Ciberseguridad 2020 Rberny – Quinta y última parte

Ciberseguridad 2020 Rberny – Quinta y última parte

La seguridad de la información la hacemos todos, la clave para mejorar las habilidades es la medición, no con exámenes de certificación, sino con evaluaciones que muestran tanto al empleado como al empleador dónde el conocimiento es suficiente y dónde hay lagunas.

Pues llegamos a la última parte del artículo de Ciberseguridad 2020 Rberny, toda la serie comprende una recopilación de 20 años de experiencia en el área de tecnologías de la información y en el tema de la Ciberseguridad, es una gran experiencia, ya que me ha permitido compartir, debatir y apoyar con información a colegas, nuevos valores de TI, dueños de empresas, Directores, gerentes, jefes de área que buscan la mejora continua como meta en su Gestión de TI, así como soporte a equipos multidisciplinarios que tienen el objetivo de hacer un trabajo profesional y eficiente, por ello me llena de orgullo llevarlo a todas las personas que consideren el valor real de su información personal y profesional.

Ha sido un buen camino, el cual me gustaría terminar definiendo los siguientes términos:

Monitoreo y control de cuentas

Este es un punto clave que toda compañía debe considerar en su infraestructura de TI, lo cual le ayudara en la administración de los recursos informáticos, logrando eficiencia en sus operaciones y destacar en su mercado, consideremos que la evolución de las redes móviles aumenta y con ello, la productividad de las organizaciones, entonces los grupos de TI, debemos buscar adaptarnos con herramientas especializadas que coadyuven a superar los nuevos desafíos que trae la movilidad.

El monitoreo de TI, es una actividad de control y supervisión, tengamos siempre presente, ya que mide el movimiento de los activos digitales que conforma el ecosistema de TI de la empresa, el objetivo es comprender a fondo el comportamiento de la red y de sus recursos tecnológicos que interactúan dentro de la empresa; para optimizar su desempeño y responder de forma rápida ante cualquier posible evento.

Como sabrán los atacantes frecuentemente se hacen pasar por usuarios legítimos a través de cuentas de usuario inactivas, esto es muy importante, ya que este método dificulta que los administradores de red identifiquemos el comportamiento y detectar anomalías para detener a los atacantes, si bien es cierto que la mayoría de los sistemas operativos incluyen capacidades para registrar información sobre el uso de la cuenta, estas funciones a veces están deshabilitadas de manera predeterminada.

El personal de TI puede configurar sistemas para registrar información más detallada sobre el acceso a la cuenta y utilizar scripts propios o herramientas de análisis de registros de terceros para analizar esta información y ayudar a que el sistema sea capaz de identificar cuentas de usuarios no autorizados cuando existan y/o se activen en el sistema.

Una buena práctica es verificar que la lista de cuentas bloqueadas, cuentas deshabilitadas, cuentas con contraseñas que excedan la antigüedad máxima de la contraseña, esté actualizada y efectivamente el estatus de las cuentas es el indicado, cuando se tiene una mala administración de cuentas de usuarios, es cuando estas se van acumulando, conservando sus atributos y accesos, siendo esta mala práctica una vulnerabilidad autoinfligida.

Administrativamente y económicamente los buenos negocios no se detienen nunca y si lo hacen normalmente las consecuencias siempre tienen repercusiones económicas de consideración, entonces un downtime afecta enormemente la productividad de la organización; por SLA, norma y política es crítico e importante para los equipos de TI evitar cualquier tipo de interrupción de las actividades de la empresa, en este contexto el Monitoreo de TI se hace esencial, nos permite a los profesionales de TI responder de forma inmediata ante cualquier mal funcionamiento de algún activo de la empresa, puede sonar repetitivo, sin embargo previniendo y anticipándose a algunas tendencias podemos dejar de estar dando servicio tipo apaga fuegos o el clásico bomberazo.

Administración de identidades y tratamiento de cuentas de usuario

Una buena administración de identidades inicia con la correcta implementación de una política que tenga el alcance para una la eficiente gestión de identidades, por supuesto debe incluir en su proceso la creación, solicitud, autorización e implementación de altas, bajas y modificaciones de perfiles de trabajo y cuentas de usuario, considerando que el objetivo de esta gestión es establecer el marco administrativo que garantice la seguridad en el acceso tanto sobre la infraestructura de red como sobre las aplicaciones informáticas críticas.

