asegurar la información. Una de las posibilidades es utilizar los servicios de seguridad e inclusive acceder a los Centro de Operaciones de Seguridad o también conocidos como SOC. Ramón Valdez, consultor y experto de seguridad, señala que en el país existe una amplia oferta y demanda de servicios de seguridad impulsada sobre todo por las normativas gubernamentales que exige a las empresas el cumplimiento de una serie de parámetros. A través del acceso a servicios de los Centro de Operaciones de Seguridad o SOC, siglas en inglés, las empresas pueden responder de manera rápida a los incidentes de seguridad.
SEGURIDAD Andrés Galindo, gerente de Desarrollo de nuevos Negocios de Digiware, menciona un estudio sobre los servicios administrados de seguridad de Frost & Sullivan que señala que el mercado de América Latina se incrementó en 2015 “se habla de un crecimiento del orden del 15,2% en dólares”. El aumento de este rubro se debe a la necesidad de las empresas de hacer frente a amenazas cada vez más complejas, con recursos limitados. Para Valdez la seguridad de la información es amplia, afecta desde a las áreas técnicas, administrativas, control, gestión de recursos humanos, etc., sin embargo, las empresas se confían en que no tendrán incidentes. El experto señala que las empresas deben prever los incidentes de seguridad y definir una estrategia en la que se asigne recursos, “hay que considerar el flujo de la información de la organización y definir qué es lo que no puedo dejar de hacer y buscar opciones de seguridad, y es allí donde los SOC se convierten en una opción” Sin embargo, Valdez comenta que la organización no puede delegar todo, es necesario un interlocutor interno, alguien que entienda que está haciendo, qué se espera y hasta dónde se le debe exigir al proveedor del SOC.
RAMÓN VALDEZ, Consultor y experto de Seguridad.
I
I
SEGURIDAD “A pesar de contar un servicio externo de SOC no estoy delegando la responsabilidad sobre mis datos e información, solamente se delega cierta parte de la gestión, recursos y apoyo para ciertos procedimientos. Pero la seguridad sigue estando bajo la misma organización y el encargado de la seguridad es el departamento de IT”.
teriores, detección de acceso de control avanzado, correo seguro y cifrado, etc.
Los SOC ofrecen servicios gestionados de seguridad como la gestión y administración remota de los dispositivos de seguridad, servicios de monitoreo, correlación de eventos sobre la infraestructura y consolidación de la información relevante de la organización para la toma de acciones pos-
La infraestructura de un SOC está compuesta además, de un equipo con personal especializado y altos niveles de seguridad como control de acceso físico, protección de equipos frente a fluctuaciones eléctricas, cifrado de datos, etc., destinado a dar un servicio de seguridad gestionada a una serie de clientes.
En el país existe una oferta de empresas tanto locales como externas con oficinas en el país que proveen servicios de seguridad.
Un SOC con acción desde fuera
ANDRÉS GALINDO, gerente de Desarrollo de nuevos Negocios de Digiware
Digiware es una empresa con oficina sucursal en Ecuador que cuenta con un iSOC compuesto por dos centros de cómputos de nivel tipo tier IV, ubicado en una zona franca y otro en el NAP de las Américas. Según la experiencia de Andrés Galindo, gerente de Desarrollo de nuevos Negocios de Digiware, los servicios más solicitados a nivel de operación de seguridad son el de monitoreo, que se basa en hacer visible lo invisible para un cliente, encontrar los riesgos en los diferentes dispositivos y la red del cliente, este servicio es el que más se busca debido al nivel de madurez en el Ecuador a nivel de seguridad. Galindo prevé que en unos años la búsqueda de apoyo en la gestión de seguridad, detección de malware, protección de portales entre otros también serán los servicios que demanden las empresas ecuatorianas.
Para definir el tipo de servicios de seguridad El CIO debe:
1
Validar si la organización prefiere OPEX vs CAPEX, hoy en día la tendencia es CAPEX.
2
Que las soluciones saquen el mayor provecho por lo que buscará la tercerización de su administración.
3
Acompañar las inversiones, con el desarrollo de procesos y también de capacitación.
Los SOC deben cumplir estándares mínimos de seguridad tales como ISO 27001 y otras que consideren personal experto, los procesos adecuados y la tecnología de punta para cubrir los diferentes riesgos.
