Beruflich Dokumente
Kultur Dokumente
de red y aplicaciones
24 expertos comparten sus secretos
Patrocinado por:
NDICE
Prefacio.......................................................................................................................................................3
Introduccin............................................................................................................................................4
Construyendo y ejecutando un plan para la seguridad de su red
Cubriendo lo bsico.............................................................................................................................6
Fortaleciendo la seguridad de la informacin: un proceso a largo plazo....8
La seguridad debe ser sencilla...................................................................................................10
Sponsored by:
PREFACIO
Como resultado de nuevas tecnologas y complejidad de las aplicaciones, los retos en
la seguridad de las redes evolucionan cada vez ms rpido. Adems, varios temas de
antao continan invadiendo a las organizaciones, desde contraseas de seguridad
muy simples por parte de los usuarios, hasta mantener el software actualizado.
Esta coleccin de 14 ensayos cubre un gran nmero de temas, agrupados en cinco
reas principales, que incluyen la necesidad de planear la seguridad de la red para
hacer frente a los nuevos retos que trae consigo la ingeniera social y otras amenazas
avanzadas persistentes. Un tema relevante a travs de varios de los ensayos es la
prdida del permetro y la efectividad de las defensas tradicionales. Traer tu propio
dispositivo (BYOD, por sus siglas en ingls) y los servicios en la nube abren diversas
grietas en la red de una organizacin, lo cual requiere repensar la seguridad para
proteger los datos, y no solo los mtodos de acceso.
La plataforma de ciberseguridad de Fortinet puede enfrentar a la mayora de los
problemas mencionados en este documento. Nuestros firewalls FortiGate, ASICpowered, ofrecen el rendimiento ms rpido dentro de los Firewalls de Nueva
Generacin (NGFW) de la industria y son los cimientos de una solucin de seguridad
end-to-end que sea capaz de cubrir a los usuarios, la red, centros de datos y la nube
de una organizacin. Para los problemas que no podemos resolver directamente,
ofrecemos herramientas, tales como aplicar el cumplimiento de las polticas del
negocio en cuanto a modificaciones de contraseas y escaneo de vulnerabilidades
para las aplicaciones, con el fin de hacer frente a las debilidades.
Esperamos que estos ensayos le parezcan interesantes y que lo hagan reflexionar tal
como a nosotros, para que le ayuden a mejorar su red y las defensas de seguridad de
sus aplicaciones.
Sponsored by:
INTRODUCCIN
Debido a toda la atencin que ha recibido la seguridad de los datos en aos recientes
y todos los avances tcnicos en la deteccin de riesgos que hoy estn disponibles para
proteger las infraestructuras de red, usted se podr imaginar que los datos estn ms
seguros que antes. Desafortunadamente no es as, ya que el escalofriante nmero de
grietas recientes contradice la idea anterior. Durante los ltimos 18 meses hemos visto
brechas en Adobe, eBay, JPMorgan Chase, Target, Home Depot, Community Health Services,
y el Gobierno de los Estados Unidos que, en conjunto, comprometieron ms de 500
millones de registros. Podr el mundo ser algn da un lugar seguro para esos datos que
son vitales para los negocios y las personas?
Con el generoso apoyo de Fortinet, hemos creado este libro electrnico para ayudarlo
a entender de mejor manera los retos de seguridad a los cuales se enfrentan hoy los
negocios, en particular las empresas medianas. Este e-book es una recopilacin de
respuestas a la siguiente pregunta:
2015 Mighty Guides, Inc. I 62 Nassau Drive I Great Neck, NY 11021 I 516-360-2622 I www.mightyguides.com
Sponsored by:
Patrick Peterson
Agari...........................................................14
Eric Vanderburg
Cybersecurity Investigator.......8
Dan Twing
EMA...........................................................16
Russell Rothstein
IT Central Station...............................10
David Harley
ESET...........................................................18
Nigel Fortlage
GHY International..............................12
Ryan Dewhurst
Dewhurst Security..........................20
Sponsored by:
CUBRIENDO LO BSICO
A principios de este ao, un grupo de restaurantes de mi ciudad natal
tuvo una fuga en la informacin de las tarjetas de pago. Como
respuesta, los miembros del grupo cometieron un pecado capital:
cayeron en pnico.
SHAWN
E. TUMA
Socio,
Scheef & Stone, LLP
Shawn Tuma es un abogado que
asesora a empresarios para resolver
problemas en temas vanguardistas
como la ciberseguridad, privacidad
de datos y fraudes cibernticos. Se
especializa en propiedad intelectual
y litigacin. Shawn es autor y orador
frecuente sobre estos temas. Es
socio en Scheef&Stone, LLP, una
firma legal, con base en Texas,
que ofrece servicios comerciales y
representa a compaas de todos
los tamaos en Estados Unidos y, al
resto del mundo a travs de la de
red de Mackrell International.
LECCIONES CLAVE
1
2
Como abogado, mi papel es servir como gua en caso de intrusiones a la red. Con ese fin, trabajo con un
diverso grupo de personas leyendo este libro electrnico.
Debe entender a fondo toda la informacin que su empresa tenga a la mano: ese es siempre mi primer
consejo a los lderes de las empresas. No puede proteger lo que ni siquiera sabe que existe, as que, para
estar seguro, catalogue y clasifique todos los datos de su empresa de acuerdo con criterios definidos.
Lo siguiente es solicitar a mis clientes que evalen todos los vectores de amenazas y los puntos de
acceso externos. Esto es un tema importante: no todo es a travs de sus empleados. Si terceras personas
tienen acceso a su red corporativa, esto puede representar una importante debilidad para su seguridad
(recordemos la brecha masiva perpetrada contra Target Corp. en 2013, como resultado de hackers que
lograron entrar a travs de un proveedor de sistemas de refrigeracin que tena acceso a la red de Target).
Usted debe imponer restricciones estrictas a sus socios externos para el acceso a su red corporativa.
siquiera sabe que existe.
CUBRIENDO LO BSICO
Tercero, haga un inventario de sus inversiones en seguridad, enfocndose en sistemas
automatizados. La empresa debe contar con un firewall efectivo, un reconocido software
antivirus y sistemas tanto para la deteccin como la prevencin de intrusiones. Estas tecnologas
pueden bloquear automticamente la mayora de las amenazas conocidas. Cuando un sistema
detecta una intrusin, dispara alertas para que la empresa pueda tomar acciones defensivas
apropiadas. Las herramientas de seguridad automatizadas no solo ayudan a mantener a los
hackers a raya, sino tambin ayudan a monitorear el flujo de informacin dentro y fuera del
ambiente corporativo. Para ser ms precisos, ayudan a su empresa en el mantenimiento y
rastreo de su informacin.
Finalmente, disee un plan de respuesta ante intrusiones. Debe especificar a quin alertar el
sistema. La lista debe incluir a:
Consejero Legal
Investigadores forenses digitales; y
Un equipo administrativo para fugas internas de datos. Este equipo debe estar conformado
por el Jefe de Informacin, el Jefe de Seguridad de la Informacin, Relaciones Pblicas, el CEO
y, de ser posible, el CFO.
Hoy en da, la
mayora de las
empresas han
sufrido intrusiones
o han sido blanco
de ellas.
Tener un plan de respuesta contra intrusiones a la mano, no solo es una buena prctica interna,
tambin se ha convertido en algo esencial en materia legal. Hoy en da, la mayora de las
empresas han sufrido intrusiones o han sido blanco de ellas.
