Auto-Preguntas para saber tu estado de la seguridad.
Me ha gustado mucho una diapositiva que ha publicado el Sr. E.J. Hilbert sobre unas preguntas para hacerse, sobre todo si tu posición es la gerencia o dirección de departamento, para detectar si tienes un problema de seguridad.
Estamos hablando a nivel teórico, pero vamos a intentar ponerlo en práctica.
La diapositiva en cuestión es esta:
¿Quien es el responsable específico en seguridad en tu empresa?
Un clásico !!! Los desarrolladores le pasan el problema a sistemas, los de sistemas se quejan del presupuesto de gerencia, gerencia necesita agilidad en los desarrollos, ventas vende lo que aún no está ni desarrollado, etc.
Con este pregunta no se trata de designar un responsable para "cortar cabezas" en el caso de un incidente de seguridad. Simplemente debe haber alguien que vele por la coherencia de los sistemas de seguridad, ya sean técnicos, medidas organizativas, procesos, etc.
Es importante que esta figura tenga un perfil técnico, y no se quede en la superficie de la descripción de procesos de seguridad tipo 27001 y similares, en las que se DOCUMENTA el sistema que hay, con algunas recomendaciones, pero si mi sistema de seguridad consiste en cambiar de contraseña cada 6 meses...la ISO no me soluciona nada. Es típico encontrar un CISO "burocrático" y no técnico. Ambas cualidades son necesarias.
Para apoyar un poco técnicamente este argumento, desde Inseguros hemos visto muchos posts sobre OSSIM, una consola de seguridad. Un simple software como este puede ser el comienzo para que alguien en el departamento le dedique todos los días unas horas para supervisar el estado de la nación.
¿Quien decide quien tiene acceso a qué tipo de información, y de qué manera?.
La seguridad total no existe, un clásico del verano !!! Un pc sin conexión a Internet no puede ser atacado por Internet. Esto dista mucho de la realidad, en la que generalmente los procesos productivos de la empresa priman sobre las medidas de seguridad. Información puede ser acceso en el proxy de la empresa a TODO Internet al director de RRHH, porque es hermano del directivo X. Los propios administradores de sistemas tenemos acceso a mucha información, con tan solo los logs del sistema.
Por supuesto que los departamentos deben ver solo la porción de información que necesitan, pero esta tarea es sencilla de diseñar a priori, compleja de mantener durante el tiempo.
¿Qué datos son vitales o tienen mas valor para mi empresa, quien tiene acceso a ellos, de qué manera, y cuales son los peligros a los que se enfrenta?.
Al hilo de la reflexión anterior, sospecho que las medidas de seguridad para la receta de la Coca Cola no deben ser las mismas que para entrar a tu CPD, si no es el caso en el que el CPD y el ordenador de "Pepi" es el mismo. Identificación de activos es algo básico. Medición, sean con métricas formales o con una métrica inventada por nosotros:
Información= Me da igual que salga hasta en Facebook.
Advertencia= Ojo, esto puedo verlo mi novia.
Alarma= Mi novia ha visto la foto, y cuando llegue a casa la voy a tener.
Error= Mi novia me ha dejado por un comentario inapropiado sobre la guapa del momento.
No me importa el formalismo de la métrica, pero hay que realizar un inventario y cualificar la criticidad de los datos y servicios. Gerencia o compras o quien tenga el sello de los talones debe entender y apoyar que no es lo mismo que alguien lea el correo de un diseñador, o que obtenga la información de cuentas bancarias de clientes. Con matices, si tu empresa se dedica al diseño :-).
Evaluar los posibles peligros es el siguiente paso. Puede ser que en primeras instancias no implementemos todas las medidas necesarias, pero al menos estarán en el horizonte como objetivo, y una continua revisión de los fallos y ataques que van apareciendo nos harán mas conocedores del "mundo en el que nos conectamos".
