You are on page 1of 63

Asegurando su infraestructura

de red y aplicaciones
24 expertos comparten sus secretos

Patrocinado por:

NDICE
Prefacio.......................................................................................................................................................3
Introduccin............................................................................................................................................4
Construyendo y ejecutando un plan para la seguridad de su red
Cubriendo lo bsico.............................................................................................................................6
Fortaleciendo la seguridad de la informacin: un proceso a largo plazo....8
La seguridad debe ser sencilla...................................................................................................10

La verdadera seguridad requiere entendimiento


y una aproximacin en niveles................................................................................................31
Mantenindose adelante de los hackers
Ser proactivo........................................................................................................................................34
Lo que no me deja dormir...........................................................................................................36
Cazando a los cazadores..............................................................................................................38

Los mayores retos: velocidad y complejidad.................................................................12

Protegiendo contra APTs y ataques con base en aplicaciones

Muchas soluciones, pocas respuestas.................................................................................14

Las aplicaciones representan los mayores


riesgos actuales de seguridad....................................................................................................41

Cinco puntos clave para asegurar su


infraestructura de red y aplicaciones...................................................................................16
Creando un caso de negocios para una seguridad ms slida..........................18
No se olvide de lo ms bsico..................................................................................................20

La deteccin atrasada de amenazas y una respuesta lenta: las mayores


amenazas................................................................................................................................................43
El factor humano y una cultura de la seguridad
La seguridad es un problema tcnico y humano .....................................................46

Protegiendo el corazn de su red


Administrar la seguridad del vendedor
es algo crtico para nuestro negocio....................................................................................23
Asegurar los datos vitales es el mayor de los retos..................................................25
La desaparicin del permetro es el mayor
reto de seguridad...............................................................................................................................27
Ms cerca del corazn....................................................................................................................29

Sponsored by:

An los mejores firewalls pueden ser comprometidos.........................................48


Comunicacin y cultura................................................................................................................50
La informacin efectiva en seguridad
requiere una educacin a fondo del usuario.................................................................53
Personas, tecnologa y seguridad .........................................................................................55
Seguridad social..................................................................................................................................58

PREFACIO
Como resultado de nuevas tecnologas y complejidad de las aplicaciones, los retos en
la seguridad de las redes evolucionan cada vez ms rpido. Adems, varios temas de
antao continan invadiendo a las organizaciones, desde contraseas de seguridad
muy simples por parte de los usuarios, hasta mantener el software actualizado.
Esta coleccin de 14 ensayos cubre un gran nmero de temas, agrupados en cinco
reas principales, que incluyen la necesidad de planear la seguridad de la red para
hacer frente a los nuevos retos que trae consigo la ingeniera social y otras amenazas
avanzadas persistentes. Un tema relevante a travs de varios de los ensayos es la
prdida del permetro y la efectividad de las defensas tradicionales. Traer tu propio
dispositivo (BYOD, por sus siglas en ingls) y los servicios en la nube abren diversas
grietas en la red de una organizacin, lo cual requiere repensar la seguridad para
proteger los datos, y no solo los mtodos de acceso.
La plataforma de ciberseguridad de Fortinet puede enfrentar a la mayora de los
problemas mencionados en este documento. Nuestros firewalls FortiGate, ASICpowered, ofrecen el rendimiento ms rpido dentro de los Firewalls de Nueva
Generacin (NGFW) de la industria y son los cimientos de una solucin de seguridad
end-to-end que sea capaz de cubrir a los usuarios, la red, centros de datos y la nube
de una organizacin. Para los problemas que no podemos resolver directamente,
ofrecemos herramientas, tales como aplicar el cumplimiento de las polticas del
negocio en cuanto a modificaciones de contraseas y escaneo de vulnerabilidades
para las aplicaciones, con el fin de hacer frente a las debilidades.
Esperamos que estos ensayos le parezcan interesantes y que lo hagan reflexionar tal
como a nosotros, para que le ayuden a mejorar su red y las defensas de seguridad de
sus aplicaciones.

Sponsored by:

Ciberseguridad avanzada, desde


adentro hacia afuera
Fortinet es una compaa lder e
innovadora, que ofrece una plataforma
integrada de soluciones de ciberseguridad
con alto desempeo que cubren desde el
centro de datos hasta la nube, brindando
servicio a pequeas y medianas empresas,
as como a grandes corporativos de todo el
mundo.
Fortalecida por el ms alto nivel de
la industria en cuanto a inteligencia
en tiempo real, y reconocida con un
sinnmero de certificaciones por parte
de terceros, Fortinet resuelve los retos
ms importantes de la ciberseguridad de
ms de 210,000 organizaciones. Confe
en Fortinet para que se haga cargo de su
seguridad, para que usted se haga cargo de
su negocio.
Conozca ms en Fortinet.com

INTRODUCCIN
Debido a toda la atencin que ha recibido la seguridad de los datos en aos recientes
y todos los avances tcnicos en la deteccin de riesgos que hoy estn disponibles para
proteger las infraestructuras de red, usted se podr imaginar que los datos estn ms
seguros que antes. Desafortunadamente no es as, ya que el escalofriante nmero de
grietas recientes contradice la idea anterior. Durante los ltimos 18 meses hemos visto
brechas en Adobe, eBay, JPMorgan Chase, Target, Home Depot, Community Health Services,
y el Gobierno de los Estados Unidos que, en conjunto, comprometieron ms de 500
millones de registros. Podr el mundo ser algn da un lugar seguro para esos datos que
son vitales para los negocios y las personas?
Con el generoso apoyo de Fortinet, hemos creado este libro electrnico para ayudarlo
a entender de mejor manera los retos de seguridad a los cuales se enfrentan hoy los
negocios, en particular las empresas medianas. Este e-book es una recopilacin de
respuestas a la siguiente pregunta:

Cules son los retos ms importantes a los cuales se


enfrenta para dar seguridad a su infraestructura de
red y aplicaciones?
Diversos analistas de la industria, consultores y expertos en seguridad han ofrecido respuestas
a esta pregunta. Nos han brindado informacin fascinante sobre los retos de la ciberseguridad
a los cuales nos enfrentamos hoy, tales como los temas de seguridad ms desafiantes debido
al carcter cambiante de la infraestructura y la prdida del permetro de la red, dentro de un
entorno de aplicaciones en evolucin, falta de conciencia sobre seguridad en cuanto a los
usuarios y una complejidad que aumenta cada da con respecto a las soluciones de seguridad.
Los ataques y el robo de datos tambin se han convertido en un gran negocio, que se lleva a
cabo por parte de entidades sofisticadas, muy bien patrocinadas.
La seguridad y la vigilancia conforman una lucha sin final, pero confo en que usted encontrar
tiles las diversas perspectivas ofrecidas por aquellos que se encuentran en el frente de batalla,
mientras usted trabaja para asegurar sus propias infraestructuras.

Les deseo lo mejor,


David Rogelberg
Editor

Estas guas ofrecen un panorama


muy completo sobre cada tema
y adems son autoritativas. Lo
ayudarn a explorar, comparar
y contrastar una gran variedad
de puntos de vista para que
pueda determinar lo que le
puede funcionar mejor. Leer una
Mighty Guide es como si tuviera
su propio equipo de expertos.
Cada corazonada y sincera
recomendacin en esta gua se
encuentra junto al nombre del
colaborador, su biografa y ligas
de inters para que usted pueda
aprender ms acerca de su trabajo.
Esta informacin de respaldo le
ofrece un contexto adecuado sobre
la perspectiva de cada experto
independiente.
Los consejos de los mejores
expertos le ayudarn a tomar
mejores decisiones. Decisiones
slidas que lo harn muy efectivo.

2015 Mighty Guides, Inc. I 62 Nassau Drive I Great Neck, NY 11021 I 516-360-2622 I www.mightyguides.com
Sponsored by:

Construyendo y Ejecutando un Plan para


la Seguridad de su Red
En esta seccin...
Shawn E. Tuma
Scheef & Stone, LLP.....................6

Patrick Peterson
Agari...........................................................14

Eric Vanderburg
Cybersecurity Investigator.......8

Dan Twing
EMA...........................................................16

Russell Rothstein
IT Central Station...............................10

David Harley
ESET...........................................................18

Nigel Fortlage
GHY International..............................12

Ryan Dewhurst
Dewhurst Security..........................20

Sponsored by:

CUBRIENDO LO BSICO
A principios de este ao, un grupo de restaurantes de mi ciudad natal
tuvo una fuga en la informacin de las tarjetas de pago. Como
respuesta, los miembros del grupo cometieron un pecado capital:
cayeron en pnico.

SHAWN
E. TUMA
Socio,
Scheef & Stone, LLP
Shawn Tuma es un abogado que
asesora a empresarios para resolver
problemas en temas vanguardistas
como la ciberseguridad, privacidad
de datos y fraudes cibernticos. Se
especializa en propiedad intelectual
y litigacin. Shawn es autor y orador
frecuente sobre estos temas. Es
socio en Scheef&Stone, LLP, una
firma legal, con base en Texas,
que ofrece servicios comerciales y
representa a compaas de todos
los tamaos en Estados Unidos y, al
resto del mundo a travs de la de
red de Mackrell International.

Twitter I Website I Blog

Antes de que la empresa pudiera completar una investigacin


interna, alguien public sobre el problema en su pgina de
Facebook, aparentemente, tratando de dar un giro positivo a
las relaciones pblicas. Mala Idea. De pronto, la empresa se vio
lidiando con el problema en las redes sociales antes de poder reunir
la informacin necesaria para dar a conocer la versin oficial. Como
era de esperarse, la comunidad se rebel. Fue un error tanto de
planeacin como de relaciones pblicas.

LECCIONES CLAVE

1
2

CATALOGUE A FONDO TODA SU


INFORMACIN, REVISE EL ACCESO
QUE TENGAN TERCEROS A SU
RED E INSTALE HERRAMIENTAS
AUTOMATIZADAS DE SEGURIDAD.
UN PLAN CONTRA AMENAZAS E
INTRUSIONES SE HA CONVERTIDO
EN ALGO ESENCIAL EN CUANTO A
MATERIA LEGAL.

Como abogado, mi papel es servir como gua en caso de intrusiones a la red. Con ese fin, trabajo con un
diverso grupo de personas leyendo este libro electrnico.
Debe entender a fondo toda la informacin que su empresa tenga a la mano: ese es siempre mi primer
consejo a los lderes de las empresas. No puede proteger lo que ni siquiera sabe que existe, as que, para
estar seguro, catalogue y clasifique todos los datos de su empresa de acuerdo con criterios definidos.
Lo siguiente es solicitar a mis clientes que evalen todos los vectores de amenazas y los puntos de
acceso externos. Esto es un tema importante: no todo es a travs de sus empleados. Si terceras personas
tienen acceso a su red corporativa, esto puede representar una importante debilidad para su seguridad
(recordemos la brecha masiva perpetrada contra Target Corp. en 2013, como resultado de hackers que
lograron entrar a travs de un proveedor de sistemas de refrigeracin que tena acceso a la red de Target).
Usted debe imponer restricciones estrictas a sus socios externos para el acceso a su red corporativa.
siquiera sabe que existe.

Entienda a fondo toda la informacin que su


empresa tiene a la mano. No puede proteger lo
que ni siquiera sabe que existe.
Sponsored by:

CUBRIENDO LO BSICO
Tercero, haga un inventario de sus inversiones en seguridad, enfocndose en sistemas
automatizados. La empresa debe contar con un firewall efectivo, un reconocido software
antivirus y sistemas tanto para la deteccin como la prevencin de intrusiones. Estas tecnologas
pueden bloquear automticamente la mayora de las amenazas conocidas. Cuando un sistema
detecta una intrusin, dispara alertas para que la empresa pueda tomar acciones defensivas
apropiadas. Las herramientas de seguridad automatizadas no solo ayudan a mantener a los
hackers a raya, sino tambin ayudan a monitorear el flujo de informacin dentro y fuera del
ambiente corporativo. Para ser ms precisos, ayudan a su empresa en el mantenimiento y
rastreo de su informacin.
Finalmente, disee un plan de respuesta ante intrusiones. Debe especificar a quin alertar el
sistema. La lista debe incluir a:
Consejero Legal
Investigadores forenses digitales; y
Un equipo administrativo para fugas internas de datos. Este equipo debe estar conformado
por el Jefe de Informacin, el Jefe de Seguridad de la Informacin, Relaciones Pblicas, el CEO
y, de ser posible, el CFO.

Hoy en da, la
mayora de las
empresas han
sufrido intrusiones
o han sido blanco
de ellas.

Tener un plan de respuesta contra intrusiones a la mano, no solo es una buena prctica interna,
tambin se ha convertido en algo esencial en materia legal. Hoy en da, la mayora de las
empresas han sufrido intrusiones o han sido blanco de ellas.
Los especialistas en regulaciones lo entienden. Lo que no entienden (y ciertamente no les
gustar) es cuando los atacantes lleguen a penetrar su compaa sin tener un plan para proteger
la informacin de sus clientes y que puedan responder de forma efectiva a dicha violacin. Esa
falla, junto con lo aqu descrito, podra significar un verdadero problema para su compaa.
Si hay una moraleja en esta historia, es la siguiente: cubra lo bsico
Sponsored by:

FORTALECIENDO LA SEGURIDAD DE LA INFORMACIN: UN PROCESO A LARGO PLAZO

ERIC
VANDERBURG
Ejecutivo en Seguridad, Autor,
Investigador en Ciberseguridad
y Testigo Experto
Eric Vanderburg ha sido llamado el
Sheriff del Internet por su diligente
trabajo al proteger empresas y al
pblico de las ciberamenazas. Ofrece
consultora y escribe informacin
sobre manejo y almacenaje de redes,
ciberseguridad y administracin
de riesgos. Sus artculos han sido
publicados por importantes revistas y
traducidos a varios idiomas. Eric realiza
apariciones constantes en conferencias
y habla sobre una gran variedad
de temas de seguridad en diversos
programas de radio y televisin.

Asegurar la infraestructura de su red y aplicaciones es un


proceso a largo plazo. Cuando elija los dispositivos correctos
para la seguridad de redes y soluciones de seguridad para
aplicaciones, su empresa debe entender primero sus
propias necesidades, incluyendo la confidencialidad, nivel
de sensibilidad de los datos que maneja, dnde se localiza
actualmente la informacin y dnde estar en un futuro,
cmo se accede a los datos y qu tan accesible debe ser la
informacin. A partir de ello, su empresa debe generar una
lista de requerimientos y especificaciones de alto nivel para la
solucin.

LECCIONES CLAVE

1
2

FORTALECER LA SEGURIDAD
DE SU INFORMACIN ES UN
PROCESO A LARGO PLAZO Y DEBE
INCLUIR A LOS DEPARTAMENTOS
DE OPERACIONES, RECURSOS
HUMANOS, FINANZAS Y OTRAS
UNIDADES DEL NEGOCIO, ADEMS
DEL DEPARTAMENTO DE TI.
ES IMPORTANTE IDENTIFICAR
LA SOLUCIN TECNOLGICA
ADECUADA PARA SUS
NECESIDADES DE SEGURIDAD,
PERO EL ELEMENTO HUMANO ES
IGUAL DE IMPORTANTE.

Lo siguiente es calcular los costos asociados con la revelacin


de datos sensibles o la prdida del acceso a informacin
importante, y crear un presupuesto para la solucin que, de
forma razonable, disminuya los riesgos. Estos dos elementos
permiten tomar decisiones informadas y ayudan en la implementacin apropiada de la solucin. A
partir de los requerimientos y factores de costo, usted puede generar medidas exitosas.
Tener los dispositivos de seguridad de red apropiados y soluciones para las aplicaciones de
seguridad es muy importante, pero claro, no son una solucin completa. Los controles de
seguridad de redes deberan reforzar, automticamente, los elementos tcnicos de las polticas de
seguridad, tales como contraseas complejas, autenticacin, autorizacin, sistemas de monitoreo y
alertas, deteccin de paquetes, listas de control de acceso y mucho ms. Adems, las personas que

Cuando elija los dispositivos correctos para la seguridad de


redes y soluciones de seguridad para aplicaciones, su empresa

Twitter I Website I Blog

debe entender primero sus propias necesidades


Sponsored by:

FORTALECIENDO LA SEGURIDAD DE LA INFORMACIN: UN PROCESO A LARGO PLAZO


usan el sistema deben ser entrenadas para desempear sus funciones en forma competente.
Usted debe disear, reforzar y auditar apropiadamente los procedimientos y polticas que
definen las acciones que deben llevarse a cabo.
Cuando todas las partes estn en su lugar, logran una solucin integrada segura en vez de una
solucin secundaria para la empresa.
Aqu hay otro ejemplo de lo que puede salir mal cuando se descuida el aspecto humano
de la seguridad de la informacin como parte del proceso de planeacin. Trabaj para una
compaa que era subcontratada para dar servicios de operaciones a sus socios. Una doctora
estaba transcribiendo sus notas acerca de un paciente y el servicio de transcripcin que
ella utilizaba era subcontratado en dos niveles: el primero, a la empresa que manejaba las
transcripciones y el segundo, otra vez a la empresa que manejaba el almacenamiento de datos
para esas transcripciones. Alguien en esa empresa de almacenamiento de datos, guard la
informacin en la ubicacin incorrecta y de pronto, la informacin privada del paciente estuvo
disponible en Google. Tena esta empresa todo bajo control, lo cual pudo haber evitado
comprometer la informacin privada del paciente?
Implementar medidas slidas de seguridad requiere tiempo y esfuerzo. Si su empresa no
est a la altura y usted necesita estarlo, debe ir paso a paso. No puede hacer todo en un fin
de semana o en un mes. Descifrar cmo planear ese acercamiento a largo plazo, de forma
efectiva, es esencial.

