domingo, 23 de abril de 2017

Inclusión de seguridad en las estrategias de negocios.





Hay cambios drásticos en las organizaciones, y si, se está gestando de manera importante, cuando en la estrategia de negocios involucran seguridad, usted quizá me dirá: ¿Pero si mi empresa vende letrinas? ¿Para qué y por qué involucrar seguridad lógica en mi estrategía de negocios? Pues la respuesta es simple: el flujo de información que se esta generando en todo momento, podría hacer que el rumbo de su empresa cambie, cambios que pueden llegar a su extinción si la competencia toma ventaja de información vinculada a la base de datos de su CRM debido a un correo engañoso (phising) enviado a la secretaria del gerente de ventas que adopto un ataque persistente avanzado (APT) perpetrado por algún elemento vinculado a su competencia desde hace meses.

La gente me ha comentado en varias conferencias: ¿Pero por que se ha llegado a esto? muy simple: la tecnología y la información van de la mano. La tecnología bien o mal implementada ha hecho crecer a las empresas, los negocios son exitosos, la globalización desde hace rato llego para quedarse, facilita la vida de las personas, las hace más placentera y sencillas, por otro lado esto impulsa que se genere más y más información que como consecuencia, se ha visto afectada la privacidad de las personas y a su vez la seguridad de las empresas.

Estos actos, penados por las leyes inclusive internacionales, se están proliferando de manera significativa en varios países del mundo, y aunque no ha salido a la luz púbica casos en las que se vean involucradas organizaciones del sector privado en Venezuela o Latinoamérica, no pongo en duda que tarde o temprano sucederá, ya se leen titulares donde gobiernos están atacando a otros gobiernos (trataré de este tema en otro apartado) entonces ¿se puede esperar que no tengamos una oleada en Latinoamérica?

En la deepweb se consigue de todo (y así lo es, no es un mito) se puede contratar a un sicario o tratar con traficantes de drogas y estupefacientes, también se puede comprar programas maliciosos, criptolocker, o simplemente contratar atacantes para efectuar un ataque de denegación de servicios distribuido (DDoS) a la página web de su empresa, si!, esa misma donde cuenta con pasarelas de pagos, carritos de compra ya que la directiva implementó una nueva estrategia para simplificarle la vida al cliente y asumió el papel del banco y de esta forma hacer crecer el negocio, esto, ha traído consigo cambios potenciales en el sector de seguridad lógica, términos como FaaS (Fraud as a Service),  MaaS (Malware as a Service),  RaaS (Ransomware as a Service),  AaaS (Attacks as a Service),  IaaS (Identity as a Service),  RoT (Ramsonware of things) ya forman parte del día a día.
     
El objetivo principal de SGSI 0526 como proveedores de soluciones es aportar, cambiar la forma en como las organizaciones dejan vacías las prioridades de seguridad por precisamente enfocarse solo en “el negocio” y que se vea la seguridad lógica como parte fundamental  “del negocio” inclusive como una estrategia permanentemente adaptable y mejorable en su totalidad.

Es un proceso largo y demandante, pero bien valdrá el esfuerzo.
Soluciones a estos planteamientos: involucrar en su estrategia a la seguridad lógica para la permanencia y crecimiento de la organización, del tamaño que sea y venda letrinas o no.

Adrián Gómez.
Director General, Gerente de Operaciones.
Servicios de Proyectos y Consultoría SGSI 0526

lunes, 17 de abril de 2017

La seguridad lógica como parte de los procesos organizacionales.





Hace pocas semanas estuvimos trabajando en una fuerte campaña de concientización de usuarios en lo referente a su privacidad y seguridad lógica corporativa, en una muy importante empresa del sector aeronáutico. Los resultados evaluativos eran totalmente esperados y la conclusión tomó fuerza al referir: “los usuarios de la red ven la seguridad como una traba, no como parte de un proceso”  la verdad no me costó mucho esfuerzo aplicar esta percepción a los líderes y gerentes de las diferentes áreas departamentales de la organización.