Algunos
SOC en el país 6
• SOC de CNT para sus clientes • Telconet • Telefónica • Centro de Respuesta de Incidentes CSIRT- CEDIA • EcuCERT, Centro de Respuesta a Incidentes
Informáticos de la Agencia de Regulación y Control de las Telecomunicaciones • Cyber SOC’s de Netsecure • Radical • SecureSoft
I
SEGURIDAD CLAUDIO CORTÉS, gerente General de Radical
CIBERCRIMINALES Y PROTECCIÓN PROACTIVA EN UN SOC Los cibercriminales llevan la delantera a las empresas ecuatorianas señala Claudio Cortés, gerente General de Radical, empresa proveedora de servicios de seguridad. En el 2015 existieron más de 6000 vulnerabilidades, los hackers lograron explotar el 10% de ellas mientras que las empresas, en el mejor de los casos, indica Cortés, lograron parchar las vulnerabilidades de los sistemas operativos, aunque el 74% de las vulnerabilidades a aplicaciones, se demoraron en parchar 192 días por cada una.
Para Cortés, las empresas no tienen un plan de remediación de vulnerabilidades y tampoco poseen visibilidad de anomalías en los protocolos que utilizan los hackers dentro de la red (como por ejemplo IRC), esta es la razón por la que un hacker permanece dentro de la red de las organizaciones un promedio de 208 días sin ser detectados.
“Menos del 5% de las empresas tienen personal y tecnología para monitorear la seguridad” Actualmente, las empresas buscan proteger el perímetro a través de firewall de siguiente generación, siglas en inglés NGFW, y a los usuarios, con software antimalware. Sin embargo, estos componentes, si bien es cierto son esenciales, no ayudan en la protección proactiva de las vulnerabilidades ni entregan visibilidad de anomalías para determinar si el índice de comprometimiento en la empresa ha crecido, indica Cortés.
Consideraciones a la hora de seleccionar un SOC
Las empresas generalmente carecen de procesos de interpretación de eventos de seguridad correlacionados, análisis de protocolos, procesos de análisis de vulnerabilidades y mitigación de riesgos. Por lo que se hace necesario recurran a la ayuda de un Centro de Operaciones de Seguridad, SOC, que incluya personal entrenado, procesos y equipamiento tecnológico adecuado.
Cumplir con las leyes de protección de datos, debe exigir que el SOC se encuentre radicado en Ecuador, sugiere Claudio Cortés de Grupo Radical Revisar el número de protocolos a ser analizados para detectar brechas de seguridad Detallar con qué frecuencia se realiza el análisis de vulnerabilidades y pedir que el SIEM permita ubicar equipos de recolección de logs en las premisas del cliente para que estos no salgan de su entorno. Evaluar las certificaciones de seguridad del personal así como la continuidad del negocio. Del lado del cliente según Jack Sánchez, de Netsecure, se recomienda que al menos tengan documentados sus procesos core del negocio e identificados por proceso los elementos que intervienen en una transacción. Evaluar financieramente al proveedor de los servicios de SOC Que el proveedor sea el propietario del SOC. Alta disponibilidad. Redundante. Que sea un SOC certificado y normado. Validar que su información estará segura firmando acuerdos de confidencialidad y pólizas de seguro.
8
I
SEGURIDAD “Un CIO no puede seguir desarrollando estrategias de seguridad en base a conocimientos tradicionales sino que requiere de estrategias de seguridad basadas en los riesgos actuales de su negocio, hacer un análisis del nivel de madurez actual de su seguridad, y tomar decisiones en base a la evaluación de la efectividad de su programa actual”.
DE LA SEGURIDAD PERIMETRAL A LA SEGURIDAD CENTRALIZADA
JACK SÁNCHEZ, gerente de Negocios de Netsecure
Los continuos ataques de seguridad evidenciaron la necesidad de protección pero sobre todo a adoptar modelos a la “medida” de los atacantes. “Los modelos tradicionales que se manejaban consistían simplemente en tener protección perimetral, y unas cuantas protecciones que se manejaban por separado, y fueron evolucionando a medida que los atacantes “evolucionaron” y hoy la seguridad se da como protección por capas y protegiendo la información de dentro hacia fuera, hasta consolidarlos y ahora sean administrados de manera centralizada y por expertos”, manifiesta Jack Sánchez, gerente de Negocios de Netsecure, empresa especializada en Seguridad de la Información. Con esta evolución las empresas pueden adoptar esos modelos a través de un SOC donde un grupo de especialistas altamente entrenados y regidos por normas y estándares de la industria trabajan contra las diferentes amenazas de seguridad. Toda organización, comenta Sánchez, hoy en día debe contar con los servicios de un SOC especializado como un servicio de protección y prevención ante los ataques como un mecanismo para reducir costos y evitar la curva de aprendizaje de manera que “sale más conveniente y económico” adquirir el servicio a “los especialistas”.
