sábado, 14 de mayo de 2016

Seguridad en la Información de las Laptops Corporativas

Hoy en día no todos los empleados trabajan en su lugar todo el día. Las necesidades desde hace años es que las personas tengan que salir de su lugar laboral; por ejemplo consultores, agentes de ventas, proveedores o gente que debe de salir a supervisar una actividad fuera del lugar habitual del trabajo.


Si bien la opción podría ser una tableta o hasta un teléfono, cuando es necesario redactar documentos o largos correos, muchas personas eligen mejor usar una laptop para poder escribir cómodamente y manejar hábilmente el ratón. Es entonces cuando deciden que lo mejor es usar la laptop para ahí depositar o acceder a información de la empresa con la cual se debe trabajar. Y cuidado, hoy en día se proporcionan laptops y no las PC por la simple comodidad de poder llevarla a una sala de juntas o llevársela a la casa para seguir trabajando allá, así es que no es solamente una solución para aquellos que salen de sus corporativos periódicamente.

Ahora bien, qué sucede con su seguridad? Y no me refiero al equipo como tal en caso de que sea robado o extraviado, me ocupa algo mucho más valioso que los pocos miles de pesos de la laptop: la información que en ella se deposita.

¿Y cómo proteger esa información? Si bien hay varias medidas que se pueden seguir, a continuación les presento algunas básicas.

Antivirus. No tener un antivirus es un suicidio digital. Y tenerlo instalado de adorno, es decir, que no esté actualizado, es estar a un paso del desastre. Si es una laptop corporativa, debería de tener ya el producto de la empresa, pero no sobra verificar que se tiene y estar seguro de qué manera se actualiza (no se alarmen, la actualización es automática, solo hay que revisar que así esté configurado).

Actualización de software. Hay parches de seguridad que se publican frecuentemente por parte de los desarrolladores de software. Compañías como Microsoft, Apple o Adobe lo hacen y si bien el sistema puede estar configurado para recibirlos automáticamente, esto no siempre sucede así. Los parches de seguridad corrigen debilidades del software que son aprovechadas por atacantes en internet. Por eso es de vital importancia mantener el sistema al día para evitar situaciones de riesgo con nuestro equipo.

Hay que tener especial cuidado, porque es seguido que uno pone atención en mantener actualizado el sistema operativo (por ejemplo Windows), pero uno ignora a las aplicaciones que en él viven como podría ser el Adobe PDF Reader, el navegador Chrome o las miles de aplicaciones que podemos instalar en la laptop. Estas aplicaciones también reciben actualizaciones de seguridad y es importante instalarlas al igual que las que se publican para los sistemas operativos.

Cifrado del disco. Imaginen este escenario de riesgo: robo o extravío de la laptop. Como dijimos, lo de menos es el costo del equipo, lo más relevante es la información que ahí está almacenada, como datos personales de clientes, planos de instalaciones de seguridad, proyectos, correos sensibles, documentos financieros, y un largo etcétera que puede resultar en una fuga de información involuntaria.

Así es que, qué podemos hacer para evitar que si alguien roba o se encuentra la laptop previamente perdida no pueda acceder a nuestra información? Pues bien, una solución ideal es cifrar los datos del equipo y si es de la empresa, habrá que regalar una llamada a  la mesa de ayuda o los amigos de Sistemas para preguntar qué solución tienen y que se pueda usar. Bastará con seguir sus recomendaciones. Ante el escenario de que no tengan una solución, consultar si es posible que uno mismo instale una de su preferencia; me sorprendería que se negaran. Hay varias soluciones que están disponibles en el mercado.

Por ejemplo Windows tiene una propia llamada BitLocker y dependiendo de la versión de Windows, esta herramienta ya viene incluida y no hay costo adicional por tenerla. Para Mac tenemos FileVault e igualmente puede ser que ya venga incluida. Hay soluciones comerciales con costo y como siempre, soluciones de software libre que hacen un buen trabajo también (por ejemplo VeraCrypt). 

Así es que ya sea que usen una herramienta que proporcione el propio Microsoft Windows o Apple OSX, o bien una solución comercial o de software libre lo importante es que la hagan y la usen. Lo último que queremos es que seamos los culpables de que información corporativa salga a la luz pública y que tengamos que afrontar las consecuencias.

Contraseña de inicio. Es necesario decir que es importante tener una contraseña de inicio de sesión, esa que tenemos que introducir cada vez que prendemos la computadora o cuando la dejamos desatendida por varios minutos. Esto protege a la laptop de atacantes que deseen entrar a la laptop y que ¡oh bonita sorpresa! se encuentren con un sistema desprotegido cuando la prenden.

Respaldo de información. En la laptop se trabaja con información que debe de ser respaldada en otro medio. El escenario de riesgo aquí es donde el equipo se pierde, ya saben, eso casi no sucede. Si ahí teníamos documentos en los cuales estábamos trabajando, pues los habremos perdido para siempre. De nueva cuenta, vale la pena una llamada a la mesa de ayuda de la organización para saber cómo hacer estos respaldos y en caso de que no se provea, tener notros una herramienta; muchas de ellas de hecho ya son en la nube y se envían allá los datos que viven en el sistema; si eligen la nube, fíjense que sea una nube PIE (Pre Internet Encryption) donde los datos son cifrados antes de ser enviados.