¿Cómo vemos esta gestión, la complejidad de nuestro entorno productivo, consideramos las necesidades del negocio de nuestra empresa?

De esta manera debemos seguir la normativa para aquellos procedimientos que incluyan implementaciones de tecnología o involucren la información y funciones críticas identificadas y debidamente documentadas por los propietarios de la información, de esta forma aseguramos los controles de seguridad adecuados para la identificación de usuarios, dispositivos y entidades que son dadas de alta, modificadas o removidas, él no-repudio y para la eficiencia de los esquemas de autenticación en los sistemas de la empresa.

Para la administración de identidades y de acuerdo a las mejores prácticas de seguridad les recomiendo tener en cuenta lo siguiente:

  1. La creación de políticas de usuarios y acceso a la información, contar con una matriz de acceso y atributos.
  2. Definir para cada tipo de cuenta de usuario las características de bloqueo, objetivo de uso de la cuenta y medidas de desbloqueo en caso de que la cuenta se inhabilite, ya sea automáticamente por intentos fallidos, como por inactividad o como acción previa a una posible baja, esto no podría aplicarse a cuentas de servicio, por lo que para ellas se deberán establecer medidas especiales, como por ejemplo que no tengan posibilidad de firmarse más de una vez o desde equipos no autorizados.
  3. El nombre de los perfiles de trabajo y las descripciones de puesto, acordados entre las gerencias usuarias y recursos humanos.
  4. La matriz inicial de perfiles profesionales asociados, el menú de acceso a los sistemas y sus aprobadores, definido por el área de seguridad de la información y aprobado por la dirección.
  5. Los perfiles de trabajo especiales, como los administradores y el tratamiento de sus cuentas de usuario y permisos inherentes.
  6. Los perfiles de trabajo asociados a terceras partes, su inclusión en la matriz de accesos y la gestión de sus cuentas de usuario.
  7. Gestión del proceso de actualización de la matriz de accesos, perfiles de trabajo o gestión de cuentas de usuario, acorde a cambios organizacionales u organizativos de las diferentes áreas de la compañía, funcionales del puesto o cambio de funciones de la persona que ocupa el puesto.
  8. Acordar una definición de tratamiento para las cuentas que estén involucradas en acciones sospechosas o incidentes.

“Control de los accesos y consolidación de las cuentas privilegiadas de tu organización, identifica y elimina todas las cuentas privilegiadas que estén en desuso”

 Evaluación de habilidades de seguridad

Este, ya no es un tema de debate, ya que debe estar incluido en la estrategia del negocio y en el plan de continuidad del mismo, para ello siempre es adecuando pensar que es una inversión la capacitación y con ello responder a las siguientes dos preguntas:

  1. ¿Cuál es el valor que aportará a la empresa?
  2. ¿Por qué debe darse prioridad al entrenamiento del equipo de TI?

Un estudio de IDC, reveló que la capacitación apunta a agilizar las operaciones de TI y apoyar los requerimientos empresariales y por consiguiente a las nuevas tecnologías, logrando mejorar en 20% la eficiencia en la gestión de la infraestructura, lo que se ve reflejado en ahorros financieros generados desde esta área, un intangible que también puede llegar a ser una gran pérdida, de tener la caída por alguna vulnerabilidad que fue aprovechada.

El negocio inteligente espera encontrar y responder a los ataques dependiendo efectivamente de sus empleados y contratistas para detectar los vacíos y llenarlos, por lo que un programa sólido de evaluación de habilidades de seguridad al usuario final, puede proporcionar información procesable a los responsables de tomar las decisiones sobre dónde debe mejorarse la conciencia de seguridad, de la misma forma puede ayudar a determinar la asignación adecuada de recursos limitados para mejorar las prácticas de seguridad.

