Dos mil quinientos años después el legado del General chino Sun Tzú sigue vigente a la hora de trazar estrategias para "resolver" o afrontar conflictos.
La Seguridad en el mundo cibernético y fuera de él, hoy en día, es una guerra como cualquier otra. Tenemos dos bandos y cada uno de ellos obedece a unos objetivos muy claros.
El primero de ellos, compuesto por aquellos profesionales que estamos del lado de la Ley, o que por lo menos consideramos que así es. Protegiendo siempre los activos de las organizaciones y gobiernos, desplegando tecnologías y procesos para evitar que la información caiga en manos contrarias o que impacte negativamente el Negocio y sus objetivos Estratégicos.
El segundo un poco más obscuro, compuesto por todos aquellos de intentan de cualquier modo, apropiarse de Información que les permita buscar un lucro de manera ilegal, a través del robo de identidad, Secretos Industriales o causar daños malintencionados en los Sistemas de su contraparte.
En un mundo conectado, es posible que nunca sepamos quien es y donde está nuestro enemigo; peor aún, el enemigo se multiplica geométricamente y mejora sus técnicas de ataque. El conocimiento distribuido, gracias a Internet, permite obtener con facilidad las instrucciones para lanzar ataques de toda índole.
Si conoces a los demás y te conoces a tí mismo, ni en cien batallas correrás peligro.
Para conocerse a sí mismo, en términos de Seguridad, es necesario llevar a cabo análisis de GAP, o medir la brecha existente entre un modelo de Seguridad óptimo y nuestra posición actual. Para conocer al enemigo, debemos estar alertas a las publicaciones de vulnerabilidades, parches y técnicas de ataques. Una forma sencilla de lograrlo es suscribirse a los foros de seguridad o listas de correo automáticas que nos provean la información de como están procediendo nuestros enemigos.
Nunca olvide consultar los informes periódicos de organizaciones que evaluan las diferentes técnicas de ataques o la forma como evolucionan éstos.
La brecha que exista en su organización es el trabajo que usted tiene pendiente realizar para estar protegido.
Los guerreros expertos se hacían a sí mismos invencibles en primer lugar, y después aguardaban para descubrir la vulnerabilidad de sus adversarios.
La Seguridad no se puede dejar en manos inexpertas. Las organizaciones deben entender que el Recurso Capacitado y Entrenado es un activo necesario para afrontar los peligros existentes. Hay que dejar de lado la concepción de entrenar en el campo de batalla a nuestros Especialistas. Un Samurai no puede ir a la batalla a ensayar...
Si llegaramos a estar del lado obscuro de la Fuerza, la Ingeniería Social es la herramienta más expedita y barata para encontrar vulverabilidades en nuestro objetivo.
No escatime recursos ni medidas administrativas para ayudar u obligar a sus Funcionarios a convertirse en Expertos. Recuerde ellos son sus guerreros en el campo de batalla, de sus capacidades depende su nivel de protección y respuesta.
Un ejército perece si no está equipado, si no tiene provisiones o si no tiene dinero.
¿ Cuántas veces hemos tenido que desistir de fortalecer el área de Seguridad o los procesos por falta de dinero o apoyo en la Alta Gerencia? Nos evalúan por el ROI, el VPN, la generación de ingresos o la creación de nuevos servicios. ¿Acaso nos preguntamos lo mismo cuando compramos el seguro del automóvil?
Pero la Alta Dirección de la compañía no tiene la culpa, porque nunca entienden de seguridad y nosotros no somos los interlocutores apropiados para que ellos por fin, comprendan que la Seguridad no se puede tomar de manera tan simple por la fórmula INGRESOS - EGRESOS.
Cuando las órdenes son razonables, justas, sencillas, claras y consecuentes, existe una satisfacción recíproca entre el líder y el Grupo.
Como responsable de la Seguridad Informática en algunas empresas, me he visto en la incómoda posición de obedecer instrucciones que van totalmente en contravía de la Seguridad de la Empresa misma. Es totalmente decepcionante. Sobre todo porque cualquier eventualidad resulta siendo responsabilidad directa del área. Si sucede algo trágico el responsable soy yo, pero no puedo negarme a seguir órdenes cuando vienen de arriba.
Es necesario saber cómo impedir que los demás te ataquen a tí.
