Por: Martín Hoz (Fortinet) - Junio de 2008
Hace unos días me fué solicitado para un proyecto particular, que apoyara generando un plan de trabajo para llevar a cabo la migración a grandes rasgos, de una tecnología existente por tecnología de Fortinet. Dado que no era la primera vez que me lo pedían, decidí dejar el proceso documentado y así quedó.
Entre los puntos obvios que decidí incluír en el plan fué la parte donde se revisa que la tecnología actual cumpla o no con las espectativas de la organización, así como las ventajas que la nueva tecnología (en este caso Fortinet) llevaba a la organización para poder dejar estas características activas. No podían falta por supuesto un análisis de redundancias, un análisis de vulnerabilidades sobre la infraestructura protegida, así como una matriz de pruebas en funcionalidad y capacidad.
Después de escribir el documento, me quedé pensando en cómo Fortinet fué un innovador en muchos de los aspectos, pero no solo tecnológicos, sino también de mercado. Fortinet propuso UTM justo cuando algunos grandeshabían encontrado problemas tratando de hacerlo realidad. Y sin embargo funcionó: al día de hoy la caja hace muy buen Firewall mas Antivirus mas IPS, mas otras cosas. Hubo innovación cuando las mismas características son soportadas exactamente en todas las cajas sin importar el tamaño: no todo mundo puede hacer esto, aun al día de hoy. También innovó con licenciamientos unificados: el UTM llevado de la tecnología al bolsillo, lo cual tiene mucho sentido al momento de la adquisición de tecnlogía. Virtualización unificada: Fortinet el único en ofrecer todas las tecnologías Virtualizadas como parte de la oferta estándar, sin costo adicional a través de VDOMs. Pero hay otro aspecto del cual se habla poco: la compatibilidad y facilidad de migración.
Hoy Fortinet dispone de una de las pocas cajas en el mercado que puede operar en modo transparente (en modo bridge) con prácticamente todas las funcionalidades: esto es algo que no todas las cajas del mercado pueden hacer y es sumamente importante al momento que se va a reemplazar una tecnología ¿por qué? - pues porque simplemente permite que la tecnología a reemplazar, sea cual sea, continúe operando y que poco a poco su funcionalidad vaya siendo migrada a la nueva caja, hasta que paulatinamente la caja original no tiene mayor sentido en la red. Otra de las cosas es que no todas las características tienen que ser activadas inicialmente y se puede ir selectivamente activando funcionalidad: igualmente de importante al momento de migraciones, puesto que permite ir activando las cosas punto a punto, dando lugar para pruebas y una paulatina puesta en operación del producto.
¿Y por qué esto de las migraciones es importante? - Sencillo: porque estamos en un momento donde muchas de las funcionalidades de seguridad se comienzan a volver commodity: ¿Cuántos tipos de dispositivo conocen que pueden ser firewall? ¿Cuántos hacen VPN? ¿Cuántos antivirus? - ¿Quién no tiene ya al menos un firewall y un antivirus en su organización? - y cuando la diferencia no está en el producto, la diferencia viene por el respaldo o el servicio. Y cuando la diferencia tampoco está en el servicio o el respaldo, viene por la satisfacción del mercado. Y un punto importante de la satisfacción del mercado es el costo. Desafortunadamente para el consumidor, la hacer una inversión en un cierto producto (especialmente si la inversión es grande) automáticamente está poniéndose también un candado a sí mismo, puesto que invierte no solo lo que cuesta el producto en sí, sino en capacitación de personal y desarrollo de procesos alrededor de ese producto, de tal manera que lo vuelve parte de su medio ambiente operativo y después se vuelve difícil de reemplazar: es por esto que las grandes organizaciones evalúan no solo la tecnología como tal, sino el tipo de relación a largo plazo que pueden construir con sus proveedores, puesto que se vuelven parte necesaria de su existencia en el largo plazo. Por eso tenemos compañías que siguen usando tecnologías de hace 10 y 15 años al día de hoy: no es fácil (y no es barato) hacer migraciones al último grito de la moda, aunque se quiera...
Entonces, cuando tenemos un producto que por sus eficiencias tecnológicas (como el hecho de que Fortinet pueda aglutinar en un solo equipo múltiples funcionalidades) es funcional y operativamente igual o superior a lo existente, pero mas barato en su licenciamiento; se vuelve atractivo. Pero para que sea completamente atractivo, tiene que ser fácil (entiéndase barato también) el poder ponerlo en lugar de lo que se tiene... Y cuando hoy tenemos marcas que son dominantes en cuanto a instalaciones que existían antes de que Fortinet naciera, el tener un producto que haga la vida mas fácil al momento de sustituir lo que sea que se tiene por Fortinet, hace mucho mas simple el que los potenciales compradores se decidan por él. Por esto digo que Fortinet fué innovador también en esto.
Todo lo anterior es sin mencionar las herramientas de conversión de configuraciones, pero de FortiConverter quizá hablemos en otra ocasión...
lunes, 16 de junio de 2008
lunes, 26 de mayo de 2008
¿Bueno o Malo?
Por: Fernando Navarro (STI Telco) - Mayo de 2008
La mayoría de las empresas latinoamericanas aun no toman en serio la seguridad de sus comunicaciones e Internet.
En muchos lugares escuchamos de lo inseguro que es el Internet, que es igual de inseguro salir a la calle: uno nunca sabe cuándo pueda ocurrir una situación desagradable; pero es importante mencionar que debemos estar preparados y es parte de la experiencia y crecimiento del día a día.
¿A qué me refiero con estar preparado? Bueno pues a que desde pequeños nos enseñaron a que si nos acercamos al fuego nos podemos quemar, si jugamos con éste estamos más propensos a quemarnos. También nos enseñaron a que usáramos los cuchillos con cuidado y sólo hasta alcanzar una edad donde tuviésemos más habilidades. Otro ejemplo es el que nos dan al ayudarnos a cruzar la calle y nos obligan a voltear para revisar que no vengan carros, o qué mejor ejemplo cuando nos llevan a lavar los dientes para evitar las caries.
Bueno si no fuera por todos estos ejemplos del día a día y de nuestro crecimiento, no tendríamos las habilidades de protegernos.
Estas conductas deberíamos aplicarlas al uso del Internet, Y es que al entrar al mundo del Cyber-espacio o a la Cyber-carretera, deberemos estar preparados para afrontar los problemas que en ella se presentan.
La afirmación al referir que las empresas latinoamericanas no toman en serio la seguridad de las comunicaciones del Internet, está basada en que no conocen los problemas que esto representa y no toman en cuenta las sugerencias de protegerse antes de sufrir el problema, pero es de notar que sí saben que el Internet es y será una muy buena herramienta para crecer sus negocios y conseguir ofrecer sus servicios a más gente y empresas que lo requieran.