Los especialistas en regulaciones lo entienden. Lo que no entienden (y ciertamente no les
gustar) es cuando los atacantes lleguen a penetrar su compaa sin tener un plan para proteger
la informacin de sus clientes y que puedan responder de forma efectiva a dicha violacin. Esa
falla, junto con lo aqu descrito, podra significar un verdadero problema para su compaa.
Si hay una moraleja en esta historia, es la siguiente: cubra lo bsico
Sponsored by:
ERIC
VANDERBURG
Ejecutivo en Seguridad, Autor,
Investigador en Ciberseguridad
y Testigo Experto
Eric Vanderburg ha sido llamado el
Sheriff del Internet por su diligente
trabajo al proteger empresas y al
pblico de las ciberamenazas. Ofrece
consultora y escribe informacin
sobre manejo y almacenaje de redes,
ciberseguridad y administracin
de riesgos. Sus artculos han sido
publicados por importantes revistas y
traducidos a varios idiomas. Eric realiza
apariciones constantes en conferencias
y habla sobre una gran variedad
de temas de seguridad en diversos
programas de radio y televisin.
LECCIONES CLAVE
1
2
FORTALECER LA SEGURIDAD
DE SU INFORMACIN ES UN
PROCESO A LARGO PLAZO Y DEBE
INCLUIR A LOS DEPARTAMENTOS
DE OPERACIONES, RECURSOS
HUMANOS, FINANZAS Y OTRAS
UNIDADES DEL NEGOCIO, ADEMS
DEL DEPARTAMENTO DE TI.
ES IMPORTANTE IDENTIFICAR
LA SOLUCIN TECNOLGICA
ADECUADA PARA SUS
NECESIDADES DE SEGURIDAD,
PERO EL ELEMENTO HUMANO ES
IGUAL DE IMPORTANTE.
Sponsored by:
Tena esta
empresa todo
bajo control,
lo cual pudo
haber evitado
comprometer
la informacin
privada del
paciente?
10
RUSSELL
ROTHSTEIN
CEO y Fundador,
IT Central Station
Russell Rothstein es el fundador y
CEO de IT Central Station, sitio lder
en revisin de productos crowdsourced para InfoSec y otras empresas
de software. Antes de fundar IT
Central Station, Russell trabaj por
20 aos en compaas de tecnologa
como OPNET, Nolio (adquirida
por CA) y Oracle. Russell cuenta
con una licenciatura en ciencias
computacionales por parte de la
Universidad de Harvard, una maestra
en Tecnologa y Polticas por el MIT y
otra maestra en Administracin por
parte de la Escuela de Administracin
MIT Sloan.
11
Sponsored by:
12
NIGEL
FORTLAGE
Vicepresidente, TI,
GHY International
Nigel Fortlage es un lder multifactico
que supervisa todos los aspectos de los
medios sociales, participando en equipos
de desarrollo ejecutivo y de negocios. Nigel
es ejecutivo senior a cargo de las TI. Cuenta
con un certificado en administracin
aplicada por parte de la Universidad de
Manitoba y recibi el prestigioso premio
sobre innovacin otorgado por IBM. El
tambin comparte su pasin, conocimiento
y opiniones a travs de artculos, entrevistas
y ponencias pblicas tanto en Canad
como en todo el mundo. Nigel es miembro
fundador de la Asociacin CIO de Canad
y presidente del captulo de Manitoba. En
2014 y 2015, el Huffington Post lo nombr
entre los 100 CIOs ms activos en Twitter.
LECCIONES CLAVE
1
2
13
Un negocio
debe definir
su tolerancia al
riesgo y alinear
su estrategia de
seguridad con
respecto a dicha
tolerancia
Las polticas de seguridad deben ser granulares y aplicables a travs de todas las aplicaciones.
Mantngase al tanto de la constante evolucin de amenazas a la seguridad que requieren
proteccin de servicios de seguridad en tiempo real. La pregunta ms importante en los
negocios es siempre la del dinero. Por lo tanto, un negocio debe definir su tolerancia al riesgo
y alinear su estrategia de seguridad con respecto a dicha tolerancia.
Sponsored by:
14
PATRICK
PETERSON
CEO y Fundador,
Agari
Patrick Peterson es un lder
visionario de Agari y pionero en el
aseguramiento del ecosistema del
e-mail. l se uni a IronPort Systems
en el 2000 y defini sus dispositivos
de seguridad para el e-mail. Patrick
invent el SenderBase de IronPort,
el primer servicio para la reputacin
en la industria. En 2008, despus de
que Cisco adquiri IronPort, Patrick
se convirti en uno de los 13 Cisco
Fellows. En 2009, dio un giro a las
tecnologas de seguridad del e-mail
que haba desarrollado en IronPort/
Cisco, dentro de su nueva compaa:
Agari.
LECCIONES CLAVE
1
2
Una acusacin, tanto de la industria como de los practicantes es que las prioridades a corto
plazo tienden a controlarnos. Los criminales han evolucionado en su sofisticacin y ahora nos
encontramos en una guerra asimtrica, en la que ellos pueden usar una gran cantidad de tcnicas.
Estos criminales pueden tener xito en solo uno de 10 intentos o en uno de 1,000, pero es lo
suficiente para trastornar un negocio. Para asegurar que su xito sea limitado, las empresas han
respondido desplegando soluciones. El reto, claro, es que las soluciones no tengan un legado
que sea inmanejable, lo cual obstruira a las organizaciones. La clave para enfrentar este tema es
15
Una acusacin,
tanto de la
industria
como de los
practicantes
es que las
prioridades
a corto plazo
tienden a
controlarnos.
16
DAN
TWING
Presidente y COO,
EMA
Dan Twing es el responsable del
desarrollo y ejecucin de estrategias
de investigacin de mercados,
ofreciendo valor a las empresas de TI
a travs de consultora y dirigiendo el
desarrollo de productos y esfuerzos
de mercadotecnia. Lidera un equipo
de analistas que cubren temas de
administracin de TI como sistemas,
end points, almacenamiento,
seguridad, redes y administracin de
servicios, as como inteligencia de
negocios y analtica. Dan se uni a
EMA en 2005 y cuenta con ms de 30
aos de experiencia en sistemas de
informacin, desarrollo de software y
outsourcing de tecnologa.
LECCIONES CLAVE
1
2
SI SU AMBIENTE REQUERE UN
CAMBIO RPIDO, SU PROCESO
DE SEGURIDAD DEBE TENER LOS
RECURSOS APROPIADOS PARA
IGUALAR EL RITMO DE ESTE
CAMBIO.
UNA ANALTICA ADECUADA ES
ESENCIAL PARA PREDECIR Y
ADMINISTRAR LOS INCIDENTES
DE SEGURIDAD, SIN IMPORTAR
SI SU EQUIPO DE PERSONAL DE
SEGURIDAD EST COMPLETO.
El Segundo punto est relacionado con las aplicaciones heredadas. Todos quieren moverse ms
rpido, cambiar a tecnologa en contenedores para aplicaciones y utilizar DevOps para entregas
continuas. Todo ese cambio y todas esas nuevas aplicaciones acaparan todos los recursos, lo
que significa que no hay suficiente tiempo para que la seguridad se enfoque en las aplicaciones
heredadas, porque las nuevas funcionalidades son prioritarias. Como en la defensa personal, se
debe tener conciencia de la situacin, viendo no solo hacia adelante, sino tambin a los lados
y hacia atrs. En TI, se necesita ver hacia atrs para observar las aplicaciones heredadas y sus
vulnerabilidades particulares de seguridad, mientras tambin ve hacia adelante, observando la
tecnologa del futuro mientras se desarrollan nuevas amenazas.