Sponsored by:

Tena esta
empresa todo
bajo control,
lo cual pudo
haber evitado
comprometer
la informacin
privada del
paciente?

10

LA SEGURIDAD DEBE SER SENCILLA


En mi sitio, veo con frecuencia a los compradores buscando
soluciones para eliminar sus desafos de seguridad. Algunos de
LECCIONES CLAVE
los retos ms grandes que enfrentan cuando estn asegurando
OBTENER UNA VISIBILIDAD
su infraestructura de red y de aplicaciones son: visibilidad,
CLARA DEL TRFICO DE LA RED
facilidad de uso, estabilidad y confiabilidad.
ES UN ELEMENTO ESENCIAL PARA
PROTEGER A LA ORGANIZACIN.
El primero y principal es la visibilidad del trfico, que es un tema
importante al que los compradores deben dirigir sus esfuerzos
NO TODAS LAS CARACTERSTICAS
y tambin el mayor reto que los usuarios enfrentan. Si no ves lo
QUE OFRECEN LOS PRODUCTOS
que est pasando, entonces la ms pequea de las amenazas
DE SEGURIDAD SON NECESARIAS.
puede convertirse en un problema maysculo. Por ejemplo, las
NO SE DEJE ATRAPAR POR
LOS BOMBOS Y PLATILLOS. EN
fugas de datos que recientemente han estado en las noticias
VEZ DE ESO, ENFQUESE EN
sobre la Oficina de Administracin de Personal de los Estados
LAS CARACTERSTICAS QUE
Unidos y la Universidad de Harvard, que son dos instituciones
REALMENTE NECESITA.
muy reconocidas. Esas brechas de informacin fueron potenciales
problemas de visibilidad de trfico.
Una pregunta comn que veo es, cmo se obtiene una clara visibilidad del trfico en el ambiente,
en la red y en las aplicaciones? La gente quiere visibilidad total porque les permite pasar de
aterrorizados por proteger ese ambiente a tener un control total. Un buen firewall puede mantener
su informacin privada segura mientras sea fcil de usar y no sea muy complicado. La IT Central
Station, recientemente anunci las 10 empresas de firewalls principales, basados en informacin de
ms de 85,000 vistas desde el 2014 hasta el primer trimestre del 2015: Fortinet FortiGate result el
lder.
La facilidad de uso y las caractersticas para generar reportes tambin son retos reales. Con
frecuencia escucho a los usuarios decir que desearan que las interfaces de usuario (UI) fueran ms
fciles de entender. La gente menciona que con FortiGate, por ejemplo, aadir a la interfaz (UI) una
solucin para problemas y otras caractersticas de prueba de la red, podra ser algo muy til.

RUSSELL
ROTHSTEIN
CEO y Fundador,
IT Central Station
Russell Rothstein es el fundador y
CEO de IT Central Station, sitio lder
en revisin de productos crowdsourced para InfoSec y otras empresas
de software. Antes de fundar IT
Central Station, Russell trabaj por
20 aos en compaas de tecnologa
como OPNET, Nolio (adquirida
por CA) y Oracle. Russell cuenta
con una licenciatura en ciencias
computacionales por parte de la
Universidad de Harvard, una maestra
en Tecnologa y Polticas por el MIT y
otra maestra en Administracin por
parte de la Escuela de Administracin
MIT Sloan.

Twitter I Website I Blog

Si no ves lo que est pasando, entonces la ms


pequea de las amenazas se puede convertir en
un problema maysculo
Sponsored by:

11

LA SEGURIDAD DEBE SER SENCILLA


La gente tambin me dice que no pueden leer los archivos de configuracin sin herramientas de
terceros. Hacer los reportes no es algo sencillo, y a algunos les cuesta mucho trabajo manejar y
determinar qu est pasando con su sistema. Aunque no es algo simple, hacer reportes debera
ser una tarea sencilla, clara e intuitiva. Cuando esto no sucede, los problemas ocurren. Es como
una alarma en casa: difcil de colocar y no se utiliza constantemente. Pero si es fcil de encender,
Tener un panel
entonces la activa cuando sale de su casa y sabe que su hogar est protegido.
de cristal, o sea
Tampoco se trata solo del software. Muchas personas no estn seguras de cules son las mejores
caractersticas de los productos que necesita su compaa, y la tendencia de los vendedores de
una sola interfaz
aadir hardware a los dispositivos puede convertir esta decisin en algo muy complicado. Puede
ser difcil determinar si el agrupamiento, enlaces agregados, sensibilidad del puerto o si todo lo
administrativa
anterior es necesario para su situacin especfica. Los profesionales no siempre tienen tiempo para
o UI grfica que
convertirse en expertos en cada producto que compran; en vez de eso, con frecuencia confan en
las recomendaciones de conocidos o en reseas para determinar qu caractersticas necesitan.
conecte todos los
El software y el hardware son los componentes bsicos de las soluciones de seguridad, pero
ser capaz de navegar por las caractersticas que necesita tambin es algo necesario. Tener una
elementos y que
sola interfaz administrativa es extremadamente importante, ya que la mayora de las empresas
tienen un enjambre de distintos productos de seguridad. Esto significa ms paneles de control,
sea fcil de usar, es
ms interfaces y ms reportes que hacen que toda esta informacin llegue en diferentes tiempos,
de vital importancia
volviendo a la red ms difcil de manejar y controlar. As que tener un panel de cristal, o sea una
sola interfaz administrativa o UI grfica que conecte todos los elementos y que sea fcil de usar, es
de vital importancia.
La estabilidad es otro reto, aunque un poco menor a los anteriores. Encontrar la estabilidad
adecuada en un sistema de seguridad de la informacin que escale, que ser confiable, que no se
inhabilite y que funcione en un entorno con marcas mltiples o heterogneo, es difcil. Todo ello es importante, especialmente en esta
poca actual de traer su propio dispositivo (BYOD), donde muchos datos son accedidos a travs de los dispositivos mviles. Es vitar
que cualquier medida de seguridad que se implemente soporte todas estas plataformas y solo funcione.
Afortunadamente, usted no est solo al enfrentar estos retos. Los sitios de reseas sobre equipos crowd-sourced, como IT Central
Station, crean una importante comunidad de usuarios que ya han realizados las investigaciones y han construido las mejores prcticas
para usted no necesite reinventar la rueda. Sitios como el nuestro lo ayudarn a mantenerse informado, para que pueda tomar las
mejores decisiones sobre las soluciones de seguridad adecuadas para su organizacin.

Sponsored by:

12

LOS MAYORES RETOS: VELOCIDAD Y COMPLE JIDAD


Cuando conoc por primera vez a los miembros de nuestro
consejo de directores, una de sus preguntas fue sobre de
la seguridad de la informacin. En mi papel como Jefe de
Informacin, he pasado mucho tiempo pensando en cmo
asegurar la informacin de la compaa de la mejor manera.
Desde mi perspectiva, los dos grandes retos en seguridad que
enfrentamos son:
La velocidad, frecuencia y variacin de los ataques y qu
tan rpido cambian; y

NIGEL
FORTLAGE
Vicepresidente, TI,
GHY International
Nigel Fortlage es un lder multifactico
que supervisa todos los aspectos de los
medios sociales, participando en equipos
de desarrollo ejecutivo y de negocios. Nigel
es ejecutivo senior a cargo de las TI. Cuenta
con un certificado en administracin
aplicada por parte de la Universidad de
Manitoba y recibi el prestigioso premio
sobre innovacin otorgado por IBM. El
tambin comparte su pasin, conocimiento
y opiniones a travs de artculos, entrevistas
y ponencias pblicas tanto en Canad
como en todo el mundo. Nigel es miembro
fundador de la Asociacin CIO de Canad
y presidente del captulo de Manitoba. En
2014 y 2015, el Huffington Post lo nombr
entre los 100 CIOs ms activos en Twitter.

Twitter I Website I Blog

La complejidad de la infraestructura de la red, la cual


consiste en mltiples canales y recursos que incluyen
sistemas internos, servicios externos y redes pblicas

LECCIONES CLAVE

1
2

LOS DOS RETOS MS GRANDES EN


SEGURIDAD QUE ENFRENTAMOS
SON LA VELOCIDAD, LA VARIACIN
DE LOS NUEVOS ATAQUES Y
LA COMPLEJIDAD DE NUESTRA
INFRAESTRUCTURA.
CUANDO PUBLICAMOS
CONTENIDOS EN LAS RED,
QUEREMOS QUE NUESTROS
SOCIOS DE NEGOCIOS
LO COMPARTAN, PERO
DEBEMOS PENSAR SOBRE LAS
IMPLICACIONES EN CUANTO A LA
SEGURIDAD.

La gente piensa con frecuencia que la informacin sensible de


la empresa, como informacin financiera, secretos comerciales,
o informacin personal, debe tener la proteccin ms slida. Claro, esa informacin es muy
importante, pero tambin otros valiosos activos de informacin deben ser protegidos. Por ejemplo,
parte de mi funcin involucra el alcance de las redes sociales, y una pregunta que debemos
responder es cmo proteger nuestro contenido en lnea, incluyendo activos como videos e
imgenes. En nuestra cultura de compartir, es casi imposible prevenir que otros tomen y utilicen
este tipo de activos. Es difcil detener a un competidor de usar dichos activos, pero usted siempre
debe estar seguro que la atribucin seale a su organizacin. La complejidad de los recursos de red
introduce una administracin complicada y preguntas de control.
Cuando publicamos contenido en la red, queremos que nuestros socios de negocio lo compartan,

La complejidad de los recursos de red introduce una


administracin complicada y preguntas de control
Sponsored by:

13

LOS MAYORES RETOS: VELOCIDAD Y COMPLE JIDAD


pero debemos pensar sobre las implicaciones de la seguridad. Por ejemplo, si le pido a
Mara que mencione en Facebook un nuevo video que sus contactos deben ver, le estoy
permitiendo que entre a Facebook y haga lo que ella quiera ah?
No es solo Facebook, son los juegos en Facebook, los mensajes en Facebook y todas las
cosas a las que ella pueda tener acceso. Si le permito entrar a Facebook, ir solo a la pgina
corporativa o le permito entrar a su perfil personal tambin? Esto se convierte en una
cuestin de la infraestructura de la aplicacin. Cuando se habla de aplicaciones, no se trata
de poder usar o no una aplicacin, sino tambin de las funcionalidades internas de dicha
aplicacin. Qu funciones se deben permitir y cules no?
En cuanto al tema de velocidad y la constante avalancha de ataques innovadores, es
importante reconocer que no todos los riesgos son iguales. Usted se debe enfocar
primero en los problemas de alto riesgo y en la manera en que no generen un problema
de productividad. Recientemente aadimos un firewall de ltima generacin a nuestra
aplicacin de solucin de seguridad. Esta solucin ve los patrones y conductas para entender
mejor las amenazas y realiza evaluaciones de las aplicaciones en tiempo real.
Abordar los retos de velocidad y complejidad inicia con una evaluacin integral de la
seguridad que se ve a travs de la infraestructura, examina dnde se localiza la informacin
y quin la comparte. Adems, considera los requerimientos de cumplimiento y evala la
tolerancia a los riesgos.

Un negocio
debe definir
su tolerancia al
riesgo y alinear
su estrategia de
seguridad con
respecto a dicha
tolerancia

Las polticas de seguridad deben ser granulares y aplicables a travs de todas las aplicaciones.
Mantngase al tanto de la constante evolucin de amenazas a la seguridad que requieren
proteccin de servicios de seguridad en tiempo real. La pregunta ms importante en los
negocios es siempre la del dinero. Por lo tanto, un negocio debe definir su tolerancia al riesgo
y alinear su estrategia de seguridad con respecto a dicha tolerancia.

Sponsored by:

14

MUCHAS SOLUCIONES, POCAS RESPUESTAS


Usted trata de asegurar su empresa, sin embargo, la puerta
del frente est totalmente abierta. No parece saber cmo
cerrarla, solo usa el cerrojo. Las empresas han cado en un
crculo terrible en el que parece que todas, o han sido vctimas
de alguna violacin, o se han visto comprometidas de alguna
manera. Los profesionales en TI estn muy ocupados tratando
de averiguar cuntos criminales estn dentro de la casa
y aquello que fue sustrado, a lo que no pueden enfocar su
mximo esfuerzo para tratar de detener este crculo vicioso. Lo
que es muy necesario para las empresas es establecer y actuar
con estndares abiertos para compartir informacin y frustrar
estos ataques.

PATRICK
PETERSON
CEO y Fundador,
Agari
Patrick Peterson es un lder
visionario de Agari y pionero en el
aseguramiento del ecosistema del
e-mail. l se uni a IronPort Systems
en el 2000 y defini sus dispositivos
de seguridad para el e-mail. Patrick
invent el SenderBase de IronPort,
el primer servicio para la reputacin
en la industria. En 2008, despus de
que Cisco adquiri IronPort, Patrick
se convirti en uno de los 13 Cisco
Fellows. En 2009, dio un giro a las
tecnologas de seguridad del e-mail
que haba desarrollado en IronPort/
Cisco, dentro de su nueva compaa:
Agari.

Twitter I Website I Blog

LECCIONES CLAVE

1
2

LAS ORGANIZACIONES PIERDEN


MUCHO TIEMPO RESPONDIENDO
A LAS AMENEZAS Y VIOLACIONES
INMEDIATAS, QUE NO TIENEN
TIEMPO PARA RESOLVER EL
PROBLEMA DE FONDO.
LAS SOLUCIONES DE SEGURIDAD
HOLSTICAS REQUIEREN
ESTNDARES DE LA INDUSTRIA
Y PROVEEDORES DE SEGURIDAD
QUE ENTIENDAN QUE SUS
PRODUCTOS SON SOLO UNA PARTE
DE UNA MAYOR ESTRATEGIA DE
SEGURIDAD.

Ocho de cada 10 cibercriminales han hackeado exitosamente


las bases de datos de las empresas usando el e-mail como
vector de ataque. Esta es la puerta que los profesionales en
IT no han sido capaces de cerrar y es tambin la razn por
la cual se invierte mucho dinero y esfuerzo para detectar y
poder responder a las intrusiones. Con tanto esfuerzo enfocado en solo la deteccin, se distrae la
atencin en vez de resolver el problema fundamental.

Una acusacin, tanto de la industria como de los practicantes es que las prioridades a corto
plazo tienden a controlarnos. Los criminales han evolucionado en su sofisticacin y ahora nos
encontramos en una guerra asimtrica, en la que ellos pueden usar una gran cantidad de tcnicas.
Estos criminales pueden tener xito en solo uno de 10 intentos o en uno de 1,000, pero es lo
suficiente para trastornar un negocio. Para asegurar que su xito sea limitado, las empresas han
respondido desplegando soluciones. El reto, claro, es que las soluciones no tengan un legado
que sea inmanejable, lo cual obstruira a las organizaciones. La clave para enfrentar este tema es

Usted trata de asegurar su empresa, sin embargo,


la puerta del frente est totalmente abierta
Sponsored by:

15

MUCHAS SOLUCIONES, POCAS RESPUESTAS


seleccionar soluciones que cuenten con una slida interfaz de programacin de aplicaciones
(API), y entrenar al personal de seguridad para que tomen decisiones con base en las
necesidades de la empresa, en lugar de su propio nivel de comodidad al administrar la
solucin actual.
Hoy en da, las empresas tienen mltiples soluciones de seguridad, que abarcan el e-mail, la
red, manejo de vulnerabilidades de las aplicaciones y aplicaciones para escaneo de la red. Por
ejemplo, hablaba con el Jefe de Seguridad de Informacin de un banco mediano que tena
55 proveedores de soluciones de seguridad y tan solo 45 empleados. l necesitaba que todos
en la empresa fueran gurs, en al menos una solucin, y solo unos cuantos proporcionaran
soporte 24x7 para dos soluciones. Cada solucin poda realizar una labor adecuada, pero
nadie puede realmente contratar, retener o administrar el personal para estar al corriente con
la gran cantidad de soluciones que van en aumento.
La innovacin por parte de los cibercriminales y de las empresas que ellos atacan ha dado
paso a esta multifactica solucin de seguridad. Para entender cmo han accedido los
criminales, usted podra requerir hacer un anlisis de malware en la PC, ir al sistema de
inteligencia de amenazas por informacin sobre el malware, luego a otro sistema de registros
y eventos del servidor comprometido y despus revisar su e-mail y sistemas web. Y todo esto
es antes de que haya ido al sistema de respaldo final que podra haber sido afectado.
La gente pasa horas o incluso das tratando de unir informacin heterognea sobre un evento
en sus sistemas. Por supuesto, antes de siquiera terminar ese ejercicio, no se sabe claramente
cmo los cibercriminales se infiltraron en sus sistemas y que informacin pudieron haber
robado.
La industria por fin se ha dado cuenta del intercambio de informacin y la ineficiencia que
surge por la ausencia de dicho intercambio. Estamos comenzando a ver estndares ms
abiertos y proveedores que se dan cuenta de que juegan un papel importante dentro de
la estrategia general, que es ms grande que la suma de todas sus partes. La gente debe
subir a bordo con estndares abiertos para el intercambio de informacin y soluciones de la
industria para cerrar esa puerta que est abierta. Necesitan frustrar las fugas de datos antes
de que cuesten cientos, miles o millones de dlares en investigaciones forenses digitales y
gastos adicionales en anlisis
Sponsored by:

Una acusacin,
tanto de la
industria
como de los
practicantes
es que las
prioridades
a corto plazo
tienden a
controlarnos.

