fortine 2b21f42c-8d45-4e45-a4f0-fb62f115651b} fortinet ebook final esp aheadofthreats

8/20/2019 FORTINE 2b21f42c-8d45-4e45-A4f0-Fb62f115651b} Fortinet eBook FINAL ESP AheadOfThreats

1/63

24 expertos comparten sus secretos

Patrocinado por:

Asegurando su infraestructurade red y aplicaciones


2/63

ÍNDICE

Preacio.......................................................................................................................................................3

Inroducción............................................................................................................................................4

Consruyendo y ejecuando un plan para la seguridad de su red

Cubriendo lo básico.............................................................................................................................6

Foraleciendo la seguridad de la inormación: un proceso a largo plazo....8

La seguridad debe ser sencilla...................................................................................................10

Los mayores reos: velocidad y complejidad.................................................................12

Muchas soluciones, pocas respuesas.................................................................................14

Cinco punos clave para asegurar suinraesrucura de red y aplicaciones...................................................................................16

Creando un caso de negocios para una seguridad más sólida..........................18

No se olvide de lo más básico..................................................................................................20

Proegiendo el corazón de su red

Adminisrar la seguridad del vendedores algo críico para nuesro negocio....................................................................................23

Asegurar los daos viales es el mayor de los reos..................................................25

La desaparición del perímero es el mayorreo de seguridad...............................................................................................................................27

Más cerca del corazón....................................................................................................................29

La verdadera seguridad requiere enendimienoy una aproximación en niveles................................................................................................31

Maneniéndose adelane de los hackers

Ser proacivo........................................................................................................................................34

Lo que no me deja dormir...........................................................................................................36

Cazando a los cazadores..............................................................................................................38

Proegiendo conra APs y aaques con base en aplicaciones

Las aplicaciones represenan los mayoresriesgos acuales de seguridad....................................................................................................41

La deección arasada de amenazas y una respuesa lena: las mayoresamenazas................................................................................................................................................43

El acor humano y una culura de la seguridad

La seguridad es un problema écnico y humano .....................................................46

Aún los mejores firewalls pueden ser compromeidos.........................................48

Comunicación y culura................................................................................................................50

La inormación eeciva en seguridadrequiere una educación a ondo del usuario.................................................................53

Personas, ecnología y seguridad .........................................................................................55

Seguridad social..................................................................................................................................58

Sponsored by: 2


3/63

PREFACIO

Ciberseguridad avanzada, desdeadenro hacia auera

Fortinet es una compañía líder einnovadora, que ofrece una plataformaintegrada de soluciones de ciberseguridadcon alto desempeño que cubren desde elcentro de datos hasta la nube, brindandoservicio a pequeñas y medianas empresas,

así como a grandes corporativos de todo elmundo.

Fortalecida por el más alto nivel dela industria en cuanto a inteligenciaen tiempo real, y reconocida con unsinnúmero de certificaciones por partede terceros, Fortinet resuelve los retosmás importantes de la ciberseguridad demás de 210,000 organizaciones. Confíe

en Fortinet para que se haga cargo de suseguridad, para que usted se haga cargo desu negocio.

Conozca más en Fortinet.com

Sponsored by: 3

Como resulado de nuevas ecnologías y complejidad de las aplicaciones, los reos enla seguridad de las redes evolucionan cada vez más rápido. Además, varios emas deanaño coninúan invadiendo a las organizaciones, desde conraseñas de seguridad

muy simples por pare de los usuarios, hasa manener el sofware acualizado.Esa colección de 14 ensayos cubre un gran número de emas, agrupados en cincoáreas principales, que incluyen la necesidad de planear la seguridad de la red parahacer rene a los nuevos reos que rae consigo la ingeniería social y oras amenazasavanzadas persisenes. Un ema relevane a ravés de varios de los ensayos es lapérdida del perímero y la eecividad de las deensas radicionales. raer u propiodisposiivo (BYOD, por sus siglas en inglés) y los servicios en la nube abren diversasgrieas en la red de una organización, lo cual requiere repensar la seguridad para

proeger los daos, y no solo los méodos de acceso.La plaaorma de ciberseguridad de Forine puede enrenar a la mayoría de losproblemas mencionados en ese documeno. Nuesros firewalls ForiGae, ASIC-powered, orecen el rendimieno más rápido denro de los Firewalls de NuevaGeneración (NGFW) de la indusria y son los cimienos de una solución de seguridadend-o-end que sea capaz de cubrir a los usuarios, la red, cenros de daos y la nubede una organización. Para los problemas que no podemos resolver direcamene,orecemos herramienas, ales como aplicar el cumplimieno de las políicas del

negocio en cuano a modificaciones de conraseñas y escaneo de vulnerabilidadespara las aplicaciones, con el fin de hacer rene a las debilidades.

Esperamos que esos ensayos le parezcan ineresanes y que lo hagan reflexionar alcomo a nosoros, para que le ayuden a mejorar su red y las deensas de seguridad desus aplicaciones.


4/63

INTRODUCCIÓNDebido a toda la atención que ha recibido la seguridad de los datos en años recientesy todos los avances técnicos en la detección de riesgos que hoy están disponibles paraproteger las infraestructuras de red, usted se podrá imaginar que los datos están másseguros que antes. Desafortunadamente no es así, ya que el escalofriante número degrietas recientes contradice la idea anterior. Durante los últimos 18 meses hemos visto

brechas en Adobe, eBay, JPMorgan Chase, Target, Home Depot, Community Health Services,y el Gobierno de los Estados Unidos que, en conjunto, comprometieron más de 500millones de registros. ¿Podrá el mundo ser algún día un lugar seguro para esos datos queson vitales para los negocios y las personas?

Con el generoso apoyo de Fortinet, hemos creado este libro electrónico para ayudarloa entender de mejor manera los retos de seguridad a los cuales se enfrentan hoy losnegocios, en particular las empresas medianas. Este e-book es una recopilación derespuestas a la siguiente pregunta:

Diversos analisas de la indusria, consulores y experos en seguridad han orecido respuesasa esa preguna. Nos han brindado inormación ascinane sobre los reos de la ciberseguridada los cuales nos enrenamos hoy, ales como los emas de seguridad más desafianes debidoal carácer cambiane de la inraesrucura y la pérdida del perímero de la red, denro de unenorno de aplicaciones en evolución, ala de conciencia sobre seguridad en cuano a losusuarios y una complejidad que aumena cada día con respeco a las soluciones de seguridad.Los aaques y el robo de daos ambién se han converido en un gran negocio, que se lleva acabo por pare de enidades sofisicadas, muy bien parocinadas.

La seguridad y la vigilancia conorman una lucha sin final, pero conío en que used enconraráúiles las diversas perspecivas orecidas por aquellos que se encuenran en el rene de baalla,mienras used rabaja para asegurar sus propias inraesrucuras.

¿Cuáles son los retos más importantes a los cuales seenfrenta para dar seguridad a su infraestructura dered y aplicaciones?

Sponsored by: 4

Les deseo lo mejor,

David Rogelberg

Editor© 2015 Mighty Guides, Inc. I 62 Nassau Drive I Great Neck, NY 11021 I 516-360-2622 I www.mightyguides.com

Esas guías orecen un panorama

muy compleo sobre cada emay además son auoriaivas. Loayudarán a explorar, comparary conrasar una gran variedadde punos de visa para quepueda deerminar lo que lepuede uncionar mejor. Leer unaMighy Guide es como si uvierasu propio equipo de experos.

Cada corazonada y sincerarecomendación en esa guía seencuenra juno al nombre delcolaborador, su biograía y ligasde inerés para que used puedaaprender más acerca de su rabajo.Esa inormación de respaldo leorece un conexo adecuado sobrela perspeciva de cada experoindependiene.

Los consejos de los mejoresexperos le ayudarán a omarmejores decisiones. Decisionessólidas que lo harán muy eecivo.


5/63


6/63

Construyendo y Ejecutando un Plan parala Seguridad de su Red

6

En esta sección...

Shawn E. uma

Schee & Sone, LLP.....................6

Eric VanderburgCybersecuriy Invesigaor.......8

Russell RohseinI Cenral Saion...............................10

Nigel ForlageGHY Inernaional..............................12

Parick Peerson

Agari...........................................................14

Dan wingEMA...........................................................16

David HarleyESE...........................................................18

Ryan DewhursDewhurs Securiy..........................20

Sponsored by:


7/63

CUBRIENDO LO BÁSICO

A principios de ese año, un grupo de resauranes de mi ciudad naaluvo una uga en la inormación de las arjeas de pago. Comorespuesa, los miembros del grupo comeieron un pecado capial:

cayeron en pánico.Anes de que la empresa pudiera complear una invesigacióninerna, alguien publicó sobre el problema en su página deFacebook, aparenemene, raando de dar un giro posiivo alas relaciones públicas. Mala Idea. De prono, la empresa se violidiando con el problema en las redes sociales anes de poder reunirla inormación necesaria para dar a conocer la versión oficial. Comoera de esperarse, la comunidad se rebeló. Fue un error ano deplaneación como de relaciones públicas.

Como abogado, mi papel es servir como guía en caso de inrusiones a la red. Con ese fin, rabajo con undiverso grupo de personas leyendo ese libro elecrónico.

Debe enender a ondo oda la inormación que su empresa enga a la mano: ese es siempre mi primerconsejo a los líderes de las empresas. No puede proeger lo que ni siquiera sabe que exise, así que, paraesar seguro, caalogue y clasifique odos los daos de su empresa de acuerdo con crierios definidos.

Lo siguiene es soliciar a mis clienes que evalúen odos los vecores de amenazas y los punos deacceso exernos. Eso es un ema imporane: no odo es a ravés de sus empleados. Si erceras personas

ienen acceso a su red corporaiva, eso puede represenar una imporane debilidad para su seguridad(recordemos la brecha masiva perperada conra arge Corp. en 2013, como resulado de hackers quelograron enrar a ravés de un proveedor de sisemas de rerigeración que enía acceso a la red de arge).Used debe imponer resricciones esricas a sus socios exernos para el acceso a su red corporaiva.siquiera sabe que exise”.

SHAWNE. UMA

Shawn uma es un abogado queasesora a empresarios para resolverproblemas en emas vanguardisascomo la ciberseguridad, privacidadde daos y raudes cibernéicos. Seespecializa en propiedad inelecualy liigación. Shawn es auor y oradorrecuene sobre esos emas. Es

socio en Schee&Sone, LLP, unafirma legal, con base en exas,que orece servicios comerciales yrepresena a compañías de odoslos amaños en Esados Unidos y, alreso del mundo a ravés de la dered de Mackrell Inernaional.