El tercer punto involucra la creacin de una infraestructura de acceso unificado para todos los
17
ambientes. Cuando todo era conducido con una sola identidad, como el Directorio Activo
o LDAP (Protocolo Simplificado de Acceso a Directorios), era posible centralizar el manejo
del entorno. Hoy da, sin embargo, usted tiene personal disperso geogrficamente, y adems
colaboradores trabajando desde casa.
Las cosas se han vuelto ms seccionadas y distribuidas a travs de la infraestructura de la
nube tanto pblica como hbrida, por lo que se ha vuelto ms difcil tener un punto de acceso
unificado.
El cuarto punto se relaciona con la necesidad de analtica de seguridad, incluyendo analtica
conductual, deteccin de anomalas y analtica predictiva. Ver los archivos de registro,
encontrar patrones y ser capaz de predecir o ver un ataque mientras se est formando, es
clave para resolver muchos problemas de seguridad. Es muy importante ser capaz de ver un
ataque cuando se est construyendo, emitir una alerta y reaccionar antes de que se salga de
control mientras se navega por la tormenta y descifra la raz del problema. Aunque cuente
con buenas herramientas que compensen la falta de personal, no se pueden manejar los
incidentes de seguridad sin la analtica apropiada.
El quinto y ltimo punto es mantener un control de cambio apropiado tanto para la
infraestructura como para las aplicaciones. No es solo un tema de operaciones, sino tambin
de seguridad. Cuando realiza un cambio de cualquier tipo, podra estar abriendo una grieta
en la seguridad e introduciendo nuevas vulnerabilidades. Tener un buen proceso de manejo
de cambio y buenas herramientas es importante para mantener la red y las aplicaciones bajo
llave, asegurndose de que todo est perfectamente configurado y teniendo control sobre
el ambiente. Si trata de cambiar a DevOps o a un ambiente de suministros continuos en el
que va a incrementar la tasa de cambio, es mejor que tenga un buen proceso de manejo de
cambio para controlar el ritmo acelerado.
Cuando realiza
un cambio de
cualquier tipo,
podra estar
abriendo una
grieta en la
seguridad e
introduciendo
nuevas
vulnerabilidades
Si sigue estos cinco puntos, puede crear un ambiente ms seguro para la red de su
organizacin. Hacerlo requiere inversin a largo plazo, tanto de recursos humanos como
financieros, pero el esfuerzo vale la pena.
Sponsored by:
18
DAVID
HARLEY
Socio Senior, Investigaciones,
ESET
El investigador de seguridad David
Harley es un autor y editor que
radica en el Reino Unido, conocido
por sus libros e investigaciones sobre
malware, seguridad para Mac, y
pruebas de productos anti malware y
seguridad para e-mail. Despus de 11
aos de colaborar con la Fundacin
Imperial para la Investigacin del
Cncer en el rea de seguridad,
trabaj para el Centro de Evaluacin
de Amenazas del Servicio Nacional
de Salud. Desde el 2006 ha sido
consultor para la empresa de
seguridad ESET donde es socio
senior de investigaciones.
LECCIONES CLAVE
19
Es bueno contar
con una navaja
suiza, pero, a veces
se necesita una caja
de herramientas
completa.
20
NO SE OLVIDE DE LO MS BSICO
RYAN
DEWHURST
Socio Senior, Investigacin,
Dewhurst Security
Ryan Dewhurst es un apasionado
profesional de la seguridad
que tiene ms de seis aos de
experiencia en la industria. Obtuvo
los mayores honores en seguridad
ciberntica y ha recibido diversos
reconocimientos por parte de la
industria, tales como el Rising Star
de SC Magazine Europe. Ryan es
el fundador de proyectos muy
populares relacionados con la
seguridad, como DVWA y WPScan.
LECCIONES CLAVE
1
2
Este servicio almacenaba todas las propuestas y recibos del cliente, toda su informacin de
facturacin, as como los nombres y contraseas de los usuarios del sistema. Sbitamente tuve
acceso a un gran tesoro conformado por informacin corporativa sensible.
Problemas bsicos como el anterior, son los mayores riesgos a los que mis clientes se enfrentan. A
continuacin, les presento tres reglas esenciales que siempre les recuerdo:
Utilizar contraseas seguras. Debe exhortar a los usuarios de su organizacin para que seleccionen
contraseas complejas que incluyan nmeros, maysculas y caracteres especiales. Hay que
olvidarse de contraseas como password o password1, variaciones del nombre de la organizacin
y no ms nombres de mascotas. Adems, se debe considerar utilizar contraseas largas, conocidas
como pass-phrases. Usted puede motivar a sus usuarios a utilizar administradores de contraseas,
aunque estas herramientas tambin pueden tener sus propios problemas.
21
NO SE OLVIDE DE LO MS BSICO
Mantener el software actualizado. Por lo general llevo a cabo pruebas de penetracin que
todava revelan la presencia de la infame vulnerabilidad MS08-067, la cual permite a un
atacante ejecutar un cdigo arbitrario en los servidores. Esa vulnerabilidad fue descubierta
en 2008, y asegurarla solo requiere un sencillo parche. Este tipo de vulnerabilidades
deberan ser ms difciles de identificar aos despus de que los parches estuvieron
disponibles, pero en algunos casos, dichos parches no fueron aplicados, posiblemente
debido a que los administradores no supieron de su disponibilidad o de la existencia de
la vulnerabilidad. A veces los administradores no quieren ejecutar actualizaciones para
el software por el temor de que algo se pueda daar. Cualquiera que sea la razn, es
responsabilidad de cada organizacin administrar su propio riesgo y decidir cundo vale la
pena invertir en recursos. Mantener el software actualizado es la manera ms efectiva para
reducir los riesgos, sin tener que invertir en muchos recursos.
Probar el software. Sin importar si la organizacin escribe sus aplicaciones de manera
interna o las compra a terceros, debe aceptar su responsabilidad para asegurarse que el
software est escrito de manera segura. Con respecto al software propio, el director de
tecnologas de la informacin debe imponer ese requerimiento interno al implementar un
ciclo de vida para el desarrollo de la seguridad, pero tambin es posible probar software
de terceros. Se debe solicitar al proveedor la documentacin sobre pruebas de seguridad
previas o contratar a un consultor para que lleve a cabo estas pruebas.
Ningn sistema, por complejo que sea, ser 100% seguro. El software est escrito por
humanos, los humanos cometen errores, y los errores se manifiestan como bugs. An con
recursos sin lmite, Facebook y Google no son inmunes a vulnerabilidades del software.
Lo mejor que podemos hacer es asegurar los sistemas y llevarlos a un nivel que sea
administrable.
Si todo lo bsico es correcto, usted ya estar un paso adelante.
Sponsored by:
Este tipo de
vulnerabilidades
deberan ser
ms difciles de
identificar aos
despus de
que los parches
estuvieron
disponibles,
pero en algunos
casos, dichos
parches no
fueron aplicados.
22
Dave Waterson
SentryBay............................................29
John Maddison
Fortinet, Inc......................................25
Linda Cureton
NASA......................................................31
Robert Shullich
AmTrust Financial
Services................................................27
Sponsored by:
23
ALEX
PAPADOPULOS
Director de Operaciones,
Striata Inc.
