Grupo Redinfo | Espresso
Espresso
Espresso
3080
page,page-id-3080,page-template,page-template-full_width-php,ajax_fade,page_not_loaded,,,wpb-js-composer js-comp-ver-4.1.2,vc_responsive

Espresso

Cafecito? Información entretenida para hacer una pausa...
Sensibilizando respecto a invertir en Seguridad de la Información

Blank

Los que hemos trabajado en Seguridad de la Información, nos hemos visto enfrentados en algún momento a la compleja tarea de conseguir presupuesto para realizar inversiones en consultorías de gestión como Planes de Continuidad del Negocio, Inventario de Activos de Información o Implementación de un SGSI, así como para la implementación de equipamiento tecnológico de apoyo; que por lo general desde la perspectiva del negocio, puede ser visto como una inversión innecesaria dado a que: “si no me ha ocurrido nada desde hace tiempo, porqué tendría que sucederme ahora?”…

Por otra parte los productos y servicios de seguridad generalmente son costosos, lo que nos juega en contra al momento de “sensibilizar” respecto al tema.

A continuación algunas estrategias útiles al momento de “vender” esta inversión:

Cumplimiento Normativo:

  • Si trabajamos en Bancos o Instituciones Financieras una manera eficaz de conseguir presupuesto, es ampararse en la normativa de la SBIF como es laCircular No. 3.558 (Capítulo 1-13) del 12 de Noviembre de 2013, que en el Punto 3.2 “Administración y control de los riesgos y otras materias sujetas a evaluación, Sección C) Administración del riesgo operacional” nos solicita:
    • Planificación para la infraestructura tecnológica
    • Estructura de administración de Seguridad de la Información
    • Planes de Continuidad de Negocios
    • Desarrollo de Políticas, procesos y procedimientos
    • Auditorias internas.
  • Si trabajamos en Emisores y Procesadoras de Tarjetas de Crédito, podemos ampararnos en la Circular No. 40 del 22 de Junio de 2013, Punto 7 – Anexo No. 3 “Evaluación de la Calidad de la Gestión y Control de Riesgos”, la cual nos exige una serie de requisitos para el aseguramiento de las transacciones con tarjetas, prevención de fraudes y continuidad operacional.
  • Si trabajamos en el Sector Público, el “Programa de Mejoramiento de la Gestión” basado en un Sistema de Seguridad de la Información (PMG/MEI-SSI); nos plantea la necesidad de implementar un SGSI con sus 4 etapas, siendo exigido por el Ministerio de Interior y Hacienda de Chile.

Si no estamos dentro de los sectores mencionados, un buen punto de partida es realizar un “Análisis de Impacto en el Negocio”, de manera de identificar los procesos críticos de la organización, sus activos de información relevantes, determinar el impacto financiero y de imagen institucional al momento de materializarse un desastre a nivel operativo o informático, o suframos la fuga de información confidencial a través de cualquier mecanismo, con el impacto que pudiese tener en los medios o en la competencia.

Si quieres mayor información, revisa el siguiente enlace:

Cumplimiento normativo

Cómo controlar usuarios con altos privilegios y cumplir con la normativa?

Circuito

A menudo nos vemos enfrentados a auditorias ya sea por organismos contralores externos o internos, lo que nos genera una demanda no menor de evidencia del control de nuestra plataforma tecnológica, y generalmente nos vemos enfrentados a las siguientes situaciones:

  • Usuarios genéricos con acceso a nuestra plataforma productiva.
  • Usuarios con altos privilegios con contraseñas manejadas por la gran mayoría de los funcionarios.
  • Contraseñas que no se pueden cambiar ya que afectan a una gran parte de aplicaciones productivas.
  • Actividades realizadas con usuarios de altos privilegios que provocan caídas en nuestra infraestructura y no existe registro o evidencia.
  • Pasos a producción de aplicaciones o modificaciones sin el debido control ni registro.
  • Violaciones a las políticas / procedimientos de seguridad, sin la debida visibilidad o manejo de dichos incidentes.