Socio,Schee & Sone, LLP

7

Entienda a fondo toda la información que suempresa tiene a la mano. No puede proteger lo

que ni siquiera sabe que existe.

CAALOGUE A FONDO ODA SU

INFORMACIÓN, REVISE EL ACCESOQUE ENGAN ERCEROS A SU

RED E IN SALE HERRAMIENASAUOMAIZADAS DE SEGURIDAD.

UN PLAN CONRA AMENAZAS EINRUSIONES SE HA CONVERIDO

EN ALGO ESENCIAL EN CUANO AMAERIA LEGAL.

LECCIONES CLAVE

1

2

witer I Websie I Blog

b

Sponsored by:


8/63

CUBRIENDO LO BÁSICO

Hoy en día, la

mayoría de las

empresas han

sufrido intrusiones

o han sido blancode ellas”.

8Sponsored by:

ercero, haga un invenario de sus inversiones en seguridad, enocándose en sisemasauomaizados. La empresa debe conar con un firewall eecivo, un reconocido sofwareanivirus y sisemas ano para la deección como la prevención de inrusiones. Esas ecnologías

pueden bloquear auomáicamene la mayoría de las amenazas conocidas. Cuando un sisemadeeca una inrusión, dispara aleras para que la empresa pueda omar acciones deensivasapropiadas. Las herramienas de seguridad auomaizadas no solo ayudan a manener a loshackers a raya, sino ambién ayudan a moniorear el flujo de inormación denro y uera delambiene corporaivo. Para ser más precisos, ayudan a su empresa en el manenimieno yrasreo de su inormación.

Finalmene, diseñe un plan de respuesa ane inrusiones. Debe especificar a quién alerará el

sisema. La lisa debe incluir a:

• Consejero Legal• Invesigadores orenses digiales; y• Un equipo adminisraivo para ugas inernas de daos. Ese equipo debe esar conormado

por el Jee de Inormación, el Jee de Seguridad de la Inormación, Relaciones Públicas, el CEOy, de ser posible, el CFO.

ener un plan de respuesa conra inrusiones a la mano, no solo es una buena prácica inerna,

ambién se ha converido en algo esencial en maeria legal. Hoy en día, la mayoría de lasempresas han surido inrusiones o han sido blanco de ellas.

Los especialisas en regulaciones lo enienden. Lo que no enienden (y cieramene no lesgusará) es cuando los aacanes lleguen a penerar su compañía sin ener un plan para proegerla inormación de sus clienes y que puedan responder de orma eeciva a dicha violación. Esaalla, juno con lo aquí descrio, podría significar un verdadero problema para su compañía.

Si hay una moraleja en esa hisoria, es la siguiene: cubra lo básico


9/63

FORTALECIENDO LA SEGURIDAD DE LA INFORMACIÓN: UN PROCESO A LARGO PLAZO

Asegurar la inraesrucura de su red y aplicaciones es unproceso a largo plazo. Cuando elija los disposiivos correcospara la seguridad de redes y soluciones de seguridad para

aplicaciones, su empresa debe enender primero suspropias necesidades, incluyendo la confidencialidad, nivelde sensibilidad de los daos que maneja, dónde se localizaacualmene la inormación y dónde esará en un uuro,cómo se accede a los daos y qué an accesible debe ser lainormación. A parir de ello, su empresa debe generar unalisa de requerimienos y especificaciones de alo nivel para lasolución.

Lo siguiene es calcular los cosos asociados con la revelaciónde daos sensibles o la pérdida del acceso a inormaciónimporane, y crear un presupueso para la solución que, deorma razonable, disminuya los riesgos. Esos dos elemenospermien omar decisiones inormadas y ayudan en la implemenación apropiada de la solución. Aparir de los requerimienos y acores de coso, used puede generar medidas exiosas.

ener los disposiivos de seguridad de red apropiados y soluciones para las aplicaciones deseguridad es muy imporane, pero claro, no son una solución complea. Los conroles de

seguridad de redes deberían reorzar, auomáicamene, los elemenos écnicos de las políicas deseguridad, ales como conraseñas complejas, auenicación, auorización, sisemas de monioreo yaleras, deección de paquees, lisas de conrol de acceso y mucho más. Además, las personas que

ERICVANDERBURG

Eric Vanderburg ha sido llamado elSheriff del Inerne por su diligenerabajo al proeger empresas y alpúblico de las ciberamenazas. Orececonsuloría y escribe inormaciónsobre manejo y almacenaje de redes,ciberseguridad y adminisración

de riesgos. Sus ar ículos han sidopublicados por imporanes revisas yraducidos a varios idiomas. Eric realizaapariciones consanes en conerenciasy habla sobre una gran variedadde emas de seguridad en diversosprogramas de radio y elevisión.

Ejecuivo en Seguridad, Auor,Invesigador en Ciberseguridady esigo Expero

9

Cuando elija los dispositivos correctos para la seguridad de

redes y soluciones de seguridad para aplicaciones, su empresa

debe entender primero sus propias necesidades

FORALECER LA SEGURIDADDE SU INFORMACIÓN ES UNPROCESO A LARGO PLAZO Y DEBEINCLUIR A LOS DEPARAMENOSDE OPERACIONES, RECURSOSHUMANOS, FINANZAS Y ORASUNIDADES DEL NEGOCIO, ADEMÁSDEL DEPARAMENO DE I.

ES IMPORANE IDENIFICARLA SOLUCIÓN ECNOLÓGICAADECUADA PARA SUSNECESIDADES DE SEGURIDAD,PERO EL ELEMENO HUMANO ESIGUAL DE IMPORANE.

LECCIONES CLAVE

1

2


b

Sponsored by:


10/63

usan el sisema deben ser enrenadas para desempeñar sus unciones en orma compeene.Used debe diseñar, reorzar y audiar apropiadamene los procedimienos y políicas que

definen las acciones que deben llevarse a cabo.Cuando odas las pares esán en su lugar, logran una solución inegrada segura en vez de unasolución secundaria para la empresa.

Aquí hay oro ejemplo de lo que puede salir mal cuando se descuida el aspeco humanode la seguridad de la inormación como pare del proceso de planeación. rabajé para unacompañía que era subconraada para dar servicios de operaciones a sus socios. Una docoraesaba ranscribiendo sus noas acerca de un paciene y el servicio de ranscripción queella uilizaba era subconraado en dos niveles: el primero, a la empresa que manejaba las

ranscripciones y el segundo, ora vez a la empresa que manejaba el almacenamieno de daospara esas ranscripciones. Alguien en esa empresa de almacenamieno de daos, guardó lainormación en la ubicación incorreca y de prono, la inormación privada del paciene esuvodisponible en Google. ¿enía esa empresa odo bajo conrol, lo cual pudo haber eviadocompromeer la inormación privada del paciene?

Implemenar medidas sólidas de seguridad requiere iempo y esuerzo. Si su empresa noesá a la alura y used necesia esarlo, debe ir paso a paso. No puede hacer odo en un finde semana o en un mes. Descirar cómo planear ese acercamieno a largo plazo, de orma

eeciva, es esencial.

FORTALECIENDO LA SEGURIDAD DE LA INFORMACIÓN: UN PROCESO A LARGO PLAZO

¿Tenía esta

empresa todo

bajo control,

lo cual pudo

haber evitadocomprometer

la información

privada del

paciente?

10Sponsored by:


11/63

LA SEGURIDAD DEBE SER SENCILLA

En mi siio, veo con recuencia a los compradores buscandosoluciones para eliminar sus desaíos de seguridad. Algunos delos reos más grandes que enrenan cuando esán asegurando

su inraesrucura de red y de aplicaciones son: visibilidad,acilidad de uso, esabilidad y confiabilidad.

El primero y principal es la visibilidad del ráfico, que es un emaimporane al que los compradores deben dirigir sus esuerzosy ambién el mayor reo que los usuarios enrenan. Si no ves loque esá pasando, enonces la más pequeña de las amenazaspuede converirse en un problema mayúsculo. Por ejemplo, lasugas de daos que recienemene han esado en las noiciassobre la Oficina de Adminisración de Personal de los Esados

Unidos y la Universidad de Harvard, que son dos insiucionesmuy reconocidas. Esas brechas de inormación ueron poencialesproblemas de visibilidad de ráfico.

Una preguna común que veo es, ¿cómo se obiene una clara visibilidad del ráfico en el ambiene,en la red y en las aplicaciones? La gene quiere visibilidad oal porque les permie pasar deaerrorizados por proeger ese ambiene a ener un conrol oal. Un buen firewall puede manenersu inormación privada segura mienras sea ácil de usar y no sea muy complicado. La I CenralSaion, recienemene anunció las 10 empresas de firewalls principales, basados en inormación demás de 85,000 visas desde el 2014 hasa el primer rimesre del 2015: Forine ForiGae resuló el

líder.La acilidad de uso y las caracerísicas para generar repores ambién son reos reales. Conrecuencia escucho a los usuarios decir que desearían que las ineraces de usuario (UI) ueran másáciles de enender. La gene menciona que con ForiGae, por ejemplo, añadir a la ineraz (UI) unasolución para problemas y oras caracerísicas de prueba de la red, podría ser algo muy úil.

RUSSELLROHSEIN

Russell Rohsein es el undador yCEO de I Cenral Saion, siio líderen revisión de producos crowd-sourced para InoSec y oras empresasde sofware. Anes de undar ICenral Saion, Russell rabajó por20 años en compañías de ecnologíacomo OPNE, Nolio (adquirida

por CA) y Oracle. Russell cuenacon una licenciaura en cienciascompuacionales por pare de laUniversidad de Harvard, una maesríaen ecnología y Políicas por el MI yora maesría en Adminisración porpare de la Escuela de AdminisraciónMI Sloan.

CEO y Fundador,I Cenral Saion

11

Si no ves lo que está pasando, entonces la máspequeña de las amenazas se puede convertir en

un problema mayúsculo

OBENER UNA VISIBILIDADCLARA DEL RÁFICO DE LA REDES UN ELEMENO ESENCIAL PARAPROEGER A LA ORGANIZACIÓN.

NO ODAS LAS C ARACERÍSICASQUE OFRECEN LOS PRODUCOSDE SEGURIDAD SON NECESARIAS.NO SE DEJE ARAPAR PORLOS BOMBOS Y PLAILLOS. ENVEZ DE ESO, ENFÓQUESE ENLAS CARACERÍSICAS QUE

REALMENE NECESIA.