“La seguridad de la información la hacemos todos, la clave para mejorar las habilidades es la medición, no con exámenes de certificación, sino con evaluaciones que muestran tanto al empleado como al empleador dónde el conocimiento es suficiente y dónde hay lagunas”

Una vez que se han identificado las brechas, se puede recurrir a los empleados que tienen el conocimiento requerido para que asesoren a los empleados que lo requieran, internamente también podemos desarrollar programas de capacitación que mantengan directamente la preparación de los empleados en general, debemos de subir el nivel a las exigencias del mercado actual.

Por ejemplo, me he percatado que, en la trasformación Digital, lo que caracteriza a las organizaciones digitalmente más avanzadas es su capacidad de reacción, adaptación e innovación en un ambiente altamente competitivo, consideremos que esto no sería posible si los miembros de las áreas de TI no contaran con los conocimientos y las habilidades necesarias para estar a la par del dinamismo de sus mercados e industrias, por supuesto esto es comprobado por las empresas que ya han avanzado en su evolución digital.

Por lo tanto, los departamentos de TI más efectivos son aquellos cuyos miembros nunca dejan de aprender y están en la búsqueda constante de oportunidades para ampliar sus talentos y adquirir nuevas capacidades, sin embargo, no siempre tienen el tiempo suficiente, ya que deben cumplir con plazos de entrega cortos y atender las necesidades del día a día.

No obstante, ser un experto con conocimiento actualizado es la forma correcta de hacer frente a los verdaderos cambios que se producen a diario en las distintas áreas del conocimiento, de esta forma se consiguen mejores opciones laborales y se accede a cargos de liderazgo, jefatura y gerencia.

Seguridad del Software de Aplicación

Como lo he mencionado en los artículos anteriores, en las empresas actuales, las aplicaciones y los datos se encuentran más distribuidos que nunca, por lo que la superficie de ataque se ha ampliado considerablemente, de igual manera las aplicaciones están cambiando con mayor rapidez para mantener el ritmo de las necesidades empresariales.

Entonces, les reitero que los sistemas de defensa tradicionales basados en el perímetro no puede seguir el ritmo de estos desafíos, en particular recomiendo según sea el caso permitir a los equipos de seguridad integrar los sistemas de protección directamente en las redes y en las cargas de trabajo donde residen las aplicaciones y los datos, con énfasis en que este tipo de seguridad intrínseca y adaptable es lo que denominamos protección de la infraestructura de aplicaciones.

Las organizaciones criminales con frecuencia atacan vulnerabilidades tanto en software de aplicaciones basadas en la web como en otras que no necesariamente son web, considero que el software de aplicación es vulnerable al acceso remoto de tres maneras:

  1. No se verifica correctamente el tamaño de la entrada del usuario.
  2. No puede desinfectar la entrada del usuario al filtrar secuencias de caracteres potencialmente maliciosas.
  3. No inicializa y borra las variables correctamente.

Este es un talón de Aquiles en muchas empresas, bueno cuando aprendes a cuidar la incorporación de software en la ruta crítica del negocio, es porque ya has pasado por un camino lleno de piedras, autogoles y prácticas viciadas, no es necesario pasar por ello, instruyamos y capacitemos a nuestra gente a llevar desde el inicio una buena práctica para evitar ataques, es decir, cuidar que el software de aplicación desarrollado internamente y de terceros deba probarse cuidadosamente para encontrar fallas de seguridad, contar con herramientas de prueba de código fuente, las herramientas de escaneo de seguridad de aplicaciones web, por mencionar algunas.

Cuando nuestro entorno es robusto y complejo podemos implementar la prueba manual de penetración de seguridad de aplicaciones por tester´s que tienen un amplio conocimiento de programación y experiencia este tipo de validaciones, se debe de comprobar que el sistema puede ser capaz de detectar y bloquear un ataque de software en el ámbito de aplicación, y debe generar una alerta o enviar un correo electrónico al personal responsable.

Gestión de Incidentes

Sin un plan de respuesta a incidentes, una organización puede no descubrir un ataque en primer lugar y definitivamente si se detecta el ataque, la organización puede no seguir los procedimientos adecuados para contener el daño, erradicar la presencia del atacante y recuperarse de manera segura, consecuentemente el atacante puede tener un impacto mucho mayor en la organización objetivo, infectando más sistemas y posiblemente extrayendo datos durante más tiempo.