10
Un compromiso y misión compartidos
E
n el estudio sobre Riesgos Cibernéticos & Seguridad de la Información en las Entidades Financieras realizado el 2015 por la firma Deloitte a los Chief Security Officers/Chief Information Security Officers (CISOs) a 51 instituciones de la industria financiera en 12 países de Latinoamérica incluyendo Ecuador, señala que las principales iniciativas de inversión en seguridad en las entidades son el cumplimiento regulatorio de aspectos vinculados con seguridad de la información, el mejoramiento de indicadores y reportes a nivel ejecutivo, la concientización y la protección de información sensible. 71% 72%
39% 29%
33%
0% Cumplimiento regulatorio y legislativo de seguridad de la información
Capacitación y concientización en seguridad de la información 2014
Protección de datos
2015 Fuente: Deloitte
Además, señala que en el 69% de las empresas encuestadas, los ejecutivos de todas las áreas de negocio incluyendo tecnología están comprometidos con la seguridad de la información; mientras que el 13% solo los ejecutivos de tecnología, el 9% solo ejecutivos de negocio. Las cifras reflejan la importancia del trabajo en conjunto de IT y los ejecutivos de alto nivel del negocio. José Gallegos, jefe de Tecnología en ARCA Continental Ecuador, señala que existe plena disposición y conocimiento de los CEO sobre la necesidad de impulsar temas de seguridad, “los CEO y las organizaciones tienen ya una cultura sobre los riesgos y vulnerabilidades de seguridad y la tarea que cumple el área de tecnología”.
4%
7% 9% 13%
Solo a los ejecutivos del negocio Solo a los ejecutivos de tenconolgía Tanto a los ejecutivos de negocio como de tecnología
69%
Ni a los ejecutivos de negocio ni a los de tecnología No aplica / No sabe Fuente: Deloitte
I
SEGURIDAD
SEGURIDAD, EL MEJOR RETORNO ES LA CONFIANZA
E
n las instituciones financieras, la protección de la información tanto en sus servicios on line y off line requiere de sistemas que brinden alertas ante posibles intentos de intrusión a sus plataformas tecnológicas. En los procesos de definición de servicios de seguridad en estas entidades se realiza un análisis y se toman en consideración brechas de seguridad a nivel de hardware y software, todo con el objetivo de tener una infraestructura de seguridad robusta, acompañada de niveles de servicio y respuesta a incidentes. Fabián Barboza, especialista de Seguridad en una entidad financiera, menciona que al momento de pensar en seguridad de la información se debe considerar a los datos como un activo al mismo que hay que blindarlo con seguridades que hagan frente a los ciber-delincuentes que tratan de acceder a dichos recursos por diversas formas para inhabilitar servicios o robar información.
FABIÁN BARBOZA, especialista de Seguridad de la información
EL ÁREA DE IT MANEJA LOS NIVELES DE SERVICIO
L
Al tener un plataforma tecnológica con altos niveles de seguridad, hacen que la confianza y credibilidad de los clientes de la banca sea vea cada día más afianzada. De allí, que la inversión en seguridad es clave, comenta el ejecutivo. Barboza enfatiza que en las implementaciones de tecnología y seguridad no siempre hay un retorno de inversión visible, pero sí un retorno intangible que se traduce en confianza de los clientes en la institución, el incremento del uso de los canales electrónicos y en las facilidades de acceso a tecnología de manera segura.
os servicios son el futuro, comenta José Gallegos, jefe de Tecnología en ARCA Continental, al referirse a la provisión de servicio pagado bajo demanda tanto de plataformas, software, y seguridad. Sobre los servicios de un SOC comenta que apoyan las tareas de seguridad pero al final del día el área de IT es la que maneja los niveles de servicio, comenta. Desde un SOC te dan el soporte y la ayuda para manejar vulnerabilidades, incidentes de seguridad, reportes en asuntos de monitoreo para la toma de decisiones. Uno de los aspectos de interés para las empresas al acceder a servicios externos es la posibilitad de reducción de costos, Gallegos menciona que los servicios de un SOC tienen la ventaja de contar con recurso humano especializado con soporte 24/7 y un SOC puede ayudar a que la organización crezca. Aunque sostiene que antes es necesario evaluar las necesidades, la realidad de infraestructura del negocio.