Llevar el control adecuado, ser alertado oportunamente y contar con la evidencia necesaria para enfrentar una auditoria o cumplir con las regulaciones puede ser bastante complicado si no se cuenta con la plataforma adecuada.

Revisa las características de la herramienta Observe IT en el siguiente enlace:

Observe IT – Redinfo

Cómo proteger nuestras bases de datos ante robo, pérdida de datos y fraudes

2e6c7d6.jpg.jpeg

No se puede mantener a nuestra organización 100% segura si no tenemos el control sobre qué está ocurriendo en nuestras bases de datos corporativas. Para ello se hace necesario incorporar tecnologías del tipo “Firewall” o Cortafuegos especializados en Bases de Datos, que se encarguen de mirar todo el tráfico generado hacia ellas, reduciendo el riesgo de actividades no permitidas, robo y/o pérdida de datos o incluso previniendo fraudes al ejecutar sentencias no autorizadas desde aplicaciones permitidas.

Algunos escenarios típicos que enfrentamos:

  • Existe un usuario/contraseña con altos privilegios sobre las bases de datos que la mayoría de la gente de TIC conoce.
  • Nuestro personal de desarrollo de sistemas, requiere acceso a las bases de datos a través de herramientas de administración como TOAD y SQL Studio por mencionar algunas, lo que muchas veces lleva a la indisponibilidad de las mismas al momento de ejecutar consultas considerables.
  • No existe enmascaramiento de datos cuando pasamos las bases de datos desde ambientes productivos a desarrollo o QA.
  • Tenemos fuga de información o muchas veces fraudes al no poder restrigir consultas críticas hacia nuestras bases de datos desde aplicaciones propietarias.
  • Requerimos de tener control sobre los usuarios con altos privilegios que acceden a las bases de datos, y los cuales muchas veces se encuentran dentro del código de nuestras aplicaciones propietarias, lo que hace imposible gestionar el cambio de su contraseña por la indisponibilidad que eso conlleva.
  • Dado a que existen regulaciones y estándares de seguridad, requerimos realizar auditoría a las transacciones que realizamos sobre las bases de datos, pero habilitar el “trace” sobre cada una de ellas resulta imposible por temas de capacidad / performance.
  • Requerimos evitar fraudes en nuestras transacciones, identificando aquellas peligrosas para nuestro negocio y aplicar filtros para que no puedan ser ejecutadas y nos alerten oportunamente al momento de detectarlas.

Una buena herramienta encontrada en el mercado es el Firewall de Bases de Datos de “Imperva” que nos puede ayudar tanto en el control del acceso hacia nuestras bases de datos y cumplir con los estándares regulatorios. Dentro de sus características podemos mencionar algunas:

  • Controla a nivel de detalle el acceso de los usuarios hacia las Tablas y al Servidor de Bases de Datos.
  • Controla a nivel aplicativo el acceso de los usuarios hacia las Bases de Datos (Ejemplo “TOAD” – “SQL Studio”).
  • Reduce el riesgo al observar todo el tráfico hacia los servidores de Bases de Datos: Identifica los comportamientos sospechosos y realiza investigaciones forenses, con evidencia concreta. Incluso con alto tráfico de conexiones de bases de datos, opera como una cámara de video investigando el tráfico en tiempo real.
  • Detiene ataques dirigidos: Provee una poderosa defensa frente a ataques dirigidos. Los mecanismos de defensas convencionales como sistemas de prevención de intrusos (IPS) y antivirus (AV) no son efectivos en este avanzado tipo de ataques. Imperva integra soluciones anti-malware para aislar dispositivos infectados previniendo el acceso a datos sensibles.
  • Protege en tiempo real: Detener ataques en tiempo real es la única manera efectiva de prevenir que intrusos accedan a los datos sensibles. Imperva monitorea el tráfico en tiempo real y analiza el tráfico de bases de datos, observando patrones de ataques a nivel de Sistema Operativo y Protocolo, también como actividades SQL no autorizadas. Para ataques sofisticados a nivel de aplicaciones, Imperva puede incluir un Firewall Aplicativo (Web Application Firewall).
  • Reduce la exposición a ataques: Por lo general toma un (1) mes en que los fabricantes liberen una actualización de seguridad desde el momento que la vulnerabilidad es descubierta. Imperva provee protección inmediata, evitando que las vulnerabilidades sean explotadas a través de la construcción de políticas automáticas.
  • Reduce los costos de operaciones de seguridad: Imperva establece una línea base de comportamiento de los usuarios, y construye reglas de acceso, incluyendo: DML, DDL, DCL, actividad de sólo lectura (SELECTs), y el uso de procedimientos almacenados. Adicionalmente identifica un usuario cuando realiza consultas inesperadas o viola políticas de acceso; alertando a los administradores y bloqueando el tráfico.