Muchos amigos me comentan o incluso pintan las caras de sus jefes cuando les hablas de appliances de seguridad. A veces son los mismos amigos informáticos los que no quieren cambiar su firewall de toda la vida por otro mas moderno, porque les costaría horas ( retomamos por aquí la figura del CISO? ).
Recuerda que la seguridad puede ser una cebolla, que te hace llorar? no :-) que funciona por capas, y podemos ir solapando medidas. Empezando siempre por las menos costosas y más "ruido" hagan. Si haces un reporte todas las semanas con los ataques o amenazas que tus sistemas detectan ( aunque sea el fuck*** router de tu ISP, tambien tiene logs !!!! ) quizás gerencia vea con mejores ojos la compra del siguiente "cacharro".
¿Cuando fue el último análisis de seguridad efectuado, quien lo ha ejecutado, y donde esta la documentación?
Un escaneo de puertos hacia tu sede ya es un análisis de seguridad. Básico, rudimentario, pero ya puedes detectar algún pequeño fallo de seguridad o diseño.
Realizar un test de intrusión es una tarea compleja, MUY COMPLEJA, pero realizar o aproximarse a una auditoría de vulnerabilidades está al alcance de todos. Por ejemplo este post de Openvas reciente es bastante útil.
No sirve que asistas a un congreso como NAVAJA NEGRA y vuelvas el lunes con ganas de cambiar el security-space de tu empresa. Si sirve !!! pero poco a poco. Demuestra con informes periódicos, claros y concisos la necesidad de implementar medidas de seguridad concretas. Recuerda, empieza por las baratas !!!
¿Tiene tu empresa una política de concienciación de amenazas, gestión y operaciones diarias?
Esta parte, la humana, tannn importante en la seguridad no la venden las grandes consultoras, se hace desde dentro.
Todos saben que no deben abrir ficheros de correos. Todos saben que no deben abrir un fichero llamado despidos-2015.pdf .... Todos saben que no deben revisar sus correos personales en la oficina... Si es así, compruébalo !!! Por ejemplo en Inseguros vimos Simple Phishing Toolkit para realizar campañas de concienciación internas, en la que podíamos medir la efectividad de esa nota que pasamos a todo el mundo con las medidas de seguridad básicas en el uso de Internet en la empresa...
En la parte de operaciones diarias el empleado, el usuario debe conocer exactamente la manera de trabajar que la organización espera de el en materia de seguridad. Si el acceso hacia la empresa se hace por VPN ipsec no le dejes usar ese VNC de comodín que hay por ahí instalado que es muy cómodo para "conectarse un minuto" en vez de instalar el cliente L2TP. Al menos, que sepa cual es la manera correcta.
¿Quien es el responsable de velar por la información expuesta en las redes sociales y las fugas de información?
Un buen Community Manager se puede encargar un poco de esto. Igual que muchos CM gestionan las malas opiniones de productos y servicios en web, foros y demás, también podría ser instruido en revisar periódicamente Pastebin, ZoneH o Google !! en busca de datos de la empresa que gestiona. Al fin y al cabo, es reputación en la red.
Recuerdo una empresa en la que puse su ip en Google, algo muy básico en las auditorías, y tras pasar los whois y demás servicios encontré un foro en Ruso en el que ponía algo así como: Ip: Центр обработки данных с общественными системами Windows, и SQL Server.
Кажется, больница. y alguna cositas más... en abierto.
¿Tiene su empresa un plan de contingencia para la seguridad?
La contingencia siempre es necesaria. En alguna empresa en la que he prestado servicios como administrador de sistemas he intentado siempre tener un plan de contingencia. Aunque sea en papel !! No me refiero a que esté descrito en papel, sino que si un proceso crítico como pueda ser la recogida de datos de un cliente no está disponible por un fallo informático, pueda crearse una "ficha en papel" para que la información se vuelque al sistema una vez se restablezca. Esto es sencillo y si haces bien esta tarea, podrás irte de vacaciones más tiempo !!!
En el caso más técnico, por ejemplo en el caso de estar sufriendo un ataque DDOS. Tiene tu comercio ON-Line alguna medida? puedes bloquear en modo "botón de emergencia" la procedencia de las conexiones? el tipo?.