16

CINCO PUNTOS CLAVE PARA ASEGURAR SU INFRAESTRUCTURA DE RED Y APLICACIONES

Aqu presento cinco puntos clave para asegurar una


infraestructura de red y aplicaciones. El primero tiene que ver
con el personal y sus habilidades. Hay escasez en las destrezas
requeridas para este tipo de trabajo. Aunque los recursos estn
disponibles, con frecuencia las empresas no pueden desplegar
el personal que se necesita para hacer el trabajo de manera
adecuada.

DAN
TWING
Presidente y COO,
EMA
Dan Twing es el responsable del
desarrollo y ejecucin de estrategias
de investigacin de mercados,
ofreciendo valor a las empresas de TI
a travs de consultora y dirigiendo el
desarrollo de productos y esfuerzos
de mercadotecnia. Lidera un equipo
de analistas que cubren temas de
administracin de TI como sistemas,
end points, almacenamiento,
seguridad, redes y administracin de
servicios, as como inteligencia de
negocios y analtica. Dan se uni a
EMA en 2005 y cuenta con ms de 30
aos de experiencia en sistemas de
informacin, desarrollo de software y
outsourcing de tecnologa.

Twitter I Website I Blog

Los presupuestos para la seguridad se han incrementado


entre 10% y 14% en los ltimos dos aos, pero un 68% de las
organizaciones todava no encuentran el personal para cubrir
sus necesidades. Esta informacin proviene de investigaciones
recientes que mi empresa realiz en lo que llamamos datadriven security.

LECCIONES CLAVE

1
2

SI SU AMBIENTE REQUERE UN
CAMBIO RPIDO, SU PROCESO
DE SEGURIDAD DEBE TENER LOS
RECURSOS APROPIADOS PARA
IGUALAR EL RITMO DE ESTE
CAMBIO.
UNA ANALTICA ADECUADA ES
ESENCIAL PARA PREDECIR Y
ADMINISTRAR LOS INCIDENTES
DE SEGURIDAD, SIN IMPORTAR
SI SU EQUIPO DE PERSONAL DE
SEGURIDAD EST COMPLETO.

El Segundo punto est relacionado con las aplicaciones heredadas. Todos quieren moverse ms
rpido, cambiar a tecnologa en contenedores para aplicaciones y utilizar DevOps para entregas
continuas. Todo ese cambio y todas esas nuevas aplicaciones acaparan todos los recursos, lo
que significa que no hay suficiente tiempo para que la seguridad se enfoque en las aplicaciones
heredadas, porque las nuevas funcionalidades son prioritarias. Como en la defensa personal, se
debe tener conciencia de la situacin, viendo no solo hacia adelante, sino tambin a los lados
y hacia atrs. En TI, se necesita ver hacia atrs para observar las aplicaciones heredadas y sus
vulnerabilidades particulares de seguridad, mientras tambin ve hacia adelante, observando la
tecnologa del futuro mientras se desarrollan nuevas amenazas.
El tercer punto involucra la creacin de una infraestructura de acceso unificado para todos los

Hay escasez en las destrezas requeridas para este


tipo de trabajo
Sponsored by:

17

CINCO PUNTOS CLAVE PARA ASEGURAR SU INFRAESTRUCTURA DE RED Y APLICACIONES

ambientes. Cuando todo era conducido con una sola identidad, como el Directorio Activo
o LDAP (Protocolo Simplificado de Acceso a Directorios), era posible centralizar el manejo
del entorno. Hoy da, sin embargo, usted tiene personal disperso geogrficamente, y adems
colaboradores trabajando desde casa.
Las cosas se han vuelto ms seccionadas y distribuidas a travs de la infraestructura de la
nube tanto pblica como hbrida, por lo que se ha vuelto ms difcil tener un punto de acceso
unificado.
El cuarto punto se relaciona con la necesidad de analtica de seguridad, incluyendo analtica
conductual, deteccin de anomalas y analtica predictiva. Ver los archivos de registro,
encontrar patrones y ser capaz de predecir o ver un ataque mientras se est formando, es
clave para resolver muchos problemas de seguridad. Es muy importante ser capaz de ver un
ataque cuando se est construyendo, emitir una alerta y reaccionar antes de que se salga de
control mientras se navega por la tormenta y descifra la raz del problema. Aunque cuente
con buenas herramientas que compensen la falta de personal, no se pueden manejar los
incidentes de seguridad sin la analtica apropiada.
El quinto y ltimo punto es mantener un control de cambio apropiado tanto para la
infraestructura como para las aplicaciones. No es solo un tema de operaciones, sino tambin
de seguridad. Cuando realiza un cambio de cualquier tipo, podra estar abriendo una grieta
en la seguridad e introduciendo nuevas vulnerabilidades. Tener un buen proceso de manejo
de cambio y buenas herramientas es importante para mantener la red y las aplicaciones bajo
llave, asegurndose de que todo est perfectamente configurado y teniendo control sobre
el ambiente. Si trata de cambiar a DevOps o a un ambiente de suministros continuos en el
que va a incrementar la tasa de cambio, es mejor que tenga un buen proceso de manejo de
cambio para controlar el ritmo acelerado.

Cuando realiza
un cambio de
cualquier tipo,
podra estar
abriendo una
grieta en la
seguridad e
introduciendo
nuevas
vulnerabilidades

Si sigue estos cinco puntos, puede crear un ambiente ms seguro para la red de su
organizacin. Hacerlo requiere inversin a largo plazo, tanto de recursos humanos como
financieros, pero el esfuerzo vale la pena.
Sponsored by:

18

CREANDO UN CASO DE NEGOCIOS PARA UNA SEGURIDAD MS SLIDA


Al trabajar como consultor externo proporcionado servicios
de seguridad a la industria, he observado muchas compaas
que pueden manejar su propia seguridad perfectamente bien,
y eso me ha dado la oportunidad de enfocarme en temas
especializados. Antes de hacer este cambio, trabaj para una
pequea organizacin de investigacin mdica y despus
para una enorme y burocrtica agencia de salud pblica.
En trminos de proteccin de la red e infraestructura, estas
organizaciones enfrentaron retos muy diferentes.

DAVID
HARLEY
Socio Senior, Investigaciones,
ESET
El investigador de seguridad David
Harley es un autor y editor que
radica en el Reino Unido, conocido
por sus libros e investigaciones sobre
malware, seguridad para Mac, y
pruebas de productos anti malware y
seguridad para e-mail. Despus de 11
aos de colaborar con la Fundacin
Imperial para la Investigacin del
Cncer en el rea de seguridad,
trabaj para el Centro de Evaluacin
de Amenazas del Servicio Nacional
de Salud. Desde el 2006 ha sido
consultor para la empresa de
seguridad ESET donde es socio
senior de investigaciones.

Twitter I Website I Blog

LECCIONES CLAVE

UNO DE LOS GRANDES RETOS


EN SEGURIDAD PARA LA
INFRAESTRUCTURA DE LAS
EMPRESAS ES PERSUADIR A
LOS GERENTES PARA GASTAR
LO ADECUADO CON EL FIN
DE DESARROLLAR EL NIVEL
DE SEGURIDAD QUE LA
ORGANIZACIN NECESITA.

Sin importar el tipo de organizacin, es importante reconocer


que nadie gasta dinero en seguridad solo porque todos
ES MS PROBABLE ALCANZAR
sabemos que es algo importante. Despus de todo, lo que es
EL XITO CON UNA PLANEACIN
BASADA EN UNA METICULOSA
obvio no siempre es verdad. Para la mayora de las empresas,
EVALUACIN DE RIESGOS,
la seguridad es un centro de costos en vez de un centro de
FUNCIONES CLARAS Y
ingresos, y su valor es con frecuencia demasiado intangible
RESPONSABILIDADES, AS COMO
METAS REALISTAS.
para ser reconocido, por basarse en eventos que tal vez nunca
sucedern. As que uno de los grandes retos para asegurar la
infraestructura de una empresa es persuadir y crear conciencia en los gerentes para que gasten lo
adecuado con el fin de lograr el nivel de seguridad apropiado para la organizacin.

La construccin de una infraestructura adecuada de seguridad para las necesidades de una


organizacin no solo vara con los riesgos que la empresa enfrenta, sino tambin con los recursos
disponibles para ello.

Para la mayora de las empresas, la seguridad es un centro


de costos en vez de un centro de ingresos, y su valor es
con frecuencia demasiado intangible para ser reconocido,
por basarse en eventos que tal vez nunca sucedern
Sponsored by:

19

CREANDO UN CASO DE NEGOCIOS PARA UNA SEGURIDAD MS SLIDA


No todas las organizaciones cuentan con los recursos o las ganas para implementar una
iniciativa completa de seguridad, con base en estndares como la administracin de proyectos
PRINCE o ISO 27001, pero hay organizaciones ms pequeas que pueden aprender de este
tipo de aproximaciones. No debe basar su estrategia seguridad en un rango limitado de ofertas
prescritas. Identifique los controles que necesita, y despus investigue las implementaciones
que mejor se adapten a su entorno. No confe en las panaceas. Por ejemplo, el software
especializado puede ser mejor para hacer frente ante amenazas avanzadas persistentes (APTs)
en vez de una solucin contra malware en el endpoint, aunque esta ltima puede detener
diversas amenazas de bajo nivel que no tienen un objetivo en especfico, las cuales por lo
general no son detectadas por las soluciones especficas APT. Es bueno contar con una navaja
suiza, pero, a veces se necesita una caja de herramientas completa.

Es bueno contar
con una navaja
suiza, pero, a veces
se necesita una caja
de herramientas
completa.

Un gran nmero de acontecimientos pueden construir un caso de negocios para desarrollar


una seguridad con mayor fortaleza. A veces, el detonante es una brecha de informacin de
alto perfil que se origina por controles inadecuados de seguridad. A mediados de los aos 90,
antes del surgimiento del sistema operativo OS X, cuando el malware de todo tipo era mucho
ms comn, el presupuesto para adquirir un antivirus para Mac estuvo disponible de manera
mgica donde trabajaba, despus de que limpi varios macro virus del equipo porttil de mi
jefe. Sin embargo, ser el Casandra
de la compaa no es siempre la estrategia ms segura. A veces estar en lo correcto, sin ser persuasivo es una ofensa que se puede
castigar. Permtame presentarle el primer principio de la administracin de seguridad del profesor Eugene Spafford: Si usted tiene
responsabilidad en cuanto a la seguridad, pero no tiene autoridad para imponer reglas o castigar a quienes la infringen, su propio rol
en la organizacin ser culpable cuando algo grande salga mal.
Idealmente, una organizacin reconocera la necesidad de construir una infraestructura ms segura antes de que una gran fuga de
informacin suceda, y no despus. Las consecuencias pueden variar desde ser sujeto a una accin legal en contra y multas por no
cumplir con los requerimientos para evitar la exposicin de datos crticos, y eso puede generar el cierre completo de una operacin.
Los conocimientos que se requieren para ensamblar y presentar un caso de negocios para lograr una mayor seguridad son
comnmente diferentes a aquellos necesarios para una implementacin prctica y la administracin de la infraestructura de
seguridad. Una gran iniciativa de seguridad por lo general es mejor implementada como un esfuerzo en equipo. Incluso un
proyecto relativamente pequeo, como la transicin de un paquete de seguridad en los equipos de escritorio, puede tener extensas
implicaciones si se cuenta con la experiencia de solo una persona del rea de tecnologa. El xito ser mayor con una planeacin
basada en una evaluacin de riesgos meticulosa, funciones y responsabilidades claras, y objetivos realistas.
Sponsored by:

20

NO SE OLVIDE DE LO MS BSICO

RYAN
DEWHURST
Socio Senior, Investigacin,
Dewhurst Security
Ryan Dewhurst es un apasionado
profesional de la seguridad
que tiene ms de seis aos de
experiencia en la industria. Obtuvo
los mayores honores en seguridad
ciberntica y ha recibido diversos
reconocimientos por parte de la
industria, tales como el Rising Star
de SC Magazine Europe. Ryan es
el fundador de proyectos muy
populares relacionados con la
seguridad, como DVWA y WPScan.

Twitter I Website I Blog

Hace poco, al llevar a cabo algunas pruebas para un cliente, me


impresion el nivel de parches de software y actualizaciones
que haba desplegado. La organizacin era muy segura. No
pude encontrar alguna vulnerabilidad explotable que me
permitiera poner un pie dentro de la red de esta compaa.
Pero, ms tarde me top con una interfaz de acceso web.
Mientras preparaba un ataque va contraseas de diccionario
contra el servicio, prob con la combinacin de acceso usuariocontrasea ms insegura que conozco: admin:password. Y de
repente, estaba autenticado! Esto fue durante la preparacin,
ni siquiera haba lanzado el ataque, todava.

LECCIONES CLAVE

1
2

LOS MAYORES RETOS A LA


SEGURIDAD Y POTENCIALMENTE
LOS MS DEVASTADORES, SON LOS
MS BSICOS.
LA INFRAESTRUCTURA DEL
SOFTWARE ES CREADA POR
HUMANOS. POR LO TANTO,
SIEMPRE SER VULNERABLE.

Este servicio almacenaba todas las propuestas y recibos del cliente, toda su informacin de
facturacin, as como los nombres y contraseas de los usuarios del sistema. Sbitamente tuve
acceso a un gran tesoro conformado por informacin corporativa sensible.
Problemas bsicos como el anterior, son los mayores riesgos a los que mis clientes se enfrentan. A
continuacin, les presento tres reglas esenciales que siempre les recuerdo:
Utilizar contraseas seguras. Debe exhortar a los usuarios de su organizacin para que seleccionen
contraseas complejas que incluyan nmeros, maysculas y caracteres especiales. Hay que
olvidarse de contraseas como password o password1, variaciones del nombre de la organizacin
y no ms nombres de mascotas. Adems, se debe considerar utilizar contraseas largas, conocidas
como pass-phrases. Usted puede motivar a sus usuarios a utilizar administradores de contraseas,
aunque estas herramientas tambin pueden tener sus propios problemas.

Debe exhortar a los usuarios de su organizacin para que


seleccionen contraseas complejas que incluyan nmeros,
maysculas y caracteres especiales. Hay que olvidarse de
contraseas como password o password1
Sponsored by:

21

NO SE OLVIDE DE LO MS BSICO
Mantener el software actualizado. Por lo general llevo a cabo pruebas de penetracin que
todava revelan la presencia de la infame vulnerabilidad MS08-067, la cual permite a un
atacante ejecutar un cdigo arbitrario en los servidores. Esa vulnerabilidad fue descubierta
en 2008, y asegurarla solo requiere un sencillo parche. Este tipo de vulnerabilidades
deberan ser ms difciles de identificar aos despus de que los parches estuvieron
disponibles, pero en algunos casos, dichos parches no fueron aplicados, posiblemente
debido a que los administradores no supieron de su disponibilidad o de la existencia de
la vulnerabilidad. A veces los administradores no quieren ejecutar actualizaciones para
el software por el temor de que algo se pueda daar. Cualquiera que sea la razn, es
responsabilidad de cada organizacin administrar su propio riesgo y decidir cundo vale la
pena invertir en recursos. Mantener el software actualizado es la manera ms efectiva para
reducir los riesgos, sin tener que invertir en muchos recursos.
Probar el software. Sin importar si la organizacin escribe sus aplicaciones de manera
interna o las compra a terceros, debe aceptar su responsabilidad para asegurarse que el
software est escrito de manera segura. Con respecto al software propio, el director de
tecnologas de la informacin debe imponer ese requerimiento interno al implementar un
ciclo de vida para el desarrollo de la seguridad, pero tambin es posible probar software
de terceros. Se debe solicitar al proveedor la documentacin sobre pruebas de seguridad
previas o contratar a un consultor para que lleve a cabo estas pruebas.
Ningn sistema, por complejo que sea, ser 100% seguro. El software est escrito por
humanos, los humanos cometen errores, y los errores se manifiestan como bugs. An con
recursos sin lmite, Facebook y Google no son inmunes a vulnerabilidades del software.
Lo mejor que podemos hacer es asegurar los sistemas y llevarlos a un nivel que sea
administrable.
Si todo lo bsico es correcto, usted ya estar un paso adelante.

Sponsored by:

Este tipo de
vulnerabilidades
deberan ser
ms difciles de
identificar aos
despus de
que los parches
estuvieron
disponibles,
pero en algunos
casos, dichos
parches no
fueron aplicados.

22

Protegiendo el Corazn de Su Red


En esta seccin
Alex Papadopulos
Striata Inc...........................................23

Dave Waterson
SentryBay............................................29

John Maddison
Fortinet, Inc......................................25

Linda Cureton
NASA......................................................31

Robert Shullich
AmTrust Financial
Services................................................27

Sponsored by:

23

ADMINISTRAR LA SEGURIDAD DEL VENDEDOR ES ALGO CRTICO PARA NUESTRO NEGOCIO

Al proveer de servicios de facturacin electrnica a los clientes,


as como en el envo y recepcin de e-mails asociados con
facturacin y los pagos, lidiamos con informacin personal de
nuestros clientes.

ALEX
PAPADOPULOS
Director de Operaciones,
Striata Inc.
Alex Papadopulos es el director
de operaciones de Striata Amrica
y encabeza actualmente todas
las operaciones tcnicas para
Norte, Centro y Sudamrica. Es
responsable de todas las reas de
operaciones tcnicas y proyectos,
incluyendo administracin de
proyectos, soporte, desarrollo e
implementacin de proyectos. Alex
tiene ms de 12 aos de experiencia
en el campo de las TI, enfocndose
primero en la presentacin de
facturacin electrnica, facturacin y
en la administracin de la cadena de
suministro.