Para cerrar estas pocas líneas, creo que al profesional de Seguridad o cualquiera que tenga que ver con ella, debe conocer los procesos, tecnologías y personas que necesita para proteger la Empresa. No es posible evitar que te ataquen, ni siquiera siendo el FBI, pero sí es posible que con el TRIO personas, procesos y tecnología logres un adecuado nivel de protección.
Sun Tzú, el genio de la estrategia militar nos puede guiar en cualquier campo del ataque o la defensa comop ha quedado demostrado en este pequeño artículo.
lunes, 30 de noviembre de 2009
viernes, 27 de noviembre de 2009
Seguridad en Maquinas Virtuales
Las máquinas virtuales, o la virtualización de infraestructura a nivel de Servidores, se han convertido en una necesidad en cualquier ambiente corporativo.
Lo que antes era una característica novedosa de servidores de Rango Alto y Medio, en arquitectura RISC, Sparc y PA-RISC entre otros, se ha convertido en una herramienta común incluso en los PC´s de uso personal.
Debemos abonar el trabajo que hizo en su momento VMWARE para masificar esta técnica y que ahora lo tienen como líder del mercado, por lo menos en arquitecturas Intel. Lo que nació como una herramienta para montar ambientes de pruebas de manera eficiente y rápida se ha convertido hoy en una punta de lanza para ofrecer mecanismos ágiles de recuperación, backup, aprovisionamiento y porque no, BCP.
Hay que aclarar que vmware no fue el primero, ni es el único, pero por razones del artículo, sólo mencionaremos éste.
Ya no son simplemente ambientes de prueba, ahora son Datacenters enteros que se pueden virtualizar mejorando el aprovechamiento de capacidad ociosa y reduciendo de marea drástica los costos de TI.
Fue este enfoque el que llevó a pensar que no sólo se virtualiza el manejo de recursos como la CPU; Memoria y Almacenamiento, sino que también podemos virtualizar LA RED.
Efectivamente, las plataformas de virtualización actuales incluyen la opción de crear switches virtuales con casi todas las capacidades que tienen los elementos activos de red convencionales. Esto permite que el switch virtual permita comunicar efectivamente todas las máquinas virtualizadas sin tener que enviar los paquetes al "core" de la red (o BackBone).
Con tan grandes ventajas, podemos comunicar todas las máquinas sin "salir" a la red corporativa.
De esta forma estaríamos ahorrando ingentes recursos de cableado, puertos y tarjetas físicas sobre los equipos de la red y los servidores. Esto sin lugar a dudas representa un cambio de paradigma en todos aquellos que como yo, estamos acostumbrados a pensar en la red tradicional con routers y switches físicos.
Y la seguridad?
¿Que sucede con un Datacenter virtualizado o un conjunto considerable de máquinas virtuales que se comunican a través de "la red virtual"?
Todas las amenazas de seguridad que se propagan por la red, como virus, gusanos, trojanos etc, tienen la puerta abierta para pasar a sus anchas de una máquina a la otra sin que medie elemento de protección.
Lo más grave, no puedo restringir servicios de una máquina a otra si necesito que estén aisladas ya sea por un Firewall, IPS o IDS.
Dado que los elementos que conocemos de seguridad deben ir en medio de las redes o servidores que deseo proteger, esta virtualización de la red me impide contar con esas herramientas.
Sin embargo, checkpoint ha sacado lo que parece ser la solución a este problema. Se trata de la versión de su producto estrella, el Firewall VPN-1 de checkpoint para ambientes virtuales pero por el momento sólo está homologado para vmware.
Corriendo las mismas características que han hecho de este producto el líder del mercado, podemos contar con toda la seguridad requerida gracias a que el Firewall funciona a nivel del Hypervisor de vmware antes del sistema operativo.
En conclusión, existe ya la solución para proteger máquinas virtuales que intercambien paquetes por medio de switches virtuales, pero por el momento sólo para plataforma de virtualización vmware.
Antes de cerrar debemos preguntarnos si las plataformas de virtualización que tenemos (de otros fabricantes) ya sea en ambientes Legacy, UNIX, windows, Linux, tienen opciones de seguridad para cerrar las brechas antes mecionadas.
Lo que antes era una característica novedosa de servidores de Rango Alto y Medio, en arquitectura RISC, Sparc y PA-RISC entre otros, se ha convertido en una herramienta común incluso en los PC´s de uso personal.