En el tiempo que tengo instalando y configurando redes para empresas de todo tipo, me he encontrado con diferentes estilos de pensar, y también con que los responsables no han profundizado en los diferentes temas que representa la seguridad. Como ejemplo les platico de algunos casos…
En una ocasión platicando con la gente de administración de una empresa me solicitaban la unificación de sus conexiones de Internet y para ellos esa era la prioridad más grande, dado que mucho de su negocio se realiza por este medio y una de sus quejas era la lentitud del mismo. Al plantearle al cliente un análisis de su utilización para saber si los usuarios utilizaban su red en algo mas que no fuera su negocio, me comentaron que era imposible que hiciesen mal uso de ésta. ya que sus usuarios se encontraban tan inmersos en su trabajo diario que era imposible y no era necesario. Después de insistir y de jugar una pequeña apuesta, el cliente accedió a que realizáramos este análisis, los resultados fueron
La pregunta surge, ¿Qué tiene que ver esto con la seguridad, si es más bien un caso de productividad…? bueno, la respuesta es muy sencilla: ¿Quién está seguro de que cuando bajas una canción por estos sistemas no estas bajando información que pueda apoderarse de tu computadora y en consecuencia de la red?, es importante señalar que los ciber criminales usan en particular las páginas de mala reputación así como los sitios mas visitados para implantar sus códigos que puedan apoderarse de sus computadoras.
Así como este caso se presentan muchos como los de correo electrónico, donde un servidor de correo mal instalado y mal protegido, queda vulnerable para que alguien más mande publicidad o propague sus correos con código malicioso o Virus, y que al poner seguridad bien planeada se empieza a rechazar a los que no tienen bien construidos sus sistemas, y al no recibir esos correos empiezan a relajar la seguridad de la misma para poder recibir al que no realizan su correcta configuración y por consecuencia empieza a ocurrir lo esperado.. ¡¡¡PROBLEMAS!!!
Otro caso más es el individuo que por ahorro, compra o instala software antivirus pirata y cree que esa será la solución a su problema sin pensar que esas soluciones no tendrán toda la capacidad o bien dejaran de funcionar y entonces… ¡¡¡PROBLEMAS!!!!
A final de cuentas, no se tiene la costumbre de contratar a personal especializado y con función especifica para atender la seguridad de la empresa en cuestión de las redes o TI y mucho menos están acostumbrados en contratar y pagar los servicios de empresas y consultores en seguridad. De hecho, en la experiencia propia, de 100% de empresas visitadas solo 1 tiene contratado a personal y del 100% de estas el 99% no cuentan con políticas especificas de seguridad, amen de que sea instalar el antivirus en sus maquinas.
Un punto que se les debe aclarar es que para asegurar la navegación en Internet, se deben de conocer los diferentes puntos de vulnerabilidad ya que los ataques cambiaron y entonces debemos de aplicar un COCKTAIL de seguridad que cumpla por lo menos con:
Anti Vírus
Anti Malware
Filtrado de páginas de Internet
Protección y detección de intrusión
Filtrado de correo SPAM
¡Aah! y el viejo y muy importante mecanismo al que la mayoría no le pone atención: el RESPALDO.
Y lo nuevo e importante, es el que los usuarios entiendan como cruzar la carretera del Internet vigilando que no vengan problemas a atropellarlos.
Algo de lo que me he dado cuenta constantemente, y hablo del 100% de las empresas a las que he visitado, es que si tienen una problemática siempre buscan quién fue para despedirlo, y nunca buscan primero concienciar al personal de las diferentes amenazas en el Internet o bien qué necesitan para prevenir estas conductas o vulnerabilidades. Ante este panorama, la pregunta crucial es ¿será por dinero?, ¿será por tiempo?, ¿será por desconocimiento?, En la inmensa mayoría de los casos a los que me he enfrentado es que el encargado de sistemas, administrador o cualquier nombre de puesto que tenga, minimiza el caso y trata de ahorrar con otras soluciones, sin evaluar el costo que tiene el perder información o dinero por no realizar las mejores prácticas de seguridad o por no reconocer que necesita ayuda ó soporte de un especialista. De todos modos estos puntos deberán de evaluarlos las empresas. Pero de lo que sí estoy seguro es de que Zapatero a sus Zapatos y es que si existen personas y empresas especializadas o especializándose constantemente en este tema debiese de recurrirse a estas. Y es que es fácil pensar en que si tenemos que pagar impuestos recurrimos a un contador, si nos duele la muela recurrimos a un dentista y etc., etc.
Hablando de casos reales nos enteramos en los periódicos de los fraudes que existen a cuenta habientes bancarios por robo de dinero, ¿de cuántos casos no nos enteramos por que no se denuncian?, Esto no es para que adopten al Internet como algo malo, es para que busquen informarse de los ataques estructurados y se prevengan.
Si bien sabemos que tener sexo seguro es cuando usamos un preservativo de la manera correcta o no tenemos sexo; de la misma manera debiéramos usar el Internet, con lo necesario para navegar seguros y saberlo utilizar, porque como el preservativo: si lo rompemos, fallamos. Si lo guardamos en el zapato, fallamos. O si lo reutilizamos, fallamos. De la misma manera deberemos utilizar los sistemas de seguridad para el Internet y qué mejor que usar los sistemas especializados llamados UTM.
También, no nos dejemos engañar o mal aconsejar con el amigo que dice “no pasa nada”. Tomemos en serio el tiempo para asesorarnos y sobre todo con la empresa que se comprometa a entender su operación y de esa manera aplicar la seguridad.
Un asunto que me gustara platicar en otra ocasión es como los ciber criminales se apoderan de nuestras infraestructuras para vender sus productos o atacar a otros sin que les cueste, y mientras nosotros perdemos ya que no podemos usar los servicios que compramos o rentamos.
¡Que tengan un seguro y feliz viaje por la Internet!
miércoles, 7 de mayo de 2008
Verde
Por: Leandro Werder (Fortinet) - Maio de 2008
Como um bom brasi
leiro que ama futebol, fiquei entusiasmado com a conquista do Campeonato Paulista pelo meu “Verdão” domingo passado e hoje resolvi falar algo diferente neste blog de segurança, gostaria de falar sobre o VERDE.
leiro que ama futebol, fiquei entusiasmado com a conquista do Campeonato Paulista pelo meu “Verdão” domingo passado e hoje resolvi falar algo diferente neste blog de segurança, gostaria de falar sobre o VERDE.Vocês devem estar se perguntando qual a relação da cor verde com segurança da informação, na verdade quando disse que iria comentar sobre o verde não quis falar sobre a cor nem mesmo sobre o grande time do Palmeiras ;) quis dizer que queria comentar sobre nosso meio ambiente e ele realmente tem haver com segurança. (Uma descoberta que tive recentemente ao acaso...).
Meus companheiros engenheiros da Fortinet esses dias entraram e
m uma breve discussão sadia, por e-mail, sobre como nossos produtos podem ajudar a proteger o meio ambiente, fiquei super feliz com discussão já que particularmente considero-me uma pessoa que está sempre tentando ajudar a manter o “verde vivo” (tento pelo menos fazer o mínimo como conservar água, reciclagem de lixo em minha residência, de maneira nenhuma jogar lixo nas ruas entre outras contribuições bem minúsculas, mas que todos deveriam estar habituados a fazer).
Voltando ao mundo de segurança, eu achei interessante alguns pontos observados por um de nossos engenheiros do Japão e sua discussão com nosso pessoal de desenvolvimento de produtos, onde ao final da mesma a conclusão foi que nunca a Fortinet quis se posicionar como a empresa “mais amiga do meio ambiente”, mas chegamos a uma simples equação onde utilizar UTM e também as propriedades de virtualização dos nossos appliances significa menos “caixas” no datacenter e conseqüentemente mais eficiente o uso do hardware com menor consumo de energia (tanto para as caixas como ares-condicionados, entre outros...) e com isso temos em geral a redução de pegadas de carbono.