LECCIONES CLAVE

1

2


b

Sponsored by:


12/63

La gene ambién me dice que no pueden leer los archivos de configuración sin herramienas deerceros. Hacer los repores no es algo sencillo, y a algunos les cuesa mucho rabajo manejar ydeerminar qué esá pasando con su sisema. Aunque no es algo simple, hacer repores deberíaser una area sencilla, clara e inuiiva. Cuando eso no sucede, los problemas ocurren. Es comouna alarma en casa: diícil de colocar y no se uiliza consanemene. Pero si es ácil de encender,enonces la aciva cuando sale de su casa y sabe que su hogar esá proegido.

ampoco se raa solo del sofware. Muchas personas no esán seguras de cuáles son las mejorescaracerísicas de los producos que necesia su compañía, y la endencia de los vendedores deañadir hardware a los disposiivos puede converir esa decisión en algo muy complicado. Puedeser diícil deerminar si el agrupamieno, enlaces agregados, sensibilidad del puero o si odo loanerior es necesario para su siuación específica. Los proesionales no siempre ienen iempo paraconverirse en experos en cada produco que compran; en vez de eso, con recuencia conían enlas recomendaciones de conocidos o en reseñas para deerminar qué caracerísicas necesian.El sofware y el hardware son los componenes básicos de las soluciones de seguridad, peroser capaz de navegar por las caracerísicas que necesia ambién es algo necesario. ener unasola ineraz adminisraiva es exremadamene imporane, ya que la mayoría de las empresasienen un enjambre de disinos producos de seguridad. Eso significa más paneles de conrol,más ineraces y más repores que hacen que oda esa inormación llegue en dierenes iempos,volviendo a la red más diícil de manejar y conrolar. Así que ener un “panel de crisal”, o sea unasola ineraz adminisraiva o UI gráfica que conece odos los elemenos y que sea ácil de usar, esde vial imporancia.

La esabilidad es oro reo, aunque un poco menor a los aneriores. Enconrar la esabilidadadecuada en un sisema de seguridad de la inormación que escale, que ser confiable, que no seinhabilie y que uncione en un enorno con marcas múliples o heerogéneo, es diícil. odo ello es imporane, especialmene en esaépoca acual de raer su propio disposiivo (BYOD), donde muchos daos son accedidos a ravés de los disposiivos móviles. Es viarque cualquier medida de seguridad que se implemene sopore odas esas plaaormas y “solo uncione.

Aorunadamene, used no esá solo al enrenar esos reos. Los siios de reseñas sobre equipos crowd-sourced, como I CenralSaion, crean una imporane comunidad de usuarios que ya han realizados las invesigaciones y han consruido las mejores prácicaspara used no necesie reinvenar la rueda. Siios como el nuesro lo ayudarán a manenerse inormado, para que pueda omar lasmejores decisiones sobre las soluciones de seguridad adecuadas para su organización.

LA SEGURIDAD DEBE SER SENCILLA

12

Tener un “panel

de cristal”, o sea

una sola interfaz

administrativa

o UI gráfica que

conecte todos los

elementos y que

sea fácil de usar, es

de vital importancia

Sponsored by:


13/63

LOS MAYORES RETOS: VELOCIDAD Y COMPLEJIDAD

Cuando conocí por primera vez a los miembros de nuesroconsejo de direcores, una de sus pregunas ue sobre dela seguridad de la inormación. En mi papel como Jee de

Inormación, he pasado mucho iempo pensando en cómoasegurar la inormación de la compañía de la mejor manera.Desde mi perspeciva, los dos grandes reos en seguridad queenrenamos son:

• La velocidad, recuencia y variación de los aaques y quéan rápido cambian; y

• La complejidad de la inraesrucura de la red, la cual

consise en múliples canales y recursos que incluyensisemas inernos, servicios exernos y redes públicas

La gene piensa con recuencia que la inormación sensible dela empresa, como inormación financiera, secreos comerciales,o inormación personal, debe ener la proección más sólida. Claro, esa inormación es muyimporane, pero ambién oros valiosos acivos de inormación deben ser proegidos. Por ejemplo,pare de mi unción involucra el alcance de las redes sociales, y una preguna que debemosresponder es cómo proeger nuesro conenido en línea, incluyendo acivos como videos eimágenes. En nuesra culura de “comparir”, es casi imposible prevenir que oros omen y uilicenese ipo de acivos. Es diícil deener a un compeidor de usar dichos acivos, pero used siempredebe esar seguro que la aribución señale a su organización. La complejidad de los recursos de redinroduce una adminisración complicada y pregunas de conrol.

Cuando publicamos conenido en la red, queremos que nuesros socios de negocio lo comparan,

NIGELFORLAGE

Nigel Forlage es un líder muliacéicoque supervisa odos los aspecos de losmedios sociales, paricipando en equiposde desarrollo ejecuivo y de negocios. Nigeles ejecuivo senior a cargo de las I. Cuenacon un cerificado en adminisraciónaplicada por pare de la Universidad deManioba y recibió el presigioso premio

sobre innovación oorgado por IBM. Elambién compare su pasión, conocimienoy opiniones a ravés de ar ículos, enrevisasy ponencias públicas ano en Canadácomo en odo el mundo. Nigel es miembroundador de la Asociación CIO de Canadáy presidene del capíulo de Manioba. En2014 y 2015, el Huffingon Pos lo nombróenre los 100 CIO’s más acivos en witer.

Vicepresidene, I,GHY Inernaional

13

La complejidad de los recursos de red introduce una

administración complicada y preguntas de control

LOS DOS REOS MÁS GRANDES ENSEGURIDAD QUE ENFRENAMOSSON LA VELOCIDAD, LA VARIACIÓNDE LOS NUEVOS AAQUES YLA COMPLEJIDAD DE NUESRAINFRAESRUCURA.

CUANDO PUBLICAMOSCONENIDOS EN LAS RED,QUEREMOS QUE NUESROSSOCIOS DE NEGOCIOSLO COMPARAN, PERODEBEMOS PENSAR SOBRE LAS

IMPLICACIONES EN CUANO A LASEGURIDAD.

LECCIONES CLAVE

1

2


b

Sponsored by:


14/63

pero debemos pensar sobre las implicaciones de la seguridad. Por ejemplo, si le pido aMaría que mencione en Facebook un nuevo video que sus conacos deben ver, ¿le esoy

permiiendo que enre a Facebook y haga lo que ella quiera ahí?No es solo Facebook, son los juegos en Facebook, los mensajes en Facebook y odas lascosas a las que ella pueda ener acceso. Si le permio enrar a Facebook, ¿irá solo a la páginacorporaiva o le permio enrar a su perfil personal ambién? Eso se conviere en unacuesión de la inraesrucura de la aplicación. Cuando se habla de aplicaciones, no se raade poder usar o no una aplicación, sino ambién de las uncionalidades inernas de dichaaplicación. ¿Qué unciones se deben permiir y cuáles no?

En cuano al ema de velocidad y la consane avalancha de aaques innovadores, es

imporane reconocer que no odos los riesgos son iguales. Used se debe enocarprimero en los problemas de alo riesgo y en la manera en que no generen un problemade producividad. Recienemene añadimos un firewall de úlima generación a nuesraaplicación de solución de seguridad. Esa solución ve los parones y conducas para enendermejor las amenazas y realiza evaluaciones de las aplicaciones en iempo real.

Abordar los reos de velocidad y complejidad inicia con una evaluación inegral de laseguridad que se ve a ravés de la inraesrucura, examina dónde se localiza la inormacióny quién la compare. Además, considera los requerimienos de cumplimieno y evalúa la

olerancia a los riesgos.Las políicas de seguridad deben ser granulares y aplicables a ravés de odas las aplicaciones.Manéngase al ano de la consane evolución de amenazas a la seguridad que requierenproección de servicios de seguridad en iempo real. La preguna más imporane en losnegocios es siempre la del dinero. Por lo ano, un negocio debe definir su olerancia al riesgoy alinear su esraegia de seguridad con respeco a dicha olerancia.

LOS MAYORES RETOS: VELOCIDAD Y COMPLEJIDAD

14

Un negocio

debe definir

su tolerancia al

riesgo y alinear

su estrategia deseguridad con

respecto a dicha

tolerancia

Sponsored by:


15/63

MUCHAS SOLUCIONES, POCAS RESPUESTAS

Used raa de asegurar su empresa, sin embargo, la pueradel rene esá oalmene abiera. No parece saber cómocerrarla, solo usa el cerrojo. Las empresas han caído en un

círculo errible en el que parece que odas, o han sido vícimasde alguna violación, o se han viso compromeidas de algunamanera. Los proesionales en I esán muy ocupados raandode averiguar cuános criminales esán “denro de la casa”y aquello que ue susraído, a lo que no pueden enocar sumáximo esuerzo para raar de deener ese círculo vicioso. Loque es muy necesario para las empresas es esablecer y acuarcon esándares abieros para comparir inormación y rusraresos aaques.

Ocho de cada 10 cibercriminales han hackeado exiosamenelas bases de daos de las empresas usando el e-mail comovecor de aaque. Esa es la puera que los proesionales enI no han sido capaces de cerrar y es ambién la razón porla cual se inviere mucho dinero y esuerzo para deecar ypoder responder a las inrusiones. Con ano esuerzo enocado en solo la deección, se disrae laaención en vez de resolver el problema undamenal.

Una acusación, ano de la indusria como de los pracicanes es que las prioridades a coroplazo ienden a conrolarnos. Los criminales han evolucionado en su sofisicación y ahora nos

enconramos en una guerra asimérica, en la que ellos pueden usar una gran canidad de écnicas.Esos criminales pueden ener éxio en solo uno de 10 inenos o en uno de 1,000, pero es losuficiene para rasornar un negocio. Para asegurar que su éxio sea limiado, las empresas hanrespondido desplegando soluciones. El reo, claro, es que las soluciones no engan un legadoque sea inmanejable, lo cual obsruiría a las organizaciones. La clave para enrenar ese ema es

PARICKPEERSON

Parick Peerson es un lídervisionario de Agari y pionero en elaseguramieno del ecosisema dele-mail. Él se unió a IronPor Sysemsen el 2000 y definió sus disposiivosde seguridad para el e-mail. Parickinvenó el SenderBase de IronPor,el primer servicio para la repuación

en la indusria. En 2008, después deque Cisco adquirió IronPor, Parickse convirió en uno de los 13 CiscoFellows. En 2009, dio un giro a lasecnologías de seguridad del e-mailque había desarrollado en IronPor/Cisco, denro de su nueva compañía:Agari.