12
JOSÉ GALLEGOS, jefe de Tecnología en ARCA Continental
WWW.NEXSYSLA.COM
CONFIDENCIALIDAD Y COSTOS OCULTOS
N
o existe una fórmula que indique el costo de inversión en seguridad, sin embargo, como experiencia se debería invertir todo en cuanto asegure que no exista posibilidad de un fraude, robo, posibles ataques o fugas de información, dice Andrés Montenegro, gerente de Control Interno de Tecnología de Diners Club del Ecuador. Para Montenegro los beneficios de asumir los servicios de un SOC permite reducir costos debido a que los proveedores tienen el conocimiento y práctica de seguridad en varios ámbitos tecnológicos, y en algunos casos hasta legales, lo cual significa un ahorro importante en el mantenimiento y actualización constante del personal que trabaja en la identificaciones de brechas de seguridad. Sin embargo, hay que tomar en cuenta, dice Montenegro, los riesgos que conlleva, como el conocimiento por parte del SOC de información sensible de la organización y a pesar de contar con contratos de confidencialidad que tratan de proteger la información, no mitiga efectivamente el problema del mal uso de dicha información. Adicional, se debe considerar los costos ocultos de manejar un servicio de SOC como por ejemplo: ¿Qué pasa si se debe cambiar de SOC debido a que el mismo deja de dar servicios, los costos del nuevo SOC pueden ser más elevados? ¿El servicio de SOC contratado podrá realizar las actividades con la misma habilidad que si se los hubiera realizado internamente por el conocimiento y experiencia del personal de la organización? ¿Costos propios del traslado de conocimiento del personal de la organización hacia el servicio del SOC?.
EN NEXSYSAPP
ENCUENTRAS EL PORTAFOLIO DE SEGURIDAD MAS COMPLETO!
NexsysApp, la aplicación que les permite a nuestros Socios de Negocio contactar a nuestros Gerentes de Producto y conocer el amplio portafolio que ofrecemos. Además podrán obtener información actualizada de primera mano sobre nuestros eventos, promociones y demás novedades.
Descarga YA y descubre todas nuestras soluciones. Disponible en el
App Store
Disponible en
Disponible en BlackBerry http://NexsysdeEcuador.mobapp.at
Nexsys del Ecuador
ANDRÉS MONTENEGRO, gerente de Control Interno de Tecnología de Diners Club del Ecuador
Nexsys Latinoamérica
@NexsysEcuador Nexsys de Ecuador
Nexsys Latinoamérica www.nexsysla.com/ECU
Nexsys Quito: Juan Ramírez N35-20, Germán Alemán. | Tel: (593) 2 3979200 Nexsys Guayaquil: Parque Empresarial Colón, Edificio Corporativo 3, Piso 2 Ofi 204. TTel: (593) 4 2136586 / 7
I
SEGURIDAD
¿Cómo hackearon los Panama Papers? Por MARCELO ERAZO Experto en Seguridad Informática marceloerazo@hotmail.com
U
n poco de Historia, en el año 2013 Suddeutsche Zeitung realizó una investigación basada en la base de datos creada por Daniel O’Huiginn, un hacker británico que ató la información de registro de las empresas en Panamá con los directores en la nómina. Otro hacker, Aaron Swartz indicó públicamente que estaba interesado en el proyecto de transparentar toda la información ya que no se lograba conseguir los nombres de los individuos que las controlan.