Realmente in
teressante o pensamento e a discussão, chegando até mesmo a ser comentado que essa redução no impacto ambiental já é feito durante a manufatura, pois produzimos menos “caixas” para atender um enorme número de soluções de segurança.
Deixa-me feliz saber que hoje as empresas americanas têm essa preocupação sim, e gostaria que cada vez mais os consumidores (nós) utilizassem o impacto ambiental como um fator de escolha de nossos produtos consumidos.
martes, 6 de mayo de 2008
Software, piratería y sociedad.
Por: Francisco del Río (Cero Uno Software) - Mayo de 2008
La cada vez más común costumbre de eliminar lo más posible los artefactos físicos de las soluciones de software, desde manuales de usuario hasta cajas, candados y certificados de autenticidad, en aras de los “bajos costos de producción”; ha contribuido a la fácil reproducción de todos lo elementos que componen las soluciones. Esto ha provocando en el usuario una cada vez más débil sensación de pertenencia e identificación hacia su adquisición, acompañadas de una casi inexistente sensación de culpabilidad ante la copia, compra, venta y distribución de las soluciones de manera ilegítima.
Ante la disminución de los componentes materiales debido a las supuestas ventajas de lo “virtual”, vemos la rematerialización del software reencarnando en “Appliances” de todos tipos, que se adaptan de manera mas exacta a las expectativas de los consumidores de adquirir algo que los haga sentirse “dueños” de algo que se siente y toca, al mas puro estilo de las mas primitivas transacciones comerciales. La dificultad de hurto de componentes físicos hace mas atractiva su adquisición por parte de los consumidores y hace remarcables sus ventajas respecto soluciones “bajadas” de sitios WEB con características similares, fácilmente crackeables y distribuibles.
Como efecto colateral de sus propias acciones al eliminar componentes físicos, el fabricante de software se convierte en victima de si mismo; influyendo e impulsando a la sociedad a la aparente destrucción de su industria, promoviendo la piratería al hacerla mas fácil de realizar.
Lo que destruye a algunos hace crecer a otros, los gigantes crecen y los pequeños se empequeñecen más. Ante la facilidad de reproducción y la baja sensación de culpabilidad, la base instalada de software “gratuito” de gigantes es cada vez mas alta. De esta enorme base instalada un porcentaje es “forzado” por las autoridades a regularizarse, otros por miedo a represalias deciden hacerlo y algunos pocos mas por convicción propia se ponen “al corriente”, representado ingresos de cantidades obscenas anuales, dando entrada en el planeta a algunos de los millonarios del “top ten” de Forbes.
El efecto general resumido es que los nuevos emprendedores de software casi de manera inevitablemente serán víctimas de la piratería, disminuyendo sus ingresos de manera alarmante, es muy probable en un periodo corto de tiempo sus aires emprendedores de vean coartados por los malos hábitos de su mercado meta.
Solo algunos pocos más vivos subsisten al reto “materializando” las soluciones y evitando los efectos colaterales de la “virtualización”.
La cada vez más común costumbre de eliminar lo más posible los artefactos físicos de las soluciones de software, desde manuales de usuario hasta cajas, candados y certificados de autenticidad, en aras de los “bajos costos de producción”; ha contribuido a la fácil reproducción de todos lo elementos que componen las soluciones. Esto ha provocando en el usuario una cada vez más débil sensación de pertenencia e identificación hacia su adquisición, acompañadas de una casi inexistente sensación de culpabilidad ante la copia, compra, venta y distribución de las soluciones de manera ilegítima.
Ante la disminución de los componentes materiales debido a las supuestas ventajas de lo “virtual”, vemos la rematerialización del software reencarnando en “Appliances” de todos tipos, que se adaptan de manera mas exacta a las expectativas de los consumidores de adquirir algo que los haga sentirse “dueños” de algo que se siente y toca, al mas puro estilo de las mas primitivas transacciones comerciales. La dificultad de hurto de componentes físicos hace mas atractiva su adquisición por parte de los consumidores y hace remarcables sus ventajas respecto soluciones “bajadas” de sitios WEB con características similares, fácilmente crackeables y distribuibles.
Como efecto colateral de sus propias acciones al eliminar componentes físicos, el fabricante de software se convierte en victima de si mismo; influyendo e impulsando a la sociedad a la aparente destrucción de su industria, promoviendo la piratería al hacerla mas fácil de realizar.
Lo que destruye a algunos hace crecer a otros, los gigantes crecen y los pequeños se empequeñecen más. Ante la facilidad de reproducción y la baja sensación de culpabilidad, la base instalada de software “gratuito” de gigantes es cada vez mas alta. De esta enorme base instalada un porcentaje es “forzado” por las autoridades a regularizarse, otros por miedo a represalias deciden hacerlo y algunos pocos mas por convicción propia se ponen “al corriente”, representado ingresos de cantidades obscenas anuales, dando entrada en el planeta a algunos de los millonarios del “top ten” de Forbes.
El efecto general resumido es que los nuevos emprendedores de software casi de manera inevitablemente serán víctimas de la piratería, disminuyendo sus ingresos de manera alarmante, es muy probable en un periodo corto de tiempo sus aires emprendedores de vean coartados por los malos hábitos de su mercado meta.
Solo algunos pocos más vivos subsisten al reto “materializando” las soluciones y evitando los efectos colaterales de la “virtualización”.
viernes, 18 de abril de 2008
Mis novias Rusas y los Spammers
Por: Martín Hoz (Fortinet) - Abril de 2008
Esta es la historia de dos mensajes recibidos en el buzón de correo electrónico de un usuario cualquiera de Internet...
*** Primer Mensaje (Febrero 23 de 2008) recibido por el usuario:
"My name is Oksana. To me of 31 years. . I saw your structure on a site, and you interested me. And I have decided to write only to you!"
(el mensaje es mas largo y continúa...)
Ahora la traducción: "Mi nombre es Oksana. A mi de 31 años (¿?). Vi tu estructura en un site (¿?) y me interesaste. He decidido escribirte solo a tí!".
Anexa la foto de una chica luciendo una blusa verde, abrazando a un oso rosado y con una gorra de baseball color rosa también.
*** Segundo Mensaje (Abril 16 de 2008)
"Me llamo Alena! - Mi amiga ha conocido el hombre con la ayuda de un sitio. Aquello el homb
re ha dicho que hay un hombre que quiere conocer también la mujer rusa y ha dado a mi amiga tu dirección del e-mail. Pero aquello el hombre, que ha dado tu dirección del e-mail pidió que diga nunca su nombre, como llaman y donde él vive. Por eso no diré a tí el nombre de esto del hombre. No sé había esto la verdad o no, puedes ser no sabes esto el hombre. Pero ahora escribimos uno a otro y este principal. Quero conocer siempre con extranjero por el hombre, porque fui desengañada por los hombres rusos."
(el mensaje es mas largo y continúa...)
Anexa la foto de una chica rubia, con vestido rosa. Podría ser rusa o no, pero eso no importa... parece bonita.