Twitter I Website I Blog

Garantizar la seguridad de esa informacin es un aspecto


esencial de nuestros negocios. Nuestras dos preocupaciones
ms grandes son el control de los proveedores de hosting,
cuyos servicios utilizamos y el manejo inadvertido o brechas
accidentales por parte de nuestro personal.

LECCIONES CLAVE

1
2

BUSQUE PROVEEDORES QUE SEAN


TOTALMENTE ABIERTOS CON
USTED ACERCA DE TODO Y QUE
SEAN FLEXIBLES AL ABORDAR
MEDIDAS Y ACCIONES QUE
NECESITEN SER IMPLEMENTADAS.
UNA GRAN PREOCUPACIN ES
CUANDO LA GENTE, DE MANERA
INADVERTIDA O ACCIDENTAL,
REALIZA ACCIONES QUE SUMAN
RIESGOS A LA OPERACIN.

Hasta dnde llegue la administracin del proveedor es un


aspecto importante, ya que no podemos controlar fsicamente
nuestros propios servidores de datos y aplicaciones. En vez
de eso, confiamos en proveedores de hosting externos para
nuestro hardware e infraestructura de red. Todo negocio es
un blanco potencial. Entre ms datos procese, ms grande ser el objetivo. No manejamos pagos
actuales, por lo que no tenemos informacin de tarjetas de crdito o informacin que permita
una transferencia de fondos, pero siempre existe la posibilidad de que alguien pueda usar esa
informacin en un esquema fraudulento de facturacin, por lo que debemos estar atentos. Al final
del da, la responsabilidad en caso de prdidas que afecten a nuestros clientes, es nuestra.
Para administrar las expectativas y fomentar la confianza mediante nuestra habilidad de
ofrecer promesas de seguridad, realizamos una evaluacin completa de nuestros proveedores,

Nuestras dos preocupaciones ms grandes son


el control de los proveedores de hosting, cuyos
servicios utilizamos y el manejo inadvertido o brechas
accidentales por parte de nuestro personal.
Sponsored by:

24

ADMINISTRAR LA SEGURIDAD DEL VENDEDOR ES ALGO CRTICO PARA NUESTRO NEGOCIO

determinando si siguen las mejores prcticas, la manera de asegurar la informacin y cmo


aseguran sus instalaciones.
Hemos detallado polticas de seguridad que especifican todo, desde cmo manejar nuestros
sistemas internos hasta los requerimientos de seguridad y expectativas de nuestros
proveedores. Construimos estas expectativas en nuestro acuerdo de nivel de servicio, y
visitamos las instalaciones de los centros de datos de los proveedores para ver, por nosotros
mismos, que tan bien protegidas estn. Con frecuencia llevamos a nuestros clientes a estas
visitas para demostrarles que los datos que nos estn confiando estn seguros. Buscamos
proveedores que usen un enfoque similar al nuestro. Definimos qu queremos y necesitamos
de un proveedor y luego realizamos revisiones anuales de los controles y polticas.
Otra gran preocupacin es la gente, que inadvertidamente realiza acciones que ponen
en riesgo las operaciones. Le damos seguimiento a cada accin y entonces las banderas
rojas nos alertan si algn empleado o cliente realiz algo sin entender sus consecuencias
potenciales, como abrir un e-mail con phishing o proporcionar una credencial que pueda ser
utilizada como entrada no autorizada a un sistema o proceso.
La proteccin contra dichas situaciones accidentales requiere una enseanza continua. Por
ejemplo, enviamos un e-mail falso con phishing. No castigamos a quien lo abra, pero la accin
se convierte en una oportunidad para poder educar sobre los riegos y la manera adecuada de
hacer frente a comunicaciones sospechosas. El entrenamiento constante y la educacin son
actividades increblemente importantes.
Para asegurarnos en contra del error humano, polticas bien definidas deben estar disponibles,
las cuales deben actualizarse constantemente. Los empleados nuevos deben ser entrenados
en cuanto a polticas de seguridad antes de darles acceso a cualquier sistema. Los empleados
deben tomar cursos de actualizacin si las polticas cambian y entrenarlos nuevamente al
menos una vez al ao. Finalmente, siempre hay que hacer pruebas a los empleados, como una
forma para identificar debilidades, fortalecer el entrenamiento y mejorar las polticas.

Sponsored by:

Hemos detallado
polticas de
seguridad que
especifican
todo, desde
cmo manejar
nuestros sistemas
internos hasta los
requerimientos
de seguridad
y expectativas
de nuestros
proveedores.

25

ASEGURAR LOS DATOS VITALES ES EL MAYOR DE LOS RETOS


La vulnerabilidad ms grande de muchos negocios,
especialmente para las empresas medianas, es la
LECCIONES CLAVE
informacin vital para las operaciones diarias. En una
EL PROBLEMA REAL PARA LAS
ocasin trabajamos con un taller de maquinaria que utilizaba
EMPRESAS PEQUEAS Y GRANDES
equipos controlados por computadora para crear las partes.
POR IGUAL, ES NO TENER LOS
Peridicamente, el taller se conectaba al Internet para
RECURSOS QUE NECESITAN PARA
IMPLEMENTAR LA SEGURIDAD
actualizar sus mquinas, y en algn momento, la empresa
QUE DEBERAN TENER PARA
se top con un malware que permaneci latente en su
LOGRAR EL NIVEL DE PROTECCIN
sistema. Despus de un tiempo, cuando el taller se conect
QUE REQUIEREN.
de nuevo al Internet, el malware recibi la instruccin e
USTED DEBE PROTEGER LA RED,
inmediatamente encript toda la informacin que necesitaba
LO CUAL TAMBIN INCLUYE A LA
el taller para operar su costosa maquinaria. Poco despus, la
GENTE QUE LA UTILIZA Y LOS
empresa recibi una nota de rescate va e-mail, pidiendo
DISPOSITIVOS QUE SE CONECTAN
A ELLA.
$50,000.00 dlares a cambio de decodificar la informacin.
La empresa no tena mucho de donde escoger. Una semana
con la maquinaria detenida podra llevarlos a la quiebra, as
que pagaron. La informacin fue liberada y los equipos funcionaron de nuevo.

JOHN
MADDISON
Vicepresidente de
Mercadotecnia,
Fortinet, Inc.
John Maddison tiene ms de
20 aos de experiencia en las
industrias de las telecomunicaciones,
infraestructura de TI y seguridad.
Antes trabaj como Gerente
General de la divisin de Centros
de Datos y como Vicepresidente
Senior de Core Technology en Trend
Micro. Previamente fue Director
Senior de Administracin de
Productos en Lucent Technologies.
Ha vivido y trabajado en Europa,
Asia y los Estados Unidos. John
se gradu como Ingeniero
en Telecomunicaciones de la
Universidad de Plymouth, en el
Reino Unido.

Website I Blog

Hoy en da, la mayora de los negocios dependen de la informacin, ya sea propiedad


intelectual exclusiva o simplemente datos que les permiten operar. Perder esa informacin
podra, literalmente, sacarlos del negocio. As que, cmo proteger ese activo tan valioso? Usted
debe proteger la red, lo cual tambin incluye a la gente que la utiliza y todos los dispositivos
conectados a ella. Esto se ha convertido en una tarea cada vez ms complicada.
Conforme los negocios construyen su infraestructura, se van extendiendo ms all de
sus sistemas centrales hacia centros de datos, servicios en la nube, dispositivos mviles o

Hoy en da, la mayora de los negocios dependen de la


informacin, ya sea propiedad intelectual exclusiva o
simplemente datos que les permiten operar.
Sponsored by:

26

ASEGURAR LOS DATOS VITALES ES EL MAYOR DE LOS RETOS


conectividad administrada al Internet, asegurndose de que su red central proporciona
todos los servicios que necesitan los usuarios. El desempeo es un factor clave.
Los usuarios esperan un alto rendimiento de sus infraestructuras de red dispersas. Con todo
esto sucediendo, las fronteras del Internet se vuelven ms grandes y ms permeables, lo
cual hace todo ms vulnerable.
Una aproximacin para las empresas es pensar que su infraestructura est constituida
por una red interna y una red externa. Pueden aplicar sus propias soluciones de seguridad
a su red interna, pero asegurar la red externa involucra la aplicacin de polticas y
procedimientos y confiar en los acuerdos de nivel de servicio de sus proveedores. Pero hay
lmites a los que se pueden llegar, lo cual significa que un cierto nivel de riesgo siempre
estar asociado con las redes externas. Ello reduce los niveles de confianza en distintas
partes de la red.
Una estrategia que vemos es que las empresas aseguran su red interna desde adentro.
Lo hacen segmentando el ncleo de su red, dividindolo con base en los usuarios,
aplicaciones, trfico u otros criterios. Entonces, pueden aplicar niveles de confianza para
cada segmento. Las empresas pueden implementar diferentes niveles de proteccin entre
los diferentes segmentos, con base en el nivel de confianza de cada uno. Todo lo que pase
de un segmento a otro debe fluir por las protecciones de seguridad con respecto al nivel de
confianza. Si durante el trayecto una amenaza ataca un segmento, las probabilidades de que
se propague por toda la red interna son mucho menores.

Una estrategia
que vemos es
que las empresas
aseguran su red
interna desde
adentro.

El problema real, para las empresas pequeas y grandes por igual, es no tener los recursos
que necesitan para implementar la seguridad que deberan tener para conseguir el nivel
de proteccin que requieren. Con frecuencia, no se dan cuenta de ello hasta que han
sufrido una intrusin. Encontrar el balance perfecto entre el costo, los niveles de seguridad
y la proteccin de datos no es fcil. Los negocios necesitan un socio confiable que tenga
personal calificado y certificado. Las empresas deben construir una relacin personal con
ese socio de confianza

Sponsored by:

27

LA DESAPARICIN DEL PERMETRO ES EL MAYOR RETO DE SEGURIDAD

ROBERT
SHULLICH
Arquitecto de Seguridad
Empresarial,
AmTrust Financial Services
Robert Shullich es un arquitecto de
seguridad empresarial en AmTrust
Financial Services. Por ms de 30
aos ha trabajado a nivel senior en
el sector de servicios financieros, en
puestos de informacin de riesgos y
seguridad de la informacin. En su
puesto actual, asesora sobre riesgos
de informacin a proyectos de TI
y propone controles adicionales o
cambios en el diseo que reducen
riesgos en los proyectos. Tambin
ha enseado el manejo de riesgos
cibernticos a nivel maestra.

Twitter I Website

Actualmente, los sistemas de cmputo de las empresas estn


conformados por una mezcla de sistemas propios, servicios
basados en la nube, una coleccin de dispositivos mviles
que los empleados usan para acceder a informacin desde
cualquier parte, e incluso servicios basados en la nube a nivel
consumidor, tales como aquellos para compartir archivos, que
la misma empresa podra no saber si son utilizados por sus
empleados. En estos ambientes es difcil tener una idea precisa
sobre la ubicacin de los activos y saber quin los est usando,
o quin est autorizado para utilizarlos. Muchas empresas no
tienen un inventario de sus activos, incluyendo empleados,
software, hardware y centros de datos. La realidad es que
usted no puede proteger lo que no sabe que tiene.

LECCIONES CLAVE

1
2

MUCHAS ORGANIZACIONES NO
TIENEN INVENTARIOS DE SUS
ACTIVOS. LA REALIDAD ES QUE
USTED NO PUEDE PROTEGER LO
QUE NO SABE QUE TIENE.
LA FALTA DE CONOCIMIENTO
SOBRE LA SITUACIN EN SU
TOTALIDAD ES EL RESULTADO DE
LA DESAPARICIN DEL CONCEPTO
DEL PERMETRO

Esta falta de conocimiento sobre la situacin en su totalidad


es el resultado de la desaparicin del concepto del permetro.
Hemos perforado agujeros en ese permetro, los cuales permiten a empleados acceder a las redes
internas en distintos escenarios, como al trabajar desde casa, al proporcionar a los agentes de
ventas servicios ms efectivos, o para que los clientes actuales accedan mientras viajan, adems de
subcontratar a terceros para ejecutar operaciones de nuestra red. La informacin a la que acceden
todos ellos con sus smartphones y tabletas debera estar protegida, pero en este entorno, con
frecuencia es difcil saber dnde se encuentran los datos.
Considere, por ejemplo, a cualquier proveedor externo de servicios en la nube que ofrece un
software como una aplicacin de servicios para su negocio, que depende de la informacin crtica
de su empresa. Como parte de los acuerdos de nivel de servicio, usted puede solicitar que el
proveedor externo garantice ciertos niveles de riesgo y proteccin contra amenazas.

En estos ambientes es difcil tener una idea precisa


sobre la ubicacin de los activos y saber quin los est
usando, o quin est autorizado para utilizarlos
Sponsored by:

28

LA DESAPARICIN DEL PERMETRO ES EL MAYOR RETO DE SEGURIDAD


Sin embargo, es probable que el proveedor dependa de otro proveedor de servicios en la
nube que proporcione el almacenamiento de la informacin. As que, dnde est realmente
su informacin y cmo evala los riesgos para sus datos si es difcil saber exactamente la
ubicacin fsica?
Otra rea problemtica para algunas empresas es el uso de servicios de bajo costo, por parte
de los empleados para compartir archivos sin el conocimiento del personal de seguridad. Este
no es un tpico caso mal intencionado: es un simple caso de empleados tratando de hacer
su trabajo de la manera ms eficiente. Sin embargo, exponen datos que son propiedad de la
empresa ante grandes riesgos, y si esta prctica no es conocida por parte de quienes manejan
la seguridad corporativa, representa un riesgo del que no pueden defenderse, porque no lo
pueden ver.
Para enfrentar estos retos de seguridad, las organizaciones necesitan iniciar haciendo un
inventario preciso de sus activos. Ya sean comprados, rentados o adquiridos como servicio,
deben poder rastrearse a travs de todo su ciclo de vida. Un ciclo de vida completo empieza
con la adquisicin o creacin, los procesos de mantenimiento y termina con su destruccin.
Los activos incluyen el hardware, software, datos e incluso al personal. Los activos deben
clasificarse para que la organizacin sepa qu son y cunta proteccin necesita cada uno.
Las empresas deben integrar todos los procesos de su negocio con la adquisicin de activos
para que los gastos y las compras puedan ser rastreados. Las lagunas en el seguimiento de
los gastos permiten a los empleados comprar servicios en la nube con una tarjeta de crdito
y construir una aplicacin que evite los procedimientos del TI. Pero, sobre todo, las empresas
necesitan polticas y procesos claros y por escrito para el manejo de activos y un programa
efectivo de comunicacin y entrenamiento (conciencia de seguridad) para reforzar la
adopcin de esas polticas.

El personal
de seguridad
necesita hacer
bien su trabajo
cada hora del
da, pero los
ladrones de
datos necesitan
hacerlo bien solo
una vez.

La realidad aqu es que la mayora de las empresas no estn en el negocio de pelear contra
los hackers. Estn en el negocio de hacer negocios. Tienen un departamento de seguridad o
personal que hace ese trabajo lo mejor posible para enfrentar los riesgos para que la empresa
pueda minimizarlos y que sus operaciones generen ingresos. Pero tambin existen los
ladrones profesionales de informacin, quienes operan 24x7 para encontrar cmo robar esa
informacin. El personal de seguridad necesita hacer bien su trabajo cada hora del da, pero los
ladrones de datos necesitan hacerlo bien solo una vez.
Sponsored by:

29

MS CERCA DEL CORAZN


Las organizaciones solan enfocar la seguridad en los
permetros de la red de la empresa. Construan paredes
virtuales (firewalls y zonas desmilitarizadas) en la periferia para
evitar que las personas pudieran entrar. Desafortunadamente,
la red fue violada de todos modos.

DAVE
WATERSON
CEO,
SentryBay
Dave Waterson, Fundador y CEO de
SentryBay Limited, es un tecnlogo
de seguridad de la informacin y un
inventor de tecnologa patentada
en las reas de anti-phishing y
anti-key logging. Con base en
Londres, Dave ha guiado compaas,
desde el inicio, para convertirse en
lderes reconocidos en el sector
del desarrollo de software para la
seguridad de la informacin, con
soluciones de seguridad para PC,
mviles, la nube y el Internet de
las Cosas. Dave tiene una maestra
en Economa y es un Profesional
Registrado en Sistemas de Seguridad
de la Informacin (CISSP).

Twitter I Website I Blog

Entonces, la industria cambi su enfoque hacia los endpoints


(equipos PC y dispositivos mviles). Las aplicaciones antivirus
se volvieron nuestros escudos preferidos. Tristemente, ahora
sabemos que el software antivirus se expande de una manera
menos efectiva, diariamente.
Mi punto de vista es que necesitamos mover las defensas ms
cerca del ncleo de la empresa, hacia el nivel granular de la
informacin, donde grandes retos nos esperan:

LECCIONES CLAVE

1
2

EL ENFOQUE DE LA RED DE
SEGURIDAD DE LAS EMPRESAS
NECESITA MOVERSE MS CERCA
DEL NCLEO DE LA EMPRESA:
CERCA DE LA INFORMACIN.
MS ALL DE LAS SOLUCIONES
TCNICAS, LOS PROCEDIMIENTOS
Y LOS EQUIPOS DE RESPUESTA
RPIDA NECESITAN ESTAR
DISPONIBLES.