CEO y Fundador,Agari

15

Usted trata de asegurar su empresa, sin embargo,

la puerta del frente está totalmente abierta

LAS ORGANIZACIONES PIERDENMUCHO IEMPO RESPONDIENDOA LAS AMENEZAS Y VIOLACIONESINMEDIAAS, QUE NO IENENIEMPO PARA RESOLVER ELPROBLEMA DE FONDO.

LAS SOLUCIONES DE SEGURIDADHOLÍSICAS REQUIERENESÁNDARES DE LA INDUSRIA

Y PROVEEDORES DE SEGURIDADQUE ENIENDAN QUE SUS

PRODUCOS SON SOLO UNA PAREDE UNA MAYOR ESRAEGIA DESEGURIDAD.

LECCIONES CLAVE

1

2


b

Sponsored by:


16/63

seleccionar soluciones que cuenen con una sólida ineraz de programación de aplicaciones(API), y enrenar al personal de seguridad para que omen decisiones con base en lasnecesidades de la empresa, en lugar de su propio nivel de comodidad al adminisrar lasolución acual.

Hoy en día, las empresas ienen múliples soluciones de seguridad, que abarcan el e-mail, lared, manejo de vulnerabilidades de las aplicaciones y aplicaciones para escaneo de la red. Porejemplo, hablaba con el Jee de Seguridad de Inormación de un banco mediano que enía55 proveedores de soluciones de seguridad y an solo 45 empleados. Él necesiaba que odosen la empresa ueran gurús, en al menos una solución, y solo unos cuanos proporcionaransopore 24x7 para dos soluciones. Cada solución podía realizar una labor adecuada, peronadie puede realmene conraar, reener o adminisrar el personal para esar al corriene conla gran canidad de soluciones que van en aumeno.

La innovación por pare de los cibercriminales y de las empresas que ellos aacan ha dadopaso a esa muliacéica solución de seguridad. Para enender cómo han accedido loscriminales, used podría requerir hacer un análisis de malware en la PC, ir al sisema deineligencia de amenazas por inormación sobre el malware, luego a oro sisema de regisrosy evenos del servidor compromeido y después revisar su e-mail y sisemas web. Y odo esoes anes de que haya ido al sisema de respaldo final que podría haber sido aecado.

La gene pasa horas o incluso días raando de unir inormación heerogénea sobre un evenoen sus sisemas. Por supueso, anes de siquiera erminar ese ejercicio, no se sabe claramene

cómo los cibercriminales se infilraron en sus sisemas y que inormación pudieron haberrobado.

La indusria por fin se ha dado cuena del inercambio de inormación y la ineficiencia quesurge por la ausencia de dicho inercambio. Esamos comenzando a ver esándares másabieros y proveedores que se dan cuena de que juegan un papel imporane denro dela esraegia general, que es más grande que la suma de odas sus pares. La gene debesubir a bordo con esándares abieros para el inercambio de inormación y soluciones de laindusria para cerrar esa puera que esá abiera. Necesian rusrar las ugas de daos anesde que cuesen cienos, miles o millones de dólares en invesigaciones orenses digiales y

gasos adicionales en análisis

MUCHAS SOLUCIONES, POCAS RESPUESTAS

16

Una acusación,

tanto de la

industria

como de los

practicanteses que las

prioridades

a corto plazo

tienden a

controlarnos.

Sponsored by:


17/63

CINCO PUNTOS CLAVE PARA ASEGURAR SU INFRAESTRUCTURA DE RED Y APLICACIONES

Aquí preseno cinco punos clave para asegurar unainraesrucura de red y aplicaciones. El primero iene que vercon el personal y sus habilidades. Hay escasez en las desrezas

requeridas para ese ipo de rabajo. Aunque los recursos eséndisponibles, con recuencia las empresas no pueden desplegarel personal que se necesia para hacer el rabajo de maneraadecuada.

Los presupuesos para la seguridad se han incremenadoenre 10% y 14% en los úlimos dos años, pero un 68% de lasorganizaciones odavía no encuenran el personal para cubrirsus necesidades. Esa inormación proviene de invesigaciones

recienes que mi empresa realizó en lo que llamamos daa-driven securiy.

El Segundo puno esá relacionado con las aplicaciones heredadas. odos quieren moverse másrápido, cambiar a ecnología en conenedores para aplicaciones y uilizar DevOps para enregasconinuas. odo ese cambio y odas esas nuevas aplicaciones acaparan odos los recursos, loque significa que no hay suficiene iempo para que la seguridad se enoque en las aplicacionesheredadas, porque las nuevas uncionalidades son prioriarias. Como en la deensa personal, sedebe ener conciencia de la siuación, viendo no solo hacia adelane, sino ambién a los lados

y hacia arás. En I, se necesia ver hacia arás para observar las aplicaciones heredadas y susvulnerabilidades pariculares de seguridad, mienras ambién ve hacia adelane, observando laecnología del uuro mienras se desarrollan nuevas amenazas.

El ercer puno involucra la creación de una inraesrucura de acceso unificado para odos los

DANWING

Dan wing es el responsable deldesarrollo y ejecución de esraegiasde invesigación de mercados,oreciendo valor a las empresas de Ia ravés de consuloría y dirigiendo eldesarrollo de producos y esuerzosde mercadoecnia. Lidera un equipode analisas que cubren emas de

adminisración de I como sisemas,end poins, almacenamieno,seguridad, redes y adminisración deservicios, así como ineligencia denegocios y analíica. Dan se unió aEMA en 2005 y cuena con más de 30años de experiencia en sisemas deinormación, desarrollo de sofware yousourcing de ecnología.

Presidene y COO,EMA

17

Hay escasez en las destrezas requeridas para este

tipo de trabajo

SI SU AMBIENE REQUERE UNCAMBIO RÁPIDO, SU PROCESODE SEGURIDAD DEBE ENER LOSRECURSOS APROPIADOS PARAIGUALAR EL RIMO DE ESECAMBIO.

UNA ANALÍICA ADECUADA ESESENCIAL PARA PREDECIR YADMINISRAR LOS INCIDENESDE SEGURIDAD, SIN IMPORARSI SU EQUIPO DE PERSONAL DE

SEGURIDAD ESÁ COMPLEO.

LECCIONES CLAVE

1

2


b

Sponsored by:


18/63

ambienes. Cuando odo era conducido con una sola idenidad, como el Direcorio Acivoo LDAP (Proocolo Simplificado de Acceso a Direcorios), era posible cenralizar el manejo

del enorno. Hoy día, sin embargo, used iene personal disperso geográficamene, y ademáscolaboradores rabajando desde casa.

Las cosas se han vuelo más seccionadas y disribuidas a ravés de la inraesrucura de lanube ano pública como híbrida, por lo que se ha vuelo más diícil ener un puno de accesounificado.

El cuaro puno se relaciona con la necesidad de analíica de seguridad, incluyendo analíicaconducual, deección de anomalías y analíica prediciva. Ver los archivos de regisro,enconrar parones y ser capaz de predecir o ver un aaque mienras se esá ormando, es

clave para resolver muchos problemas de seguridad. Es muy imporane ser capaz de ver unaaque cuando se esá consruyendo, emiir una alera y reaccionar anes de que se salga deconrol mienras se navega por la ormena y descira la raíz del problema. Aunque cuenecon buenas herramienas que compensen la ala de personal, no se pueden manejar losincidenes de seguridad sin la analíica apropiada.

El quino y úlimo puno es manener un conrol de cambio apropiado ano para lainraesrucura como para las aplicaciones. No es solo un ema de operaciones, sino ambiénde seguridad. Cuando realiza un cambio de cualquier ipo, podría esar abriendo una griea

en la seguridad e inroduciendo nuevas vulnerabilidades. ener un buen proceso de manejode cambio y buenas herramienas es imporane para manener la red y las aplicaciones bajollave, asegurándose de que odo esé perecamene configurado y eniendo conrol sobreel ambiene. Si raa de cambiar a DevOps o a un ambiene de suminisros coninuos en elque va a incremenar la asa de cambio, es mejor que enga un buen proceso de manejo decambio para conrolar el rimo acelerado.

Si sigue esos cinco punos, puede crear un ambiene más seguro para la red de suorganización. Hacerlo requiere inversión a largo plazo, ano de recursos humanos como

financieros, pero el esuerzo vale la pena.

CINCO PUNTOS CLAVE PARA ASEGURAR SU INFRAESTRUCTURA DE RED Y APLICACIONES

18

Cuando realiza

un cambio de

cualquier tipo,

podría estar

abriendo unagrieta en la

seguridad e

introduciendo

nuevas

vulnerabilidades

Sponsored by:


19/63

CREANDO UN CASO DE NEGOCIOS PARA UNA SEGURIDAD MÁS SÓLIDA

Al rabajar como consulor exerno proporcionado serviciosde seguridad a la indusria, he observado muchas compañíasque pueden manejar su propia seguridad perecamene bien,

y eso me ha dado la oporunidad de enocarme en emasespecializados. Anes de hacer ese cambio, rabajé para unapequeña organización de invesigación médica y despuéspara una enorme y burocráica agencia de salud pública.En érminos de proección de la red e inraesrucura, esasorganizaciones enrenaron reos muy dierenes.

Sin imporar el ipo de organización, es imporane reconocerque nadie gasa dinero en seguridad solo porque “odossabemos que es algo imporane”. Después de odo, lo que es

obvio no siempre es verdad. Para la mayoría de las empresas,la seguridad es un cenro de cosos en vez de un cenro deingresos, y su valor es con recuencia demasiado inangiblepara ser reconocido, por basarse en evenos que al vez nuncasucederán. Así que uno de los grandes reos para asegurar lainraesrucura de una empresa es persuadir y crear conciencia en los gerenes para que gasen loadecuado con el fin de lograr el nivel de seguridad apropiado para la organización.

La consrucción de una inraesrucura adecuada de seguridad para las necesidades de unaorganización no solo varía con los riesgos que la empresa enrena, sino ambién con los recursos

disponibles para ello.