*** Posible conclusión rápida de usuario que recibe estos mensajes...
¡Qué suertudo soy! - ¡Me escriben chicas rusas guapas y solo a mí! Creo que soy irresistible para las mujeres rusas, dado que se interesaron por un mexicanote como yo (morenito, feo y panzón)... debería ir a Rusia a levantar mi autoestima... :-)
*** Análisis a profundidad
Pero, un momento. Veamos...
*** Las respuestas
No hay realmente una chica rusa detrás de estos mensajes. No hay chica. Es mas quizá ni haya humano. Es simplemente "alguien" haciendo "algo", usando ingeniería social, sabiendo que "algun internauta" que esté legítimamente interesado y que sea lo suficientemente ingenuo responda... y entonces alguien se quede con mi dirección de correo, sabiendo que pertenece a un usuario legítimo.
Esta es una vez mas una mezcla de ingeniería social con un desesperado intento por obtener direcciones de correo legítimas, para poder vender bases de datos a gente que desee enviar publicidad...es decir, mas SPAM. O al menos, eso es lo que veo yo en primera instancia. ¿Qué mas podría ser? Vía los encabezados del mensaje (donde está la información de quién y cómo envía el mensaje, por dónde ha pasado y a quién va dirigido) capturar direcciones IP e investigar potenciales servidores de correo sin protección, para poder ser utilizarlos como fuentes de mas ataques. Quizá investigar direcciones IP para intentar un ataque mas dirigido. ¿Qué mas puede ser? - Quizá las imágenes en sí contenían algun tipo de ataque dirigido contra el usuario para explotar alguna vulnerabilidad en el browser o en el visor de imágenes de las estaciones de trabajo sin protección perimetral y sin parches. ¿Alguna otra cosa? - Quizá enviar información oculta mediante esteganografía... y ahí pueden sumarle mas cosas, desde las completamente coherentes hasta las completamente descabelladas, pero técnicamente viables o al menos potencialmente posibles.
¿La cura? - Lo de siempre: educación. Usar un poco el sentido común (aunque dicen por ahí que éste es el menos comun de los sentidos) y preguntarnos ¿qué tan factible es que sea esto verdad? - Usar la lógica ante estas situaciones, y como ocurre en la vida real, simplemente no quedarnos callados y "denunciar" platicando de esto con amigos y conocidos (sobre todo aquellos que usan una computadora pero no son versados en seguridad en cómputo), escribiendo sobre esto, alertando cuando sea posible hacerlo... En resumen: Educando...
Internet está metido en nuestra cotidianeidad, querámoslo o no. Desde el trabajo y la escuela hasta el hogar. Mientras mas educados sean los usuarios y mas gente esté trabajando en tener un mejor Internet, y nos comportemos todos como buenos "ciudadanos de la red", mejor será el futuro para todos en este medio, tan necesario en nuestros días para tantas cosas. ...
Esta es la historia de dos mensajes recibidos en el buzón de correo electrónico de un usuario cualquiera de Internet...
*** Primer Mensaje (Febrero 23 de 2008) recibido por el usuario:
"My name is Oksana. To me of 31 years. . I saw your structure on a site, and you interested me. And I have decided to write only to you!"
(el mensaje es mas largo y continúa...)
Ahora la traducción: "Mi nombre es Oksana. A mi de 31 años (¿?). Vi tu estructura en un site (¿?) y me interesaste. He decidido escribirte solo a tí!".
Anexa la foto de una chica luciendo una blusa verde, abrazando a un oso rosado y con una gorra de baseball color rosa también.
*** Segundo Mensaje (Abril 16 de 2008)
"Me llamo Alena! - Mi amiga ha conocido el hombre con la ayuda de un sitio. Aquello el homb
re ha dicho que hay un hombre que quiere conocer también la mujer rusa y ha dado a mi amiga tu dirección del e-mail. Pero aquello el hombre, que ha dado tu dirección del e-mail pidió que diga nunca su nombre, como llaman y donde él vive. Por eso no diré a tí el nombre de esto del hombre. No sé había esto la verdad o no, puedes ser no sabes esto el hombre. Pero ahora escribimos uno a otro y este principal. Quero conocer siempre con extranjero por el hombre, porque fui desengañada por los hombres rusos."
(el mensaje es mas largo y continúa...)
Anexa la foto de una chica rubia, con vestido rosa. Podría ser rusa o no, pero eso no importa... parece bonita.
*** Posible conclusión rápida de usuario que recibe estos mensajes...
¡Qué suertudo soy! - ¡Me escriben chicas rusas guapas y solo a mí! Creo que soy irresistible para las mujeres rusas, dado que se interesaron por un mexicanote como yo (morenito, feo y panzón)... debería ir a Rusia a levantar mi autoestima... :-)
*** Análisis a profundidad
Pero, un momento. Veamos...
- ¿Por qué me eligen a mí?
- ¿Por qué el mismo mensaje me llega varias veces casi al mismo tiempo?
- ¿Por qué si la chica se llama "Oksana" o "Alena" el correo electrónico del remitente no dice "Oksana" o "Alena"?
- ¿Por qué me piden todos los correos responder a "medssestra@gmail.com" en el caso de Alena y a "
oksanagirl1977@gmail.com" en el caso de Oksana? - ¿Por qué todos los correos que me llegan con el mismo texto, tienen diferentes cosas marcadas en el "subject" o "asunto" del mensaje electrónico?
- Una vez mas ¿por qué yo?
*** Las respuestas
No hay realmente una chica rusa detrás de estos mensajes. No hay chica. Es mas quizá ni haya humano. Es simplemente "alguien" haciendo "algo", usando ingeniería social, sabiendo que "algun internauta" que esté legítimamente interesado y que sea lo suficientemente ingenuo responda... y entonces alguien se quede con mi dirección de correo, sabiendo que pertenece a un usuario legítimo.
Esta es una vez mas una mezcla de ingeniería social con un desesperado intento por obtener direcciones de correo legítimas, para poder vender bases de datos a gente que desee enviar publicidad...es decir, mas SPAM. O al menos, eso es lo que veo yo en primera instancia. ¿Qué mas podría ser? Vía los encabezados del mensaje (donde está la información de quién y cómo envía el mensaje, por dónde ha pasado y a quién va dirigido) capturar direcciones IP e investigar potenciales servidores de correo sin protección, para poder ser utilizarlos como fuentes de mas ataques. Quizá investigar direcciones IP para intentar un ataque mas dirigido. ¿Qué mas puede ser? - Quizá las imágenes en sí contenían algun tipo de ataque dirigido contra el usuario para explotar alguna vulnerabilidad en el browser o en el visor de imágenes de las estaciones de trabajo sin protección perimetral y sin parches. ¿Alguna otra cosa? - Quizá enviar información oculta mediante esteganografía... y ahí pueden sumarle mas cosas, desde las completamente coherentes hasta las completamente descabelladas, pero técnicamente viables o al menos potencialmente posibles.
¿La cura? - Lo de siempre: educación. Usar un poco el sentido común (aunque dicen por ahí que éste es el menos comun de los sentidos) y preguntarnos ¿qué tan factible es que sea esto verdad? - Usar la lógica ante estas situaciones, y como ocurre en la vida real, simplemente no quedarnos callados y "denunciar" platicando de esto con amigos y conocidos (sobre todo aquellos que usan una computadora pero no son versados en seguridad en cómputo), escribiendo sobre esto, alertando cuando sea posible hacerlo... En resumen: Educando...