Informacin personal. La Informacin personalmente identificable (PII) es un gran problema


de las empresas. Los hackeos a Sony Pictures Entertainment y a las tiendas Target demostraron
lo grande que es. Muchas organizaciones almacenan la PII de millones de personas dentro del
ncleo de sus TI.
La Nube. Aqu realmente hay dos retos. El primero es que la nube, tcnicamente extiende la
red de la empresa, ms all del control directo de la misma. El segundo es el volumen total
de la informacin. La nube ofrece un gran almacenaje y volumen de procesamiento que las
empresas jams han tenido. Los problemas de seguridad surgen de ambos.
El Internet de las Cosas (loT). El loT todava no es un gran factor, pero cada compaa lo est
examinando. En fbricas y tiendas detallistas, sensores que producen datos se adjuntarn a casi

Recientemente escrib un blog en el que la puerta de un


garaje ficticio, habilitada para el Internet de las Cosas (IoT),
se convirti en parte de una botnet utilizada para atacar
Sponsored by:

30

MS CERCA DEL CORAZN


todo. El loT controlar los ajustes de energa de la oficina y la administracin de la sala de
juntas. Las superficies para los ataques se multiplicarn exponencialmente. Recientemente
escrib un blog en el que la puerta de un garaje ficticio, habilitada para el Internet de las
Cosas (IoT), se convirti en parte de una botnet utilizada para atacar. Esto puede darles una
idea de la escala de este inminente peligro.
As qu, cmo enfrentamos a estos desafos?
Primero, debemos mantener protegido el permetro. Firewalls para aplicaciones Web,
deteccin de intrusiones, servicios preventivos, honeypots y todo lo dems sigue siendo
crucial. Ellos son los centinelas en la puerta que pueden llamar por radio a las oficinas
centrales cuando algo no est bien.
Lo siguiente es saber qu informacin se tiene. Sorpresivamente, un gran nmero de empresas
no lo saben. Despus de ello, rastrear el flujo de la informacin a travs de la organizacin.
De dnde y cmo entra la informacin? Dnde estn los datos descifrados? Cules son los
vectores de ataque en cada fase del flujo de la informacin?
Finalmente, hay que evaluar cuidadosamente qu tipo de informacin necesita ser asegurada.
Algunos datos, francamente, necesitan poca seguridad, ya que no son tan sensibles. Saber en
qu lugar est la informacin, le permitir dirigir su inversin en seguridad hacia los lugares
correctos, y eso le traer la mayor recompensa.
Le suena como si nos dirigiramos hacia una solucin Big Data? Est en lo correcto. Las
tecnologas para el Big Data (Apache Hadoop, computacin en memoria (IMC), Scala, Spark,
etc.) ofrecen las mediciones, aprendizaje automtico y advertencias tempranas que muestran
si existen violaciones a la seguridad y dnde podran estar. De entrada, asegurar la informacin
es muy importante. Ms all de las soluciones tcnicas, necesita establecer procedimientos
y ensamblar un equipo de respuesta rpida, bien entrenado y preparado que reaccione de
inmediato.

Pienso que las


empresas hoy
en da ya se han
dado cuenta de
que no es una
cuestin de si
sern vctimas
de una intrusin,
sino de cundo
sern atacadas.

Pienso que las empresas hoy en da ya se han dado cuenta de que no es una cuestin de si
sern vctimas de una intrusin, sino de cundo sern atacadas. El secreto de asegurar la red
de la empresa es enfocarse en el nivel de la informacin.
Sponsored by:

31

LA VERDADERA SEGURIDAD REQUIERE ENTENDIMIENTO Y UNA APROXIMACIN EN NIVELES

Proteger la informacin y entender los riesgos que enfrenta


son dos de las ms grandes debilidades. Nos enfocamos
en proteger el permetro e invertimos muchos recursos
en hacerlo que, probablemente, descuidamos la misma
informacin, especialmente cuando vemos amenazas internas
y amenazas persistentes avanzadas. Proteger el permetro
no necesariamente ofrece la proteccin requerida. Creo que
nuestra estrategia debe enfocarse en proteger los datos.

LINDA
CURETON
Ex CIO,
NASA
Linda Cureton es CEO de Muse
Technologies y ex CIO de NASA.
Tiene ms de 34 aos de experiencia
en la administracin de TI y a
nivel de gabinete federal de los
Estados Unidos. Linda tiene una
licenciatura en matemticas por
parte de la Universidad de Harvard
y una maestra y post-maestra en
matemticas avanzadas aplicadas
por parte de la Universidad Johns
Hopkins. Ella es una estratega
innovadora, lder, inagotable
bloguera y pionera del uso de las
redes sociales a nivel federal. Linda
ha recibido muchos premios y es
una autora de libros ms vendidos.

Twitter I Website I Blog

LECCIONES CLAVE

1
2

HAY QUE ENTENDER A LAS


AMENAZAS ESPECFICAS DE SU
ORGANIZACIN, Y NO OLVIDE
BUSCAR LAS AMENAZAS QUE
PUEDEN VENIR DESDE ADENTRO.
DISEE SU PROGRAMA DE
SEGURIDAD CON BASE EN LAS
NECESIDADES ESPECFICAS DE
SU ORGANIZACIN, EN VEZ DE
BUSCAR UNA SOLUCIN DE UNA
SOLA TALLA PARA TODO.

No queremos decir que no debera proteger la red, pero no


creo que nuestras defensas estn a la par de los riesgos. Una
manera de protegerse contra las amenazas internas es una
autenticacin de doble factor (2FA), la cual usa lo que usted
conoce y lo que tiene. El problema de la adopcin preventiva
del 2FA pueden ser los costos asociados y el hecho de que las aplicaciones heredadas no son
siempre compatibles con estos mtodos.

Otra forma es un acercamiento a la informacin protegida, bsicamente con la postura de


no confiar en nadie. La confianza es verificada: si eres quien dices ser, prubalo. Cuando este
acercamiento se aplica y los usuarios han sido verificados, pueden ir a donde quieran y acceder a
cualquier cosa dentro de la red.
Otro ejemplo de cmo las amenazas internas pueden comprometer la seguridad de una
organizacin es la violacin que le ocurri a la Oficina de Informacin Pblica hace algunos aos.
Una persona que no estaba autorizada para acceder a ciertos documentos, no solo lo hizo, sino
que se las arregl para sacarlos de las instalaciones. En este ejemplo, confiamos mucho en las
contraseas para asegurar las cosas. Con frecuencia pensamos que la solucin es cambiar por

No creo que nuestras defensas estn a la par de


los riesgos.
Sponsored by:

32

LA VERDADERA SEGURIDAD REQUIERE ENTENDIMIENTO Y UNA APROXIMACIN EN NIVELES

una ms complicada, pero este problema es mucho ms grande que un simple tema de
passwords. Las organizaciones necesitan entender que estas amenazas van a un nivel mucho
ms profundo.
Entender los factores de las amenazas y riesgos ayuda a guiarlo hacia mejores aproximaciones
de defensa. Una buena forma de entender estos riesgos es que las organizaciones piensen
en ellos desde el principio. Invertimos mucho tiempo y recursos verificando la casilla junto
al anlisis de riesgos, pero realmente no indagamos para descifrar cules son las verdaderas
amenazas. Necesitamos hacer una buena evaluacin a la antigua sobre cules son nuestros
riesgos, los cales varan de empresa a empresa.
Tambin invertimos mucho tiempo y recursos entendiendo el cumplimiento de normas y
hacindolo para poder encaminarnos a encontrar la proteccin adecuada. Nos presionamos
para cumplir con la gran lista de cosas que pueden o no aplicar a la situacin de nuestra
organizacin. Sera mejor si invirtiramos ese tiempo evaluando los riesgos. Si entendemos
nuestros riesgos, podemos priorizar los elementos en esa gran lista, seleccionar los ms
crticos y encontrar la solucin correcta para mitigarlos.
Como siempre, tenemos la tendencia de buscar una solucin nica que resuelva todo, pero
este escenario simplemente no aplica. Hay una gran cantidad de soluciones en el mercado.
Son tantas que se ha convertido en un problema. Cmo elegir la correcta? Algunos piensan
que lo nico que se debe tener es un firewall, pero no solo el firewall, tambin proteccin
contra intrusiones, un buen mecanismo de autenticacin, buena topologa de red, y la lista
sigue para que cuando se presente una fuga, sea capaz de recuperase mejor.
No hay una bala mgica que detenga cada riesgo de seguridad. La verdadera seguridad
requiere una defensa en capas, con varias soluciones en conjunto para obtener el tipo
de proteccin adecuada que cumpla con las necesidades de su organizacin. Ninguna
herramienta por s sola mantendr a salvo su red y su informacin.

Sponsored by:

La verdadera
seguridad
requiere una
defensa en
capas, con varias
soluciones en
conjunto para
obtener el tipo
de proteccin
adecuada que
cumpla con las
necesidades de
su organizacin

33

Mantenindose adelante de los hackers


En esta seccin
Tom Eston
Veracode...........................................34

Will Lefevers
Constant Contact........................38

Steven Weiskircher
ThinkGeek, Inc...............................36

Sponsored by:

35

SER PROACTIVO
Una vez form parte del equipo de evaluacin de un actor
famoso. l haba instalado muchos dispositivos de seguridad
digitales y estaba confiado de que su vida en internet era a
prueba de hackers. Pero no lo era.

LECCIONES CLAVE

LA MAYORA DE LAS FUGAS DE


DATOS EN LAS EMPRESAS INICIAN
CON TCTICAS DE INGENIERA
SOCIAL.

Como primer paso, le ped a uno de los miembros del equipo


llamar al rea de soporte tcnico de Amazon. Le dijo al
LAS VULNERABILIDADES DE LAS
trabajador que quera aadir una tarjeta de crdito a la cuenta
APLICACIONES Y LAS MALAS
de Amazon del actor. El empleado solicit la respuesta a la
CONFIGURACIONES DE LOS
SISTEMAS CON FRECUENCIA NO
pregunta de seguridad: Cul fue su compra ms reciente? El
SON DETECTADAS.
miembro de mi equipo saba que el actor era fan de Game
of Thrones, as que respondi: El DVD de la Temporada 1
de Game of Thrones, el empleado respondi: correcto, y despus le dijo: restableceremos su
contrasea.

TOM
ESTON
Gerente, Pruebas de
Penetracin,
Veracode
Tom Eston es gerente de Pruebas de
Penetracin en Veracode. En aos
anteriores su trabajo se enfoc en
la investigacin para la seguridad.
Lider proyectos en la comunidad de
la seguridad, mejor metodologas
de pruebas y el manejo de equipos.
Tambin es un bloguero de seguridad
y fue co-conductor del podcast Shared
Security. Tambin es orador frecuente
en grupos de usuarios de seguridad
y en conferencias internacionales
como Black Hat, DEFCON, DerbyCon,
Notacon, SANS, InfoSec World, OWASP
AppSec y ShmooCon.

Twitter I Website I Blog

Este simple movimiento le dio acceso a mi equipo a muchos detalles personales del actor.
Nos permiti hackear su cuenta de Twitter y luego su e-mail. Cambiamos las constraseas de
prcticamente, todas las cuentas que tena.
En cuestin de das, nos habamos infiltrado en toda su vida digital. No es necesario decir que el
actor estaba en shock.
Aqu hay una importante leccin para las empresas: muchas responden a sus vulnerabilidades solo
despus de una fuga. Eso no es suficiente. Mi punto es que la mentalidad en la defensa corporativa
debe volverse proactiva.
A continuacin, les presento tres de los retos ms grandes en seguridad electrnica para las
empresas que operan en el mbito digital:

Este simple movimiento le dio acceso a mi equipo


a muchos detalles personales del actor.
Sponsored by:

36

SER PROACTIVO
Ingeniera Social. La mayora de las violaciones a corporaciones inician mediante e-mails
con phishing, con llamadas, o con el delincuente entrando al edificio afirmando que trabaja
ah. A esto se le llama Ingeniera social porque el delincuente se aprovecha del deseo
natural del ser humano de confiar.
Desde la perspectiva de seguridad de una computadora, esto es un vector de ataque peligroso.
Es el mismo que us mi equipo para hackear a nuestro amigo actor. Me consterna lo fcil que
es explotar el factor humano.
Vulnerabilidad de las aplicaciones. Las aplicaciones de red son el front end de la mayora
de las empresas y la manera en que muchas de ellas hacen dinero. En aos recientes,
nuevas capas de complejidad han sido introducidas tras bambalinas para permitir que
las aplicaciones trabajen en la nube. Con la complejidad, viene el error humano. Con
frecuencia encuentro que las empresas no se toman el tiempo adecuado para instalar
sistemas de seguridad en la infraestructura de sus aplicaciones o para realizar las pruebas
apropiadas de seguridad desde un inicio. Esto es verdad, incluso hoy en da, cuando la
seguridad es una de las prioridades de la mayora de los ejecutivos.
Malas configuraciones de sistemas. Esto tambin, por lo general es ignorado. Las
consolas para administracin de redes, incluso los sistemas de produccin, con frecuencia
permanecen con sus configuraciones de fbrica, accesibles a travs de contraseas
predeterminadas. Al fortalecer los cdigos de las aplicaciones y la infraestructura donde
residen, se debe invertir tiempo en esta pieza. Como delincuente, si puedo acceder a su
consola de administracin de red usando una contrasea predeterminada, ya no me
importara la aplicacin. Puedo acceder a todo desde su servidor.

Simule sus
propias pruebas
de ingeniera
social para que
sus empelados
conozcan
cmo son estos
ataques y qu
deben hacer en
caso que ocurran

La moraleja es simple: vigilar. Eduque continuamente a sus empleados. Contrate consultores


externos para evaluar los riesgos y que lleven a cabo pruebas de penetracin. Est preparado
para escuchar cosas que no quisiera or, como que ya fue hackeado. Simule sus propias
pruebas de ingeniera social para que sus empelados conozcan cmo son estos ataques y qu
deben hacer en caso que ocurran.
Mucho de lo que llamamos seguridad de redes, es solo cuestin de tener conciencia.
Sponsored by:

37

LO QUE NO ME DE JA DORMIR
En una ocasin, intent convencer a equipo de administracin
ejecutiva para invertir en un sistema de prevencin de
LECCIONES CLAVE
intrusiones (IPS) y un firewall a nivel aplicaciones (WAF). No
LOS DEPREDADORES EXTERNOS,
los impresion. Quin podra atacarnos? Preguntaron.
LAS AMENAZAS INTERNAS
Y LMITES QUE SE ROMPEN
Para responder a esa pregunta, mont un servidor de muestra,
EN LA RED, SON GRANDES
con parches actualizados, justo en la parte exterior del firewall
PREOCUPACIONES.
corporativo. En los siguientes tres minutos, haba escaneado
y mapeado robticamente el firewall. En los siguientes 12
UN EXHAUSTIVO ANLISIS DE
minutos, estaba bajo un ataque directo. Eso los convenci.
RIESGOS DEBERA SER PARTE DE
CUALQUIER IMPLEMENTACIN
Eso fue hace mucho tiempo, pero an hoy, la gente ve la
DE NUEVA TECNOLOGA,
PARTICULARMENTE AL TRABAJAR
inversin en seguridad como una pliza de seguro que nunca
CON TERCEROS.
utilizarn. Eso es, en parte, el por qu estos tres desafos me
mantienen despierto por las noches.
Depredadores externos. Estos son los atacantes e infames bots que tocan a la puerta, da y
noche, golpeando por todos lados las defensas de mi permetro tratando de ingresar. Como
detallista en lnea, todo el tiempo lidiamos con ello. Tambin veo los efectos adicionales
de otras intrusiones. La informacin de la cuenta o tarjeta de crdito de cualquier persona
puede ser comprometida durante una fuga de informacin de otro minorista. Entonces estos
individuos usan la informacin de esa cuenta en otro sitio. Ms recientemente, vi un cambio
en este tipo de fraudes donde la informacin de una cuenta que fue comprometida durante
una intrusin masiva, fue vendida o intercambiada con otro individuo. Esta persona intenta
entonces comprar un producto para despus devolverlo a cambio de dinero. Ni siquiera tienen
que tomarse la molestia de hackear la cuenta de alguien, si ya hay una amplia oferta de cuentas
que han sido previamente comprometidas de donde seleccionar.
Lmites que se rompen. Las redes conocidas y los lmites de las aplicaciones estn fallando

STEVEN
WEISKIRCHER
CIO
ThinkGeek, Inc.
Steve Weiskircher tiene ms de
19 aos de experiencia como un
lder directo en la industria del
e-commerce, ha trabajado como
director de informacin de mltiples
e-tailers incluyendo Crutchfield,
Fanatics y, ms recientemente,
ThinkGeek, donde es responsable
de los equipos de tecnologa y
experiencia del usuario. Steve
estudi la carrera de ingeniera
mecnica en Virginia Tech y tiene
una maestra en administracin de
sistemas de informacin por parte
de la Universidad de Virginia.