Como Administradores de Red, Oficiales de Seguridad de la información, Gerencia de TI, CIO, debemos de definir procedimientos detallados de respuesta a incidentes, el equipo de respuesta debe participar en capacitación periódica basada en escenarios, trabajar a través de una serie de contextos de ataque que se ajusten a las amenazas y vulnerabilidades que enfrenta la empresa.

Planificar, ejecutar, analizar, generar informes y hacer seguimiento son los elementos básicos de una lista de verificación para la revisión de seguridad de la red, sin embargo, no podemos restarle importancia a la coordinación de los equipos de TI.

La gestión de incidentes usualmente involucra soporte de nivel uno, el cual incluye:

  1.  Identificación del incidente.
  2. Registro del incidente.
  3. Categorización del incidente.
  4. Priorización del incidente.
  5. Diagnóstico inicial.
  6. Paso a nivel dos (si es necesario).
  7. Resolución del incidente.
  8. Cierre del incidente.
  9. Comunicación con el usuario durante el tiempo del incidente.

Objetivos de la Gestión de Incidentes

  • Garantizar que los servicios de TI vuelvan a tener un desempeño óptimo.
  • Reducir los posibles riesgos e impactos que pueda causar el incidente.
  • Velar por la integridad de los sistemas en el caso de un incidente de seguridad.
  • Comunicar el impacto de un incidente tan pronto como se detecte para activar la alarma; y poner en práctica el plan de comunicación empresarial adecuado.
  • Promover la eficiencia empresarial.

La Gestión de Incidentes, no es más que un proceso encargado de lograr que los servicios de TI regresen a su estado original, incluso después de la aparición de algún evento desfavorable, sus objetivos principales son mitigar lo más pronto posible el impacto de incidentes sobre los usuarios y la empresa, logrando la continuidad del servicio sin importar la severidad del incidente.

Principales Ventajas

Sin duda, una correcta Gestión de TI efectiva, puede traer muchos beneficios para la empresa, como lo es un control más eficiente de las actividades que deben llevarse a cabo en el caso de que ocurra un incidente, por supuesto mejorar el tiempo de resolución a la hora de restaurar los servicios a su estado original, en los departamentos de TI que he tenido oportunidad de gestionar, me ha permitido llegar a robustecer estas dos consignas para proporcionar estabilidad y confianza del área y generar valor al negocio:

Perfeccionar la utilización del personal de TI; es muy importante definir el principio de priorización de los incidentes, ya que permite al personal técnico realizar los esfuerzos adecuados en función de la prioridad otorgada al incidente.

Optimizar la productividad y el nivel de satisfacción de los usuarios, aquí se tiene un gran campo de acción, como el crear una base de conocimientos relacionada con los incidentes que esté disponible para todas las partes interesadas, auto capacitación del usuario final, propuestas de mejora continua y lecciones aprendidas.

Pruebas de penetración y ejercicios del equipo rojo

Los atacantes penetran en redes y sistemas a través de la ingeniería social y explotando software y hardware vulnerables, por lo que podemos describir que las pruebas de penetración implican imitar las acciones de los atacantes informáticos y explotarlos para determinar qué tipo de acceso puede obtener un atacante y detectar las vulnerabilidades de nuestro entorno.

Cada organización debe definir un alcance claro y las reglas de participación para las pruebas de penetración y los análisis del equipo rojo, tengamos siempre presente el alcance de tales proyectos y que debe incluir, al menos, sistemas con la información de mayor valor y la funcionalidad de procesamiento de producción, en primera instancia en un entorno de pruebas para elegir los medidores de rendimiento y ejecutar el proceso de prueba.

               Equipo Rojo

Grupo de personas con amplia experiencia en de test de intrusión controlados y sin causar daño real a las infraestructuras de TI, gracias al cual se pueden encontrar fallos en la estructura tecnológica de la empresa, sin embargo, el equipo rojo, va un poco más allá de vigilar la vulnerabilidad en materia de tecnología, pueden definir una serie de ataques a un objetivo y un equipo humano se encarga de realizar sus propios ataques bajo un contrato de alcance concreto y otro de confidencialidad.