Alex Papadopulos es el director
de operaciones de Striata Amrica
y encabeza actualmente todas
las operaciones tcnicas para
Norte, Centro y Sudamrica. Es
responsable de todas las reas de
operaciones tcnicas y proyectos,
incluyendo administracin de
proyectos, soporte, desarrollo e
implementacin de proyectos. Alex
tiene ms de 12 aos de experiencia
en el campo de las TI, enfocndose
primero en la presentacin de
facturacin electrnica, facturacin y
en la administracin de la cadena de
suministro.
LECCIONES CLAVE
1
2
24
Sponsored by:
Hemos detallado
polticas de
seguridad que
especifican
todo, desde
cmo manejar
nuestros sistemas
internos hasta los
requerimientos
de seguridad
y expectativas
de nuestros
proveedores.
25
JOHN
MADDISON
Vicepresidente de
Mercadotecnia,
Fortinet, Inc.
John Maddison tiene ms de
20 aos de experiencia en las
industrias de las telecomunicaciones,
infraestructura de TI y seguridad.
Antes trabaj como Gerente
General de la divisin de Centros
de Datos y como Vicepresidente
Senior de Core Technology en Trend
Micro. Previamente fue Director
Senior de Administracin de
Productos en Lucent Technologies.
Ha vivido y trabajado en Europa,
Asia y los Estados Unidos. John
se gradu como Ingeniero
en Telecomunicaciones de la
Universidad de Plymouth, en el
Reino Unido.
Website I Blog
26
Una estrategia
que vemos es
que las empresas
aseguran su red
interna desde
adentro.
El problema real, para las empresas pequeas y grandes por igual, es no tener los recursos
que necesitan para implementar la seguridad que deberan tener para conseguir el nivel
de proteccin que requieren. Con frecuencia, no se dan cuenta de ello hasta que han
sufrido una intrusin. Encontrar el balance perfecto entre el costo, los niveles de seguridad
y la proteccin de datos no es fcil. Los negocios necesitan un socio confiable que tenga
personal calificado y certificado. Las empresas deben construir una relacin personal con
ese socio de confianza
Sponsored by:
27
ROBERT
SHULLICH
Arquitecto de Seguridad
Empresarial,
AmTrust Financial Services
Robert Shullich es un arquitecto de
seguridad empresarial en AmTrust
Financial Services. Por ms de 30
aos ha trabajado a nivel senior en
el sector de servicios financieros, en
puestos de informacin de riesgos y
seguridad de la informacin. En su
puesto actual, asesora sobre riesgos
de informacin a proyectos de TI
y propone controles adicionales o
cambios en el diseo que reducen
riesgos en los proyectos. Tambin
ha enseado el manejo de riesgos
cibernticos a nivel maestra.
Twitter I Website
LECCIONES CLAVE
1
2
MUCHAS ORGANIZACIONES NO
TIENEN INVENTARIOS DE SUS
ACTIVOS. LA REALIDAD ES QUE
USTED NO PUEDE PROTEGER LO
QUE NO SABE QUE TIENE.
LA FALTA DE CONOCIMIENTO
SOBRE LA SITUACIN EN SU
TOTALIDAD ES EL RESULTADO DE
LA DESAPARICIN DEL CONCEPTO
DEL PERMETRO
28
El personal
de seguridad
necesita hacer
bien su trabajo
cada hora del
da, pero los
ladrones de
datos necesitan
hacerlo bien solo
una vez.
La realidad aqu es que la mayora de las empresas no estn en el negocio de pelear contra
los hackers. Estn en el negocio de hacer negocios. Tienen un departamento de seguridad o
personal que hace ese trabajo lo mejor posible para enfrentar los riesgos para que la empresa
pueda minimizarlos y que sus operaciones generen ingresos. Pero tambin existen los
ladrones profesionales de informacin, quienes operan 24x7 para encontrar cmo robar esa
informacin. El personal de seguridad necesita hacer bien su trabajo cada hora del da, pero los
ladrones de datos necesitan hacerlo bien solo una vez.
Sponsored by:
29
DAVE
WATERSON
CEO,
SentryBay
Dave Waterson, Fundador y CEO de
SentryBay Limited, es un tecnlogo
de seguridad de la informacin y un
inventor de tecnologa patentada
en las reas de anti-phishing y
anti-key logging. Con base en
Londres, Dave ha guiado compaas,
desde el inicio, para convertirse en
lderes reconocidos en el sector
del desarrollo de software para la
seguridad de la informacin, con
soluciones de seguridad para PC,
mviles, la nube y el Internet de
las Cosas. Dave tiene una maestra
en Economa y es un Profesional
Registrado en Sistemas de Seguridad
de la Informacin (CISSP).
LECCIONES CLAVE
1
2
EL ENFOQUE DE LA RED DE
SEGURIDAD DE LAS EMPRESAS
NECESITA MOVERSE MS CERCA
DEL NCLEO DE LA EMPRESA:
CERCA DE LA INFORMACIN.
MS ALL DE LAS SOLUCIONES
TCNICAS, LOS PROCEDIMIENTOS
Y LOS EQUIPOS DE RESPUESTA
RPIDA NECESITAN ESTAR
DISPONIBLES.
30
Pienso que las empresas hoy en da ya se han dado cuenta de que no es una cuestin de si
sern vctimas de una intrusin, sino de cundo sern atacadas. El secreto de asegurar la red
de la empresa es enfocarse en el nivel de la informacin.
Sponsored by:
31
LINDA
CURETON
Ex CIO,
NASA
Linda Cureton es CEO de Muse
Technologies y ex CIO de NASA.
Tiene ms de 34 aos de experiencia
en la administracin de TI y a
nivel de gabinete federal de los
Estados Unidos. Linda tiene una
licenciatura en matemticas por
parte de la Universidad de Harvard
y una maestra y post-maestra en
matemticas avanzadas aplicadas
por parte de la Universidad Johns
Hopkins. Ella es una estratega
innovadora, lder, inagotable
bloguera y pionera del uso de las
redes sociales a nivel federal. Linda
ha recibido muchos premios y es
una autora de libros ms vendidos.
LECCIONES CLAVE
1
2
32
una ms complicada, pero este problema es mucho ms grande que un simple tema de
passwords. Las organizaciones necesitan entender que estas amenazas van a un nivel mucho
ms profundo.
Entender los factores de las amenazas y riesgos ayuda a guiarlo hacia mejores aproximaciones
de defensa. Una buena forma de entender estos riesgos es que las organizaciones piensen
en ellos desde el principio. Invertimos mucho tiempo y recursos verificando la casilla junto
al anlisis de riesgos, pero realmente no indagamos para descifrar cules son las verdaderas
amenazas. Necesitamos hacer una buena evaluacin a la antigua sobre cules son nuestros
riesgos, los cales varan de empresa a empresa.
Tambin invertimos mucho tiempo y recursos entendiendo el cumplimiento de normas y
hacindolo para poder encaminarnos a encontrar la proteccin adecuada. Nos presionamos
para cumplir con la gran lista de cosas que pueden o no aplicar a la situacin de nuestra
organizacin. Sera mejor si invirtiramos ese tiempo evaluando los riesgos. Si entendemos
nuestros riesgos, podemos priorizar los elementos en esa gran lista, seleccionar los ms
crticos y encontrar la solucin correcta para mitigarlos.
Como siempre, tenemos la tendencia de buscar una solucin nica que resuelva todo, pero
este escenario simplemente no aplica. Hay una gran cantidad de soluciones en el mercado.