Twitter I Website

En los siguientes tres minutos, haba escaneado y


mapeado robticamente el firewall. En los siguientes 12
minutos, estaba bajo un ataque directo.
Sponsored by:

38

LO QUE NO ME DE JA DORMIR
a un ritmo increble. Los servicios en la nube, junto con la nueva moda de los empleados
jvenes de Trae tu propio dispositivo (BYOD), estn reventando los lmites. Solamos
tener permetros amables y una extensa administracin de dispositivos, pero esos tiempos
se acabaron. Ahora debemos proteger nuestra informacin de forma continua, siempre
conectados con un mundo donde ya no existen permetros claros. Es bastante simple: ya
no tenemos la misma medida de control.
Amenazas internas. Estas amenazas vienen por parte de empleados descontentos
o contratistas, que buscan beneficiarse con los datos crticos de la empresa. Es difcil
protegerse contra cada posible vector de amenaza que involucre empleados con acceso
a informacin sensible y a Internet. Se ha vuelto muy fcil mover grandes volmenes de
datos sin ser detectados. Mientras esto ocurre, el escenario ms probable es la creacin
de una brecha no intencional que el empleado o contratista puedan crear. Los contratistas
subcontratados pueden ser un riesgo muy particular, con frecuencia se les otorga acceso
directo o privilegiado al interior de la red. El reto es que usted no administre los dispositivos
o las redes a las que se conectan. Tales exposiciones no intencionales pueden crear brechas
a travs de todas sus defensas.
Hay pasos que puede tomar para la mitigacin. Los proveedores como Fortinet y otros
ofrecen IPS avanzado, WAF y herramientas centralizadas de inicio de sesin. Estas tecnologas son requerimientos para cualquier
servidor web o interfaz expuesta para programacin de aplicaciones. Realizar evaluaciones regulares sobre posibles amenazas es
clave. Los escaneos a las vulnerabilidades, tanto externas como internas, tambin deben hacerse de manera regular. Los das en que
simplemente se instituan restricciones a las direcciones IP o incluso firewalls de inspeccin de estado, se terminaron.
Para los riesgos basados en la nube, en conjunto con la evaluacin de amenazas, recomiendo un anlisis de riesgos exhaustivo. Debe
ser parte de cualquier implementacin nueva de tecnologa, particularmente al trabajar con terceros. Una prueba de penetracin total
o evaluacin de vulnerabilidades inicia con un escaneo automatizado, pero tambin debera tener personal ejecutando cuidadosas
evaluaciones sobre la administracin de riesgos. Qu informacin se guarda en ese servidor? Qu sistemas o redes puede acceder?
Debera restringir el acceso o acordonarlo en su totalidad?
Sera grandioso que hubiera algo como una lista ordenada y universal de seguridad. Desafortunadamente, la seguridad de la
informacin no es una receta que podamos seguir. Vivimos en un mundo gris, ni blanco ni negro. Por lo tanto, la seguridad siempre
ser una combinacin de tecnologa avanzada y gente inteligente. Solo a travs de una clasificacin cuidadosa de los factores de riesgo
podr establecer la estrategia adecuada para mitigar el peligro

La seguridad
siempre ser una
combinacin
de tecnologa
avanzada y gente
inteligente.

Sponsored by:

39

CAZANDO A LOS CAZADORES


Mi reto ms grande es encontrar talento. El mercado
est inundado de gente que dice que pueden manejar la
seguridad de la informacin. Armados con una maestra en
administracin de TI, recin egresados con un certificado en
sistemas de seguridad de la informacin, o con experiencia de
unos cuantos aos en el manejo de firewalls, quieren firmar
para trabajar en seguridad de redes. La mayora de ellos no
est a la altura. Necesito cazadores.

WILL
LEFEVERS
Arquitecto lder de seguridad
informtica,
Constant Contact
Will Lefevers es un arquitecto de
seguridad de la informacin. Tiene 15
aos de experiencia, los cuales incluyen
despliegues militares en operaciones
satlite, contrainteligencia, operaciones
cibernticas e investigacin de
vulnerabilidades. Antes de trabajar en
Constant Contact, Will fue el ingeniero
de aplicaciones de seguridad para una
multimillonaria plataforma en la nube de
ltima generacin. Su enfoque incluye
la deteccin de amenazas internas,
anlisis conductual, ingeniera inversa
de malware, y la cacera de agentes
amenazantes en redes en vivo. Will es
tambin un vido destilador y escribe
cdigos excepcionalmente comunes.

Twitter

LECCIONES CLAVE

NADA, EXCEPTO LA EXPERIENCIA,


PUEDEN ENSEAR CMO
RESPONDER EN EL MOMENTO
DE HABER SIDO VCTIMA DE UNA
INTRUSIN. SE NECESITA GENTE
QUE EST DISPUESTA A CORRER
HACIA EL FUEGO.

ENCONTRAR GENTE TALENTOSA


La industria vende todo tipo de herramientas fascinantes
QUE ESTUDIE EL DELITO Y SE
para encontrar a los chicos malos en su red. Los sistemas
MANTENGA AL TANTO DE LOS MS
RECIENTES ACONTECIMIENTOS
de prevencin de intrusiones, firewalls de nueva generacin
DE LA SUBCULTURA HACKER, ES
(NGFW), analtica de seguridad de Big Data: todos ellos
CLAVE.
ofrecen el santo grial. Todos y cada uno de ellos van a salvarlo.
Todos reclaman haber construido algo que conoce su red
lo suficientemente bien como para localizar con precisin esas conductas terribles dentro de un
vasto y estridente ocano. Todos ellos pretenden encontrar la aguja en el pajar. Todava tengo que
encontrar uno de esos.

Para ser claro, estoy cazando cazadores gente que piense como los chicos malos. Gente que
estudie el delito y se mantenga al tanto de los ms recientes acontecimientos de la subcultura
hacker. Gente que pueda escribir exploits y malware, y que sepa exactamente por qu esa nueva
vulnerabilidad se va a esparcir como fuego en el subsuelo ruso. Gente que pueda conseguir el
archivo mdico completo de alguien a precio del mercado negro. Gente que sepa mezclarse tanto
con ejecutivos de traje como con los punks. Gente que convierta su estilo de vida en la vanguardia

Mi reto ms grande es encontrar talento


Necesito cazadores.
Sponsored by:

40

CAZANDO A LOS CAZADORES


de seguridad. Gente que viva y disfrute su trabajo, que no solo trabaje.
La realidad es que cada uno de nosotros seremos vctimas de una intrusin. Todos
experimentaremos ese vibrante torrente de pnico y emocin. Todos viviremos bajo la presin
de la alta direccin, y una intensa vigilancia estar sobre cada una de nuestras decisiones
durante las prximas semanas. A la mxima presin mxima se le sumar una cero-tolerancia
hacia los errores comunes. Nada, excepto la experiencia, puede ensearle cmo responder en
ese momento. En situaciones como esa, he visto dos clases de personalidades: aquellos que
corrieron lejos del fuego y a los que corrieron hacia l. Me deleito en esos momentos. Necesito
gente que corra hacia el fuego. Necesito gente que busque la primera oportunidad para probar
sus habilidades.
El mundo hacker evoluciona en respuesta a cada nueva defensa. El juego del gato y el ratn
entre el hacker y el defensor se lleva a cabo continuamente. Al final del da, los juguetes
brillantes y los lujosos diplomas no lo salvarn. Necesito hackers que cacen hackers.

Sponsored by:

La realidad es
que cada uno de
nosotros seremos
vctimas de una
intrusin. Todos
experimentaremos
ese vibrante
torrente de pnico
y emocin.

41

Protegiendo contra Amenazas Persistentes Avanzadas


(APTs) y Ataques con Base en Aplicaciones
En esta seccin
Mikhael Felker
VC backed eCommerce.......................41

Sponsored by:

Erlend Oftedal
F-Secure..................................................43

42

LAS APLICACIONES REPRESENTAN LOS MAYORES RIESGOS ACTUALES DE SEGURIDAD


En una infraestructura moderna de red y aplicaciones, estas
ltimas se han convertido en el mayor punto de riesgo por
LECCIONES CLAVE
varias razones. Una de ellas es que hay proliferacin de
EL NMERO DE APLICACIONES
aplicaciones, ya que construir una es ms fcil que nunca. El
QUE APARECEN EN UN AMBIENTE
nmero de aplicaciones que aparecen en un ambiente tpico
TPICO DE NEGOCIOS EST
CRECIENDO, MIENTRAS QUE
de negocios est creciendo, y evolucionan rpidamente.
LOS RECURSOS DISPONIBLES
PARA ENFRENTAR CUALQUIER
Desafortunadamente, los recursos disponibles para enfrentar
PROBLEMA DE SEGURIDAD QUE
cualquier problema de seguridad que estas aplicaciones
ESTAS APLICACIONES PUEDAN
CREAR SON RELATIVAMENTE
puedan crear son relativamente estticos, y la dinmica de
ESTTICOS.
los negocios agrava el problema de la seguridad en cuanto a
aplicaciones.
INCLUSO, SI NO PUEDE REDUCIR
LA LISTA DE LAS FALLAS
CONOCIDAS DEL ELEMENTO DE
Hubo un tiempo en que la infraestructura estaba en
MAYOR RIESGO, DEBE PRIORIZAR
las instalaciones y los ciclos de desarrollo no eran tan
ESA COMPOSTURA CONTRA EL
POTENCIAL DE OBTENER MS
rpidos como lo son hoy. En tales ambientes, asegurar la
GANANCIAS AL CONSTRUIRLE
NUEVAS CARACTERSTICAS.
infraestructura era ms fcil. Ahora, con ambientes hbridos
complejos y la demanda por acelerar los ciclos de desarrollo
de las aplicaciones, es mucho ms retador construir
aplicaciones seguras en el tiempo en que son requeridas. Cada
unidad de negocio podra tener su propio ambiente y trabajar con
sus propios proveedores, ya que estos ambientes estn en constante cambio. El personal de TI crea
y derriba redes privadas virtuales.
Con una imagen en tiempo real del entorno, las organizaciones pueden enfocarse en las
prioridades ms altas de seguridad, pero tener ese panorama general es difcil. Existen productos
disponibles para ayudar a agregar una vista del entorno de los negocios. Las herramientas de
analtica y la visualizacin pueden dar al personal de TI una fotografa del ambiente, que pueden
usar para priorizar los esfuerzos de seguridad.

MIKHAEL
FELKER
Director de Seguridad de la
Informacin,
VC backed eCommerce
Mikhael Felker es director de
seguridad de la informacin de una
empresa en crecimiento ubicada
en Santa Mnica, California. Su
experiencia profesional incluye
una mezcla de seguridad de la
informacin, privacidad, enseanza,
periodismo tcnico y liderazgo
sin fines de lucro en industrias
como defensa, salud, educacin
y tecnologa. Mikhael tiene una
maestra en polticas y manejo de
seguridad de la informacin por parte
de la Universidad Carnegie Mellon
y un ttulo profesional en ciencias
informticas por parte de la UCLA.

Twitter I Blog

Corregir las fallas conocidas para finalmente priorizar los


esfuerzos en desarrollar caractersticas para aplicaciones que
generen ingresos, en vez de su mantenimiento.
Sponsored by:

43

LAS APLICACIONES REPRESENTAN LOS MAYORES RIESGOS ACTUALES DE SEGURIDAD

An con las imgenes instantneas de un ambiente cambiante y complejo, existen otros


retos para construir aplicaciones seguras en relacin con la priorizacin de los esfuerzos de
desarrollo y la distribucin de los recursos. En cuanto a la priorizacin, vamos a asumir que
el personal de TI conoce cada vulnerabilidad en una aplicacin y entiende perfectamente
los casos de uso susceptibles al abuso. La organizacin de TI debe priorizar si compone
esas fallas en vez de construir nuevas funciones, para que todo se reduzca a priorizar los
esfuerzos en desarrollar caractersticas para aplicaciones que generen ingresos, en vez de su
mantenimiento. Incluso, si no se puede reducir la lista de las fallas conocidas del elemento de
mayor riesgo, debe priorizar esa compostura contra el potencial de obtener ms ganancias al
construirle nuevas caractersticas.
Lo que agrava la priorizacin del problema es la distribucin de los recursos. Cuando
buscamos la seguridad general de una app, la organizacin debe observar el amplio espectro
de los servicios de aplicaciones, aplicaciones mviles e interfaces para programacin
de aplicaciones. Tambin se debe considerar el ambiente de la aplicacin, ya sea en las
instalaciones, plataforma como servicio o infraestructura como servicio. Hay tanta presin
para construir y lanzar las aplicaciones rpidamente que, con frecuencia, la empresa no tiene
los recursos para probar la aplicacin en todos los ambientes en los que el personal podra
utilizarla.
Esta combinacin del creciente nmero de aplicaciones, distribucin de los recursos para
construir y probar los complejos ambientes hbridos y priorizar las composturas de seguridad
contra el desarrollo de nuevas caractersticas de las aplicaciones que generen ingresos es una
receta que hace que las aplicaciones, probablemente, sean el mayor riesgo de seguridad que
las empresas enfrentan hoy.
Con este reto de seguridad en mente, es ms importante que nunca poder involucrar a
profesionales de seguridad de la informacin durante las primeras etapas del proyecto,
incluyendo los requerimientos de seguridad, de conformidad y as minimizar riesgos y un
posible reinicio del proyecto. Tambin es importante aprovechar los estndares existentes,
estructuras y metodologas como las del Instituto Nacional de Estndares y Tecnologa y las
de la Organizacin Internacional para la Estandarizacin, y as asegurar que los proyectos
tengan una plataforma de seguridad.
Sponsored by:

Es ms
importante que
nunca involucrar
a profesionales
de seguridad de
la informacin
durante las
primeras etapas
del proyecto.

44

LA DETECCIN ATRASADA DE AMENAZAS Y UNA RESPUESTA LENTA : LAS MAYORES AMENAZAS

Es importante reconocer que sin importar cunta proteccin


integremos a nuestra infraestructura, siempre tendremos
sistemas vulnerables. La verdadera amenaza a la seguridad
proviene al no poder detectar los ataques lo suficientemente
rpido y no responder con la rapidez necesaria. En aos
recientes, muchas de las intrusiones de seguridad de ms alto
perfil, estuvieron ah por meses antes de ser detectadas.

ERLEND
OFTEDAL
Consultor Senior en
Seguridad,
F-Secure
Erlend Oftedal ha trabajado como
desarrollador de software y evaluador
de seguridad por ms de 10 aos. Ha
sido orador en varias conferencias
de seguridad y tambin desarrolla
herramientas de seguridad de cdigo
abierto. Erlend est al frente del
captulo de OWASP en Noruega.

Twitter I Blog

LECCIONES CLAVE

MIENTRAS EXISTA UNA


VULNERABILIDAD HEREDADA
EN LAS APLICACIONES, LOS
DESARROLLADORES COMETERN
ERRORES, LOS USUARIOS HARN
COSAS QUE NO DEBEN Y LOS
DELINCUENTES ENTRARN EN EL
SISTEMA.

Entonces, qu contribuye a la inseguridad de las redes


LAS NUEVAS HERRAMIENTAS
e infraestructura? Un factor importante es la creciente
PERMITEN A LOS
DESARROLLADORES CONSTRUIR
complejidad de las redes y los ambientes de software. Las
UNA SEGURIDAD ACTIVA,
MONITOREADA DENTRO DE LA
empresas, frecuentemente tienen una variedad de sistemas
MISMA APLICACIN.
que adquirieron con el paso de los aos, incluyendo
aplicaciones construidas sobre estructuras antiguas y
bibliotecas de las que ya nadie se acuerda. Algunas veces, el fabricante original de una aplicacin
ya no est en el negocio, y la compaa prefiri desarrollar nuevos cdigos en vez de componer
viejas vulnerabilidades.

Por s mismo, el software se ha vuelto ms complejo y ms dependiente de cdigos de terceros.


Hace 10 aos, de acuerdo con estudios, el 80% de los cdigos de nuevas aplicaciones eran cdigos
personalizados y el 20% provena de bibliotecas. Hoy, el 20% son personalizados y el 80% son
de bibliotecas. El desarrollo de las aplicaciones ha cambiado para poder incluir pruebas de
seguridad durante el proceso de desarrollo, con herramientas que detecten cdigos vulnerables

Sin importar cunta proteccin integremos a


nuestra infraestructura, siempre tendremos
sistemas vulnerables.
Sponsored by:

45

LA DETECCIN ATRASADA DE AMENAZAS Y UNA RESPUESTA LENTA : LAS MAYORES AMENAZAS

de bibliotecas y rutinas de seguridad construidas en la etapa de prueba. Aun as, los


desarrolladores cometen errores. Los usuarios tambin.
Mientras exista una vulnerabilidad heredada en las aplicaciones, los desarrolladores
cometern errores y los usuarios harn cosas que no deben y as los delincuentes entrarn
en el sistema. La mejor proteccin contra estas amenazas es la deteccin temprana
y una respuesta rpida. Las empresas cuentan con soluciones como los firewalls de
ltima generacin y honeypots para protegerse contra las amenazas conocidas y buscar
actividades sospechosas que pudieran indicar amenazas previas desconocidas. Un nuevo
acercamiento al desarrollo de software, que pudiera ser an ms efectivo para algunos
tipos de aplicaciones, involucra nuevas herramientas que permitan a los desarrolladores
construir una seguridad activa y monitoreada dentro de la misma aplicacin. Si la aplicacin
detecta cualquier intrusin en la conducta operativa conocida, puede enviar alarmas,
bloquear cualquier actividad o detener la aplicacin completa. Cada aplicacin debera ser
construida con controles de seguridad, especficamente diseados para protegerla contra
comportamientos ilegales. La ventaja sobre las soluciones generales de seguridad es que
stas nunca saben exactamente cmo una aplicacin autorizada se debera comportar.
Mientras nuestras se vidas en el trabajo se vuelven ms dependientes del software, en
nuestros hogares e incluso en nuestros autos, es esencial que tengamos una visibilidad que
nos permita la rpida deteccin y respuesta inmediata para contener todo tipo de ataques y
as desplegar la mitigacin ms rpido cuando las vulnerabilidades son descubiertas.

Sponsored by:

La mejor
proteccin
contra estas
amenazas es
la deteccin
temprana y
una respuesta
rpida.