Por el momento, dejaremos esta historia como evento aislado. Así como la sentencia de 50 años a prisión de Aaron Swartz (razón por la que se suicidó) en un polémico juicio por obtener ilícitamente “papers” o documentos científicos, los dueños de la información incluso se negaron a presentar cargos porque “es como si quisieran mandar a prisión a alguien por sacar demasiados libros de la biblioteca”. Tras un largo silencio, Suddeutsche Zeitung fue contactado por una fuente anónima que indicó que su vida estaba en peligro si se daba a conocer su identidad. 2,6 Tb de información y 11.5 millones de documentos estaban en manos de un hacker. Aquí trataremos de explicar cómo lo hizo basado en la información publicada hasta el momento. Un vocero de Mossack Fonseca anunció que el servidor de correo electrónico fue comprometido por los hackers. En efecto, la empresa tenía un Outlook OWA no parchado desde 2009, correos no cifrados, sin activar el protocolo seguro TLS. Lo que explicaremos a continuación es cómo a través de movimientos laterales, pudieron acceder al servidor. Las estadísticas muestran que los ataques avanzados per14
sistentes duran un promedio de 208 días. El ataque a Mossack Fonseca fue uno de estos ya que se requirió de mucho tiempo para sacar toda esa cantidad de información. El atacante envió un spear phishing o estafa focalizada con un malware que permitía tomar control del PC. Consiguió información de las personas que trabajan allí porque el directorio completo estaba publicado en Internet. Buscando información en redes sociales, creó un email personalizado para que la víctima con un doble click, le permita entrar a la red. Las estadísticas muestran que el 50% de los spear phishings en los que el cliente hace click, lo realizan dentro de la primera hora de ser recibidos. Luego de ello, el hacker necesitaba hacer movimientos laterales, no existe por el momento información forense de cómo ocurrió, sin embargo, el malware pudo haber aprovechado que el Client login portal no estaba parchado desde el año 2013 y era vulnerable a DROWN Attack, que explota protocolo SSLv2 (obsoleto e inseguro). Incluso el portal “para el acceso seguro de sus clientes” utiliza Open Source CMS Drupal, no parchado desde el año 2013, con 25 vulnerabilidades incluyendo SQL injection, un mecanismo de ataque web, que permite ejecución de códigos arbitrarios. El sitio central utiliza WordPress desactualizado hace tres meses lo que permite acceder a archivos cargados al backend del sitio si se adivina la estructura del URL. Estas vulnerabilidades probablemente fueron aprovechadas para hacer movimientos laterales y ejecutar el exploit al servidor de correo. Así, poco a poco, consiguieron contextualizar la información para saber qué tipo de datos necesitan sacar de la red. Todo el malware de las máquinas y del servidor de correo se conectaban al centro de mando y control C&C donde fugó la información. El resto es la historia que todos conocemos como los Panama Papers o Papeles de Panamá.
SECURE YOUR INFORMATION SECURE YOUR BUSINESS HACKERS
FUGA DE INFORMACIÓN
EXTORSIÓN Y CHANTAGE
SOLUCIONES
CONTINUIDAD DEL NEGOCIO Y RECUPERACIÓN DE DESASTRES
Pruebas Avanzadas de Penetració y Explotación Táctica de Sistemas (Ethical Hacking). Antimalware, Autenticación de Doble Factor y Cifrado. Firewall NextGen, Web Application Firewall, Antispam y UTM. Antifraude, Antiphishing y Monitoreo de DNS. Monitoreo de infraestructura. DLP - Data Loss Prevention. Solución de correo electrónico en la nube para empresas. Servidores NAS. Backups y Recuperación de Información. Solución contra Amenazas Persistentes Avanzadas – APTs. Plataforma para la gestión global y unificada de SGSI, ISO 27001, ITIL, EGSI, etc. Seguridad de Bases de Datos. SIEM + Unified Security Management & Threat Intelligence.
CENTRO DE OPERACIONES DE SEGURIDAD SOC
ANÁLISIS DE VULNERABILIDADES
PARCHE VIRTUAL
Analizamos sus vulnerabilidades aplicativas, infraestructura y bases de datos
Parchamos de manera virtual sus vulnerabilidades para prevenir ataques
REPORTE RTE HOLÍSTICO DE SEGURIDAD
ANÁLISIS DE AME AMENAZAS DENTRO DE SU RED
Correlación de eventos de seguridad ad d a través é de un Siem
Hacker dete detectado
MITIGUE EL RIESGO Y MEJORE SU POSTURA DE SEGURIDAD
OUTSOURCING DE CIBERSEGURIDAD
PROCESOS D
E
P
PERSONAS R
I
M
E
R
TECNOLOGÍA N
I
V
E
L
Av. Diego de Almagro y Pedro Ponce Carrasco - Edificio Almagro Plaza oficina 816 • Teléfono: 593-2-3909 088 E-mail: info@gruporadical.com • www.gruporadical.com