En conclusión, no debemos dejar a la buena suerte la información de la laptop. Es importante ser proactivos y verificar cómo se están protegiendo los datos. Y aclaro que estas medidas son básicas, pero su profesional de seguridad informática de confianza les podrá ampliar y detallar estas medidas y decirles un par más de utilidad.


martes, 19 de abril de 2016

Cómo seleccionar personal para su área de seguridad informática

TechTarget publicó un artículo mío, se los pongo a su disposición.

sábado, 9 de abril de 2016

La Importancia de las Cifras

Siempre que tengo unos minutos disponibles, leo la columna de Sergio Sarmiento. Considero que sus opiniones sobre el entorno político nacional e internacional son interesantes y de relevancia. Particularmente me llamó la atención su artículo del 8 de abril del año en curso, en el que expresa sus dudas sobre las cifras que maneja el gobierno de la Ciudad de México en torno a las 22 mil muertes prematuras en un año asociadas a la mala calidad del aire. Lo anterior enmarcado en el nuevo hoy no circula de la capital.


En su artículo, toca el tema de que estas cifras pareciera que no tienen un sustento claro. El periodista solo ubicó un dato certero de la Cofepris que indica que en el año 2010 hay reportes de entre 2,000 y 4,000 defunciones al año causadas por partículas inhalables que están en la atmósfera. Sin embargo no logró encontrar más datos duros que sustentaran fehacientemente las 22 mil muertes anuales ya mencionadas en la capital y asociadas a la contaminación.

Por otro lado, el periódico Milenio en su sitio de internet, publicó el 8 de abril una noticia referente a un hackeo de la página web de un candidato para gobernar un estado de nuestro país. En ese informe, la reportera Isabel Zamudio comenta que el hackeo sucedió la madrugada del jueves (supongo que se refiere al jueves 7 de abril) y que se usaron hackers de nacionalidades como la de Estados Unidos, Rusia y Asia. También agrega que el hackeo usó recursos millonarios.

Al leer el artículo de Sergio y la noticia de Isabel, de inmediato correlacioné ambos casos donde pareciera que hay datos no verificados que salen de alguna fuente no especificada y poco clara. En particular sobre la noticia del periódico Milenio, me quedan varias dudas.

¿Cómo pudieron saber tantos datos en tan poco tiempo? Interpreto por el reporte que el sitio fue afectado el jueves 7, y un día después ya sabían desde dónde había sucedido y cuánto había costado. Tal vez el primer dato se puede obtener rápidamente en unas horas, aunque yo preferiría tener más tiempo para tener una mayor seguridad antes de hacerlo público. Sin embargo el costo es más complicado y desconozco cómo pudieron “definirlo” en tan poco tiempo.

¿Cómo estimaron que se usaron millones para el hackeo del sitio web? La noticia no establece si son millones de pesos, dólares u otra moneda, ahí está otra duda. Tampoco ofrece una cifra concreta, sino solo se limita a informar que fueron “millones”; pero ni hablar, de alguna manera lograron en muy poco tiempo hacer una estimación de este dato.

¿Un hackeo a un sitio web involucra millones? Sé qué puede implicar técnicamente poder afectar un sitio web y aunque me atrevo a generalizar, estimo que no cuesta millones de pesos o dólares dado que técnicamente no es algo complejo; obvio, depende de las protecciones de seguridad con que cuenta el sitio, y parto del supuesto de un sitio con seguridad promedio o un poco debajo del promedio. Y por cierto, me llama la atención que se haya comentado que utilizaron hackers de diversas nacionalidades; al parecer afectar ese sitio no se pudo realizar por alguna razón con recursos mexicanos.

Cuando leí la noticia del hackeo al sitio, simplemente me hice esas preguntas pero no le dediqué más tiempo; de hecho tal vez con esos datos no se tomen decisiones que afecten a muchos. Sin embargo en el caso de la opinión de Sergio, pareciera que se pudieran estar tomando decisiones que afectan a un número importante de personas con base en cifras que pudieran no estar bien identificadas o que no se está difundiendo su fuente con claridad.

En mi opinión y en nuestro campo de acción, ya sea por ejemplo la seguridad física o la informática, creo que es importante tener claro de dónde se obtienen cifras y estadísticas porque en más de una ocasión estaremos tomando decisiones con base en ellas y que por ejemplo estarán afectando el rumbo de la seguridad dentro de nuestras organizaciones o afectando presupuesto. 

Cuando no hay claridad en la fuente de información o está ambigua (recuerden el costo de “millones”), debemos exigir que se clarifiquen y se concreten, igual que transparentar la fuente de donde viene ese dato.

Decir que existen “muchas infecciones de virus al mes”, “desde Asia intentan vulnerar el perímetro” o mi preferida: “evidencias de que no seguimos las mejores prácticas”, significa que estaremos arrojando de alguna forma datos, pero sin un significado real. 