Si requieres más información, contáctanos!

BYOD y Control de Acceso a la Red

Con el creciente aumento de teléfonos inteligentes y tablets, cada vez se hace más compleja la tarea de administrar la seguridad de nuestras redes inalámbricas, ya sea por políticas muy restrictivas o la eterna lucha de la contraseña que todo el mundo conoce. Cómo llegar a un equilibrio entre el uso de los dispositivos móviles en nuestra organización, el aumento de la productividad, y el adecuado manejo de la seguridad? Esto, nos enfrenta a distintas realidades:

¿Tenemos un sistema automatizado para gestionar invitados en nuestra red?

Cuando los clientes, contratistas o terceros en general vienen a nuestra ubicación, y traen sus propios equipos, para seguir siendo productivos necesitan para acceder a Internet, y podrían necesitar recursos adicionales. Permitir el acceso sin restricciones a nuestra red genera riesgos de seguridad, y mantener la red bloqueada impide la productividad. ¿Cómo puedo permitir que los clientes y contratistas ingresen a nuestra red sin comprometer la seguridad?

¿Tenemos una estrategia de seguridad móvil?

Las personas son extremadamente dependientes de sus teléfonos inteligentes y tablets. ¿Cómo se puede habilitar una conexión segura de la mano con la productividad? ¿Cuál es nuestra estrategia de seguridad respecto al tema? Está alineada nuestra estrategia de seguridad móvil e integrada con la estrategia de seguridad de nuestras estaciones de trabajo? Sin un mecanismo de seguridad automático, los dispositivos móviles personales pueden introducir malware a nuestra red, y potencialmente ser una fuente de fuga de información.

OK, hemos asegurado nuestros “endoints”, Pero, ¿existen brechas?

Si ya hemos realizado importantes inversiones en sistemas de seguridad de punto final (endpoints) – tales como antivirus, antispyware, firewall personal, administración de parches, etc.; sabemos si cada uno de nuestros sistemas de seguridad están 100% desplegados, actualizados y operacionales? Sin darse cuenta de sus propios puntos ciegos, los sistemas basados en agentes típicamente “sobre-informan” su propio nivel de implementación, a menudo entre un 10% a 30%. A pesar de nuestros mejores esfuerzos, es probable que tengamos un vacío en la protección, y no estemos obteniendo la seguridad que pagamos.

OK, hemos asegurado el perímetro de la red, Pero ¿qué sucede al interior?

La seguridad tradicional de la red se centra en el bloqueo de ataques externos con firewalls y sistemas de prevención de intrusiones (IPS). Pero hoy en día, casi todos los acontecimientos graves de pérdida de datos se producen desde el interior. ¿Se puede seguir el ritmo de los ataques de día cero y amenazas persistentes avanzadas? Pueden los sistemas de protección de redes inalámbricas y aplicaciones ilícitas generar agujeros en nuestras defensas de la red sin nuestro conocimiento?

Por último; Automatizamos nuestros informes de cumplimiento y regulatorios?