Son tantas que se ha convertido en un problema. Cmo elegir la correcta? Algunos piensan
que lo nico que se debe tener es un firewall, pero no solo el firewall, tambin proteccin
contra intrusiones, un buen mecanismo de autenticacin, buena topologa de red, y la lista
sigue para que cuando se presente una fuga, sea capaz de recuperase mejor.
No hay una bala mgica que detenga cada riesgo de seguridad. La verdadera seguridad
requiere una defensa en capas, con varias soluciones en conjunto para obtener el tipo
de proteccin adecuada que cumpla con las necesidades de su organizacin. Ninguna
herramienta por s sola mantendr a salvo su red y su informacin.
Sponsored by:
La verdadera
seguridad
requiere una
defensa en
capas, con varias
soluciones en
conjunto para
obtener el tipo
de proteccin
adecuada que
cumpla con las
necesidades de
su organizacin
33
Will Lefevers
Constant Contact........................38
Steven Weiskircher
ThinkGeek, Inc...............................36
Sponsored by:
35
SER PROACTIVO
Una vez form parte del equipo de evaluacin de un actor
famoso. l haba instalado muchos dispositivos de seguridad
digitales y estaba confiado de que su vida en internet era a
prueba de hackers. Pero no lo era.
LECCIONES CLAVE
TOM
ESTON
Gerente, Pruebas de
Penetracin,
Veracode
Tom Eston es gerente de Pruebas de
Penetracin en Veracode. En aos
anteriores su trabajo se enfoc en
la investigacin para la seguridad.
Lider proyectos en la comunidad de
la seguridad, mejor metodologas
de pruebas y el manejo de equipos.
Tambin es un bloguero de seguridad
y fue co-conductor del podcast Shared
Security. Tambin es orador frecuente
en grupos de usuarios de seguridad
y en conferencias internacionales
como Black Hat, DEFCON, DerbyCon,
Notacon, SANS, InfoSec World, OWASP
AppSec y ShmooCon.
Este simple movimiento le dio acceso a mi equipo a muchos detalles personales del actor.
Nos permiti hackear su cuenta de Twitter y luego su e-mail. Cambiamos las constraseas de
prcticamente, todas las cuentas que tena.
En cuestin de das, nos habamos infiltrado en toda su vida digital. No es necesario decir que el
actor estaba en shock.
Aqu hay una importante leccin para las empresas: muchas responden a sus vulnerabilidades solo
despus de una fuga. Eso no es suficiente. Mi punto es que la mentalidad en la defensa corporativa
debe volverse proactiva.
A continuacin, les presento tres de los retos ms grandes en seguridad electrnica para las
empresas que operan en el mbito digital:
36
SER PROACTIVO
Ingeniera Social. La mayora de las violaciones a corporaciones inician mediante e-mails
con phishing, con llamadas, o con el delincuente entrando al edificio afirmando que trabaja
ah. A esto se le llama Ingeniera social porque el delincuente se aprovecha del deseo
natural del ser humano de confiar.
Desde la perspectiva de seguridad de una computadora, esto es un vector de ataque peligroso.
Es el mismo que us mi equipo para hackear a nuestro amigo actor. Me consterna lo fcil que
es explotar el factor humano.
Vulnerabilidad de las aplicaciones. Las aplicaciones de red son el front end de la mayora
de las empresas y la manera en que muchas de ellas hacen dinero. En aos recientes,
nuevas capas de complejidad han sido introducidas tras bambalinas para permitir que
las aplicaciones trabajen en la nube. Con la complejidad, viene el error humano. Con
frecuencia encuentro que las empresas no se toman el tiempo adecuado para instalar
sistemas de seguridad en la infraestructura de sus aplicaciones o para realizar las pruebas
apropiadas de seguridad desde un inicio. Esto es verdad, incluso hoy en da, cuando la
seguridad es una de las prioridades de la mayora de los ejecutivos.
Malas configuraciones de sistemas. Esto tambin, por lo general es ignorado. Las
consolas para administracin de redes, incluso los sistemas de produccin, con frecuencia
permanecen con sus configuraciones de fbrica, accesibles a travs de contraseas
predeterminadas. Al fortalecer los cdigos de las aplicaciones y la infraestructura donde
residen, se debe invertir tiempo en esta pieza. Como delincuente, si puedo acceder a su
consola de administracin de red usando una contrasea predeterminada, ya no me
importara la aplicacin. Puedo acceder a todo desde su servidor.
Simule sus
propias pruebas
de ingeniera
social para que
sus empelados
conozcan
cmo son estos
ataques y qu
deben hacer en
caso que ocurran
37
LO QUE NO ME DE JA DORMIR
En una ocasin, intent convencer a equipo de administracin
ejecutiva para invertir en un sistema de prevencin de
LECCIONES CLAVE
intrusiones (IPS) y un firewall a nivel aplicaciones (WAF). No
LOS DEPREDADORES EXTERNOS,
los impresion. Quin podra atacarnos? Preguntaron.
LAS AMENAZAS INTERNAS
Y LMITES QUE SE ROMPEN
Para responder a esa pregunta, mont un servidor de muestra,
EN LA RED, SON GRANDES
con parches actualizados, justo en la parte exterior del firewall
PREOCUPACIONES.
corporativo. En los siguientes tres minutos, haba escaneado
y mapeado robticamente el firewall. En los siguientes 12
UN EXHAUSTIVO ANLISIS DE
minutos, estaba bajo un ataque directo. Eso los convenci.
RIESGOS DEBERA SER PARTE DE
CUALQUIER IMPLEMENTACIN
Eso fue hace mucho tiempo, pero an hoy, la gente ve la
DE NUEVA TECNOLOGA,
PARTICULARMENTE AL TRABAJAR
inversin en seguridad como una pliza de seguro que nunca
CON TERCEROS.
utilizarn. Eso es, en parte, el por qu estos tres desafos me
mantienen despierto por las noches.
Depredadores externos. Estos son los atacantes e infames bots que tocan a la puerta, da y
noche, golpeando por todos lados las defensas de mi permetro tratando de ingresar. Como
detallista en lnea, todo el tiempo lidiamos con ello. Tambin veo los efectos adicionales
de otras intrusiones. La informacin de la cuenta o tarjeta de crdito de cualquier persona
puede ser comprometida durante una fuga de informacin de otro minorista. Entonces estos
individuos usan la informacin de esa cuenta en otro sitio. Ms recientemente, vi un cambio
en este tipo de fraudes donde la informacin de una cuenta que fue comprometida durante
una intrusin masiva, fue vendida o intercambiada con otro individuo. Esta persona intenta
entonces comprar un producto para despus devolverlo a cambio de dinero. Ni siquiera tienen
que tomarse la molestia de hackear la cuenta de alguien, si ya hay una amplia oferta de cuentas
que han sido previamente comprometidas de donde seleccionar.
Lmites que se rompen. Las redes conocidas y los lmites de las aplicaciones estn fallando
STEVEN
WEISKIRCHER
CIO
ThinkGeek, Inc.
Steve Weiskircher tiene ms de
19 aos de experiencia como un
lder directo en la industria del
e-commerce, ha trabajado como
director de informacin de mltiples
e-tailers incluyendo Crutchfield,
Fanatics y, ms recientemente,
ThinkGeek, donde es responsable
de los equipos de tecnologa y
experiencia del usuario. Steve
estudi la carrera de ingeniera
mecnica en Virginia Tech y tiene
una maestra en administracin de
sistemas de informacin por parte
de la Universidad de Virginia.