DAVIDHARLEY

El invesigador de seguridad DavidHarley es un auor y edior queradica en el Reino Unido, conocidopor sus libros e invesigaciones sobremalware, seguridad para Mac, ypruebas de producos ani malware yseguridad para e-mail. Después de 11años de colaborar con la Fundación

Imperial para la Invesigación delCáncer en el área de seguridad,rabajó para el Cenro de Evaluaciónde Amenazas del Servicio Nacionalde Salud. Desde el 2006 ha sidoconsulor para la empresa deseguridad ESE donde es sociosenior de invesigaciones.

Socio Senior, Invesigaciones,ESE

19

Para la mayoría de las empresas, la seguridad es un centro

de costos en vez de un centro de ingresos, y su valor es

con frecuencia demasiado intangible para ser reconocido,

por basarse en eventos que tal vez nunca sucederán

UNO DE LOS GRANDES REOSEN SEGURIDAD PARA LAINFRAESRUCURA DE LASEMPRESAS ES PERSUADIR ALOS GERENES PARA GASARLO ADECUADO CON EL FINDE DESARROLLAR EL NIVELDE SEGURIDAD QUE LAORGANIZACIÓN NECESIA.

ES MÁS PROBABLE ALCANZAREL ÉXIO CON UNA PLANEACIÓN

BASADA EN UNA MEICULOSAEVALUACIÓN DE RIESGOS,FUNCIONES CLARAS YRESPONSABILIDADES, ASÍ COMOMEAS REALISAS.

LECCIONES CLAVE

1

2


b

Sponsored by:


20/63

No odas las organizaciones cuenan con los recursos o las ganas para implemenar unainiciaiva complea de seguridad, con base en esándares como la adminisración de proyecosPRINCE o ISO 27001, pero hay organizaciones más pequeñas que pueden aprender de eseipo de aproximaciones. No debe basar su esraegia seguridad en un rango limiado de oerasprescrias. Idenifique los conroles que necesia, y después invesigue las implemenacionesque mejor se adapen a su enorno. No coníe en las panaceas. Por ejemplo, el sofwareespecializado puede ser mejor para hacer rene ane amenazas avanzadas persisenes (APs)en vez de una solución conra malware en el endpoin, aunque esa úlima puede deenerdiversas amenazas de bajo nivel que no ienen un objeivo en específico, las cuales por logeneral no son deecadas por las soluciones específicas AP. Es bueno conar con una navajasuiza, pero, a veces se necesia una caja de herramienas complea.

Un gran número de aconecimienos pueden consruir un caso de negocios para desarrollaruna seguridad con mayor oraleza. A veces, el deonane es una brecha de inormación dealo perfil que se origina por conroles inadecuados de seguridad. A mediados de los años 90,anes del surgimieno del sisema operaivo OS X, cuando el malware de odo ipo era muchomás común, el presupueso para adquirir un anivirus para Mac esuvo disponible de maneramágica donde rabajaba, después de que limpié varios macro virus del equipo poráil de mi jee. Sin embargo, ser el ‘Casandra’de la compañía no es siempre la esraegia más segura. A veces esar en lo correco, sin ser persuasivo es una oensa que se puedecasigar. Permíame presenarle el primer principio de la adminisración de seguridad del proesor Eugene Spafford: “Si used ieneresponsabilidad en cuano a la seguridad, pero no iene auoridad para imponer reglas o casigar a quienes la inringen, su propio rolen la organización será culpable cuando algo grande salga mal”.

Idealmene, una organización reconocería la necesidad de consruir una inraesrucura más segura anes de que una gran uga deinormación suceda, y no después. Las consecuencias pueden variar desde ser sujeo a una acción legal en conra y mulas por nocumplir con los requerimienos para eviar la exposición de daos críicos, y eso puede generar el cierre compleo de una operación.

Los conocimienos que se requieren para ensamblar y presenar un caso de negocios para lograr una mayor seguridad soncomúnmene dierenes a aquellos necesarios para una implemenación prácica y la adminisración de la inraesrucura deseguridad. Una gran iniciaiva de seguridad por lo general es mejor implemenada como un esuerzo en equipo. Incluso unproyeco relaivamene pequeño, como la ransición de un paquee de seguridad en los equipos de escriorio, puede ener exensasimplicaciones si se cuena con la experiencia de solo una persona del área de ecnología. El éxio será mayor con una planeaciónbasada en una evaluación de riesgos meiculosa, unciones y responsabilidades claras, y objeivos realisas.

CREANDO UN CASO DE NEGOCIOS PARA UNA SEGURIDAD MÁS SÓLIDA

20

Es bueno contar

con una navaja

suiza, pero, a veces

se necesita una caja

de herramientas

completa.

Sponsored by:


21/63

NO SE OLVIDE DE LO MÁS BÁSICO

Hace poco, al llevar a cabo algunas pruebas para un cliene, meimpresionó el nivel de parches de sofware y acualizacionesque había desplegado. La organización era muy segura. No

pude enconrar alguna vulnerabilidad exploable que mepermiiera poner un pie denro de la red de esa compañía.Pero, más arde me opé con una ineraz de acceso web.Mienras preparaba un aaque vía conraseñas de diccionarioconra el servicio, probé con la combinación de acceso usuario-conraseña más insegura que conozco: admin:password. Y derepene, ¡esaba auenicado! Eso ue durane la preparación,ni siquiera había lanzado el aaque, odavía.

Ese servicio almacenaba odas las propuesas y recibos del cliene, oda su inormación deacuración, así como los nombres y conraseñas de los usuarios del sisema. Súbiamene uveacceso a un gran esoro conormado por inormación corporaiva sensible.

Problemas básicos como el anerior, son los mayores riesgos a los que mis clienes se enrenan. Aconinuación, les preseno res reglas esenciales que siempre les recuerdo:

• Uilizar conraseñas seguras. Debe exhorar a los usuarios de su organización para que seleccionenconraseñas complejas que incluyan números, mayúsculas y caraceres especiales. Hay queolvidarse de conraseñas como password o password1, variaciones del nombre de la organización

y no más nombres de mascoas. Además, se debe considerar uilizar conraseñas largas, conocidascomo pass-phrases. Used puede moivar a sus usuarios a uilizar adminisradores de conraseñas,aunque esas herramienas ambién pueden ener sus propios problemas.

RYANDEWHURS

Ryan Dewhurs es un apasionadoproesional de la seguridadque iene más de seis años deexperiencia en la indusria. Obuvolos mayores honores en seguridadcibernéica y ha recibido diversosreconocimienos por pare de laindusria, ales como el Rising Sar

de SC Magazine Europe. Ryan esel undador de proyecos muypopulares relacionados con laseguridad, como DVWA y WPScan.

Socio Senior, Invesigación,Dewhurs Securiy

21

Debe exhortar a los usuarios de su organización para queseleccionen contraseñas complejas que incluyan números,mayúsculas y caracteres especiales. Hay que olvidarse de

contraseñas como password o password1

LOS MAYORES REOS A LASEGURIDAD Y POENCIALMENELOS MÁS DEVASADORES, SON LOS

MÁS BÁSICOS.

LA INFRAESRUCURA DELSOFWARE ES CREADA PORHUMANOS. POR LO ANO,

SIEMPRE SERÁ VULNERABLE.

LECCIONES CLAVE

1

2


b

Sponsored by:


22/63

• Manener el sofware acualizado. Por lo general llevo a cabo pruebas de peneración queodavía revelan la presencia de la iname vulnerabilidad MS08-067, la cual permie a un

aacane ejecuar un código arbirario en los servidores. Esa vulnerabilidad ue descubieraen 2008, y asegurarla solo requiere un sencillo parche. Ese ipo de vulnerabilidadesdeberían ser más diíciles de idenificar años después de que los parches esuvierondisponibles, pero en algunos casos, dichos parches no ueron aplicados, posiblemenedebido a que los adminisradores no supieron de su disponibilidad o de la exisencia dela vulnerabilidad. A veces los adminisradores no quieren ejecuar acualizaciones parael sofware por el emor de que algo ‘se pueda dañar’. Cualquiera que sea la razón, esresponsabilidad de cada organización adminisrar su propio riesgo y decidir cuándo vale lapena inverir en recursos. Manener el sofware acualizado es la manera más eeciva para

reducir los riesgos, sin ener que inverir en muchos recursos.• Probar el sofware. Sin imporar si la organización escribe sus aplicaciones de manera

inerna o las compra a erceros, debe acepar su responsabilidad para asegurarse que elsofware esé escrio de manera segura. Con respeco al sofware propio, el direcor deecnologías de la inormación debe imponer ese requerimieno inerno al implemenar unciclo de vida para el desarrollo de la seguridad, pero ambién es posible probar sofwarede erceros. Se debe soliciar al proveedor la documenación sobre pruebas de seguridadprevias o conraar a un consulor para que lleve a cabo esas pruebas.

Ningún sisema, por complejo que sea, será 100% seguro. El sofware esá escrio porhumanos, los humanos comeen errores, y los errores se manifiesan como bugs. Aún conrecursos sin límie, Facebook y Google no son inmunes a vulnerabilidades del sofware.Lo mejor que podemos hacer es asegurar los sisemas y llevarlos a un nivel que seaadminisrable.

Si odo lo básico es correco, used ya esará un paso adelane.

NO SE OLVIDE DE LO MÁS BÁSICO

22

Este tipo devulnerabilidadesdeberían sermás difíciles de

identificar añosdespués deque los parchesestuvierondisponibles,

pero en algunoscasos, dichosparches nofueron aplicados.

Sponsored by:


23/63

Protegiendo el Corazón de Su Red

23

En esta sección…

Alex Papadopulos

Sriaa Inc...........................................23

John MaddisonForine, Inc......................................25

Rober ShullichAmrus FinancialServices................................................27

Dave Waerson

SenryBay............................................29

Linda CureonNASA......................................................31

Sponsored by:


24/63

ADMINISTRAR LA SEGURIDAD DEL VENDEDOR ES ALGO CRÍTICO PARA NUESTRO NEGOCIO

Al proveer de servicios de acuración elecrónica a los clienes,así como en el envío y recepción de e-mails asociados conacuración y los pagos, lidiamos con inormación personal de

nuesros clienes.Garanizar la seguridad de esa inormación es un aspecoesencial de nuesros negocios. Nuesras dos preocupacionesmás grandes son el conrol de los proveedores de hosing,cuyos servicios uilizamos y el manejo inadverido o brechasaccidenales por pare de nuesro personal.