Debemos abonar el trabajo que hizo en su momento VMWARE para masificar esta técnica y que ahora lo tienen como líder del mercado, por lo menos en arquitecturas Intel. Lo que nació como una herramienta para montar ambientes de pruebas de manera eficiente y rápida se ha convertido hoy en una punta de lanza para ofrecer mecanismos ágiles de recuperación, backup, aprovisionamiento y porque no, BCP.
Hay que aclarar que vmware no fue el primero, ni es el único, pero por razones del artículo, sólo mencionaremos éste.
Ya no son simplemente ambientes de prueba, ahora son Datacenters enteros que se pueden virtualizar mejorando el aprovechamiento de capacidad ociosa y reduciendo de marea drástica los costos de TI.
Fue este enfoque el que llevó a pensar que no sólo se virtualiza el manejo de recursos como la CPU; Memoria y Almacenamiento, sino que también podemos virtualizar LA RED.
Efectivamente, las plataformas de virtualización actuales incluyen la opción de crear switches virtuales con casi todas las capacidades que tienen los elementos activos de red convencionales. Esto permite que el switch virtual permita comunicar efectivamente todas las máquinas virtualizadas sin tener que enviar los paquetes al "core" de la red (o BackBone).
Con tan grandes ventajas, podemos comunicar todas las máquinas sin "salir" a la red corporativa.
De esta forma estaríamos ahorrando ingentes recursos de cableado, puertos y tarjetas físicas sobre los equipos de la red y los servidores. Esto sin lugar a dudas representa un cambio de paradigma en todos aquellos que como yo, estamos acostumbrados a pensar en la red tradicional con routers y switches físicos.
Y la seguridad?
¿Que sucede con un Datacenter virtualizado o un conjunto considerable de máquinas virtuales que se comunican a través de "la red virtual"?
Todas las amenazas de seguridad que se propagan por la red, como virus, gusanos, trojanos etc, tienen la puerta abierta para pasar a sus anchas de una máquina a la otra sin que medie elemento de protección.
Lo más grave, no puedo restringir servicios de una máquina a otra si necesito que estén aisladas ya sea por un Firewall, IPS o IDS.
Dado que los elementos que conocemos de seguridad deben ir en medio de las redes o servidores que deseo proteger, esta virtualización de la red me impide contar con esas herramientas.
Sin embargo, checkpoint ha sacado lo que parece ser la solución a este problema. Se trata de la versión de su producto estrella, el Firewall VPN-1 de checkpoint para ambientes virtuales pero por el momento sólo está homologado para vmware.
Corriendo las mismas características que han hecho de este producto el líder del mercado, podemos contar con toda la seguridad requerida gracias a que el Firewall funciona a nivel del Hypervisor de vmware antes del sistema operativo.
En conclusión, existe ya la solución para proteger máquinas virtuales que intercambien paquetes por medio de switches virtuales, pero por el momento sólo para plataforma de virtualización vmware.
Antes de cerrar debemos preguntarnos si las plataformas de virtualización que tenemos (de otros fabricantes) ya sea en ambientes Legacy, UNIX, windows, Linux, tienen opciones de seguridad para cerrar las brechas antes mecionadas.
miércoles, 25 de noviembre de 2009
Seguridad Informatica vs. Seguridad de la Informacion
En muchas organizaciones se nota una confusión a la hora de asignar o distinguir las funciones que debe cumplir un área de Seguridad Informática versus el área de Seguridad de la Información. En algunas de ellas, ni siquiera existen como áreas independientes.
Debido a que la mayoría poseen una infraestructura tecnológica de seguridad instalada, ya sean herramientas de defensa perimetral o de profundidad, el Gerente de Tecnología "asume" como suyo el Rol de Responsable de todo aquello que suene a "seguridad" incluyendo el área de Seguridad de la Información.
¿Cuál es la diferencia entre ellas?
Podemos decir que Seguridad Informática es el conjunto de procedimientos, que apoyados en herramientas tecnológicas, proveen mecanismos de "Seguridad" para la información que reside, se almacena o se transmite por medios "telemáticos".
¿Pero que ocurre con la "Información" que no se transmite por esos medios?
¿Que hacer con los peligros que acechan al negocio como los atentados terroristas, la Ingeniería social o la difamación que afectan a una Marca o personas de la Organización?