Twitter I Website
38
LO QUE NO ME DE JA DORMIR
a un ritmo increble. Los servicios en la nube, junto con la nueva moda de los empleados
jvenes de Trae tu propio dispositivo (BYOD), estn reventando los lmites. Solamos
tener permetros amables y una extensa administracin de dispositivos, pero esos tiempos
se acabaron. Ahora debemos proteger nuestra informacin de forma continua, siempre
conectados con un mundo donde ya no existen permetros claros. Es bastante simple: ya
no tenemos la misma medida de control.
Amenazas internas. Estas amenazas vienen por parte de empleados descontentos
o contratistas, que buscan beneficiarse con los datos crticos de la empresa. Es difcil
protegerse contra cada posible vector de amenaza que involucre empleados con acceso
a informacin sensible y a Internet. Se ha vuelto muy fcil mover grandes volmenes de
datos sin ser detectados. Mientras esto ocurre, el escenario ms probable es la creacin
de una brecha no intencional que el empleado o contratista puedan crear. Los contratistas
subcontratados pueden ser un riesgo muy particular, con frecuencia se les otorga acceso
directo o privilegiado al interior de la red. El reto es que usted no administre los dispositivos
o las redes a las que se conectan. Tales exposiciones no intencionales pueden crear brechas
a travs de todas sus defensas.
Hay pasos que puede tomar para la mitigacin. Los proveedores como Fortinet y otros
ofrecen IPS avanzado, WAF y herramientas centralizadas de inicio de sesin. Estas tecnologas son requerimientos para cualquier
servidor web o interfaz expuesta para programacin de aplicaciones. Realizar evaluaciones regulares sobre posibles amenazas es
clave. Los escaneos a las vulnerabilidades, tanto externas como internas, tambin deben hacerse de manera regular. Los das en que
simplemente se instituan restricciones a las direcciones IP o incluso firewalls de inspeccin de estado, se terminaron.
Para los riesgos basados en la nube, en conjunto con la evaluacin de amenazas, recomiendo un anlisis de riesgos exhaustivo. Debe
ser parte de cualquier implementacin nueva de tecnologa, particularmente al trabajar con terceros. Una prueba de penetracin total
o evaluacin de vulnerabilidades inicia con un escaneo automatizado, pero tambin debera tener personal ejecutando cuidadosas
evaluaciones sobre la administracin de riesgos. Qu informacin se guarda en ese servidor? Qu sistemas o redes puede acceder?
Debera restringir el acceso o acordonarlo en su totalidad?
Sera grandioso que hubiera algo como una lista ordenada y universal de seguridad. Desafortunadamente, la seguridad de la
informacin no es una receta que podamos seguir. Vivimos en un mundo gris, ni blanco ni negro. Por lo tanto, la seguridad siempre
ser una combinacin de tecnologa avanzada y gente inteligente. Solo a travs de una clasificacin cuidadosa de los factores de riesgo
podr establecer la estrategia adecuada para mitigar el peligro
La seguridad
siempre ser una
combinacin
de tecnologa
avanzada y gente
inteligente.
Sponsored by:
39
WILL
LEFEVERS
Arquitecto lder de seguridad
informtica,
Constant Contact
Will Lefevers es un arquitecto de
seguridad de la informacin. Tiene 15
aos de experiencia, los cuales incluyen
despliegues militares en operaciones
satlite, contrainteligencia, operaciones
cibernticas e investigacin de
vulnerabilidades. Antes de trabajar en
Constant Contact, Will fue el ingeniero
de aplicaciones de seguridad para una
multimillonaria plataforma en la nube de
ltima generacin. Su enfoque incluye
la deteccin de amenazas internas,
anlisis conductual, ingeniera inversa
de malware, y la cacera de agentes
amenazantes en redes en vivo. Will es
tambin un vido destilador y escribe
cdigos excepcionalmente comunes.
LECCIONES CLAVE
Para ser claro, estoy cazando cazadores gente que piense como los chicos malos. Gente que
estudie el delito y se mantenga al tanto de los ms recientes acontecimientos de la subcultura
hacker. Gente que pueda escribir exploits y malware, y que sepa exactamente por qu esa nueva
vulnerabilidad se va a esparcir como fuego en el subsuelo ruso. Gente que pueda conseguir el
archivo mdico completo de alguien a precio del mercado negro. Gente que sepa mezclarse tanto
con ejecutivos de traje como con los punks. Gente que convierta su estilo de vida en la vanguardia
40
Sponsored by:
La realidad es
que cada uno de
nosotros seremos
vctimas de una
intrusin. Todos
experimentaremos
ese vibrante
torrente de pnico
y emocin.
41
Sponsored by:
Erlend Oftedal
F-Secure..................................................43
42
MIKHAEL
FELKER
Director de Seguridad de la
Informacin,
VC backed eCommerce
Mikhael Felker es director de
seguridad de la informacin de una
empresa en crecimiento ubicada
en Santa Mnica, California. Su
experiencia profesional incluye
una mezcla de seguridad de la
informacin, privacidad, enseanza,
periodismo tcnico y liderazgo
sin fines de lucro en industrias
como defensa, salud, educacin
y tecnologa. Mikhael tiene una
maestra en polticas y manejo de
seguridad de la informacin por parte
de la Universidad Carnegie Mellon
y un ttulo profesional en ciencias
informticas por parte de la UCLA.
Twitter I Blog
43
Es ms
importante que
nunca involucrar
a profesionales
de seguridad de
la informacin
durante las
primeras etapas
del proyecto.
44
ERLEND
OFTEDAL
Consultor Senior en
Seguridad,
F-Secure
Erlend Oftedal ha trabajado como
desarrollador de software y evaluador
de seguridad por ms de 10 aos. Ha
sido orador en varias conferencias
de seguridad y tambin desarrolla
herramientas de seguridad de cdigo
abierto. Erlend est al frente del
captulo de OWASP en Noruega.
Twitter I Blog
LECCIONES CLAVE
45
Sponsored by:
La mejor
proteccin
contra estas
amenazas es
la deteccin
temprana y
una respuesta
rpida.
46
Matthew Witten
Martins Point Health Care......53
David Fosdike
IT Investigations.................................48
Peter Schawacker
Optiv Security, Inc...........................55
Simone Jo Moore
SJM..............................................................50
Scott Stewart
Deloitte..................................................58
Sponsored by:
48
MICHAEL
KRIGSMAN
Analista de la Industria y
Fundador,
cxotalk.com
Michael Krigsman es el fundador
de cxotalk,com. Es reconocido
internacionalmente como un analista de
la industria, consejero estratega, abogado
corporativo y comentarista de la industria.
Como columnista para ZDNet, Michael
ha escrito ms de 1,000 artculos sobre
software empresarial, la nube, CRM,
ERP, colaboraciones y alineacin entre
el TI y las lneas de negocio. Michael es
con frecuencia jurado en prestigiosos
concursos de la industria como el CIO 100
de la Revista CIO y CRM Idol. Tambin es
fotgrafo, cuyo trabajo ha sido publicado
por The Wall Street Journal, el MIT y
CNET News.
LECCIONES CLAVE
1
2
49
Sponsored by:
La realidad
es que pocas
organizaciones,
sin importar su
tamao, pueden
empatar su
seguridad con
las capacidades
que ofrecen los
proveedores de
servicios en la
nube.