Hasa dónde llegue la adminisración del proveedor es unaspeco imporane, ya que no podemos conrolar ísicamenenuesros propios servidores de daos y aplicaciones. En vezde eso, confiamos en proveedores de hosing exernos paranuesro hardware e inraesrucura de red. odo negocio esun blanco poencial. Enre más daos procese, más grande será el objeivo. No manejamos pagosacuales, por lo que no enemos inormación de arjeas de crédio o inormación que permiauna ranserencia de ondos, pero siempre exise la posibilidad de que alguien pueda usar esainormación en un esquema rauduleno de acuración, por lo que debemos esar aenos. Al finaldel día, la responsabilidad en caso de pérdidas que aecen a nuesros clienes, es nuesra.

Para adminisrar las expecaivas y omenar la confianza mediane nuesra habilidad deorecer promesas de seguridad, realizamos una evaluación complea de nuesros proveedores,

ALEXPAPADOPULOS

Alex Papadopulos es el direcorde operaciones de Sriaa Américay encabeza acualmene odaslas operaciones écnicas paraNore, Cenro y Sudamérica. Esresponsable de odas las áreas deoperaciones écnicas y proyecos,incluyendo adminisración de

proyecos, sopore, desarrollo eimplemenación de proyecos. Alexiene más de 12 años de experienciaen el campo de las I, enocándoseprimero en la presenación deacuración elecrónica, acuración yen la adminisración de la cadena desuminisro.

Direcor de Operaciones,Sriaa Inc.

24

Nuestras dos preocupaciones más grandes sonel control de los proveedores de hosting, cuyosservicios utilizamos y el manejo inadvertido o brechasaccidentales por parte de nuestro personal.

BUSQUE PROVEEDORES QUE SEANOALMENE ABIEROS CON

USED ACERCA DE ODO Y QUE

SEAN FLEXIBLES AL ABORDAR

MEDIDAS Y ACCIONES QUE

NECESIEN SER IMPLEMENADAS.

UNA GRAN PREOCUPACIÓN ES

CUANDO LA GENE, DE MANERA

INADVERIDA O ACCIDENAL,

REALIZA ACCIONES QUE SUMAN

RIESGOS A LA OPERACIÓN.

LECCIONES CLAVE

1

2


b

Sponsored by:


25/63

deerminando si siguen las mejores prácicas, la manera de asegurar la inormación y cómoaseguran sus insalaciones.

Hemos deallado políicas de seguridad que especifican odo, desde cómo manejar nuesrossisemas inernos hasa los requerimienos de seguridad y expecaivas de nuesrosproveedores. Consruimos esas expecaivas en nuesro acuerdo de nivel de servicio, yvisiamos las insalaciones de los cenros de daos de los proveedores para ver, por nosorosmismos, que an bien proegidas esán. Con recuencia llevamos a nuesros clienes a esasvisias para demosrarles que los daos que nos esán confiando esán seguros. Buscamosproveedores que usen un enoque similar al nuesro. Definimos qué queremos y necesiamosde un proveedor y luego realizamos revisiones anuales de los conroles y políicas.

Ora gran preocupación es la gene, que inadveridamene realiza acciones que ponenen riesgo las operaciones. Le damos seguimieno a cada acción y enonces las “banderasrojas” nos aleran si algún empleado o cliene realizó algo sin enender sus consecuenciaspoenciales, como abrir un e-mail con phishing o proporcionar una credencial que pueda seruilizada como enrada no auorizada a un sisema o proceso.

La proección conra dichas siuaciones accidenales requiere una enseñanza coninua. Porejemplo, enviamos un e-mail also con phishing. No casigamos a quien lo abra, pero la acciónse conviere en una oporunidad para poder educar sobre los riegos y la manera adecuada de

hacer rene a comunicaciones sospechosas. El enrenamieno consane y la educación sonacividades increíblemene imporanes.

Para asegurarnos en conra del error humano, políicas bien definidas deben esar disponibles,las cuales deben acualizarse consanemene. Los empleados nuevos deben ser enrenadosen cuano a políicas de seguridad anes de darles acceso a cualquier sisema. Los empleadosdeben omar cursos de acualización si las políicas cambian y enrenarlos nuevamene almenos una vez al año. Finalmene, siempre hay que hacer pruebas a los empleados, como unaorma para idenificar debilidades, oralecer el enrenamieno y mejorar las políicas.

ADMINISTRAR LA SEGURIDAD DEL VENDEDOR ES ALGO CRÍTICO PARA NUESTRO NEGOCIO

25

Hemos detallado

políticas de

seguridad que

especifican

todo, desdecómo manejar

nuestros sistemas

internos hasta los

requerimientos

de seguridad

y expectativas

de nuestros

proveedores.

Sponsored by:


26/63

ASEGURAR LOS DATOS VITALES ES EL MAYOR DE LOS RETOS

La vulnerabilidad más grande de muchos negocios,especialmene para las empresas medianas, es lainormación vial para las operaciones diarias. En una

ocasión rabajamos con un aller de maquinaria que uilizabaequipos conrolados por compuadora para crear las pares.Periódicamene, el aller se conecaba al Inerne paraacualizar sus máquinas, y en algún momeno, la empresase opó con un malware que permaneció laene en susisema. Después de un iempo, cuando el aller se conecóde nuevo al Inerne, el malware recibió la insrucción einmediaamene encripó oda la inormación que necesiabael aller para operar su cososa maquinaria. Poco después, la

empresa recibió una “noa de rescae” vía e-mail, pidiendo$50,000.00 dólares a cambio de decodificar la inormación.La empresa no enía mucho de donde escoger. Una semanacon la maquinaria deenida podría llevarlos a la quiebra, asíque pagaron. La inormación ue liberada y los equipos uncionaron de nuevo.

Hoy en día, la mayoría de los negocios dependen de la inormación, ya sea propiedadinelecual exclusiva o simplemene daos que les permien operar. Perder esa inormaciónpodría, lieralmene, sacarlos del negocio. Así que, ¿cómo proeger ese acivo an valioso? Useddebe proeger la red, lo cual ambién incluye a la gene que la uiliza y odos los disposiivos

conecados a ella. Eso se ha converido en una area cada vez más complicada.

Conorme los negocios consruyen su inraesrucura, se van exendiendo más allá desus sisemas cenrales hacia cenros de daos, servicios en la nube, disposiivos móviles o

JOHNMADDISON

John Maddison iene más de20 años de experiencia en lasindusrias de las elecomunicaciones,inraesrucura de I y seguridad.Anes rabajó como GereneGeneral de la división de Cenrosde Daos y como VicepresideneSenior de Core echnology en rend

Micro. Previamene ue DirecorSenior de Adminisración deProducos en Lucen echnologies.Ha vivido y rabajado en Europa,Asia y los Esados Unidos. Johnse graduó como Ingenieroen elecomunicaciones de laUniversidad de Plymouh, en elReino Unido.

Vicepresidene deMercadoecnia,Forine, Inc.

26

Hoy en día, la mayoría de los negocios dependen de lainformación, ya sea propiedad intelectual exclusiva osimplemente datos que les permiten operar.

EL PROBLEMA REAL PARA LASEMPRESAS PEQUEÑAS Y GRANDESPOR IGUAL, ES NO ENER LOSRECURSOS QUE NECESIAN PARAIMPLEMENAR LA SEGURIDADQUE DEBERÍAN ENER PARALOGRAR EL NIVEL DE PROECCIÓNQUE REQUIEREN.

USED DEBE PROEGER LA RED,LO CUAL AMBIÉN INCLUYE A LAGENE QUE LA UILIZA Y LOS

DISPOSIIVOS QUE SE CONECANA ELLA.

LECCIONES CLAVE

1

2

Websie I Blog

b

Sponsored by:


27/63

conecividad adminisrada al Inerne, asegurándose de que su red cenral proporcionaodos los servicios que necesian los usuarios. El desempeño es un acor clave.

Los usuarios esperan un alo rendimieno de sus inraesrucuras de red dispersas. Con odoeso sucediendo, las roneras del Inerne se vuelven más grandes y más permeables, locual hace odo más vulnerable.

Una aproximación para las empresas es pensar que su inraesrucura esá consiuidapor una red inerna y una red exerna. Pueden aplicar sus propias soluciones de seguridada su red inerna, pero asegurar la red exerna involucra la aplicación de políicas yprocedimienos y confiar en los acuerdos de nivel de servicio de sus proveedores. Pero haylímies a los que se pueden llegar, lo cual significa que un ciero nivel de riesgo siempre

esará asociado con las redes exernas. Ello reduce los niveles de confianza en disinaspares de la red.

Una esraegia que vemos es que las empresas aseguran su red inerna desde adenro.Lo hacen segmenando el núcleo de su red, dividiéndolo con base en los usuarios,aplicaciones, ráfico u oros crierios. Enonces, pueden aplicar niveles de confianza paracada segmeno. Las empresas pueden implemenar dierenes niveles de proección enrelos dierenes segmenos, con base en el nivel de confianza de cada uno. odo lo que pasede un segmeno a oro debe fluir por las proecciones de seguridad con respeco al nivel deconfianza. Si durane el rayeco una amenaza aaca un segmeno, las probabilidades de que

se propague por oda la red inerna son mucho menores.

El problema real, para las empresas pequeñas y grandes por igual, es no ener los recursosque necesian para implemenar la seguridad que deberían ener para conseguir el nivelde proección que requieren. Con recuencia, no se dan cuena de ello hasa que hansurido una inrusión. Enconrar el balance pereco enre el coso, los niveles de seguridady la proección de daos no es ácil. Los negocios necesian un socio confiable que engapersonal calificado y cerificado. Las empresas deben consruir una relación personal conese socio de confianza

ASEGURAR LOS DATOS VITALES ES EL MAYOR DE LOS RETOS

27

Una estrategia

que vemos es

que las empresas

aseguran su red

interna desdeadentro.

Sponsored by:


28/63

LA DESAPARICIÓN DEL PERÍMETRO ES EL MAYOR RETO DE SEGURIDAD

Acualmene, los sisemas de cómpuo de las empresas esánconormados por una mezcla de sisemas propios, serviciosbasados en la nube, una colección de disposiivos móviles

que los empleados usan para acceder a inormación desdecualquier pare, e incluso servicios basados en la nube a nivelconsumidor, ales como aquellos para comparir archivos, quela misma empresa podría no saber si son uilizados por susempleados. En esos ambienes es diícil ener una idea precisasobre la ubicación de los acivos y saber quién los esá usando,o quién esá auorizado para uilizarlos. Muchas empresas noienen un invenario de sus acivos, incluyendo empleados,sofware, hardware y cenros de daos. La realidad es queused no puede proeger lo que no sabe que iene.