Como ejemplo, recordemos como se afectó el valor de la acción de Apple Computers, cuando se divulgó la noticia que Steve Jobs (su fundador) sufría de cáncer de páncreas. Era cierto, pero creó una desvalorización inmediata.
¿Y la basura física arrojada a la caneca donde puedo encontrar datos importantes de Estrategia, manejo de clientes o finanzas?
Ninguno de los interrogantes anteriores puede ser respondido por el Gerente de Tecnología de la Empresa (o CTO). Y así podríamos ennumerar miles de interrogantes parecidos.
Para atender todo lo relacionado con "SEGURIDAD DE LA INFORMACIÓN" de la compañía, sin que necesariamente sean herramientas tecnologicas se debe contar con un área de Seguridad de la Información.
¿Quién manda a quién?
Debido a su ámbito más amplio el área de Seguridad de la Información es evidente que "controla" a su contraparte tecnológica - es decir la Seguridad Informática-.
Adicionalmente existen otros Roles que no puede ser cubiertos por el Departamento de TI, debido a que sus Ingenieros poseen el máximo nivel de privilegios sobre la Infraestructura. Ellos podrían borrar logs, eliminar evidencia, escalarse permisos, instalar, desinstalar entre otros.
Por esta razón el Departamento de Tecnología necesita que alguien más lo "vigile" y controle que los mecanismos de protección se cumplan, incluso por ellos mismos.
Así mismo, la operación normal del departamento de TI, no incluye manejo y control de Información en papel, como documentos, contratos que están a cargo de otras áreas de la compañía. Esta información vital del negocio no puede quedar desprotegida sólo porque no está en medios digitales.
Tampoco podemos asignarle la vigilancia de los controles de Seguridad Física al departamento de TI, ya que por lo general depende de Servicios Generales y Administrativos. Con este panorama tan complejo y amplio, es evidente que debe existir un área independiente, desligada de TI, que vigile por el efectivo cumplimiento de los controles necesarios para salvaguardar el activo más importante de las Empresas : LA INFORMACIÓN.
Por último la Norma ISO/IEC27001 en su apartado de segregación de funciones exige que un área independiente vigile y audite todos los controles de la Norma de Seguridad de la Información. Es evidente que para cumplir esto, Seguridad Informática está impedida ya que sería Juez y Parte.
¿Pero como controlar al Departamento de Tecnología de una empresa, sin generar conflicto al interior o ir en contra del statu quo o la jerarquía misma?
Para ello las mejores prácticas adoptadas por las empresas maduras en seguridad, separan totalmente la Seguridad de la Información del área de Tecnología, de tal forma que no pertenezcan jerarquicamente a la misma división de la compañía.
Es altamente recomendable impedir que:
- El Gerente de TI, asuma el control de la Seguridad de la Información.
- El área de Seguridad de la Información pertenezca en organigrama a la misma división que pertenece TI, por aquello de ser juez y parte y poder exigir el cumplimiento de los controles al dueño de la tecnología.
Se aconseja que:
- El dueño de Seguridad de la Información tenga el mismo nivel jerarquico o cargo que el dueño de la Tecnología. Para tener la suficiente autoridad y poder exigirle a TI el cumplimiento de los controles. Muchas orgazaniciones crean un área que está asociada directamente a la Presidencia.
- Delimitar claramente las funciones de seguridad con el área de TI. Recordemos que ellos administran tecnología, pero no vigilan los procesos.
Desafortunadamente otro es el panorama real, donde las organizaciones no desean crear más cargos, ni dependencias de alto costo porque visualizan la Seguridad de la Información como un gasto más.
Alli termina el área de Seguridad de la Información como un apéndice más de otro Departamento, sin peso alguno ni autoridad en la organización. Y entonces es cuando esperamos que algún incidente grave ocurra, para que los encargados de la Seguridad de la Información esgriman su frase lapidaria: SE LES ADVIRTIÓ....
Debido a que la mayoría poseen una infraestructura tecnológica de seguridad instalada, ya sean herramientas de defensa perimetral o de profundidad, el Gerente de Tecnología "asume" como suyo el Rol de Responsable de todo aquello que suene a "seguridad" incluyendo el área de Seguridad de la Información.
¿Cuál es la diferencia entre ellas?