46

El factor humano y una cultura de la seguridad


En esta seccin
Michael Krigsman
cxotalk.com...........................................46

Matthew Witten
Martins Point Health Care......53

David Fosdike
IT Investigations.................................48

Peter Schawacker
Optiv Security, Inc...........................55

Simone Jo Moore
SJM..............................................................50

Scott Stewart
Deloitte..................................................58

Sponsored by:

48

LA SEGURIDAD ES UN PROBLEMA TCNICO Y HUMANO


Hoy da, las organizaciones enfrentan retos por riesgos en la
seguridad tanto tcnicos como humanos. A nivel tcnico, la
seguridad de la red se ha vuelto extremadamente compleja
porque las redes se han vuelto ms complejas. Para ser
efectivos, las operaciones de los negocios ahora dependen de
arquitecturas de red avanzadas e infraestructura. Mantener
y asegurar este tipo de infraestructura, arquitectura y
capacidades est fuera del alcance de la empresas medianas y
pequeas, y desafa incluso a las ms grandes.

MICHAEL
KRIGSMAN
Analista de la Industria y
Fundador,
cxotalk.com
Michael Krigsman es el fundador
de cxotalk,com. Es reconocido
internacionalmente como un analista de
la industria, consejero estratega, abogado
corporativo y comentarista de la industria.
Como columnista para ZDNet, Michael
ha escrito ms de 1,000 artculos sobre
software empresarial, la nube, CRM,
ERP, colaboraciones y alineacin entre
el TI y las lneas de negocio. Michael es
con frecuencia jurado en prestigiosos
concursos de la industria como el CIO 100
de la Revista CIO y CRM Idol. Tambin es
fotgrafo, cuyo trabajo ha sido publicado
por The Wall Street Journal, el MIT y
CNET News.

Twitter I Website I Blog

LECCIONES CLAVE

1
2

LOS ASPECTOS HUMANOS


Y TCNICOS, COMNMENTE
TRABAJAN EN CONJUNTO PARA
HACER MS COMPLEJOS LOS
RETOS DE LA SEGURIDAD.
NADIE SABE DE DNDE VENDR LA
PRXIMA GRAN AMENAZA.

Del lado humano, la gobernabilidad, los procesos, las


habilidades y los juicios deben conjuntarse para asegurar
que se tomen las mejores decisiones y que las operaciones permanezcan seguras. No solo las
amenazas externas son un problema. Las organizaciones deben permanecer vigilantes contra
actividades internas no autorizadas, ya sean malintencionadas o accidentales. Los juicios y la toma
de decisiones son componentes crticos en el mantenimiento de la seguridad.
Los aspectos humanos y tcnicos, comnmente trabajan en conjunto para hacer ms complejos
los retos de la seguridad. Por ejemplo, muchas compaas prefieren usar aplicaciones ubicadas
en sus instalaciones en vez de soluciones basadas en la nube, porque se sienten ms cmodos
controlando su propia seguridad que subcontratar a un proveedor de servicios en la nube. Esta
perspectiva es entendible, pero la realidad es que pocas organizaciones, sin importar su tamao,
pueden empatar su seguridad con las capacidades que ofrecen los proveedores de servicios en la
nube. Aunque la percepcin acerca de la seguridad de la nube est cambiando, muchos directores
de TI se aferran a la nocin de que su seguridad interna es mejor que la de un gran proveedor, a
pesar de la gran inversin y capacidades especializadas que ofrecen.

La seguridad de la red se ha vuelto extremadamente


compleja porque las redes se han vuelto ms complejas.
Sponsored by:

49

LA SEGURIDAD ES UN PROBLEMA TCNICO Y HUMANO


Otra rea en la que las consideraciones tanto humanas como tcnicas entran en juego
es la movilidad. Las tecnologas mviles son un desafo especial, porque a travs de
ellas, los negocios transportan informacin interna a la periferia de la red y hacia grupos
geogrficamente dispersos. La informacin ya no reside en los confines fsicos del edificio
de la empresa o de la infraestructura definida de la red. Los usuarios quieren un acceso
total a la informacin desde sus dispositivos mviles, lo que significa que cualquiera de
esos dispositivos puede convertirse en la puerta de entrada a la red corporativa. Esto pone
al departamento de TI en una posicin difcil: los usuarios esperan flexibilidad, y quieren
que el departamento de TI sea el responsable de sus necesidades. Pero el equipo de TI
tambin tiene que proteger la informacin y asegurar que el acceso a la informacin desde
los dispositivos mviles sea seguro en caso de que esa informacin se pierda y se vea
comprometida.
Nunca hay una solucin sencilla para un problema de seguridad y nadie sabe desde
dnde vendr la siguiente gran amenaza. Para implementar una postura de seguridad, los
profesionales en TI deben concientizar a toda la empresa. Todos los usuarios deberan usar
contraseas slidas, ser cuidadosos al almacenar datos encriptados en laptops, dispositivos
mviles y evitar sacar grandes volmenes de informacin de la oficina. Desde el punto de
vista tcnico, las empresas incluso podran necesitar asistencia experta para fortalecer sus
redes y rastrear amenazas. No espere a sufrir una fuga de informacin para tomar medidas!
*Como lo report David Talbott

Sponsored by:

La realidad
es que pocas
organizaciones,
sin importar su
tamao, pueden
empatar su
seguridad con
las capacidades
que ofrecen los
proveedores de
servicios en la
nube.

50

AN LOS ME JORES FIREWALLS PUEDEN SER COMPROMETIDOS


Constantemente me relaciono con la infraestructura de otras
personas. El problema que pondra al inicio de la lista es la
LECCIONES CLAVE
gente, porque no solo hay personal dentro de la empresa sino
INCLUSO LAS ORGANIZACIONES
tambin personal externo y ellos tambin necesitan estar
QUE TIENEN GRANDES
protegidos o protegernos de ellos. Hay tambin un grave
HERRAMIENTAS DE SEGURIDAD
problema con el compromiso de la administracin relacionado
PUEDEN ESTAR EN RIESGO SI EL
PERSONAL QUE LAS ADMINISTRA
con la seguridad. La administracin necesita un compromiso
Y UTILIZA NO ENTIENDE LOS
de palabra y por escrito, poniendo el dinero sobre la mesa.
RIESGOS A LOS QUE SE ENFRENTA
DA CON DA.
Una compaa para la que trabaj tena un CEO que realiz
un viaje de negocios a China. Le entreg su laptop con toda su
LAS POLTICAS DE SEGURIDAD
informacin, incluyendo un plan a cinco aos de su negocio, al
DEBEN TENER CONSECUENCIAS.
SIN ELLAS, ESAS POLTICAS NO
servicio de asistencia para que los tcnicos pudieran instalarle
SON MS QUE SIMPLES AMENAZAS
un software. En un bolsillo de la maleta de la laptop estaban
VACAS.
todas sus contraseas, incluyendo el password para acceder a la
informacin de su plan a cinco aos. Si esa computadora hubiera
sido robada, toda la informacin se habra visto comprometida y una puerta trasera hacia la red
habra estado disponible.
Le podramos decir muchas cosas a este CEO. Si lleva consigo una laptop de la empresa a un
viaje de negocios, tambin se est llevando la red. Est separada de la red, pero disponible para
funcionar conectndose a travs de una red privada virtual (VPN). Es por ello que usted necesita
una administracin de compromisos: todo debe estar incluido en las polticas.
Las polticas deberan estar basadas en la evaluacin de riesgos. Cules son sus riesgos?
Desarrolle polticas que subrayen sus declaraciones de intencin y resultados esperados. Bajo
eso, tiene procedimientos, rdenes de trabajo, etc. Las polticas generan orden y permiten que los
administradores conozcan las reas de riesgo y cmo reducirlas.

DAVID
FOSDIKE
Consultor Principal de
Seguridad y Forense,
IT Investigations
Durante los aos 70, David Fosdike
administr y program la computadora
central de IBM y luego las computadoras
de rango de medio de IBM y DEC. Se
especializ en redes y despus en seguridad.
Despus de 30 aos, se cambi del sector
privado a la consultora forense. El rango
de sus clientes de seguridad en TI va
desde autoridades gubernamentales hasta
minoristas nacionales y organizaciones
educativas. Tiene una maestra en sistemas
de seguridad de la informacin (con
honores) adems de mltiples certificados
y diplomas. David es muy activo en las
redes sociales en cuanto a temas como la
seguridad de la informacin. Tambin es un
instructor calificado y certificado.

Twitter I Website

La administracin necesita un compromiso de palabra y


por escrito, poniendo el dinero sobre la mesa.
Sponsored by:

51

AN LOS ME JORES FIREWALLS PUEDEN SER COMPROMETIDOS


Algo con lo que me he encontrado es que es difcil que las empresas hagan algo con respecto
a la seguridad, a menos que se vean obligados debido a las polticas. Y esas polticas deben
tener dientes. Los bancos, las grandes organizaciones y los contratistas de la defensa tienen
sistemas de seguridad que funcionan. Y funcionan porque tienen polticas que incluyen
medidas punitivas diseadas para asegurar que los requerimientos se cumplan.
El siguiente nivel de personal son los administradores de seguridad. Estas personas deben
tomarse sus empleos muy en serio, y he visto que eso es un problema. Con frecuencia estn
tan enfocados en la tecnologa que no ven el panorama completo. Salvo que usted est
pensando en la arquitectura real de su red y su permetro, puede terminar con brechas que ni
siquiera sabe que existen, incluso si tiene un excelente firewall.
Por ejemplo, audit una escuela en un rea semi-rural que tena la poltica de Traer tu
Propio Dispositivo para permitir a los maestros usar sus propios equipos a travs de la red
de la escuela. Desafortunadamente, no tenan controles sobre cmo deban conectase los
dispositivos a la red o qu tipo de antivirus requeran. La escuela tambin tena una VPN con
una contrasea muy sencilla, lo que aumentaba el permetro de la escuela hacia las casas de
cualquiera que se supiera dicha contrasea.
La gente no entiende cmo funciona el permetro, particularmente cmo funciona una zona
desmilitarizada en trminos de proteccin del mismo. Abren dispositivos dentro de la red
hacia el exterior, sin darse cuenta de eso, por lo que el dispositivo se convierte en la puerta de
entrada para el resto de la red.
Cualquier dispositivo que est conectado a su red puede convertirse en parte de su permetro.
Es como una pequea isla de su red disponible en medio de un estadio. Si esa rea es
comprometida, su red completa tambin ser comprometida.
Al final, deber contar con buena tecnologa y gente entrenada no solo en tomar conciencia
sobre las amenazas sino tambin en el manejo de incidentes. La tecnologa siempre va un
paso atrs de los criminales; y las fuerzas de la ley siempre un paso atrs de la tecnologa. A
menos que la gente sepa cmo manejar las amenazas, su tecnologa y polticas de seguridad
no sern suficientes.

Sponsored by:

Salvo que
usted est
pensando en
la arquitectura
real de su red
y su permetro,
puede terminar
con brechas que
ni siquiera sabe
que existen.

52

COMUNICACIN Y CULTURA
Como consultora de diseo para la administracin de servicios
de TI, veo a otros con las habilidades tcnicas necesarias para
realizar implementaciones a nivel superficial. Desde mi punto
de vista, sin embargo, puedo identificar tres grandes retos de
la infraestructura de las aplicaciones de la empresa y de la
seguridad de su red:
La gente; entender los riesgos; y
Entender el papel de la empresa en la seguridad

SIMONE
JO MOORE

La gente

Consultora Senior y
Capacitadora Experta,
SJM
Simone Jo Moore trabaja con mltiples
organizaciones a nivel internacional,
sondeando las mentes y corazones de
lo que hace pulsar a un negocio y las
TI, particularmente la pltica ingeniosa
que lleva de la evolucin y revolucin
al arranque del pensamiento, conducta
y acciones de la gente a cualquier nivel.
Est activamente comprometida a travs
de varios canales en redes sociales, en
los que comparte sus ms de 20 aos
de experiencia en cuanto a diseo
estratgico y operativo de los negocios,
desarrollo y transformacin. Ella sigue
cuatro principios clave de negocio: gente
conectada, conocimiento compartido,
posibilidades descubiertas y potencial
realizado.

LECCIONES CLAVE

1
2

LA AUTOMATIZACIN ES MUY
IMPORTANTE: SOLO RECUERDE
QUE TODA LAS SOLUCIONES SON
DISEOS HUMANOS Y, POR LO
TANTO, VULNERABLES.
EL ENTRENAMIENTO CONTINUO Y
LA COMUNICACIN SON TAREAS
MEDULARES EN LA SEGURIDAD DE
LA RED.

Todos deberan entender las polticas corporativas de seguridad de las TI. Tendrn que leer las
polticas al ingresar a la organizacin y saber que la seguridad existe. Sin embargo, generalmente
veo que muchos no saben sobre lo ms bsico, como evitar compartir sus contraseas o publicar
informacin de la empresa en sus redes sociales. Todos juegan un papel en la seguridad de la
organizacin: el elemento que falta es la comunicacin.
El enfoque necesita iniciar con un curso de induccin para todos los empleados. En vez de solo
leer las polticas, deben entender completamente las consecuencias de sus acciones en cuanto a
la seguridad. El personal de nuevo ingreso en el departamento de TI, como parte de su perodo de
prueba de tres meses, debera recibir un extenso y continuo entrenamiento sobre todos los puntos
conflictivos de la red, vulnerabilidades y acciones que deben ser tomadas en caso de que surja

Mejorar el flujo de comunicacin, usar los canales


correctos con el personal y crear una cultura sobre la
importancia de la seguridad, logra maravillas.

Twitter I Website I Blog

Sponsored by:

53

COMUNICACIN Y CULTURA
una amenaza. Tambin deben entender el flujo de informacin a travs del sistema y cmo
cualquier informacin liberada o cdigo alterado puede amenazar la seguridad.
Hacer que esto se entienda no tiene que ser ni muy difcil, pero tampoco muy fcil. Mejorar el
flujo de comunicacin, usar los canales correctos con el personal y crear una cultura sobre la
importancia de la seguridad, logra maravillas.
Entender los riesgos
Algunas veces, las empresas no entienden su propia actitud hacia el riesgo, por lo que no
lo evalan bien. Industrias como los servicios financieros son, por naturaleza, enemigas del
riesgo y tienden a ver la seguridad como una inversin valiosa. Algunas empresas nuevas, en
contraste, se enfocan tanto en penetrar el mercado que prefieren arriesgarse. Quiz eso est
bien, pero ninguna institucin debera enfocarse en la seguridad a ciegas.
La solucin para este desafo es similar al primero: se reduce al entrenamiento y a la
concientizacin mientras se mejora el conocimiento y habilidades del personal. Realice
profundas evaluaciones de riesgos y busque soluciones automatizadas disponibles que lo
ayuden a identificar los riesgos. Luego determine la cantidad apropiada de inversin deseable
por su compaa en lnea con la exigencia de resultados por parte de los accionistas.
Entender el papel de la empresa en la seguridad
El departamento de TI est ah para entender, facilitar y defender los resultados de la empresa.
Aun as, algunas veces hay una desconexin entre las exigencias del negocio y lo que hace
el departamento de TI. No es para tanto que al departamento de TI le falte tecnologa o la
capacidad para reaccionar, ya que desde la perspectiva de negocios no hay un entendimiento
pleno del impacto de los resultados que arroja la seguridad.

Sponsored by:

Las
preocupaciones
sobre la
seguridad de
la red, fluyen
continuamente
a travs de
la estrategia,
diseo,
transicin y
operaciones.

54

COMMUNICATION AND CULTURE


Por supuesto, es vital implementar soluciones automatizadas, como contraseas que
se reinicien automticamente, firewall a nivel de aplicaciones, prevencin, deteccin de
intrusiones y cosas similares. Solo recuerde que todo esto son herramientas diseadas
por humanos y, por lo tanto, no son perfectas. Vaya ms all de las pruebas. Algunas
organizaciones contratan a hackers para atacar, deliberadamente sus sistemas, demostrando
la capacidad de los hackers y las fortalezas y debilidades de los sistemas. Los resultados
son ingresados de vuelta al proceso circular de la evaluacin de riesgos y de las iniciativas
requeridas para mejorar la seguridad.
Los resultados de su negocio son impactados directamente por la calidad de la resistencia
informtica. Recomiendo ampliamente familiarizarse con la gobernabilidad y las mejores
prcticas delineadas en diversos marcos de referencia sobre la administracin de servicios de
TI (ITSM) para fortalecer los requerimientos legales especficos. Busque en los recursos de
los Objetivos de Control de Informacin y Tecnologa Relacionada (COBIT) y en la Biblioteca
de Infraestructura de Informacin y Tecnologa (ITIL). Es especial porque los ciberataques
prevalecen ms en los ambientes actuales. El portafolio Resilia para las mejores prcticas es
una estrategia para toda la organizacin, no solo para el departamento de TI, y se alinea con
otras infraestructuras. Est enfocado en la adaptabilidad informtica, as como en la respuesta
y recuperacin ante posibles ataques que impacten la informacin que necesita para hacer
negocios.

Vaya ms all
de las pruebas.
Algunas
organizaciones
contratan
a hackers
para atacar,
deliberadamente,
sus sistemas.

Las preocupaciones sobre la seguridad, fluyen continuamente a travs de la estrategia,


diseo, transicin y operaciones. Tenga a la gente correcta, los procesos y las tecnologas en
el lugar adecuado y utilice prcticas estratgicas de mejoras continuas. Compromtase con
la comunicacin y los entrenamientos continuos. Estas tareas son clave para lo que debe
hacerse.