Me dejó muy en claro que a veces el trabajo se pone cuesta arriba, si nosotros mismos (quiénes tenemos las tareas de hacer gestión de redes e infraestructuras empresariales) no nos ponemos como meta principal que la seguridad es parte del proceso, si la directiva de la organización ve este proceso como un factor que detiene o relentiza la marcha de la organización o que resulta “poco provechosa” para el negocio, entonces no se ha dado cuenta que las fallas o carencia de esta en efecto si le ha representado un gasto superior (si no lo ha hecho aún, posiblemente lo hará)

Usuarios que nunca han cambiado un password de sus cuentas de correo electrónico, que les molesta el hecho de rotar sus credenciales de acceso, que ponen resistencia a las políticas de uso y manipulación de información es falla del proceso o peor aún, un proceso que no existe o no ha sido debidamente establecido y madurado en la organización, hoy en día parece un mito una realidad como esta, más es una realidad. El CIO (figura que falta en muchas organizaciones) en su lugar el departamento de sistemas e infraestructura, debe tomar como premisa no solo el hecho de implementar este proceso, sino también encaminar su madurez, lograr la sinergia tan necesaria entre el usuario y el proceso de seguridad de información.

La seguridad lógica va más allá de contar con tecnología de punta, poderosas (y muy costosas) estructuras de firewalls con lo último en protección y resguardo de información, herramientas de monitoreo proactivo, elementos de contingencias corroborados e inclusive bajos procesos de verificación, etc.. la seguridad vista como un proceso involucra de manera activa al usuario; por ende, es momento de derribar viejos paradigmas y creencias, se debe actuar cuanto antes.

Estadísticamente hablando el phising es el mecanismo más utilizado por atacantes como una técnica de engaño para cometer delitos electrónicos/ económicos en varios países de Latinoamérica (especialmente en Argentina y Venezuela), eso se resume en que es el usuario el eslabón más débil de la cadena, esto no es una novedad más es preciso involucrarlo, no solo será más barato para el negocio, sino también más practico si de prevención se trata.

Algunas sugerencias:

  • ·         Venda ideas en las que se vea beneficiado el usuario, no trabaje a espaldas de él. Involúcrelo y explíquele porque es bueno cambiar un password y que cumpla con reglas de complejidad.

  • ·         Invítele a resguardar la información sensible de la organización, con estrategias de: tu información privada y la información de la empresa deben ser resguardadas.

  • ·         Muestre estadísticas, por ejemplo, en España uno de los principales delitos electrónicos con más auge es la suplantación de identidad, ¿Te imaginas que suplanten tu identidad en las redes sociales y te veas involucrado en algún acto ilegal? O tan simple como que se ponga en riesgo tu reputación y tu seguridad o la de tu familia.

  • ·         Diseñe un plan de concientización, a través de correos electrónicos, campañas enfocadas, charlas breves y precisas, por ejemplo: en el mes 1 se trate la seguridad de correos electrónicos y netiquette, en el mes 2 se trate de confidencialidad de información, en el mes 3 determine la importancia de trabajar con la información de clientes y proveedores y las consecuencias de una exposición de datos… y así de manera paulatina. Quizá deba involucrar al departamento legal para el apoyo mancomunado.

  • ·         Haga pruebas de phising y engaño para determinar el nivel de conciencia de los usuarios en este sentido.

·         Explíquele al usuario las razones de porque no debe acceder a sitios web de dudosa reputación, y que no debe hacer uso de los recursos de trabajo con fines personales (hay usuarios que se molestan cuando no pueden descargar sus películas desde la red de la empresa para verlas por lo noche al llegar a casa)

     El usuario no es el enemigo, nosotros los delegados del área, debemos educar al usuario, pero también involucrarlo de manera activa.


Y por último:


La seguridad lógica corporativa es responsabilidad de todos los empleados, no solo del jefe, del CIO, o del departamento de sistemas, también te involucra a ti.   


Adrián Gómez.
Director General, Gerente de Operaciones.
Servicios de Proyectos y Consultoría SGSI 0526