Si has sufrido un Defacement, tienes una copia de seguridad operativa, lista para parchear y poner en producción lo más rápido posible?
En el caso de una infección de Malware, tienes delimitada la red por segmentos y cuentas con alguna herramienta de análisis de tráfico para detectar los movimientos?
Hay muchas medidas de contingencia que se pueden implementar, como siempre, empezamos desde la más barata en adelante. La virtualización que hemos visto aquí nos sirve de ayuda a la hora de preparar un buen plan de contingencia.
Vital el punto de la detección, para poder actuar.
¿Tiene su empresa la capacidad de exponer una brecha de seguridad para poder pararla?
Este párrafo se podría extender muchísimo, desde la clásica aproximación de open source si o no, hasta la reputación de una empresa, pasando por actividades ilegales de empresas.
Imaginaros que una banda de cibercriminales roban la base de datos Access instalada en local en el pc del contable, la típica aplicación que no aparece en ningún sitio que esconde el dinero negro ( Si eres de fuera de España quizás esto no sea tan habitual :-) ). No creo que puedas acudir a las fuerzas de seguridad para que reclamar la persecución de estos criminales.
Imaginaros que comprometen la seguridad de las cuentas de tus clientes por una simple SQLi. Está tu organización preparada para comunicar el incidente a los usuarios pidiéndoles que cambien sus contraseñas, o vas dejar que se publique la información con el daño a tus clientes?
Si recientemente has invertido en seguridad, en una de esas empresas con más portafolio que valor, deberías hacerte estas preguntas para ver si esa empresa realmente te está dando "seguridad" o "falsa sensación de seguridad" con sus auditorías semestrales y sus manuales copy&paste.
Si vas a invertir en seguridad, ten muy en cuenta estas reflexiones a la hora de implementar tus medidas, o contratar el servicio externo.
Si eres un experto en seguridad seguro que todo esto te lo sabes, y que tendrás anécdotas para cada párrafo la mar de simpáticas. ¿Por qué no las cuentas?
Como siempre, espero que os guste y gracias por leerme !!!
Estamos hablando a nivel teórico, pero vamos a intentar ponerlo en práctica.
La diapositiva en cuestión es esta:
¿Quien es el responsable específico en seguridad en tu empresa?
Un clásico !!! Los desarrolladores le pasan el problema a sistemas, los de sistemas se quejan del presupuesto de gerencia, gerencia necesita agilidad en los desarrollos, ventas vende lo que aún no está ni desarrollado, etc.
Con este pregunta no se trata de designar un responsable para "cortar cabezas" en el caso de un incidente de seguridad. Simplemente debe haber alguien que vele por la coherencia de los sistemas de seguridad, ya sean técnicos, medidas organizativas, procesos, etc.
Es importante que esta figura tenga un perfil técnico, y no se quede en la superficie de la descripción de procesos de seguridad tipo 27001 y similares, en las que se DOCUMENTA el sistema que hay, con algunas recomendaciones, pero si mi sistema de seguridad consiste en cambiar de contraseña cada 6 meses...la ISO no me soluciona nada. Es típico encontrar un CISO "burocrático" y no técnico. Ambas cualidades son necesarias.
Para apoyar un poco técnicamente este argumento, desde Inseguros hemos visto muchos posts sobre OSSIM, una consola de seguridad. Un simple software como este puede ser el comienzo para que alguien en el departamento le dedique todos los días unas horas para supervisar el estado de la nación.
¿Quien decide quien tiene acceso a qué tipo de información, y de qué manera?.
La seguridad total no existe, un clásico del verano !!! Un pc sin conexión a Internet no puede ser atacado por Internet. Esto dista mucho de la realidad, en la que generalmente los procesos productivos de la empresa priman sobre las medidas de seguridad. Información puede ser acceso en el proxy de la empresa a TODO Internet al director de RRHH, porque es hermano del directivo X. Los propios administradores de sistemas tenemos acceso a mucha información, con tan solo los logs del sistema.
