AÑO 7 - Nº 02 - FEB 11




Palabras de CISO

La lección que nos deja Wikileaks
Alfredo Zuccotti

Subgerente de Seguridad

Cooperativa Universitaria - Paraguay


Muchas empresas consultoras de seguridad se pusieron a analizar qué falló en la fuga de los 250.000 documentos secretos del Departamento de Estado (EEUU) y que están siendo publicados paulatinamente en Wikileaks.

Algunas consultoras dicen que no se implementaron herramientas de Prevención de Fuga de Información o DLP (Data Leak Prevention), otras dicen que no se cumplieron bien las políticas de seguridad, etc. pero es bien sabido que el Departamento de Estado, al igual que el Departamento de Defensa de los EEUU, gasta miles de millones de dólares anualmente implementando sistemas de seguridad para evitar que esto ocurra, por eso en mi opinión, uno puede tener las mejores políticas de seguridad, las mejores prácticas, implementar ISO 27001 o lo que uno quiera, pero siempre la principal vulnerabilidad van a ser las personas, principalmente los empleados descontentos.

Es muy difícil evitar la fuga de información de manos de los empleados (intencional o por descuido), porque la información, ya sea confidencial o no, sí o sí debe pasar por manos de los empleados, es una cuestión básica, de lo contrario no podría funcionar la misma, y al pasar los documentos por la mano de los empleados, estos pueden ser fotocopiados, impresos, enviados por correo, fotografiados con un celular, copiados a mano, o un sinfín de etcéteras más.

Aunque uno implemente herramientas de prevención de fuga de información (DLP), codificación de las fotocopiadoras, control de entrada y salida de las personas, etc. siempre está la manipulación de documentos impresos que ninguna herramienta puede controlar, y siempre va a ser posible introducir celulares con cámara o microcámaras con qué fotografiar los documentos confidenciales.

No nos olvidemos que el control de entrada y salida de las personas siempre lo hacen los guardias contratados, es decir seres humanos con necesidades sociales que con frecuencia se hacen amigos de los empleados, así que muchas veces el control no va a ser tan estricto como uno quisiera. Es muy fácil ser estricto con desconocidos, pero no con gente que uno conoce y ve a diario.

Conclusión: La principal vulnerabilidad en cualquier empresa, siempre van a seguir siendo las personas.

 

contactos@infosecurityvip.com

 

Ediciones anteriores

 

ENERO 2011

Administración de Eventos de Seguridad
Stephen Fallas
Security Solution Architect – Latin America
Hewlett Packard

Disertante para Infosecurity Vip - Quito 2010

¿Por qué se generan los incidentes?

  • Crecimiento de la dependencia tecnológica.

  • No hay conciencia sobre la privacidad.

  • Amplia disponibilidad de herramientas.

  • Gran aumento de vulnerabilidades (según Cert en el 2009 se reportaron 8.000)

  • Oferta y demanda de información confidencial mas abierta.

  • Traslados de negocios con dinero real a Internet ( servicios financieros, juegos de azar, sitios de subastas, etc..)

¿Qué hacemos para detectar el incidente?. Hay varias vías por las que una organización detecta un incidente

  • Mediante Revisiones operativas: Revisiones de Eventos

  • Mediante algún reporte de un usuario.

  • Mediante terceras partes.

Pregúntese a usted mismo: ¿Qué datos importantes tiene?, ¿En dónde están localizados sus datos mas importantes?, ¿Cuáles son los puntos de acceso a sus datos mas importantes?, ¿Cómo esta protegido su punto de acceso?, ¿Quién tiene acceso a sus datos ?, ¿Cómo controla quien tiene acceso a sus datos mas importantes?

Requerimientos de Regulaciones:

[SOX/COBIT] El sistema de administración contempla el análisis de registros para la auditoría, permitiendo el seguimiento del incidente.

[PCI] Revise los registros de todos los componentes del sistema al menos una vez cada día.

[NIST Assessment] esta actividad implica el acceso y la modificación de los archivos confidenciales o críticos registrados, seguimiento e investigar posibles violaciones de seguridad.

[HIPAA] Registrar y analizar la actividad en los sistemas de información que contengan o utilicen la información electrónica de salud protegida, periódicamente revisar los registros del sistema de información.

[SCADA] Identificar los componentes del sistema que garantiza el registro. Determinar el nivel de los datos registrados para cada componente, establecer políticas de seguridad de manipulación y análisis de los archivos de registro.

Elementos en la Administración de Eventos de Seguridad:

Modelo de Administración de Eventos de Seguridad:

 

Sumario:

  • Desarrollo de una política corporativa en materia de los registros de actividad.

  • Cumplimiento de requerimiento legal.

  • Dotar de una visión global del estado de la seguridad que ayude en la toma de decisiones.

  • Reacción temprana ante incidentes de seguridad.

  • Definición de procedimientos de notificación y actuación según la alerta y activo afectado.

Fuente: InfosecurityVip.com


 

Copyright © 2010 I-SEC. Todos los derechos reservados
Política de privacidad