50
DAVID
FOSDIKE
Consultor Principal de
Seguridad y Forense,
IT Investigations
Durante los aos 70, David Fosdike
administr y program la computadora
central de IBM y luego las computadoras
de rango de medio de IBM y DEC. Se
especializ en redes y despus en seguridad.
Despus de 30 aos, se cambi del sector
privado a la consultora forense. El rango
de sus clientes de seguridad en TI va
desde autoridades gubernamentales hasta
minoristas nacionales y organizaciones
educativas. Tiene una maestra en sistemas
de seguridad de la informacin (con
honores) adems de mltiples certificados
y diplomas. David es muy activo en las
redes sociales en cuanto a temas como la
seguridad de la informacin. Tambin es un
instructor calificado y certificado.
Twitter I Website
51
Sponsored by:
Salvo que
usted est
pensando en
la arquitectura
real de su red
y su permetro,
puede terminar
con brechas que
ni siquiera sabe
que existen.
52
COMUNICACIN Y CULTURA
Como consultora de diseo para la administracin de servicios
de TI, veo a otros con las habilidades tcnicas necesarias para
realizar implementaciones a nivel superficial. Desde mi punto
de vista, sin embargo, puedo identificar tres grandes retos de
la infraestructura de las aplicaciones de la empresa y de la
seguridad de su red:
La gente; entender los riesgos; y
Entender el papel de la empresa en la seguridad
SIMONE
JO MOORE
La gente
Consultora Senior y
Capacitadora Experta,
SJM
Simone Jo Moore trabaja con mltiples
organizaciones a nivel internacional,
sondeando las mentes y corazones de
lo que hace pulsar a un negocio y las
TI, particularmente la pltica ingeniosa
que lleva de la evolucin y revolucin
al arranque del pensamiento, conducta
y acciones de la gente a cualquier nivel.
Est activamente comprometida a travs
de varios canales en redes sociales, en
los que comparte sus ms de 20 aos
de experiencia en cuanto a diseo
estratgico y operativo de los negocios,
desarrollo y transformacin. Ella sigue
cuatro principios clave de negocio: gente
conectada, conocimiento compartido,
posibilidades descubiertas y potencial
realizado.
LECCIONES CLAVE
1
2
LA AUTOMATIZACIN ES MUY
IMPORTANTE: SOLO RECUERDE
QUE TODA LAS SOLUCIONES SON
DISEOS HUMANOS Y, POR LO
TANTO, VULNERABLES.
EL ENTRENAMIENTO CONTINUO Y
LA COMUNICACIN SON TAREAS
MEDULARES EN LA SEGURIDAD DE
LA RED.
Todos deberan entender las polticas corporativas de seguridad de las TI. Tendrn que leer las
polticas al ingresar a la organizacin y saber que la seguridad existe. Sin embargo, generalmente
veo que muchos no saben sobre lo ms bsico, como evitar compartir sus contraseas o publicar
informacin de la empresa en sus redes sociales. Todos juegan un papel en la seguridad de la
organizacin: el elemento que falta es la comunicacin.
El enfoque necesita iniciar con un curso de induccin para todos los empleados. En vez de solo
leer las polticas, deben entender completamente las consecuencias de sus acciones en cuanto a
la seguridad. El personal de nuevo ingreso en el departamento de TI, como parte de su perodo de
prueba de tres meses, debera recibir un extenso y continuo entrenamiento sobre todos los puntos
conflictivos de la red, vulnerabilidades y acciones que deben ser tomadas en caso de que surja
Sponsored by:
53
COMUNICACIN Y CULTURA
una amenaza. Tambin deben entender el flujo de informacin a travs del sistema y cmo
cualquier informacin liberada o cdigo alterado puede amenazar la seguridad.
Hacer que esto se entienda no tiene que ser ni muy difcil, pero tampoco muy fcil. Mejorar el
flujo de comunicacin, usar los canales correctos con el personal y crear una cultura sobre la
importancia de la seguridad, logra maravillas.
Entender los riesgos
Algunas veces, las empresas no entienden su propia actitud hacia el riesgo, por lo que no
lo evalan bien. Industrias como los servicios financieros son, por naturaleza, enemigas del
riesgo y tienden a ver la seguridad como una inversin valiosa. Algunas empresas nuevas, en
contraste, se enfocan tanto en penetrar el mercado que prefieren arriesgarse. Quiz eso est
bien, pero ninguna institucin debera enfocarse en la seguridad a ciegas.
La solucin para este desafo es similar al primero: se reduce al entrenamiento y a la
concientizacin mientras se mejora el conocimiento y habilidades del personal. Realice
profundas evaluaciones de riesgos y busque soluciones automatizadas disponibles que lo
ayuden a identificar los riesgos. Luego determine la cantidad apropiada de inversin deseable
por su compaa en lnea con la exigencia de resultados por parte de los accionistas.
Entender el papel de la empresa en la seguridad
El departamento de TI est ah para entender, facilitar y defender los resultados de la empresa.
Aun as, algunas veces hay una desconexin entre las exigencias del negocio y lo que hace
el departamento de TI. No es para tanto que al departamento de TI le falte tecnologa o la
capacidad para reaccionar, ya que desde la perspectiva de negocios no hay un entendimiento
pleno del impacto de los resultados que arroja la seguridad.
Sponsored by:
Las
preocupaciones
sobre la
seguridad de
la red, fluyen
continuamente
a travs de
la estrategia,
diseo,
transicin y
operaciones.
54
Vaya ms all
de las pruebas.
Algunas
organizaciones
contratan
a hackers
para atacar,
deliberadamente,
sus sistemas.
Sponsored by:
55
MATTHEW
WITTEN
Director de Seguridad de la
Information,
Martins Point Health Care
Matthew Witten ha desarrollado y
dirigido numerosos equipos de seguridad
de la informacin, respuesta ante
incidentes y pruebas de penetracin.
Actualmente es el director de seguridad
de la informacin en Martins Point
Health Care. Matthew fue el CISO para el
Gobierno Metropolitano de Louisville y
la Universidad de Louisville. Cuenta con
una amplia experiencia en seguridad
de la informacin y co-desarroll un
programa de amplio uso de respuesta
ante incidentes y riesgos. Tiene una
maestra en administracin de empresas,
as como certificados en CISSP, CISA y
CRISC.
LECCIONES CLAVE
1
2
56
asegurarnos que todos nuestros empleados entiendan cmo evitar situaciones de riesgo o
cmo alertar a las personas correctas cuando algo sospechoso est pasando.
Recomiendo implementar entrenamientos continuos a los usuarios que incluyan temas que
ellos enfrentan en su vida diaria. Enviamos nuestro boletn informativo que describe cmo
los usuarios pueden protegerse a ellos mismos mientras compran en lnea. Por ejemplo, justo
antes que inicie la temporada de Navidad. Tambin hemos realizado exitosos almuerzos
de trabajo en los que montamos un laboratorio y fingimos que estamos en una zona con
cobertura WiFi en una cafetera, luego les mostramos a los asistentes lo fcil que es conseguir
acceso no autorizado a un telfono o computadora dentro de ese ambiente. Recientemente
ingres a una nueva empresa y estoy empezando a ver los frutos de nuestros esfuerzos aqu.
Pero una manera en la que supe que estbamos haciendo la diferencia en mi ltimo empleo
fue cuando comenc a recibir e-mails de diferentes usuarios, unas cuatro o cinco veces al da,
en los que me decan: Oye, me lleg este e-mail sospechoso. Eso me mostr que estbamos
empezando a tener algo de xito.
