viernes, 15 de enero de 2016

La Importancia de los Planos


Las áreas de seguridad física y de arquitectura son ejemplos claros de áreas que manejan planos de manera intensa. Los primeros usan los planos de instalaciones por ejemplo para hallar puntos vulnerables de acceso o para plasmar los requerimientos de las ubicaciones exactas de controles de seguridad como detectores de incendio o cámaras CCTV. Sobra decir las razones de los arquitectos para usar planos de edificios, basta decir que los usan diariamente para sus labores de construcción o remodelación.


Normalmente a los planos no se les trata con un cuidado especial, son como cualquier otro documento de trabajo que se usa por diversas áreas de la organización y hasta por proveedores. Sin embargo los planos de un inmueble pueden llegar a ser de alta relevancia, sobre todo dependiendo del tipo de instalación del que se trata.
Por ejemplo hablemos del sector penitenciario. Si un reo tiene la intención de escapar, él y sus cómplices bien pueden hacer uso de estos planos para construir un túnel que consiga alcanzar exactamente el baño de su celda para por ahí iniciar su huida de película. Otro ejemplo sería algún edificio donde se guarde dinero o algún otro valor donde los planos puedan servir para construir túneles o que sean de utilidad para planear un hurto.

Por lo tanto es importante mantener la seguridad de planos que sean de relevancia y que podrían llegar a tener un mal uso si caen en manos maliciosas. A continuación identifico algunos de los riesgos asociados al manejo de los planos y propongo algunas posibles medidas que se pueden seguir para incrementar la seguridad de los mismos.

Evitar dejar desatendidos los planos en impresoras. Es común que se deban imprimir planos para algún fin. Y también es común que uno vaya pasando y que dichos planos se puedan encontrar en la impresora ya que su dueño no tuvo el interés de ir por ellos o los va a recoger “luego”. Una medida para mitigar el riesgo es crear una política que establezca que toda impresión de planos debe de recogerse de inmediato o bien, proteger electrónicamente a los planos de tal manera que se impida su impresión en primera instancia.

Cifrar planos enviados por correo o medios electrónicos. Mandar un plano adjunto por correo es necesario en varias situaciones ya que por ejemplo un proveedor los puede necesitar para alguna cotización. Estos adjuntos van sin protección por la red. Por lo tanto una medida de seguridad importante a tomar en cuenta antes de enviarlos, es que se les proteja por medio de cifrado para que el plano adjunto al correo vaya protegido.

Cifrar los planos almacenados en medios electrónicos. Si bien es importante proteger los planos cuando se envían por correo, también es importante darles seguridad cuando están almacenados en las computadoras a través del cifrado. Esta medida cobra especial importancia cuando se guardan en lapotps que salen de la organización y que tienen mayor riesgo de ser robadas o extraviadas. Y ni se diga de los dispositivos tipo USB que se llegan a extraviar con facilidad y lo último que deseamos es que el nuevo dueño del USB encuentre nuestros planos.

Proteger los planos impresos. Para el uso cotidiano de los planos seguramente los tendremos a la mano y si bien puede parecer una manera de trabajar razonable, la sugerencia para mitigar el riesgo de que alguien no autorizado tome y robe un plano fácilmente, es la de resguardarlos bajo llave y no dejarlos por ejemplo encima del escritorio desatendidos.

Acuerdos de confidencialidad con proveedores. Las razones por las cuales los proveedores deben de tener acceso a los planos y conocerlos son diversas y justificables para por ejemplo realizar una cotización o llevar a cabo un trabajo en los inmuebles. Y es exactamente ahí donde perdemos el control de estos planos, ya que ahora su resguardo depende de un tercero. Un control administrativo que se puede poner en marcha para atender esta situación es el de incluir un acuerdo de confidencialidad con los proveedores con el fin de que manejen los planos con medidas de seguridad similares a las que seguimos y aplicamos nosotros.

En conclusión, los planos de los inmuebles son de relevancia para instituciones con instalaciones estratégicas y se les debe de manejar con un nivel de seguridad que corresponda a su nivel de importancia.  Y claro, obviamente las anteriores medidas se pueden no solo aplicar a planos sino a todo tipo de documentación con información sensible.

martes, 12 de enero de 2016

¿Por qué hacerlo, si no está en la política de seguridad?

Les comparto mi artículo que TechTarget publicó.

martes, 5 de enero de 2016

De zombis y pentesters

¿En qué se parece un pentester a un zombi? Averígualo aquí.

Transmitiendo la urgencia de seguridad

Ojalá les agrade el artículo con el tema de transmitir la urgencia de seguridad en una organización.

Cuando la seguridad se degrada por cuestiones “de negocios”

Espero les guste el artículo que escribí en TechTarget.

¿Quién es responsable por las debilidades en el software?

Les dejo mi artículo que escribí para TechTarget.

viernes, 27 de noviembre de 2015

Deserialization Bug


La vulnerabilidad ocurre cuando una aplicación realiza un técnica utilizada para transferir estructuras de datos sobre la red y entre equipos de cómputo, conocida como "serialización".

Al no llevar a cabo una revisión de las entradas permitidas, conocida como deserialización, un atacante aprovecha para insertar un "objeto" malicioso que a su vez es ejecutado en la memoria del servidor donde vive la aplicación, lo cual le permite desde ejecutar cualquier comando hasta tal vez tomar el control remoto del servidor.

A esta debilidad no se le ha dado la criticidad que merece, por lo cual es importante revisar el detalle y determinar si hay afectación y las posibles medidas de remediación. Hay exploits disponibles, lo cual hace imprescindible tomar medidas en el corto plazo. Te dejo ligas para obtener más información:

http://www.securityweek.com/remote-code-execution-flaw-found-java-app-servers
http://www.contrastsecurity.com/security-influencers/java-serialization-vulnerability-threatens-millions-of-applications
https://dzone.com/articles/point-of-viewwhy-the-java-serialization-vulnerabil