Por supuesto que los departamentos deben ver solo la porción de información que necesitan, pero esta tarea es sencilla de diseñar a priori, compleja de mantener durante el tiempo.
¿Qué datos son vitales o tienen mas valor para mi empresa, quien tiene acceso a ellos, de qué manera, y cuales son los peligros a los que se enfrenta?.
Al hilo de la reflexión anterior, sospecho que las medidas de seguridad para la receta de la Coca Cola no deben ser las mismas que para entrar a tu CPD, si no es el caso en el que el CPD y el ordenador de "Pepi" es el mismo. Identificación de activos es algo básico. Medición, sean con métricas formales o con una métrica inventada por nosotros:
Información= Me da igual que salga hasta en Facebook.
Advertencia= Ojo, esto puedo verlo mi novia.
Alarma= Mi novia ha visto la foto, y cuando llegue a casa la voy a tener.
Error= Mi novia me ha dejado por un comentario inapropiado sobre la guapa del momento.
No me importa el formalismo de la métrica, pero hay que realizar un inventario y cualificar la criticidad de los datos y servicios. Gerencia o compras o quien tenga el sello de los talones debe entender y apoyar que no es lo mismo que alguien lea el correo de un diseñador, o que obtenga la información de cuentas bancarias de clientes. Con matices, si tu empresa se dedica al diseño :-).
Evaluar los posibles peligros es el siguiente paso. Puede ser que en primeras instancias no implementemos todas las medidas necesarias, pero al menos estarán en el horizonte como objetivo, y una continua revisión de los fallos y ataques que van apareciendo nos harán mas conocedores del "mundo en el que nos conectamos".
Muchos amigos me comentan o incluso pintan las caras de sus jefes cuando les hablas de appliances de seguridad. A veces son los mismos amigos informáticos los que no quieren cambiar su firewall de toda la vida por otro mas moderno, porque les costaría horas ( retomamos por aquí la figura del CISO? ).
Recuerda que la seguridad puede ser una cebolla, que te hace llorar? no :-) que funciona por capas, y podemos ir solapando medidas. Empezando siempre por las menos costosas y más "ruido" hagan. Si haces un reporte todas las semanas con los ataques o amenazas que tus sistemas detectan ( aunque sea el fuck*** router de tu ISP, tambien tiene logs !!!! ) quizás gerencia vea con mejores ojos la compra del siguiente "cacharro".
¿Cuando fue el último análisis de seguridad efectuado, quien lo ha ejecutado, y donde esta la documentación?
Un escaneo de puertos hacia tu sede ya es un análisis de seguridad. Básico, rudimentario, pero ya puedes detectar algún pequeño fallo de seguridad o diseño.
Realizar un test de intrusión es una tarea compleja, MUY COMPLEJA, pero realizar o aproximarse a una auditoría de vulnerabilidades está al alcance de todos. Por ejemplo este post de Openvas reciente es bastante útil.
No sirve que asistas a un congreso como NAVAJA NEGRA y vuelvas el lunes con ganas de cambiar el security-space de tu empresa. Si sirve !!! pero poco a poco. Demuestra con informes periódicos, claros y concisos la necesidad de implementar medidas de seguridad concretas. Recuerda, empieza por las baratas !!!
¿Tiene tu empresa una política de concienciación de amenazas, gestión y operaciones diarias?
Esta parte, la humana, tannn importante en la seguridad no la venden las grandes consultoras, se hace desde dentro.
Todos saben que no deben abrir ficheros de correos. Todos saben que no deben abrir un fichero llamado despidos-2015.pdf .... Todos saben que no deben revisar sus correos personales en la oficina... Si es así, compruébalo !!! Por ejemplo en Inseguros vimos Simple Phishing Toolkit para realizar campañas de concienciación internas, en la que podíamos medir la efectividad de esa nota que pasamos a todo el mundo con las medidas de seguridad básicas en el uso de Internet en la empresa...