De hecho, existen ocasiones en que no queda muy clara la manera de obtener un indicador y otras más donde no hay una sola manera de lograrlo y cada quien lo obtendrá siguiendo una metodología diferente. El ejemplo puede ser si nos preguntan “cuántos ataques recibes al mes” o “cuántos intentos de ataques recibes al mes”: cada quien podrá tomar en cuenta diversas fuentes de información y criterios para llegar a un número, que sobra decir, será subjetivo y por lo tanto no será comparable.


En fin, sirva el presente artículo para reflexionar sobre este asunto y estar al pendiente de cuando nos presenten “cifras” que realmente son ambiguas, sin sustento claro o cuya fuente no es especificada.

martes, 16 de febrero de 2016

viernes, 15 de enero de 2016

La Importancia de los Planos


Las áreas de seguridad física y de arquitectura son ejemplos claros de áreas que manejan planos de manera intensa. Los primeros usan los planos de instalaciones por ejemplo para hallar puntos vulnerables de acceso o para plasmar los requerimientos de las ubicaciones exactas de controles de seguridad como detectores de incendio o cámaras CCTV. Sobra decir las razones de los arquitectos para usar planos de edificios, basta decir que los usan diariamente para sus labores de construcción o remodelación.


Normalmente a los planos no se les trata con un cuidado especial, son como cualquier otro documento de trabajo que se usa por diversas áreas de la organización y hasta por proveedores. Sin embargo los planos de un inmueble pueden llegar a ser de alta relevancia, sobre todo dependiendo del tipo de instalación del que se trata.
Por ejemplo hablemos del sector penitenciario. Si un reo tiene la intención de escapar, él y sus cómplices bien pueden hacer uso de estos planos para construir un túnel que consiga alcanzar exactamente el baño de su celda para por ahí iniciar su huida de película. Otro ejemplo sería algún edificio donde se guarde dinero o algún otro valor donde los planos puedan servir para construir túneles o que sean de utilidad para planear un hurto.

Por lo tanto es importante mantener la seguridad de planos que sean de relevancia y que podrían llegar a tener un mal uso si caen en manos maliciosas. A continuación identifico algunos de los riesgos asociados al manejo de los planos y propongo algunas posibles medidas que se pueden seguir para incrementar la seguridad de los mismos.

Evitar dejar desatendidos los planos en impresoras. Es común que se deban imprimir planos para algún fin. Y también es común que uno vaya pasando y que dichos planos se puedan encontrar en la impresora ya que su dueño no tuvo el interés de ir por ellos o los va a recoger “luego”. Una medida para mitigar el riesgo es crear una política que establezca que toda impresión de planos debe de recogerse de inmediato o bien, proteger electrónicamente a los planos de tal manera que se impida su impresión en primera instancia.

Cifrar planos enviados por correo o medios electrónicos. Mandar un plano adjunto por correo es necesario en varias situaciones ya que por ejemplo un proveedor los puede necesitar para alguna cotización. Estos adjuntos van sin protección por la red. Por lo tanto una medida de seguridad importante a tomar en cuenta antes de enviarlos, es que se les proteja por medio de cifrado para que el plano adjunto al correo vaya protegido.

Cifrar los planos almacenados en medios electrónicos. Si bien es importante proteger los planos cuando se envían por correo, también es importante darles seguridad cuando están almacenados en las computadoras a través del cifrado. Esta medida cobra especial importancia cuando se guardan en lapotps que salen de la organización y que tienen mayor riesgo de ser robadas o extraviadas. Y ni se diga de los dispositivos tipo USB que se llegan a extraviar con facilidad y lo último que deseamos es que el nuevo dueño del USB encuentre nuestros planos.

Proteger los planos impresos. Para el uso cotidiano de los planos seguramente los tendremos a la mano y si bien puede parecer una manera de trabajar razonable, la sugerencia para mitigar el riesgo de que alguien no autorizado tome y robe un plano fácilmente, es la de resguardarlos bajo llave y no dejarlos por ejemplo encima del escritorio desatendidos.

Acuerdos de confidencialidad con proveedores. Las razones por las cuales los proveedores deben de tener acceso a los planos y conocerlos son diversas y justificables para por ejemplo realizar una cotización o llevar a cabo un trabajo en los inmuebles. Y es exactamente ahí donde perdemos el control de estos planos, ya que ahora su resguardo depende de un tercero. Un control administrativo que se puede poner en marcha para atender esta situación es el de incluir un acuerdo de confidencialidad con los proveedores con el fin de que manejen los planos con medidas de seguridad similares a las que seguimos y aplicamos nosotros.

En conclusión, los planos de los inmuebles son de relevancia para instituciones con instalaciones estratégicas y se les debe de manejar con un nivel de seguridad que corresponda a su nivel de importancia.  Y claro, obviamente las anteriores medidas se pueden no solo aplicar a planos sino a todo tipo de documentación con información sensible.

martes, 12 de enero de 2016

¿Por qué hacerlo, si no está en la política de seguridad?

Les comparto mi artículo que TechTarget publicó.

martes, 5 de enero de 2016

De zombis y pentesters

¿En qué se parece un pentester a un zombi? Averígualo aquí.