Sponsored by:

55

LA INFORMACIN EFECTIVA EN SEGURIDAD REQUIERE UNA EDUCACIN A FONDO DEL USUARIO

MATTHEW
WITTEN
Director de Seguridad de la
Information,
Martins Point Health Care
Matthew Witten ha desarrollado y
dirigido numerosos equipos de seguridad
de la informacin, respuesta ante
incidentes y pruebas de penetracin.
Actualmente es el director de seguridad
de la informacin en Martins Point
Health Care. Matthew fue el CISO para el
Gobierno Metropolitano de Louisville y
la Universidad de Louisville. Cuenta con
una amplia experiencia en seguridad
de la informacin y co-desarroll un
programa de amplio uso de respuesta
ante incidentes y riesgos. Tiene una
maestra en administracin de empresas,
as como certificados en CISSP, CISA y
CRISC.

Twitter

Mi mximo reto al asegurar nuestra infraestructura de redes


y aplicaciones es determinar cules son los lmites que
tienen las infraestructuras actuales. Desde el punto de vista
organizacional, es muy importante garantizar la seguridad y
control de la informacin, en la medida en que nos movamos
de mantener todo en las instalaciones a convertir parte de
la informacin en una nube, ejecutar algunas aplicaciones
o almacenar informacin en la nube. Esto es especialmente
importante porque estamos protegiendo informacin regulada
sobre la salud de nuestros pacientes y miembros.

LECCIONES CLAVE

1
2

JUNTO CON LA GARANTA


DE QUE USTED TIENE SU
INFRAESTRUCTURA DE SEGURIDAD
DE LA INFORMACIN EN EL
LUGAR CORRECTO, TAMBIN LA
EDUCACIN AL USUARIO DEBE SER
PRIORITARIA.
EVALE CUIDADOSAMENTE LOS
EXTRAORDINARIOS DESAFOS DE
SEGURIDAD QUE PROPONEN LAS
SOLUCIONES EN LA NUBE.

Es imperativo tener los dispositivos adecuados de red y las


soluciones de seguridad de las aplicaciones en el lugar correcto. Si no sabe lo que est pasando
dentro de su red, no tiene esperanzas de estar al da. Debe considerar software para deteccin y
prevencin de intrusiones, e incluso, para algunos casos, tecnologas que revisen el trfico de este
a oeste. Tener firewalls perimetrales y un buen antivirus es extremadamente importante, pero otra
prioridad es asegurar que el eslabn ms dbil est entrenado. Por eslabn ms dbil me refiero al
aspecto humano: usted, yo o cualquiera en la organizacin.
Capacitar al elemento humano de forma efectiva, es vital, porque con frecuencia ser por donde el
delincuente intentar entrar. La seguridad del permetro de la red ha sido bastante fortalecida, por
lo que los hackers intentarn sobrepasarla usando tcnicas como el phishing o la ingeniera social.
Es inaceptable para nosotros, como profesionales de la seguridad, encoger los hombros y decir que
el usuario no est capacitado. Nuestro trabajo es asegurar que tengan esa preparacin. As como
tenemos que asegurarnos de que los firewalls estn configurados correctamente, tenemos que

Es imperativo tener los dispositivos adecuados de


red y las soluciones de seguridad de las aplicaciones
en el lugar correcto.
Sponsored by:

56

LA INFORMACIN EFECTIVA EN SEGURIDAD REQUIERE UNA EDUCACIN A FONDO DEL USUARIO

asegurarnos que todos nuestros empleados entiendan cmo evitar situaciones de riesgo o
cmo alertar a las personas correctas cuando algo sospechoso est pasando.
Recomiendo implementar entrenamientos continuos a los usuarios que incluyan temas que
ellos enfrentan en su vida diaria. Enviamos nuestro boletn informativo que describe cmo
los usuarios pueden protegerse a ellos mismos mientras compran en lnea. Por ejemplo, justo
antes que inicie la temporada de Navidad. Tambin hemos realizado exitosos almuerzos
de trabajo en los que montamos un laboratorio y fingimos que estamos en una zona con
cobertura WiFi en una cafetera, luego les mostramos a los asistentes lo fcil que es conseguir
acceso no autorizado a un telfono o computadora dentro de ese ambiente. Recientemente
ingres a una nueva empresa y estoy empezando a ver los frutos de nuestros esfuerzos aqu.
Pero una manera en la que supe que estbamos haciendo la diferencia en mi ltimo empleo
fue cuando comenc a recibir e-mails de diferentes usuarios, unas cuatro o cinco veces al da,
en los que me decan: Oye, me lleg este e-mail sospechoso. Eso me mostr que estbamos
empezando a tener algo de xito.
Al evaluar cuidadosamente los retos nicos que conllevan las soluciones en la nube,
asegurarse de que tiene desplegada la infraestructura para seguridad de redes adecuada, y
proactivamente capacita a sus usuarios con respecto a las amenazas que evolucionan, puede
mover la aguja hacia una seguridad de la informacin preventiva. No requiere poco esfuerzo,
pero logra un impacto significativo para bien.

Sponsored by:

Recomiendo
implementar
entrenamientos
continuos a
los usuarios
que incluyan
temas que ellos
enfrentan en su
vida diaria.

57

PERSONAS, TECNOLOGA Y SEGURIDAD


Estoy en el negocio de detectar ataques y entender
la naturaleza de los mismos para que la gente pueda
detenerlos. Si tuviera que agrupar los desafos que las
empresas enfrentan para conseguir la seguridad, el primero
y ms grande sera la falta de personal especializado
disponible. El segundo sera una pobre implementacin
tecnolgica y el tercer lugar sera una mediocre ejecucin de
la TI. Y cranme, todos ellos estn relacionados.

PETER
SCHAWACKER
Director de Soluciones de
Inteligencia para la Seguridad,
Optiv Security, Inc.
Peter Schawacker lidera el Centro
de Excelencia para Soluciones de
Inteligencia en Seguridad de Optiv
Security. Desde finales de los 90s, ha
sido analista, ingeniero, evangelista de
la tecnologa y gerente en el campo
de la seguridad de la informacin. Es
tambin un experto en la prctica de
tecnologas e inteligencia en seguridad.
Ha dado paso a la creacin de centros
de operaciones de seguridad para
empresas pertenecientes a las 500
de Fortune, tanto del sector industrial
como gubernamental. Peter es un
pionero en la aplicacin de prcticas
en el desarrollo del software Agile para
la seguridad de productos.

Website

La falta de personal especializado en TI es solo el hecho de


que no hay suficientes personas que hacen el trabajo que
se requiere. Las reservas de mano de obra simplemente no
crecen lo suficientemente rpido. En gran medida se debe
a que la gente no tiene las oportunidades para entrar en el
negocio y aprender de forma prctica. O, son mal manejados
por personas sin experiencia en esas tecnologas, por lo que
terminar desperdiciando su inversin en seguridad.

LECCIONES CLAVE

1
2

LA EMPRESA, EL DEPARTAMENTO
DE TI Y LA GENTE ENCARGADA
DE LA SEGURIDAD NECESITAN
ENTENDER LAS METAS DE LA
ORGANIZACIN Y TRABAJAR COMO
EQUIPO PARA ALCANZAR ESAS
METAS, MIENTRAS SE MANTIENE
UN AMBIENTE SEGURO.
EL DEVOPS DEBERA SER
CONSIDERADO PARA CREAR
VERSIONES MS PEQUEAS Y
MS FRECUENTES DE PARCHES DE
SEGURIDAD Y ACTUALIZACIONES.
ESTO PUEDE REDUCIR EL
NMERO DE PROBLEMAS EN
LA SEGURIDAD QUE RESULTAN
DE LA ACTUALIZACIN DE LAS
APLICACIONES.

Otra parte de ello es que el departamento de TI entienda lo que el negocio necesita y


lidere la organizacin por el camino que los llevar hacia all. Mucho de esto se reduce a la
comunicacin. La seguridad se trata de la comunicacin de especies internas que trabajan en la

Con cada cambio de la base de cdigo de un


producto, existe la posibilidad de que existan
problemas y vulnerabilidades en la seguridad.
Sponsored by:

58

PERSONAS, TECNOLOGA Y SEGURIDAD


empresa, o sea entre los nerds de seguridad o talento realmente tcnico, que es el personal
que entiende los procesos regulares de las TI y la gente que entiende de qu se trata el
negocio.
La gente que construye, opera sistemas y se supone que ayuda a la empresa, con frecuencia
no tiene idea de lo que hace la compaa. Pero la gente que est en el negocio tampoco
entiende lo que hace el departamento de TI. El personal de TI como los desarrolladores o
administradores de sistemas, implementan o cambian servicios sin ninguna consideracin
por las implicaciones en cuanto a la seguridad, lo que da paso a vulnerabilidades en el
sistema. Por regla general, es necesario que haya alguien, como analistas de negocios o
lderes de TI, quienes pueden descifrar cmo cruzar los lmites entre el TI y los procesos de
negocio.
La tecnologa implementada de forma mediocre es tambin un problema. En muchas
organizaciones, el departamento de TI trabaja de manera pobre por la falta de integracin
entre sus funciones y la tendencia a hacer cosas que son demasiado grandes. Por ejemplo,
los productos normalmente tienen actualizaciones una vez al ao o quiz una vez al
trimestre. Estas actualizaciones de producto incluyen caractersticas y correcciones de
errores, lo que implica muchos cambios. Con cada cambio de la base de cdigo de un
producto, existe la posibilidad de que existan problemas y vulnerabilidades en la seguridad.
La solucin es crear versiones ms frecuentes y con menos cosas en cada versin. El
DevOps (Desarrollo de Operaciones) es una estrategia que se usa cada vez ms para crear
un mayor nmero de versiones y reducir el costo del ciclo de la misma versin. Puede
generar ms versiones con ms frecuencia y reducir la cantidad de cambios cada una, y los
resultados son ms fciles de arreglar.

Sponsored by:

Los
administradores
de la seguridad
necesitan mostrar
a la empresa y
a los lderes del
departamento
de TI, el valor
de las cargas
fraccionadas, de
las versiones ms
frecuentes y de la
estandarizacin.

59

PERSONAS, TECNOLOGA Y SEGURIDAD


Netflix lo hace maravillosamente. Es una organizacin sofisticada y madura cuando se trata
de DevOps. Entonces, tiene a gran parte del mundo de cabeza, y aun as trata de hacer las
cosas como si tuviera la esperanza de que los servidores centrales regresaran. Para romper
este ciclo, los administradores de seguridad necesitan mostrarle a la empresa y a los lderes
del departamento de TI, el valor de las cargas fraccionadas, de las versiones ms frecuentes
y de la estandarizacin. Una manera de hacer esto es introducir a estos lderes en el mundo
de los foros especializados, donde puedan comparar apuntes y ver qu otro mundo es
posible.
El ltimo problema son los programas de seguridad mal ejecutados. Existe la necesidad de
mantener las tecnologas despus de su implementacin. Por ejemplo: tenemos muchos
clientes que invierten grandes cantidades en la compra e instalacin de herramientas de
seguridad, como firewalls. Desafortunadamente, estas empresas hacen grandes gastos
en seguridad, pero no mantienen o continan con el desarrollo de esas tecnologas. Estas
herramientas se echan a perder, dejando a la organizacin incapaz de responder cuando
surjan las amenazas, y de integrar los sistemas de TI de manera segura.
Las organizaciones necesitan simplificar sus operaciones y sus ambientes de TI. Necesitan
reducir la variedad y diversidad de sistemas y herramientas para que haya menos cambios,
que sean ms fciles de manejar. Los firewalls pueden reducir la cantidad de ruido, solo
con simplificar y normalizar la cantidad de trfico en la red que entra y sale de la misma.
Tambin pueden reducir los tipos de trfico que pasan a travs del permetro de la red.
Entre menos cosas pasen a travs de la red y entre ms se estandaricen las interfaces de
programacin de aplicaciones, menor ser el tiempo que usted dedique a pensar en ello y
su superficie de ataque ser ms limitada.

Sponsored by:

Entonces, tiene
a gran parte
del mundo de
cabeza, y aun
as trata de
hacer las cosas
como si tuviera
la esperanza
de que los
servidores
centrales
regresaran.

60

SEGURIDAD SOCIAL
Uno de mis clientes, descubri recientemente que un
competidor haba entrado en su red. Por un largo periodo,
LECCIONES CLAVE
personas externas tuvieron libre acceso a su informacin
LA INGENIERIA SOCIAL ES
sobre bienes races. Fue todo un impacto. Los miembros
PROBABLEMENTE LA MAYOR
de la empresa del cliente pensaban que ellos haban hecho
VULNERABILIDAD EN LA
SEGURIDAD DE SU RED.
las cosas correctamente, invirtieron tiempo y dinero y
pensaron en los permetros de seguridad, herramientas y
SER BUENO CON SUS EMPLEADOS
procesos. Desafortunadamente, descuidaron el aspecto
ES PARTE IMPORTANTE DE UN
humano de la seguridad. Me refiero a la ingeniera social, la
PLAN SLIDO PARA ENFRENTAR
LOS RETOS A LA SEGURIDAD.
cual es el truco que los hackers utilizan para entrar en las
redes a travs de la manipulacin inocente y del impulso
natural del ser humano de confiar. Es una de las tcticas ms comunes que se utilizan para
ingresar a las redes.

SCOTT
STEWART
Director, Asesora en
Tecnologa,
Deloitte
Scott Stewart es director de la Prctica
de Asesora en Tecnologa de Deloitte,
enfocado en asesorar a CIOs, estrategias
de TI y estrategias de suministro. Con
base en Australia, Scott ha ofrecido
servicios de consultora de TI a diversas
organizaciones multinacionales
de la Regin Asia-Pacfico, Medio
Oriente y los Estados Unidos. Scott
es un experimentado ejecutivo TIC
(Tecnologas para la Comunicacin e
Informtica) que por muchos aos se
ha desempeado como Director de
Informacin en el sector de servicios
financieros. Es tambin un reconocido
analista senior de la industria y director
de investigacin.

Twitter I Website I Blog

Pareciera ms probable que alguien dentro de la organizacin haya facilitado el acceso al


competidor, de una forma difcil de detectar y mucho ms complicada de probar. Despus de
todo, mi cliente cerr esa brecha en sus procesos y tuvo algunos problemas con el personal,
pero aprendi una leccin clave de la manera ms dura. Cuando de seguridad se trata, nunca
se puede estar demasiado preparado. Tendemos a ver la seguridad a travs de los lentes de la
tecnologa y de los procesos, pero al hacerlo, fcilmente pasamos por alto el papel primordial
del factor humano en la cadena de valor de la seguridad. Cules son las mejores maneras
para deshacerse de este problema?
Concientizacin. La concientizacin es la medida nmero uno en la defensa. Asegrese
que todos sus empleados entiendas las amenazas de la ingeniera social. Tambin es
importante que se mantenga actualizado de las cambiantes tcnicas de la ingeniera social
y sus tendencias. Los criminales se reinventan constantemente.

Por un largo periodo, personas externas tuvieron


libre acceso a su informacin sobre bienes races.
Sponsored by:

61

SEGURIDAD SOCIAL
Involucre a toda la empresa. La seguridad no es solo responsabilidad del personal de TI.
Una campaa de concientizacin sobre seguridad debe incluir a los ejecutivos. Estos autodenominados luditas, ms adelante pueden ser su vulnerabilidad y generar peligro.
Mantenga una estrategia disciplinada. Si no cuenta con ella, encuentre una. Siempre les
pido a mis clientes que inicien con los cuatro pasos de la ciberseguridad, como se esboza en
el manual de Deloitte de 2014, Ciberseguridad: Empoderando al CIO, el cual los gua rumbo a
un acercamiento ms disciplinado y estructurado.
En general, lo ms importante de los cuatro pasos del manual incluye:
Estar preparado. Esta es la estrategia para lograr la seguridad a travs de la vigilancia y la
flexibilidad. Tambin incluye el establecimiento de un proceso de monitoreo, planeacin y
prueba, respuesta y de seguros.
Fijar estndares altos. Esta es la estrategia para lograr capacidades de seguridad por diseo.
Involucra el establecimiento de una estrategia basada en los riesgos y alineada con el
negocio. Identifique y proteja los activos valiosos y ajuste la arquitectura para garantizar que
la estrategia de seguridad pueda ser alcanzada.
Cubrir lo bsico de manera correcta. Este es el paso de seguridad por control. Incluye
instalar protocolos de acceso e instalar parches frecuentes. Adems, administre los archivos
vulnerables, asegure los sistemas esenciales, elabore pruebas peridicas y lleve a cabo
anlisis de causas originales.
Establecer proteccin personal. Deloitte describe esto como seguridad a travs del comportamiento, que es cultivar una
continua concientizacin de la seguridad, liderar desde la cima y tener claras las consecuencias de una mala conducta. Tambin
motive la adopcin de las prcticas de seguridad en casa.
El manual de Deloitte est basado en la premisa de que los ejecutivos y miembros del consejo deben tener la camiseta puesta, en
todo lo relacionado con la ciberseguridad. Los funcionarios corporativos son tan responsables con los accionistas como lo es el CIO.
Un comentario final: Los invito a meditar sobre un elemento adicional del factor humano en lo que se refiere a la informacin y
seguridad de la red. Un mal estilo de administracin puede generar empleados descontentos. Esta persona puede transformarse
rpidamente, de ser un trabajador leal a ser una amenaza para la seguridad de la informacin. Igualmente, un empleado mal pagado y
poco apreciado puede caer en la tentacin y entregar informacin en un intento de congraciarse con el competidor que ms le pague.
Mi punto es que, al ser un buen lder y administrador del personal y al ser bueno con sus empleados, estar contribuyendo con un
elemento clave para la informacin holstica y la estrategia de seguridad de redes.

Los ejecutivos
corporativos
son tan
responsables
con los
accionistas como
lo es el CIO.

Sponsored by:

62