Internet está metido en nuestra cotidianeidad, querámoslo o no. Desde el trabajo y la escuela hasta el hogar. Mientras mas educados sean los usuarios y mas gente esté trabajando en tener un mejor Internet, y nos comportemos todos como buenos "ciudadanos de la red", mejor será el futuro para todos en este medio, tan necesario en nuestros días para tantas cosas. ...
sábado, 8 de marzo de 2008
Ataques dirigidos y personalizados: Ya están aquí...
Por: Martín Hoz (Fortinet) - Marzo de 2008
Cuando comencé a usar Internet, por ahí de Octubre de 1993, el contenido que tenía que leer yo como hispanoparlante era invariablemente en inglés. El contenido en español era escaso, y todavía valía la frase aquella que decían por ahí que si querías usar bien la computadora, el inglés era super indispensable. MS-DOS 3.30 estaba solo en inglés (creo que fué MS-DOS 4.01 o 5.0 , no recuerdo, quien trajo por primera vez mensajes en español), el VMS que corría el sistema DEC MicroVAX con el que accedía a Internet estaba solo en inglés, y lo que había en los sitios Gopher y FTP (el WWW estaba naciendo) era en inglés.
Al día de hoy para ser un profesional del cómputo el inglés sigue siendo indispensable (por colaboración especialmente). Pero para poder ser usuario de una computadora, tenemos desde sistemas operativos en español, a navegadores en español, suites de productividad (o suites de oficina) en español, asistencia técnica en español. En fin. Todo en español... Hasta los ataques.
Hace algunos años, algunos virus que se replicaban por correoe electrónico se popularizaron porque eran capaces de diferenciar el idioma del cliente de correo que usaba la víctima, para ajustar su mensaje en el idioma local. Esta tendencia se siguió por un tiempo y posteriormente, la moda se pasó a los messengers: mensajes que nos pedían hacer click para ver una fotografía, descargar una canción o ver una postal electrónica, en un principio eran solo en inglés (lo que daba para dudar que mi amigo lo estuviera enviando) a pasar a se en idioma local, inclusive con "localismos" (slang, caló) para hacerlo mas creíble...
Cuando llegaron los estafadores africanos al mercado de SCAMs (esos que decían que le regalaban a uno 10 o 12 millones de dólares por decir que uno era el pariente único sobreviviente de un supuesto muerto que había dejado muchos millones en el banco, o bien que uno recibía unos milloncitos por ayudar a algun desesperado familiar de un dictador o rey en desgracias) los mensajes sin embargo eran en inglés. Pero hoy la cosa es bien diferente...
Desde hace algunos meses, he recibido mensajes que van dirigidos específicamente a una audiencia particular: recibí mensajes que me daban una "exclusiva" para ver los videos sobre el reciente "bombazo" que sucedió en Ciudad de México, aparentando venir de una fuente de buena reputación como es el Diario "El Universal". Luego recibí mensajes qu
e parecían venir de Telcel, prometiendo minutos gratis como promoción por el día de del amor y la amistad (14 de febrero). Después mensajes que parecían venir de la PROFECO (Procuraduría Federal del Consumidor, instancia del Gobierno Mexicano para vigilar abusos en comercios y precios) advirtiéndome sobre posibles gasolineras fraudulentas. Mensajes todos en español. Mensajes todos dirigidos a un público específico (usuarios de Telcel, mexicanos interesados en saber mas del "bombazo", mexicanos que tienen auto y quieren enterarse de las gasolineras que despachan litros de menos). Todos a una cuenta que tengo con dominio "mx". Todos en español. Todos con evidencia de que eran falsos a los ojos de alguien que está acostumbrado a detectar mensajes falsos: venían de dominios diferentes del supuesto remitente (por ejemplo, de "microsoft.com" un mensaje que se supone viene de PROFECO, de "ejecutivo.com" un mensaje que viene del Universal y de "tuxtla.com" un mensaje de Telcel), la descarga se hací
a de dominios completamente disímbolos (el promo de Telcel descargaba un programa de "huipi.com) o el video del Universal se descargaba desde un dominio ".gr" que es Grecia). Pero para detectar esto había que tener cierto cuidado... pues ante un usuario sin la preparación para revisar estos detalles, todos los mensajes eran en apariencia inocuos, benignos, originales e incluso bien intencionados, para quienes no sabían que detrás de estos mensajes estaba la descarga a un malware que vulneraba la seguridad de sus equipos...
Inclusive los "SCAMs" africanos, esos que prometían millones gratis si uno se prestaba a apoyarlos en alguna operación (tal como trasnferir fondos, o decir que uno era el último pariente vivo de algun individuo teóricamente ya finado) están ahora en español. Sus traducciones son malas. Perdón: pésimas. Se nota que usan traductores automáticos (quizá tr
aductores en línea), inclusive el contenido de los mensajes en inglés está mal redactado; pero bueno... lo interesante es que ya lo están intentando, y que mientras caigan incautos lo seguirán haciendo. Por cierto, si alguna vez se preguntaron ¿Cómo funcionan estos fraudes? la respuesta está siguiendo el URL http://potifos.com/fraud/
Hay también una versión en español aquí http://www.enplenitud.com/nota.asp?articuloID=4128
Anticipo que cada día será mucho mas comun este tipo de ataques: por medios comunes de mensajería (mensajería instantánea o correo electrónico) con contenido en aparencia benigno, de fuentes de buena reputación en apariencia, pero que en realidad enmascaran ataques...
Ante esta realidad, mecanismos mas fuertes de control de identidad, mecanismos a nivel red que sean capaces de distinguir mas eficazmente y con mayor rapidez el contenido "bueno" para bloquear el "malo", pero sobre todo usuarios mejor educados (preparados para repeler la ingeniería social en la que se basa estos ataques), que se preocupen por su seguridad en línea tanto como se preocupan por su seguridad en el mundo físico, será lo que detenga o por lo menos mitigue esta tendencia...
Cuando comencé a usar Internet, por ahí de Octubre de 1993, el contenido que tenía que leer yo como hispanoparlante era invariablemente en inglés. El contenido en español era escaso, y todavía valía la frase aquella que decían por ahí que si querías usar bien la computadora, el inglés era super indispensable. MS-DOS 3.30 estaba solo en inglés (creo que fué MS-DOS 4.01 o 5.0 , no recuerdo, quien trajo por primera vez mensajes en español), el VMS que corría el sistema DEC MicroVAX con el que accedía a Internet estaba solo en inglés, y lo que había en los sitios Gopher y FTP (el WWW estaba naciendo) era en inglés.
Al día de hoy para ser un profesional del cómputo el inglés sigue siendo indispensable (por colaboración especialmente). Pero para poder ser usuario de una computadora, tenemos desde sistemas operativos en español, a navegadores en español, suites de productividad (o suites de oficina) en español, asistencia técnica en español. En fin. Todo en español... Hasta los ataques.