En la parte de operaciones diarias el empleado, el usuario debe conocer exactamente la manera de trabajar que la organización espera de el en materia de seguridad. Si el acceso hacia la empresa se hace por VPN ipsec no le dejes usar ese VNC de comodín que hay por ahí instalado que es muy cómodo para "conectarse un minuto" en vez de instalar el cliente L2TP. Al menos, que sepa cual es la manera correcta.
¿Quien es el responsable de velar por la información expuesta en las redes sociales y las fugas de información?
Un buen Community Manager se puede encargar un poco de esto. Igual que muchos CM gestionan las malas opiniones de productos y servicios en web, foros y demás, también podría ser instruido en revisar periódicamente Pastebin, ZoneH o Google !! en busca de datos de la empresa que gestiona. Al fin y al cabo, es reputación en la red.
Recuerdo una empresa en la que puse su ip en Google, algo muy básico en las auditorías, y tras pasar los whois y demás servicios encontré un foro en Ruso en el que ponía algo así como: Ip: Центр обработки данных с общественными системами Windows, и SQL Server.
Кажется, больница. y alguna cositas más... en abierto.
¿Tiene su empresa un plan de contingencia para la seguridad?
La contingencia siempre es necesaria. En alguna empresa en la que he prestado servicios como administrador de sistemas he intentado siempre tener un plan de contingencia. Aunque sea en papel !! No me refiero a que esté descrito en papel, sino que si un proceso crítico como pueda ser la recogida de datos de un cliente no está disponible por un fallo informático, pueda crearse una "ficha en papel" para que la información se vuelque al sistema una vez se restablezca. Esto es sencillo y si haces bien esta tarea, podrás irte de vacaciones más tiempo !!!
En el caso más técnico, por ejemplo en el caso de estar sufriendo un ataque DDOS. Tiene tu comercio ON-Line alguna medida? puedes bloquear en modo "botón de emergencia" la procedencia de las conexiones? el tipo?.
Si has sufrido un Defacement, tienes una copia de seguridad operativa, lista para parchear y poner en producción lo más rápido posible?
En el caso de una infección de Malware, tienes delimitada la red por segmentos y cuentas con alguna herramienta de análisis de tráfico para detectar los movimientos?
Hay muchas medidas de contingencia que se pueden implementar, como siempre, empezamos desde la más barata en adelante. La virtualización que hemos visto aquí nos sirve de ayuda a la hora de preparar un buen plan de contingencia.
Vital el punto de la detección, para poder actuar.
¿Tiene su empresa la capacidad de exponer una brecha de seguridad para poder pararla?
Este párrafo se podría extender muchísimo, desde la clásica aproximación de open source si o no, hasta la reputación de una empresa, pasando por actividades ilegales de empresas.
Imaginaros que una banda de cibercriminales roban la base de datos Access instalada en local en el pc del contable, la típica aplicación que no aparece en ningún sitio que esconde el dinero negro ( Si eres de fuera de España quizás esto no sea tan habitual :-) ). No creo que puedas acudir a las fuerzas de seguridad para que reclamar la persecución de estos criminales.
Imaginaros que comprometen la seguridad de las cuentas de tus clientes por una simple SQLi. Está tu organización preparada para comunicar el incidente a los usuarios pidiéndoles que cambien sus contraseñas, o vas dejar que se publique la información con el daño a tus clientes?
Si recientemente has invertido en seguridad, en una de esas empresas con más portafolio que valor, deberías hacerte estas preguntas para ver si esa empresa realmente te está dando "seguridad" o "falsa sensación de seguridad" con sus auditorías semestrales y sus manuales copy&paste.
Si vas a invertir en seguridad, ten muy en cuenta estas reflexiones a la hora de implementar tus medidas, o contratar el servicio externo.
Si eres un experto en seguridad seguro que todo esto te lo sabes, y que tendrás anécdotas para cada párrafo la mar de simpáticas. ¿Por qué no las cuentas?
Como siempre, espero que os guste y gracias por leerme !!!