Entonces los equipos rojos han de representar un ataque a la ciberseguridad de una empresa que se mantenga en el tiempo, para lo cual puede utilizar técnicas convencionales hasta ingeniería social, como el malware, phishing o Ransomware, hay técnicas más sofisticadas que se utilizan y estas están relacionadas con la creación de ataques particulares a entornos particulares, de esta manera el objetivo principal es poner en valor la seguridad de una infraestructura tecnológica y realizar una colaboración con el equipo azul, encargado de la defensa, para establecer una fortificación de todos los sistemas de una organización.

Si eligen realizar estas pruebas les recomiendo seguir estas acciones:

Solo aquellas personas que contratan un servicio de estas características deben saber de la actuación del equipo rojo, ya que durante el proceso, el equipo rojo va a tratar de conocer todas las vulnerabilidades posibles de la empresa, con diferentes técnicas y cuando se hayan localizado, se hacen visibles para que el equipo azul, las pueda interceptar y protegerse, de esta manera, se puede tomar una decisión real acerca del estado de la seguridad informática de la empresa, dicho de otra manera, el objetivo es conocer el nivel de madurez real que tiene una corporación, en el ámbito de Seguridad ante un ciberataque.

En algunos casos, las debilidades que se encuentran tienen que ver con fallos básicos como, por ejemplo, la segmentación de la red, confiarse en que algunas cosas son sencillas puede ser un riesgo y se puede convertir en una puerta de entrada detectable.

Tratar de anticiparse, es necesario conocer a tus adversarios a nivel operacional, táctico y técnico, sin olvidar identificar cuál es su objetivo principal y robustecer la capacidad defensiva.

Una vez que se hayan implementado nuevos programas o tácticas de seguridad en la empresa, es necesario seguir informándonos y ver cómo podemos actuar frente a nuevos intentos de ataque o a nuevos atacantes.

No es el trabajo de una sola vez, debe poder emular los posibles ataques, sin el conocimiento de los empleados de la empresa para evaluar el estado de las implementaciones, esto es de forma esporádica y rutinaria.

Les recomiendo también realizar pruebas cuando tu empresa se expanda o se produzcan cambios significativos en la infraestructura, es necesario y muy positivo realizar distintos tipos de pruebas, aunque las amenazas parezcan estar en silencio o ser inexistentes.

Documentar es un gran hábito y claro es obligatorio:

  • Evaluación de la solidez de la base de evidencia y de la calidad de su información.
  • Análisis defectuosos.
  • Documentar la prueba del sistema, las aplicaciones, la red y otros elementos y la forma en que accedería un ciber delincuente.
  • Identificar diferentes opciones y explorar las consecuencias de un plan de ataque y las posibles opciones que tiene un atacante para adentrarse y moverse libremente a través del sistema de la empresa, establecer candados por niveles.
  • Documentar riesgos y detectar las limitaciones de seguridad en la empresa.

El objetivo es probar y validar su capacidad para detectar actividad maliciosa y evaluar su respuesta a los eventos detectados, por supuesto, incluidos procesos, herramientas y personal.

Áreas donde se puede mejorar el programa de ciberseguridad.

Aplicaciones

Realizar pruebas de ataque y penetración de aplicaciones web o de escritorio, con el objetivo de identificar fallos en la capa de aplicaciones tales como: falsificación de solicitudes entre sitios, fallos de inyección, administración de sesión, secuencias de comandos entre sitios, referencias de objetos directos inseguros y muchos más.

Red

Pruebas de penetración de infraestructura de red enfocada con el objetivo de identificar fallos de nivel de red y sistema como: Configuraciones erróneas, vulnerabilidades específicas del producto, vulnerabilidades de red inalámbrica, servicios con errores, contraseñas y protocolos débiles.

Ingeniería Social

La Ingeniería Social tiene como objetivo explotar las debilidades en las personas y la naturaleza humana, en lugar de la tecnología y los controles de seguridad física directamente, se debe de probar la susceptibilidad humana hacia la persuasión engañosa y la manipulación a través de correo electrónico Phishing, teléfono, SMS, fax y movimientos in situ.