Hace algunos años, algunos virus que se replicaban por correoe electrónico se popularizaron porque eran capaces de diferenciar el idioma del cliente de correo que usaba la víctima, para ajustar su mensaje en el idioma local. Esta tendencia se siguió por un tiempo y posteriormente, la moda se pasó a los messengers: mensajes que nos pedían hacer click para ver una fotografía, descargar una canción o ver una postal electrónica, en un principio eran solo en inglés (lo que daba para dudar que mi amigo lo estuviera enviando) a pasar a se en idioma local, inclusive con "localismos" (slang, caló) para hacerlo mas creíble...
Cuando llegaron los estafadores africanos al mercado de SCAMs (esos que decían que le regalaban a uno 10 o 12 millones de dólares por decir que uno era el pariente único sobreviviente de un supuesto muerto que había dejado muchos millones en el banco, o bien que uno recibía unos milloncitos por ayudar a algun desesperado familiar de un dictador o rey en desgracias) los mensajes sin embargo eran en inglés. Pero hoy la cosa es bien diferente...
Desde hace algunos meses, he recibido mensajes que van dirigidos específicamente a una audiencia particular: recibí mensajes que me daban una "exclusiva" para ver los videos sobre el reciente "bombazo" que sucedió en Ciudad de México, aparentando venir de una fuente de buena reputación como es el Diario "El Universal". Luego recibí mensajes qu
e parecían venir de Telcel, prometiendo minutos gratis como promoción por el día de del amor y la amistad (14 de febrero). Después mensajes que parecían venir de la PROFECO (Procuraduría Federal del Consumidor, instancia del Gobierno Mexicano para vigilar abusos en comercios y precios) advirtiéndome sobre posibles gasolineras fraudulentas. Mensajes todos en español. Mensajes todos dirigidos a un público específico (usuarios de Telcel, mexicanos interesados en saber mas del "bombazo", mexicanos que tienen auto y quieren enterarse de las gasolineras que despachan litros de menos). Todos a una cuenta que tengo con dominio "mx". Todos en español. Todos con evidencia de que eran falsos a los ojos de alguien que está acostumbrado a detectar mensajes falsos: venían de dominios diferentes del supuesto remitente (por ejemplo, de "microsoft.com" un mensaje que se supone viene de PROFECO, de "ejecutivo.com" un mensaje que viene del Universal y de "tuxtla.com" un mensaje de Telcel), la descarga se hací
a de dominios completamente disímbolos (el promo de Telcel descargaba un programa de "huipi.com) o el video del Universal se descargaba desde un dominio ".gr" que es Grecia). Pero para detectar esto había que tener cierto cuidado... pues ante un usuario sin la preparación para revisar estos detalles, todos los mensajes eran en apariencia inocuos, benignos, originales e incluso bien intencionados, para quienes no sabían que detrás de estos mensajes estaba la descarga a un malware que vulneraba la seguridad de sus equipos...Inclusive los "SCAMs" africanos, esos que prometían millones gratis si uno se prestaba a apoyarlos en alguna operación (tal como trasnferir fondos, o decir que uno era el último pariente vivo de algun individuo teóricamente ya finado) están ahora en español. Sus traducciones son malas. Perdón: pésimas. Se nota que usan traductores automáticos (quizá tr
aductores en línea), inclusive el contenido de los mensajes en inglés está mal redactado; pero bueno... lo interesante es que ya lo están intentando, y que mientras caigan incautos lo seguirán haciendo. Por cierto, si alguna vez se preguntaron ¿Cómo funcionan estos fraudes? la respuesta está siguiendo el URL http://potifos.com/fraud/Hay también una versión en español aquí http://www.enplenitud.com/nota.asp?articuloID=4128
Anticipo que cada día será mucho mas comun este tipo de ataques: por medios comunes de mensajería (mensajería instantánea o correo electrónico) con contenido en aparencia benigno, de fuentes de buena reputación en apariencia, pero que en realidad enmascaran ataques...
Ante esta realidad, mecanismos mas fuertes de control de identidad, mecanismos a nivel red que sean capaces de distinguir mas eficazmente y con mayor rapidez el contenido "bueno" para bloquear el "malo", pero sobre todo usuarios mejor educados (preparados para repeler la ingeniería social en la que se basa estos ataques), que se preocupen por su seguridad en línea tanto como se preocupan por su seguridad en el mundo físico, será lo que detenga o por lo menos mitigue esta tendencia...
miércoles, 6 de febrero de 2008
Seguridad en Cómputo para Gente de Negocios...
Por: Martín Hoz (Fortinet) - Diciembre de 2007
Introducción – Un día normal en la vida de un gerente de sistemas…
Es una tarde lluviosa en la ciudad mientras el Ingeniero Enrique Villalpando conduce de regreso a su casa después de un día de campo con su familia. Casi llega a su destino, cuando de pronto un insistente sonido y un movimiento vibratorio en su cinturón le indican que ha recibido un mensaje en su teléfono móvil. Despreocupado, piensa que es uno mas de los mensajes que regularmente recibe alertándolo sobre posibles problemas de seguridad en la red de la cual es responsable. Mensajes que con frecuencia, son inocuos. Enrique, Director de Tecnología e Informática de una importante empresa, esta acostumbrado-quizá un poco más de lo debido- a recibir estos mensajes cotidianamente.
Desafortunadamente para Enrique, este último mensaje que ha recibido se refería efectivamente a una intrusión que en ese momento estaba ocurriendo en su red cuando un gusano informático aprovechó una vulnerabilidad desatendida en uno de sus equipos y se coló. Se percató de esto cuando 10 minutos más tarde después de haber recibido el primer mensaje, recibió una llamada telefónica de uno de los operadores del centro de monitoreo responsables de vigilar que los parámetros de operación de la red, tales como porcentaje de utilización, cantidad de usuarios registrados, tiempos de respuesta o actividad de las aplicaciones, estuvieran siempre dentro de los rangos normales.. Desafortunadamente al tiempo de recibir la llamada era un poco tarde, pues los diferentes indicadores mostraban que había una utilización excesiva en dos de los servidores aplicativos colocados en la granja de servidores donde se alojaba los sistemas con los cuales se atiende regularmente los pedidos electrónicos colocados por los clientes mas importantes de la empresa, la red estaba al 100% de utilización, los servidores al 100% de carga en CPU, y en definitiva algo no estaba bien para una tarde tranquila de fin de semana.
En ese momento Enrique comenta a su esposa que tiene que ir de emergencia a la oficina pues un problema “de esos que no pueden esperar”, se había presentado. “¿Qué pasó?” pensaba Enrique mientras su familia descendía del vehiculo y él emprendía el camino a la oficina. “Hemos invertido en Firewalls, IDPs, antivirus, y cuanto mecanismo de seguridad en red nuestros consultores nos han ofrecido. La gente que nos asesora tiene las más altas certificaciones. Tenemos procedimientos y métricas que nos ayudan a determinar riesgos y minimizarlos. Estamos alineados con estándares. ¿Qué hicimos mal? O mejor dicho ¿Qué estamos haciendo mal? Esta es la tercera vez que pasa algo similar en lo que va del año…”
Tecnología y negocios: La pareja incomprendida…
Por desgracia de las organizaciones que confían en la tecnología para llevar a cabo de una manera más eficiente, efectiva en costos y flexible sus procesos de negocio, el escenario anterior puede ser algo relativamente común. En algunos casos más frecuentemente, en otros menos , pero todo mundo ha escuchado de alguien cercano –si es que no lo ha vivido en carne propia- los indeseables casos en los que de pronto, en el momento menos esperado, los sistemas de información y las redes que los interconectan se niegan a trabajar como se espera, producto del fallo de algún componente de la infraestructura , o –en el peor de los casos – de un ataque de seguridad , el cual no siempre tiene como autor a algún malévolo individuo que se fijo como blanco de sus ataques a la organización presa del problema, sino que inclusive ataques genéricos automáticos liberados por genios con creatividad mal enfocada, liberan para simplemente probar que es posible hacerse, o buscar fama o inclusive algún tipo de provecho.