Esa ala de conocimieno sobre la siuación en su oalidades el resulado de la desaparición del concepo del perímero.Hemos perorado agujeros en ese perímero, los cuales permien a empleados acceder a las redesinernas en disinos escenarios, como al rabajar desde casa, al proporcionar a los agenes devenas servicios más eecivos, o para que los clienes acuales accedan mienras viajan, además desubconraar a erceros para ejecuar operaciones de nuesra red. La inormación a la que accedenodos ellos con sus smarphones y ableas debería esar proegida, pero en ese enorno, conrecuencia es diícil saber dónde se encuenran los daos.

Considere, por ejemplo, a cualquier proveedor exerno de servicios en la nube que orece unsofware como una aplicación de servicios para su negocio, que depende de la inormación críicade su empresa. Como pare de los acuerdos de nivel de servicio, used puede soliciar que elproveedor exerno garanice cieros niveles de riesgo y proección conra amenazas.

ROBERSHULLICH

Rober Shullich es un arquieco deseguridad empresarial en AmrusFinancial Services. Por más de 30años ha rabajado a nivel senior enel secor de servicios financieros, enpuesos de inormación de riesgos yseguridad de la inormación. En su

pueso acual, asesora sobre riesgosde inormación a proyecos de Iy propone conroles adicionales ocambios en el diseño que reducenriesgos en los proyecos. ambiénha enseñado el manejo de riesgoscibernéicos a nivel maesría.

Arquieco de SeguridadEmpresarial,

Amrus Financial Services

28

En estos ambientes es difícil tener una idea precisasobre la ubicación de los activos y saber quién los estáusando, o quién está autorizado para utilizarlos

MUCHAS ORGANIZACIONES NOIENEN INVENARIOS DE SUS

ACIVOS. LA REALIDAD ES QUE

USED NO PUEDE PROEGER LO

QUE NO SABE QUE IENE.

LA FALA DE CONOCIMIENO

SOBRE LA SIUACIÓN EN SU

OALIDAD ES EL RESULADO DE

LA DESAPARICIÓN DEL CONCEPO

DEL PERÍMERO

LECCIONES CLAVE

1

2

witer I Websie

Sponsored by:


29/63

Sin embargo, es probable que el proveedor dependa de oro proveedor de servicios en lanube que proporcione el almacenamieno de la inormación. Así que, ¿dónde esá realmenesu inormación y cómo evalúa los riesgos para sus daos si es diícil saber exacamene la

ubicación ísica?

Ora área problemáica para algunas empresas es el uso de servicios de bajo coso, por parede los empleados para comparir archivos sin el conocimieno del personal de seguridad. Eseno es un ípico caso mal inencionado: es un simple caso de empleados raando de hacersu rabajo de la manera más eficiene. Sin embargo, exponen daos que son propiedad de laempresa ane grandes riesgos, y si esa prácica no es conocida por pare de quienes manejanla seguridad corporaiva, represena un riesgo del que no pueden deenderse, porque no lopueden ver.

Para enrenar esos reos de seguridad, las organizaciones necesian iniciar haciendo uninvenario preciso de sus acivos. Ya sean comprados, renados o adquiridos como servicio,deben poder rasrearse a ravés de odo su ciclo de vida. Un ciclo de vida compleo empiezacon la adquisición o creación, los procesos de manenimieno y ermina con su desrucción.Los acivos incluyen el hardware, sofware, daos e incluso al personal. Los acivos debenclasificarse para que la organización sepa qué son y cuána proección necesia cada uno.Las empresas deben inegrar odos los procesos de su negocio con la adquisición de acivospara que los gasos y las compras puedan ser rasreados. Las lagunas en el seguimieno delos gasos permien a los empleados comprar servicios en la nube con una arjea de crédioy consruir una aplicación que evie los procedimienos del I. Pero, sobre odo, las empresas

necesian políicas y procesos claros y por escrio para el manejo de acivos y un programaeecivo de comunicación y enrenamieno (conciencia de seguridad) para reorzar laadopción de esas políicas.

La realidad aquí es que la mayoría de las empresas no esán en el negocio de pelear conralos hackers. Esán en el negocio de hacer negocios. ienen un deparameno de seguridad opersonal que hace ese rabajo lo mejor posible para enrenar los riesgos para que la empresapueda minimizarlos y que sus operaciones generen ingresos. Pero ambién exisen losladrones proesionales de inormación, quienes operan 24x7 para enconrar cómo robar esainormación. El personal de seguridad necesia hacer bien su rabajo cada hora del día, pero los

ladrones de daos necesian hacerlo bien solo una vez.

LA DESAPARICIÓN DEL PERÍMETRO ES EL MAYOR RETO DE SEGURIDAD

29

El personal

de seguridad

necesita hacer

bien su trabajo

cada hora deldía, pero los

ladrones de

datos necesitan

hacerlo bien solo

una vez.

Sponsored by:

Á Ó


30/63

MÁS CERCA DEL CORAZÓN

Las organizaciones solían enocar la seguridad en losperímeros de la red de la empresa. Consruían paredesviruales (firewalls y zonas desmiliarizadas) en la perieria para

eviar que las personas pudieran enrar. Desaorunadamene,la red ue violada de odos modos.

Enonces, la indusria cambió su enoque hacia los endpoins(equipos PC y disposiivos móviles). Las aplicaciones anivirusse volvieron nuesros escudos preeridos. risemene, ahorasabemos que el sofware anivirus se expande de una maneramenos eeciva, diariamene.

Mi puno de visa es que necesiamos mover las deensas más

cerca del núcleo de la empresa, hacia el nivel granular de lainormación, donde grandes reos nos esperan:

• Inormación personal. La Inormación personalmene idenificable (PII) es un gran problemade las empresas. Los hackeos a Sony Picures Enerainmen y a las iendas arge demosraronlo grande que es. Muchas organizaciones almacenan la PII de millones de personas denro delnúcleo de sus I.

• La Nube. Aquí realmene hay dos reos. El primero es que la nube, écnicamene exiende lared de la empresa, más allá del conrol direco de la misma. El segundo es el volumen oalde la inormación. La nube orece un gran almacenaje y volumen de procesamieno que las

empresas jamás han enido. Los problemas de seguridad surgen de ambos.• El Inerne de las Cosas (lo). El lo odavía no es un gran acor, pero cada compañía lo esá

examinando. En ábricas y iendas deallisas, sensores que producen daos se adjunarán a casi

DAVEWAERSON

Dave Waerson, Fundador y CEO deSenryBay Limied, es un ecnólogode seguridad de la inormación y uninvenor de ecnología paenadaen las áreas de ani-phishing yani-key logging. Con base enLondres, Dave ha guiado compañías,desde el inicio, para converirse en

líderes reconocidos en el secordel desarrollo de sofware para laseguridad de la inormación, consoluciones de seguridad para PC,móviles, la nube y el Inerne delas Cosas. Dave iene una maesríaen Economía y es un ProesionalRegisrado en Sisemas de Seguridadde la Inormación (CISSP).

CEO,SenryBay

30

Recientemente escribí un blog en el que la puerta de un

garaje ficticio, habilitada para el Internet de las Cosas (IoT),

se convirtió en parte de una botnet utilizada para atacar

EL ENFOQUE DE LA RED DESEGURIDAD DE LAS EMPRESASNECESIA MOVERSE MÁS CERCADEL NÚCLEO DE LA EMPRESA:CERCA DE LA INFORMACIÓN.

MÁS ALLÁ DE LAS SOLUCIONESÉCNICAS, LOS PROCEDIMIENOS

Y LOS EQUIPOS DE RESPUESARÁPIDA NECESIAN ESARDISPONIBLES.

LECCIONES CLAVE

1

2


b

Sponsored by:

Á Ó


31/63

odo. El lo conrolará los ajuses de energía de la oficina y la adminisración de la sala de junas. Las superficies para los aaques se muliplicarán exponencialmene. Recienemeneescribí un blog en el que la puera de un garaje ficicio, habiliada para el Inerne de lasCosas (Io), se convirió en pare de una bone uilizada para aacar. Eso puede darles unaidea de la escala de ese inminene peligro.

Así qué, ¿cómo enrenamos a esos desaíos?

Primero, debemos manener proegido el perímero. Firewalls para aplicaciones Web,deección de inrusiones, servicios prevenivos, honeypos y odo lo demás sigue siendocrucial. Ellos son los ceninelas en la puera que pueden llamar por radio a las oficinascenrales cuando algo no esá bien.

Lo siguiene es saber qué inormación se iene. Sorpresivamene, un gran número de empresasno lo saben. Después de ello, rasrear el flujo de la inormación a ravés de la organización.¿De dónde y cómo enra la inormación? ¿Dónde esán los daos descirados? ¿Cuáles son losvecores de aaque en cada ase del flujo de la inormación?

Finalmene, hay que evaluar cuidadosamene qué ipo de inormación necesia ser asegurada.Algunos daos, rancamene, necesian poca seguridad, ya que no son an sensibles. Saber enqué lugar esá la inormación, le permiirá dirigir su inversión en seguridad hacia los lugarescorrecos, y eso le raerá la mayor recompensa.

¿Le suena como si nos dirigiéramos hacia una solución Big Daa? Esá en lo correco. Las

ecnologías para el Big Daa (Apache Hadoop, compuación en memoria (IMC), Scala, Spark,ec.) orecen las mediciones, aprendizaje auomáico y adverencias empranas que muesransi exisen violaciones a la seguridad y dónde podrían esar. De enrada, asegurar la inormaciónes muy imporane. Más allá de las soluciones écnicas, necesia esablecer procedimienosy ensamblar un equipo de respuesa rápida, bien enrenado y preparado que reaccione deinmediao.

Pienso que las empresas hoy en día ya se han dado cuena de que no es una cuesión de siserán vícimas de una inrusión, sino de cuándo serán aacadas. El secreo de asegurar la redde la empresa es enocarse en el nivel de la inormación.

MÁS CERCA DEL CORAZÓN

31

Pienso que las

empresas hoy

en día ya se han

dado cuenta de

que no es unacuestión de si

serán víctimas

de una intrusión,

sino de cuándo

serán atacadas.

Sponsored by:

Ó


32/63

LA VERDADERA SEGURIDAD REQUIERE ENTENDIMIENTO Y UNA APROXIMACIÓN EN NIVELES

Proeger la inormación y enender los riesgos que enrenason dos de las más grandes debilidades. Nos enocamosen proeger el perímero e inverimos muchos recursos

en hacerlo que, probablemene, descuidamos la mismainormación, especialmene cuando vemos amenazas inernasy amenazas persisenes avanzadas. Proeger el perímerono necesariamene orece la proección requerida. Creo quenuesra esraegia debe enocarse en proeger los daos.