Entrenamiento al equipo de Seguridad Informática de la empresa

Este debe ser muy dinámico porque se debe lograr la infiltración física, ingeniería social y pruebas de penetración, entrenamiento completo en edificios de forma legal a los sistemas y aplicaciones y aleatoriamente, también atacando a personas reales con ingeniería social, cara a cara.

Auditoria de Dispositivos Móviles

Este es uno de los ambientes más cambiantes por lo que debemos de Identificar qué recursos gestiona la aplicación móvil, qué información se almacena en el teléfono móvil o en la tablet, y qué información se transmite, claro dependiendo de los requisitos de seguridad de la aplicación y de su criticidad, factores que siempre entran en juego con diferentes técnicas de análisis de seguridad de la aplicación móvil que pueden englobar las siguientes tareas:

  • Auditoría de aplicaciones móviles.
  • Revisión de la aplicación móvil.
  • Seguridad en la transmisión de datos de aplicación móvil y entre ellas.
  • Desempaquetado de la aplicación dependiendo de su formato (APK, IPA, ALX, JAD, XAP).
  • Detección de protectores y ofuscadores de código.
  • Análisis y auditoría de código fuente.
  • Análisis de la información almacenada por la app móvil.
  • Análisis de los mecanismos de almacenamiento de la plataforma.
  • Mecanismos de protección de acceso a los datos de la app.
  • Carga o ejecución externa de contenido.

¿Qué hace entonces que una empresa exitosa se diferencie del resto?

Los incidentes forman parte del día a día de las empresas, independientemente de la calidad de servicio prestada por sus equipos de TI. Sencillo la diferencia radica en su capacidad de respuesta ante estos incidentes; una capacidad que va a ser mejor o peor de acuerdo a las estrategias de Gestión de Incidentes que pongamos en práctica.

Definitivamente el tema de la ciberseguridad es muy extenso, sin dejar de ser apasionante, por su dinamismo, ya sea por actualización tecnológica o en técnicas de prevención y la forma en que los atacantes varían sus estrategias para vulnerar específicamente un objetivo y/o indistintamente a muchos objetivos.

Agradezco la atención y los comentarios que este artículo de cinco partes ha despertado en todos ustedes, fuimos desde la ciberseguridad personal, hasta encontrarnos en un ambiente más robusto en alguna corporación, espero haya sido de utilidad.

El artículo de Ciberseguridad 2020 Rberny, está especialmente dirigido a ingenieros, técnicos informáticos, responsables, CIO, Gerentes y profesionales que desarrollan tareas y funciones que están vinculadas al campo de la seguridad informática, siendo de especial interés para cualquier persona que lo lea, ya que no se utiliza mucho lenguaje técnico o términos complicados, por favor si no es así, envíame un mensaje o correo electrónico indicándome cuál es el término que no está claro y con gusto te contestaré.

Saludos,

Firma 2021 Rberny - Ing. Rubén Bernardo Guzmán Mercado

Bibliografía

Darkreading (2019). Firmware Vulnerabilities Show Supply Chain Risks. Darkreading.

https://www.darkreading.com/vulnerabilities—threats/firmware-vulnerabilities-show-supply-chainrisks/d/d-id/1335313

Deloitte (2018) Auditing the risks of disruptive technologies. Internal Audit in the age of digitalization. Report.

https://www2.deloitte.com/content/dam/Deloitte/us/Documents/finance/us-rfaauditing-the-risks-of-disruptive-technologies.pdf

Gemalto (2019). Red 5G – Características y usos de esta tecnología. Jiménez, F. (2019). Manual de inteligencia y contrainteligencia. Sevilla, España. CISDE

https://www.gemalto.com/latam/telecom/inspiracion/5g

ISACA. State of Cybersecurity: Implications for 2015.

KASPERSKY. Global IT Security Risks Survey and Kaspersky Security Bulletin 2015.

KRUTZ Ronald y DEAN Vines Russell. Cloud Security. A Comprehensive Guide to Secure Cloud Computing, Indianapolis, Wiley, 2010.

LIBICKI Martin C. Cyberdeterrence and Cyberwar, Santa Mónica, RAND Corporation, 2009.

Visitas: 3

Comparte si fue de tu agrado

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.