Mas y mas la conciencia de que los activos informáticos son importantes para las organizaciones, se hace evidente cuando una interrupción no planeada de la operación, afecta el ciclo de negocio que descansa precisamente sobre la tecnología. Hecho que en sí mismo es malo, pues habla de que la Seguridad Informática –que puede entenderse como el lograr que los sistemas se comporten como el usuario espera que lo haga – se contempla como una medida reactiva cuando los problemas ya están tocando la puerta . Lo ideal sería que esos problemas que pudieron evitarse hubiesen suido contemplados con antelación en las etapas de planeación y diseño de la infraestructura. ¿Qué se puede hacer entonces proactivamente para evitar caer en una situación como la del pobre Enrique?. Veamos…
La seguridad como un asunto de negocios
Al estar la seguridad informática empapada de términos rimbombantes como Spyware (programas espías), Adware (programas de publicidad no deseados), phishing (fraudes en páginas web impostoras), SPAM (correo electrónico no deseado) que se han escuchado con mas frecuencia en últimas fechas, y siempre asociados a las computadoras, la Internet y en general a la tecnología, se suele pensar que esto es relevante solo al mundo tecnológico.
Debido a lo anterior, uno de los errores que las organizaciones con frecuencia comenten, es el de considerar a la seguridad informática como un problema tecnológico, en lugar de contemplarlo y como lo que es: un problema de negocios. Cuando los inversionistas, los directores de finanzas, los CEOs y los CFOs hacen un análisis de negocio, siempre contemplan el potencial riesgo que existe intrínseco a la operación a realizar. Cuando se trata de tecnología es responsabilidad del director de informática o CTO de evaluar los potenciales riesgos intrínsecos a la infraestructura tecnológica. Pero dado que las disciplinas tecnológicas pocas veces incluían en su formación conocimiento de negocios y las disciplinas de negocios no incluían en su formación conocimientos sobre tecnología, no ha sido hasta recientes fechas – quizá pudiéramos hablar de la ultima década – que sea generalizado en organizaciones de todos los tamaños, que los responsables de áreas de tecnología comiencen a hablar términos de negocio como retorno de inversión, costo total de propiedad , gasto de capital; que los responsables de área de negocio podían entender, y con esto ganar conocimiento estos últimos sobre la importancia y el impacto que la tecnología tiene sobre el negocio en sí.
Y es que los gastos en seguridad en computo dejan de verse como tales en el momento en que se explica que una pieza tecnológica como un Web Content Filter (mecanismo para evitar que usuarios vean categorías de páginas web indebidas, como pornografía, música o juegos) puede evitar la perdida de productividad en la que incurren los empleados al utilizar recursos y tiempos de la empresa para navegar en paginas que no tienen nada que ver con su función. Y esto puede traducirse en dinero si se multiplica el costo salarial por hora hombre por la cantidad de horas perdidas en promedio por empleado (así sea solo una hora) por la cantidad de empleados por organización. Un antivirus (detector y limpiador de códigos maliciosos) puede ser justificado a través del costo que tendría la organización en caso de que sus equipos fueran infectados por virus, y tuvieran que detener la operación para realizar la desinfección. En caso de infección de virus, cuesta la productividad perdida de los empleados, cuestan los clientes insatisfechos que dejan cierta ganancia a la organización por hora, cuestan los ingenieros que deben hacer la desinfección y cuestan las horas necesarias para recuperarse a un estado de integridad de la información que se tenía antes del problema. Similarmente un Firewall (control de acceso a recursos) y un IPS (protectores contra ataques) puede justificarse por la cantidad de horas (y dinero) que ahorran por detener ataques y mantener a los atacantes fuera de la organización. Un AntiSpam (filtro contra correo no deseado) puede justificarse puede justificarse por la productividad ganada de nuevo por no tener que leer correo basura. Y podríamos continuar con un listado de los como justificar los diferentes mecanismos de de seguridad, pero creo que la idea general se entiende: Cuando no es posible asignar un valor directo sobre los activos que se pueden perder a causa de un problema de seguridad, siempre será posible medir el esfuerzo en horas hombre que toma cierta actividad. Y una vez mas, tiempo es dinero.
Ahora, tener los valores que justifican una inversión en seguridad no significa que tenemos la vida resuelta. En realidad, esto es solo el principio la parte mas difícil, en realidad aun esta por venir , pues muchas organizaciones a pesar de cuantiosas inversiones en seguridad siguen teniendo problemas. ¿Qué hacer entonces para minimizar el riesgo?. Lo primero es reconocer que no existe 100% de seguridad y que por tanto tenemos que vivir con cierto riesgo. El riesgo en informática, al igual que en otras disciplinas, puede asumirse (sabiendo que el costo de que el riesgo ocurra es menor al costo de las posibles contramedidas para mitigarlo) se puede mitigar(a sabiendas que el costo de las salvaguardas es menor al costo de que el riesgo se presente) o se transfiere, como ocurre cuando se adquieren seguros contra robo, desastres físicos y similares. En todos estos casos, el valor de la información que esta bajo análisis debe conocerse de forma cualitativa o cuantitativa para poder tomar las decisiones adecuadas.
¿Dónde enfocar la inversión?
La seguridad, al igual que la calidad, es un ciclo. De hecho, de cierto modo puede verse a la seguridad como una extensión de los esfuerzos de calidad en la organización, y del mismo modo requiere cierto esfuerzo y cierta asignación de recursos en áreas estratégicas para poder llevarse a cabo con efectividad. Cuando se ha decidido minimizar el riesgo (versus aceptarlo o transferirlo), existen tres grandes áreas para las cuales debiera existir presupuesto cuando se habla de seguridad en computo: Gente, Tecnología y Procesos.
Gente. Sin lugar a dudas el eslabón mas débil en la cadena de la seguridad. Hay poco que puede hacerse cuando una persona esta determinada a cometer algún tipo de ilícito contra la organización , especialmente si se trata de una individuo que cuenta conocimientos sobre la operación, y aun mas si esa persona ha recibido la confianza de la organización y es un usuario valido de los recursos de la misma; como puede ser el caso de un empleado, un cliente, un contratista o un socio de negocios.
Por ejemplo, cuando un empleado esta determinado a sacar ilegalmente información de la organización, de poco sirve tecnologías de control de acceso o monitoreo en la red o en las estaciones de trabajo de los usuarios: puede ser suficiente con que vía una memoria USB se extraiga información sin que nadie lo note, o aun mas creativo: que se utilice la cámara fotográfica del teléfono celular para sustraer los datos que se quieren sin que ningún sistema de monitoreo lo detecte.