No queremos decir que no debería proeger la red, pero nocreo que nuesras deensas esén a la par de los riesgos. Unamanera de proegerse conra las amenazas inernas es una

auenicación de doble acor (2FA), la cual usa lo que usedconoce y lo que iene. El problema de la adopción prevenivadel 2FA pueden ser los cosos asociados y el hecho de que las aplicaciones heredadas no sonsiempre compaibles con esos méodos.

Ora orma es un acercamieno a la inormación proegida, básicamene con la posura de“no confiar en nadie”. La confianza es verificada: si eres quien dices ser, pruébalo. Cuando eseacercamieno se aplica y los usuarios han sido verificados, pueden ir a donde quieran y acceder acualquier cosa denro de la red.

Oro ejemplo de cómo las amenazas inernas pueden compromeer la seguridad de unaorganización es la violación que le ocurrió a la Oficina de Inormación Pública hace algunos años.Una persona que no esaba auorizada para acceder a cieros documenos, no solo lo hizo, sinoque se las arregló para sacarlos de las insalaciones. En ese ejemplo, confiamos mucho en lasconraseñas para asegurar las cosas. Con recuencia pensamos que la solución es cambiar por

LINDACUREON

Linda Cureon es CEO de Muse echnologies y ex CIO de NASA. iene más de 34 años de experienciaen la adminisración de I y anivel de gabinee ederal de losEsados Unidos. Linda iene unalicenciaura en maemáicas porpare de la Universidad de Harvard

y una maesría y pos-maesría enmaemáicas avanzadas aplicadaspor pare de la Universidad JohnsHopkins. Ella es una esraegainnovadora, líder, inagoablebloguera y pionera del uso de lasredes sociales a nivel ederal. Lindaha recibido muchos premios y esuna auora de libros más vendidos.

Ex CIO,NASA

32

No creo que nuestras defensas estén a la par de

los riesgos.

HAY QUE ENENDER A LASAMENAZAS ESPECÍFICAS DE SUORGANIZACIÓN, Y NO OLVIDE

BUSCAR LAS AMENAZAS QUEPUEDEN VENIR DESDE ADENRO.

DISEÑE SU PROGRAMA DESEGURIDAD CON BASE EN LAS

NECESIDADES ESPECÍFICAS DESU ORGANIZACIÓN, EN VEZ DEBUSCAR UNA SOLUCIÓN DE “UNA

SOLA ALLA PARA ODO”.

LECCIONES CLAVE

1

2


b

Sponsored by:

Ó


33/63

una más complicada, pero ese problema es mucho más grande que un simple ema depasswords. Las organizaciones necesian enender que esas amenazas van a un nivel muchomás proundo.

Enender los acores de las amenazas y riesgos ayuda a guiarlo hacia mejores aproximacionesde deensa. Una buena orma de enender esos riesgos es que las organizaciones piensenen ellos desde el principio. Inverimos mucho iempo y recursos” verificando la casilla” junoal análisis de riesgos, pero realmene no indagamos para descirar cuáles son las verdaderasamenazas. Necesiamos hacer una buena evaluación a la anigua sobre cuáles son nuesrosriesgos, los cales varían de empresa a empresa.

ambién inverimos mucho iempo y recursos enendiendo el cumplimieno de normas y

haciéndolo para poder encaminarnos a enconrar la proección adecuada. Nos presionamospara cumplir con la gran lisa de cosas que pueden o no aplicar a la siuación de nuesraorganización. Sería mejor si inviriéramos ese iempo evaluando los riesgos. Si enendemosnuesros riesgos, podemos priorizar los elemenos en esa gran lisa, seleccionar los máscríicos y enconrar la solución correca para miigarlos.

Como siempre, enemos la endencia de buscar una solución única que resuelva odo, peroese escenario simplemene no aplica. Hay una gran canidad de soluciones en el mercado.Son anas que se ha converido en un problema. ¿Cómo elegir la correca? Algunos piensan

que lo único que se debe ener es un firewall, pero no solo el firewall, ambién proecciónconra inrusiones, un buen mecanismo de auenicación, buena opología de red, y la lisasigue… para que cuando se presene una uga, sea capaz de recuperase mejor.

No hay una bala mágica que deenga cada riesgo de seguridad. La verdadera seguridadrequiere una deensa en capas, con varias soluciones en conjuno para obener el ipode proección adecuada que cumpla con las necesidades de su organización. Ningunaherramiena por sí sola manendrá a salvo su red y su inormación.

LA VERDADERA SEGURIDAD REQUIERE ENTENDIMIENTO Y UNA APROXIMACIÓN EN NIVELES

33

La verdadera

seguridad

requiere una

defensa en

capas, con variassoluciones en

conjunto para

obtener el tipo

de protección

adecuada quecumpla con las

necesidades de

su organización

Sponsored by:


34/63


35/63

Manteniéndose adelante de los hackers

35

En esta sección…

om Eson

Veracode...........................................34

Seven WeiskircherTinkGeek, Inc...............................36

Will Leevers

Consan Conac........................38

Sponsored by:

SER PROACTIVO


36/63

SER PROACTIVO

Una vez ormé pare del equipo de evaluación de un acoramoso. Él había insalado muchos disposiivos de seguridaddigiales y esaba confiado de que su vida en inerne era a

prueba de hackers. Pero no lo era.Como primer paso, le pedí a uno de los miembros del equipollamar al área de sopore écnico de Amazon. Le dijo alrabajador que quería añadir una arjea de crédio a la cuenade Amazon del acor. El empleado solició la respuesa a lapreguna de seguridad: ¿Cuál ue su compra más reciene? Elmiembro de mi equipo sabía que el acor era an de Gameo Trones, así que respondió: “El DVD de la emporada 1de Game o Trones”, el empleado respondió: “correco”, y después le dijo: “resableceremos su

conraseña”.Ese simple movimieno le dio acceso a mi equipo a muchos dealles personales del acor.Nos permiió hackear su cuena de witer y luego su e-mail. Cambiamos las consraseñas deprácicamene, odas las cuenas que enía.

En cuesión de días, nos habíamos infilrado en oda su vida digial. No es necesario decir que elacor esaba en shock.

Aquí hay una imporane lección para las empresas: muchas responden a sus vulnerabilidades solo

después de una uga. Eso no es suficiene. Mi puno es que la menalidad en la deensa corporaivadebe volverse proaciva.

A coninuación, les preseno res de los reos más grandes en seguridad elecrónica para lasempresas que operan en el ámbio digial:

OMESON

om Eson es gerene de Pruebas dePeneración en Veracode. En añosaneriores su rabajo se enocó enla invesigación para la seguridad.Lideró proyecos en la comunidad dela seguridad, mejoró meodologíasde pruebas y el manejo de equipos.

ambién es un bloguero de seguridady ue co-conducor del podcas SharedSecuriy. ambién es orador recueneen grupos de usuarios de seguridady en conerencias inernacionalescomo Black Ha, DEFCON, DerbyCon,Noacon, SANS, InoSec World, OWASPAppSec y ShmooCon.

Gerene, Pruebas dePeneración,

Veracode

36

Este simple movimiento le dio acceso a mi equipo

a muchos detalles personales del actor.

LA MAYORÍA DE LAS FUGAS DEDAOS EN LAS EMPRESAS INICIANCON ÁCICAS DE INGENIERÍASOCIAL.

LAS VULNERABILIDADES DE LASAPLICACIONES Y LA S MALASCONFIGURACIONES DE LOSSISEMAS CON FRECUENCIA NOSON DEECADAS.

LECCIONES CLAVE

12

witer I Websie I Blogb

Sponsored by:

SER PROACTIVO


37/63

• Ingeniería Social. La mayoría de las violaciones a corporaciones inician mediane e-mailscon phishing, con llamadas, o con el delincuene enrando al edificio afirmando que rabajaahí. A eso se le llama Ingeniería social porque el delincuene se aprovecha del deseonaural del ser humano de confiar.

Desde la perspeciva de seguridad de una compuadora, eso es un vecor de aaque peligroso.Es el mismo que usó mi equipo para hackear a nuesro amigo acor. Me conserna lo ácil quees exploar el acor humano.

• Vulnerabilidad de las aplicaciones. Las aplicaciones de red son el ron end de la mayoríade las empresas y la manera en que muchas de ellas hacen dinero. En años recienes,nuevas capas de complejidad han sido inroducidas ras bambalinas para permiir quelas aplicaciones rabajen en la nube. Con la complejidad, viene el error humano. Con

recuencia encuenro que las empresas no se oman el iempo adecuado para insalarsisemas de seguridad en la inraesrucura de sus aplicaciones o para realizar las pruebasapropiadas de seguridad desde un inicio. Eso es verdad, incluso hoy en día, cuando laseguridad es una de las prioridades de la mayoría de los ejecuivos.

• Malas configuraciones de sisemas. Eso ambién, por lo general es ignorado. Lasconsolas para adminisración de redes, incluso los sisemas de producción, con recuenciapermanecen con sus configuraciones de ábrica, accesibles a ravés de conraseñaspredeerminadas. Al oralecer los códigos de las aplicaciones y la inraesrucura donderesiden, se debe inverir iempo en esa pieza. Como delincuene, si puedo acceder a suconsola de adminisración de red usando una conraseña predeerminada, ya no meimporaría la aplicación. Puedo acceder a odo desde su servidor.

La moraleja es simple: vigilar. Eduque coninuamene a sus empleados. Conrae consuloresexernos para evaluar los riesgos y que lleven a cabo pruebas de peneración. Esé preparadopara escuchar cosas que no quisiera oír, como que ya ue hackeado. Simule sus propiaspruebas de ingeniería social para que sus empelados conozcan cómo son esos aaques y quédeben hacer en caso que ocurran.

Mucho de lo que llamamos seguridad de redes, es solo cuesión de ener conciencia.

SER PROACTIVO

37

Simule sus

propias pruebas

de ingeniería

social para que

sus empeladosconozcan

cómo son estos

ataques y qué

deben hacer en

caso que ocurran

Sponsored by:

LO QUE NO ME DEJA DORMIR


38/63

LO QUE NO ME DEJA DORMIR

En una ocas

fortine 2b21f42c-8d45-4e45-a4f0-fb62f115651b} fortinet ebook final esp aheadofthreats

Documents