Al evaluar cuidadosamente los retos nicos que conllevan las soluciones en la nube,
asegurarse de que tiene desplegada la infraestructura para seguridad de redes adecuada, y
proactivamente capacita a sus usuarios con respecto a las amenazas que evolucionan, puede
mover la aguja hacia una seguridad de la informacin preventiva. No requiere poco esfuerzo,
pero logra un impacto significativo para bien.
Sponsored by:
Recomiendo
implementar
entrenamientos
continuos a
los usuarios
que incluyan
temas que ellos
enfrentan en su
vida diaria.
57
PETER
SCHAWACKER
Director de Soluciones de
Inteligencia para la Seguridad,
Optiv Security, Inc.
Peter Schawacker lidera el Centro
de Excelencia para Soluciones de
Inteligencia en Seguridad de Optiv
Security. Desde finales de los 90s, ha
sido analista, ingeniero, evangelista de
la tecnologa y gerente en el campo
de la seguridad de la informacin. Es
tambin un experto en la prctica de
tecnologas e inteligencia en seguridad.
Ha dado paso a la creacin de centros
de operaciones de seguridad para
empresas pertenecientes a las 500
de Fortune, tanto del sector industrial
como gubernamental. Peter es un
pionero en la aplicacin de prcticas
en el desarrollo del software Agile para
la seguridad de productos.
Website
LECCIONES CLAVE
1
2
LA EMPRESA, EL DEPARTAMENTO
DE TI Y LA GENTE ENCARGADA
DE LA SEGURIDAD NECESITAN
ENTENDER LAS METAS DE LA
ORGANIZACIN Y TRABAJAR COMO
EQUIPO PARA ALCANZAR ESAS
METAS, MIENTRAS SE MANTIENE
UN AMBIENTE SEGURO.
EL DEVOPS DEBERA SER
CONSIDERADO PARA CREAR
VERSIONES MS PEQUEAS Y
MS FRECUENTES DE PARCHES DE
SEGURIDAD Y ACTUALIZACIONES.
ESTO PUEDE REDUCIR EL
NMERO DE PROBLEMAS EN
LA SEGURIDAD QUE RESULTAN
DE LA ACTUALIZACIN DE LAS
APLICACIONES.
58
Sponsored by:
Los
administradores
de la seguridad
necesitan mostrar
a la empresa y
a los lderes del
departamento
de TI, el valor
de las cargas
fraccionadas, de
las versiones ms
frecuentes y de la
estandarizacin.
59
Sponsored by:
Entonces, tiene
a gran parte
del mundo de
cabeza, y aun
as trata de
hacer las cosas
como si tuviera
la esperanza
de que los
servidores
centrales
regresaran.
60
SEGURIDAD SOCIAL
Uno de mis clientes, descubri recientemente que un
competidor haba entrado en su red. Por un largo periodo,
LECCIONES CLAVE
personas externas tuvieron libre acceso a su informacin
LA INGENIERIA SOCIAL ES
sobre bienes races. Fue todo un impacto. Los miembros
PROBABLEMENTE LA MAYOR
de la empresa del cliente pensaban que ellos haban hecho
VULNERABILIDAD EN LA
SEGURIDAD DE SU RED.
las cosas correctamente, invirtieron tiempo y dinero y
pensaron en los permetros de seguridad, herramientas y
SER BUENO CON SUS EMPLEADOS
procesos. Desafortunadamente, descuidaron el aspecto
ES PARTE IMPORTANTE DE UN
humano de la seguridad. Me refiero a la ingeniera social, la
PLAN SLIDO PARA ENFRENTAR
LOS RETOS A LA SEGURIDAD.
cual es el truco que los hackers utilizan para entrar en las
redes a travs de la manipulacin inocente y del impulso
natural del ser humano de confiar. Es una de las tcticas ms comunes que se utilizan para
ingresar a las redes.
SCOTT
STEWART
Director, Asesora en
Tecnologa,
Deloitte
Scott Stewart es director de la Prctica
de Asesora en Tecnologa de Deloitte,
enfocado en asesorar a CIOs, estrategias
de TI y estrategias de suministro. Con
base en Australia, Scott ha ofrecido
servicios de consultora de TI a diversas
organizaciones multinacionales
de la Regin Asia-Pacfico, Medio
Oriente y los Estados Unidos. Scott
es un experimentado ejecutivo TIC
(Tecnologas para la Comunicacin e
Informtica) que por muchos aos se
ha desempeado como Director de
Informacin en el sector de servicios
financieros. Es tambin un reconocido
analista senior de la industria y director
de investigacin.
61
SEGURIDAD SOCIAL
Involucre a toda la empresa. La seguridad no es solo responsabilidad del personal de TI.
Una campaa de concientizacin sobre seguridad debe incluir a los ejecutivos. Estos autodenominados luditas, ms adelante pueden ser su vulnerabilidad y generar peligro.
Mantenga una estrategia disciplinada. Si no cuenta con ella, encuentre una. Siempre les
pido a mis clientes que inicien con los cuatro pasos de la ciberseguridad, como se esboza en
el manual de Deloitte de 2014, Ciberseguridad: Empoderando al CIO, el cual los gua rumbo a
un acercamiento ms disciplinado y estructurado.
En general, lo ms importante de los cuatro pasos del manual incluye:
Estar preparado. Esta es la estrategia para lograr la seguridad a travs de la vigilancia y la
flexibilidad. Tambin incluye el establecimiento de un proceso de monitoreo, planeacin y
prueba, respuesta y de seguros.
Fijar estndares altos. Esta es la estrategia para lograr capacidades de seguridad por diseo.
Involucra el establecimiento de una estrategia basada en los riesgos y alineada con el
negocio. Identifique y proteja los activos valiosos y ajuste la arquitectura para garantizar que
la estrategia de seguridad pueda ser alcanzada.
Cubrir lo bsico de manera correcta. Este es el paso de seguridad por control. Incluye
instalar protocolos de acceso e instalar parches frecuentes. Adems, administre los archivos
vulnerables, asegure los sistemas esenciales, elabore pruebas peridicas y lleve a cabo
anlisis de causas originales.
Establecer proteccin personal. Deloitte describe esto como seguridad a travs del comportamiento, que es cultivar una
continua concientizacin de la seguridad, liderar desde la cima y tener claras las consecuencias de una mala conducta. Tambin
motive la adopcin de las prcticas de seguridad en casa.
El manual de Deloitte est basado en la premisa de que los ejecutivos y miembros del consejo deben tener la camiseta puesta, en
todo lo relacionado con la ciberseguridad. Los funcionarios corporativos son tan responsables con los accionistas como lo es el CIO.
Un comentario final: Los invito a meditar sobre un elemento adicional del factor humano en lo que se refiere a la informacin y
seguridad de la red. Un mal estilo de administracin puede generar empleados descontentos. Esta persona puede transformarse
rpidamente, de ser un trabajador leal a ser una amenaza para la seguridad de la informacin. Igualmente, un empleado mal pagado y
poco apreciado puede caer en la tentacin y entregar informacin en un intento de congraciarse con el competidor que ms le pague.
Mi punto es que, al ser un buen lder y administrador del personal y al ser bueno con sus empleados, estar contribuyendo con un
elemento clave para la informacin holstica y la estrategia de seguridad de redes.
Los ejecutivos
corporativos
son tan
responsables
con los
accionistas como
lo es el CIO.
Sponsored by:
62