Las auditorías de inventario de activos y de cumplimiento se hacen frecuentemente mediante procesos automatizados o semi manuales. Esto consume tiempo y es costoso. Y los informes por lo general sólo pueden ser utilizados para el análisis histórico, no para las operaciones en tiempo real, ya que los datos siempre son antiguos. ¿Podríamos tener un sistema automatizado que genere informes de cumplimiento y de inventario de activos en tiempo real?

Existen tecnologías lo suficientemente avanzadas como para manejar este tipo de situaciones, ForeScout Technologies con su dispositivo CounterACT ha desarrollado respuestas eficientes a estas interrogantes. Acá les dejo un video interesante:

BYOD

+ info: Redinfo – Forescout

SGSI y su impacto en el cumplimiento normativo: Leyes y Decretos

Un hecho importante al momento de implementar un Sistema de Gestión de Seguridad de la Información en nuestra organización, ya sea dentro del sector privado o público, es la legislación relacionada que comenzamos a cumplir con esta iniciativa; adicionalmente tener en consideración aquella que debemos respetar al momento de implementar controles de seguridad.

Acá pueden encontrar un número considerable de leyes y decretos que son interesantes de analizar y que pueden ser utilizados como argumento al momento de enfrentarnos a auditorias realizadas por organismos contralores, y porque no, utilizarlos para conseguir presupuesto al momento de definir controles de seguridad:

  • Ley N°19.799, abril de 2002. Sobre documentos electrónicos, firma electrónica y los servicios de certificación de dicha firma. Ministerio de Economía.
  • DS N°181. Reglamento Ley 19.799 sobre documentos electrónicos, firma electrónica y la certificación de dicha firma.
  • Instructivo Presidencial No 05, mayo de 2001: Define el concepto de Gobierno Electrónico. Contiene la mayor parte de las instrucciones referidas al desarrollo de Gobierno Electrónico en Chile (Sector Público).
  • Instructivo Presidencial No 06, junio de 2004: Imparte instrucciones sobre la implementación de la firma electrónica en los actos, contratos y cualquier tipo de documento en la administración del Estado, para dotar así de un mayor grado de seguridad a las actuaciones gubernamentales que tienen lugar por medio de documentos electrónicos y dar un mayor grado de certeza respecto de las personas que suscriben tales documentos (Sector Público).
  • DS N°77. Norma técnica sobre eficiencia de las comunicaciones electrónicas entre órganos de la Administración del Estado y entre éstos y los ciudadanos (Sector Público).
  • DS N°81. Norma técnica para los órganos de la Administración del Estado sobre interoperabilidad de documentos electrónicos (Sector Público).
  • DS N°158. Modifica D.S. N° 81 sobre norma técnica para la interoperabilidad de los documentos electrónicos (Sector Público).
  • DS N°83. Norma técnica para los órganos de la Administración del Estado sobre seguridad y confidencialidad de los documentos electrónicos (Sector Público).
  • DS N°93. Norma técnica para minimizar la recepción de mensajes electrónicos masivos no deseados en las casillas electrónicas de los órganos de la Administración del Estado y de sus funcionarios (Sector Público).
  • DS N°100. Norma técnica para el desarrollo de sitios web de los órganos de la Administración del Estado (Sector Público).
  • Ley No 20.285, agosto de 2008. Regula el principio de transparencia de la función pública y el derecho de acceso a la información de los órganos de la administración del Estado. Ministerio Secretaría General de la Presidencia (Sector Público).
  • Ley N° 19.628, agosto de 1999. Sobre protección de la vida privada y datos personales. Ministerio Secretaría General de la Presidencia.
  • Ley No 17.336, octubre de 1970: Sobre propiedad intelectual. Ministerio de Educación Pública.
  • Ley No 19.223, junio de 1993: Sobre delitos informáticos. Ministerio de Justicia.
  • Ley No 19.927, enero de 2004: Sobre delitos de pornografía infantil. Ministerio de Justicia.

+ info: Cumplimiento Normativo