Podemos decir que Seguridad Informática es el conjunto de procedimientos, que apoyados en herramientas tecnológicas, proveen mecanismos de "Seguridad" para la información que reside, se almacena o se transmite por medios "telemáticos".
¿Pero que ocurre con la "Información" que no se transmite por esos medios?
¿Que hacer con los peligros que acechan al negocio como los atentados terroristas, la Ingeniería social o la difamación que afectan a una Marca o personas de la Organización?
Como ejemplo, recordemos como se afectó el valor de la acción de Apple Computers, cuando se divulgó la noticia que Steve Jobs (su fundador) sufría de cáncer de páncreas. Era cierto, pero creó una desvalorización inmediata.
¿Y la basura física arrojada a la caneca donde puedo encontrar datos importantes de Estrategia, manejo de clientes o finanzas?
Ninguno de los interrogantes anteriores puede ser respondido por el Gerente de Tecnología de la Empresa (o CTO). Y así podríamos ennumerar miles de interrogantes parecidos.
Para atender todo lo relacionado con "SEGURIDAD DE LA INFORMACIÓN" de la compañía, sin que necesariamente sean herramientas tecnologicas se debe contar con un área de Seguridad de la Información.
¿Quién manda a quién?
Debido a su ámbito más amplio el área de Seguridad de la Información es evidente que "controla" a su contraparte tecnológica - es decir la Seguridad Informática-.
Adicionalmente existen otros Roles que no puede ser cubiertos por el Departamento de TI, debido a que sus Ingenieros poseen el máximo nivel de privilegios sobre la Infraestructura. Ellos podrían borrar logs, eliminar evidencia, escalarse permisos, instalar, desinstalar entre otros.
Por esta razón el Departamento de Tecnología necesita que alguien más lo "vigile" y controle que los mecanismos de protección se cumplan, incluso por ellos mismos.
Así mismo, la operación normal del departamento de TI, no incluye manejo y control de Información en papel, como documentos, contratos que están a cargo de otras áreas de la compañía. Esta información vital del negocio no puede quedar desprotegida sólo porque no está en medios digitales.
Tampoco podemos asignarle la vigilancia de los controles de Seguridad Física al departamento de TI, ya que por lo general depende de Servicios Generales y Administrativos. Con este panorama tan complejo y amplio, es evidente que debe existir un área independiente, desligada de TI, que vigile por el efectivo cumplimiento de los controles necesarios para salvaguardar el activo más importante de las Empresas : LA INFORMACIÓN.
Por último la Norma ISO/IEC27001 en su apartado de segregación de funciones exige que un área independiente vigile y audite todos los controles de la Norma de Seguridad de la Información. Es evidente que para cumplir esto, Seguridad Informática está impedida ya que sería Juez y Parte.
¿Pero como controlar al Departamento de Tecnología de una empresa, sin generar conflicto al interior o ir en contra del statu quo o la jerarquía misma?
Para ello las mejores prácticas adoptadas por las empresas maduras en seguridad, separan totalmente la Seguridad de la Información del área de Tecnología, de tal forma que no pertenezcan jerarquicamente a la misma división de la compañía.
Es altamente recomendable impedir que:
- El Gerente de TI, asuma el control de la Seguridad de la Información.
- El área de Seguridad de la Información pertenezca en organigrama a la misma división que pertenece TI, por aquello de ser juez y parte y poder exigir el cumplimiento de los controles al dueño de la tecnología.
Se aconseja que:
- El dueño de Seguridad de la Información tenga el mismo nivel jerarquico o cargo que el dueño de la Tecnología. Para tener la suficiente autoridad y poder exigirle a TI el cumplimiento de los controles. Muchas orgazaniciones crean un área que está asociada directamente a la Presidencia.
- Delimitar claramente las funciones de seguridad con el área de TI. Recordemos que ellos administran tecnología, pero no vigilan los procesos.
Desafortunadamente otro es el panorama real, donde las organizaciones no desean crear más cargos, ni dependencias de alto costo porque visualizan la Seguridad de la Información como un gasto más.
Alli termina el área de Seguridad de la Información como un apéndice más de otro Departamento, sin peso alguno ni autoridad en la organización. Y entonces es cuando esperamos que algún incidente grave ocurra, para que los encargados de la Seguridad de la Información esgriman su frase lapidaria: SE LES ADVIRTIÓ....
Suscribirse a:
Entradas (Atom)