Por todo ello es de suma importancia realizar acciones como la revisión del historial de las personas a quienes se les confía la custodia y el manejo de información sensible e importante para el negocio: Un historial de deudas puede hacer más proclive a una persona a aceptar sobornos, por ejemplo. Es importante también establecer controles administrativos, procedurales y en su caso legales, tales como la rotación de personal, el evitar el acceso dispositivos que podrían permitir sacar información (Desde una memoria USB hasta un teléfono celular) o los contratos de confidencialidad para el personal.
Especial relevancia recibe la capacitación que pueda darse a los oficiales de seguridad, ingenieros y demás personal que atiende directamente los mecanismos de seguridad. De nada sirve tener la mejor tecnología, si el personal encargado de operarla no obtiene el máximo beneficio posible, o bien su falta de entrenamiento facilita una mala operación, lo cual hace vulnerable el ambiente a ataques.
Adicional a lo anterior, cualquier esfuerzo orientado a proveer educación continua para los miembros de la organización, con la finalidad de incrementar el nivel de conciencia sobre la importancia de la seguridad en las labores cotidianas, será siempre recompensado. Con el simple hecho de hacer al personal menos vulnerables a ataques de ingeniería social (desde el engaño de los correos cadena hasta la entrega voluntaria de contraseñas por impostores que se hacen pasar por personal de sistemas) o bien incrementar el nivel de participación en campañas de seguridad (“Haga mas seguro su password sin ponerlo en un post-it en su PC”) harán a la larga que la organización sea mas resistente en este eslabón.
Tecnología. Cuando la seguridad se volvió un asunto del cual mucha gente comenzó a hablar, surgieron de la noche a la mañana empresas “Especialistas y con amplia experiencia” en todos los niveles, desde fabricantes hasta integradores y consultores .Esto dio como resultado, por un lado , que la conciencia sobre la necesidad de seguridad se incrementara; lo cual es extremadamente positivo. Por otro lado, las organizaciones que confiaron en aquellos que se decían expertos (oportunistas que aprovecharon el boom), pero que en realidad no lo eran tanto, se toparon con la desagradable sorpresa de que la calidad de los productos, soluciones o metodologías propuestas no era el prometido originalmente, dejando un mal sabor de boca.
En cuanto a fabricantes, mas allá de platicar de los mecanismos tecnológicos que deben adquirirse para proteger una infraestructura, quisiera referir algunos criterios de evaluación que ayudaran a determinar la seriedad de algún oferente tecnológico:
Foco: Debe ser una empresa para la cual la seguridad sea el único o el más importante fuente de ingresos. Esto garantiza que los recursos de la empresa serán invertidos en investigación y desarrollo, soporte, y otros rubros que soporten el aumento en el ingreso de capital a la empresa. Además garantiza un mayor conocimiento sobre un área. Es la misma razón por la que se elige a un médico especialista sobre un médico brujo.
Innovación. Cualquier empresa que no innove constantemente, está condenada al atraso en un mercado donde la evolución es constante. Así pues, compañías de seguridad que hayan mantenido una línea de productos con características bastante constantes, sin evolución, deben ser observadas con mucha cautela. Hoy nadie usa celulares que solo sirvan para ser teléfonos, ni Walkmans con cassettes.
Relación costo/beneficio: En el mercado de la tecnología, como en otros mercados, ocurre que pasado el tiempo de introducción al mercado, tiende a hacerse commodity cierto tipo de funcionalidad o dispositivo. Entonces, surgen otros participantes que emulan la funcionalidad o el dispositivo y ante una mayor oferta, los precios tienden a disminuir. Hay que buscar compañías que nos ofrezcan una buena relación de prestaciones (beneficios) por el precio que se paga por su producto. Especial mención deben recibir aquellos fabricantes que han logrado simplificar los complejos modelos de licenciamiento para reducirlos a simplemente una cuota por todas las prestaciones de seguridad que se reciben, ya sea por medio de arrendamiento o adquisición.
Liderazgo. Esto puede medirse en cuanto a participación de mercado de la empresa, pero también puede medirse en base a la capacidad de crear mercado, lo cual de algún modo va ligado a la innovación,
Convergencia. Al día de hoy, al igual que muchas otras ramas de la tecnología, la seguridad va muy enfocada a la convergencia: la unificación de varias funciones en la menor cantidad de dispositivos posibles. La integración de la red con la seguridad, además de la intergración de las funciones en sí mismas (lo que se conoce como Gerencia Unificada de Amenazas o Unified Threat Management) es una tendencia de mercado que debe contemplarse al momento de echar un vistazo al tipo de empresa que debe ser proveedor de la tecnología.
Procesos. La última parte donde tiene que invertirse como parte de la Triada básica para tener buena seguridad, es la parte de los procesos. Dado que todos los procesos de tecnología son relevantes a procesos de negocio, deben ser revisados como tales y hacer evaluaciones del impacto que puede tener cualquier adicion en seguridad sobre las tareas cotidianas realizadas en la organización.
La parte de procesos es un área muy sensible, pues con frecuencia toca no solo la parte operativa “fría”, sino que también tiene que lidiarse con la resistencia al cambio de las personas que tenían la “costumbre” de realizar las cosas de tal o cual forma. Sin embargo, así como en calidad los procesos forman parte activa para llegar a las metas establecidas por el programa, en seguridad ocurre lo mismo. Esperanzadoramente hay estándares como el ISO 17799, ITIL, COBIT y otros, que pueden ayudarnos a alinear los procesos (desde la adquisición de bienes hasta la entrega de servicio a clientes, desde la operación regular hasta la planeación para operación en caso de desastre) de los diferentes departamentos que puedan esta involucrados con tecnología, ya sea como custodios o usuarios, para asegurarnos que se están cubriendo los requisitos mínimos necesarios para llegar a nuestras metas.
Procesos y políticas van de la mano, y por tanto, es necesario ver que los procesos que se hayan modificado o establecido, reciban el respaldo adecuado de políticas, normas y procedimientos que los regulen y permitan una medición de éxito o fracaso, muestren avance con respecto al tiempo, y en general permitan controles que faciliten auditarlos.
Este tema, como cada uno de los anteriores, podría servir como fuente de material para todo un artículo, pero dado que este en particular es mas dependiente a la naturaleza de la organización que esté haciendo la implantación, lo dejaré en las generalidades ya mencionadas, con la conciencia que es un área igual de importante que la tecnología o la gente, y como tal merece atención y asignación de recursos.
Conclusiones
La seguridad en cómputo o seguridad informática, debe considerarse hoy desde las etapas tempranas de cualquier proyecto que involucre tecnología, y debe ser abordado como un problema de negocios que puede darnos en algunos casos ventajas competitivas (como puede ser el caso de la posibilidad de ofrecer nuevos productos o servicios) o bien simplemente a ayudarnos a mantenernos dentro de un mercado donde la eficiencia operativa pueda marcar diferencias.
En tiempos donde la tecnología está inmiscuida en cada rincón de la organización soportando procesos críticos de negocio en algunos casos, vale la pena detenernos un poco para revisar cómo es que estamos parados, y si estamos realizando las acciones adecuadas en los puntos adecuados para garantizar que la organización opere como haya sido diseñada. No hay que esperar a saber que un ataque informático o una mala operación de un componente en la infraestructura nos ha tomado por sorpresa, pues en ese momento puede ser ya demasiado tarde…
Suscribirse a:
Entradas (Atom)
