proyecto integrador de seguridad informatica

Servicio de asesoría y resolución de ejercicios [email protected]

www.maestronline.com

Pide una cotización a nuestros correos.

Maestros Online

P. I. de seguridad

informática

Apoyo en

ejercicios

Servicio de asesorías y solución de ejercicios

[email protected]



ANEX, INC., la administración de riesgos y la selección de tecnología de Seguridad de Información (parte 1)

Introducción:

Las empresas modernas han considerado el uso de la tecnología de información (TI) un elemento estratégico indispensable para otorgar las muy necesarias precisión y rapidez de información requeridas por la economía actual. Esto, aunado a la aparición de Internet y particularmente de la llamada WWW – World Wide Web, ha afectado significativamente la manera en que las empresas interactúan con sus mercados. De ser considerada un costo, la TI ha pasado a ser un elemento estratégico indispensable, si las empresas pretenden mantener una posición competitiva ante la competencia. Si bien el nuevo entorno presenta a las empresas nuevas oportunidades, también presenta nuevas amenazas, la mayoría provenientes de fuentes insospechadas. El contar con mecanismos de protección específica contra estas amenazas no es siempre bienvenido y mucho menos comprendido. Los recursos de las empresas, siempre limitados y orientados a las inversiones estratégicas, no reconocen los riesgos asociados con el entorno informático, como críticos para la supervivencia de las organizaciones.

Pregunta detonante:

¿De qué medios disponen las empresas para probar el valor efectivo de las soluciones de seguridad de información?

¿Cómo pueden las empresas determinar la mejor manera de invertir sus recursos para protegerse adecuadamente?

Menciona al menos tres metodologías de administración de riesgos y proporciona las ligas electrónicas a su contenido

ANEX, INC., la administración de riesgos y la selección de tecnología de Seguridad de Información (parte 2)

Como Gerente de Seguridad de Información de una empresa mediana, ANEX, INC., recibe la visita del Director General, su jefe, quien recientemente ha leído un artículo en una revista especializada en Tecnología de Información. Su jefe le externa la preocupación por el contenido de uno de los artículos, uno enfocado en ataques provocados por una variedad particular de gusano informático. Su jefe le dice “Estamos constantemente amenazados vía Internet y no tenemos un plan claro de optimización de nuestros recursos de seguridad: ¿cómo podemos determinar el riesgo de que este gusano infecte nuestros equipos de cómputo?, ¿cómo podemos justificar la adición de una solución antivirus, cuando hasta el momento hemos podido mantener a raya los virus sin requerir de estas soluciones?

Su jefe le pide que lea el artículo, el artículo dice:

“En Enero 30 de 2008, un nuevo gusano llamado W32/Sober.k@MM fue descubierto. Esta



nueva variante, escrita en VB manifiesta las siguientes características:

Contiene su propia máquina de SMTP

Las direcciones origen/destino de correo electrónico son extraídas de la máquina de la víctima

Los mensajes de salida pueden ser en Inglés o Español

Propagación de correo

Fabrica el encabezado “From” de los mensajes construidos

El gusano es empacado con UPX. El gusano extrae las direcciones destino de correo electrónico de la máquina de la víctima y las escribe en el archivo DATAMX.DAM en el directorio %SysDir%. La importancia del mensaje es clasificada como “High” (esta tendrá un efecto sólo para ciertos clientes de correo electrónico)…”

Problemática:

Después de leer este artículo, su jefe le pide que lleve a cabo una evaluación de riesgos y haga algunas sugerencias sobre la posible adquisición de una solución antivirus.

A. El formato que deberá utilizar para identificar los riesgos asociados es el siguiente:

Activos Nivel A/M/B

Amenazas Nivel A/M/B

Vulnerabilidad Nivel A/M/B

Prioridad Controles

(A: alto = 3, M: medio = 2, B: bajo = 1) La Prioridad se determina por el producto de los Niveles de Activo, Amenaza y Vulnerabilidad. Cada activo puede estar sujeto a varias amenazas y vulnerabilidades, se le pide considere tres amenazas y tres vulnerabilidades por activo.

El análisis de riesgos que deberá realizar no se circunscribe exclusivamente a riesgos asociados a virus/gusanos

Por simplicidad, se le solicita que el análisis de riesgos lo haga sobre los tres activos más importantes de la empresa: información, servidores e imagen de la empresa.

Se le solicita que sugiera los controles aplicables (en base al anexo A del estándar de seguridad de información ISO/IEC 27001:2005) para las principales vulnerabilidades con los impactos de seguridad más altos.

B. Usted tiene una metodología de evaluación de riesgos basada en la ALE (Annual Loss Expectancy - Expectativa de Pérdida Anual). La ALE es el producto de la Tasa de Ocurrencia Anual o Anualizada (ARO = Annual Rate of Occurrence) por la Expectativa de Pérdida Única (SLE = Single Loss Expectancy).

Las condiciones bajo las cuales ha de hacer los cálculos para determinar el ALE son que el número de equipos que tiene que considerar para el ejercicio es de 100. Por otra parte, después de estudiar las condiciones de operación de la empresa, en cuanto a conectividad y uso de Internet en la organización, asume que el factor de exposición promedio es, para un virus o gusano típico, del 1%. Además, usted espera que el número promedio de ataques en un año cualquiera ascienda a 6.

Para la recuperación de un ataque de virus/gusano considera que el costo promedio



de la mano de obra por remoción de virus en cada computadora es de $2,000 dólares, en tanto que el costo de la recuperación de datos asciende a $3,000 dólares.

De acuerdo a sus estimaciones, la productividad del personal se vería afectada de tal forma que usted estima que el costo ascendería a $2,000 dólares en promedio.

Determine la ALE.

C. Por otra parte, el costo de la licencia anual por sitio de una solución anti-virus es de $65,000 dólares.

¿Bajo qué condiciones se justificaría la inversión en el software para su compañía?

Incluya las consideraciones que haya tomado para el cálculo y la decisión.

El Caso de la Compañía Zima2 (parte 1)

Importancia de la Seguridad en Redes-Seguridad en Redes

¿Podrá Zima2 comprender que la Seguridad de Información debe ser parte de sus planes estratégicos?

Introducción

Desde el año 2001 se han presentado una serie de ataques de códigos maliciosos a grandes y medianas corporaciones que les han causado cuantiosas pérdidas.

En los últimos años, desde 2003, se ha podido constatar que los ataques han continuado y se han sofisticado en sus técnicas de ataque y están siendo comandados por bandas que se dedican a actividades maliciosas en lugar de hackers que lo hacían para satisfacer su ego.

La Compañía Zima2 ha sido una de las miles de Organizaciones que han sido atacadas por estas Bandas. Es sabido que en los últimos meses los ataques son a objetivos particulares o Activos de Información que son críticos para la operación de estas Organizaciones.

La Dirección General de Zima2 no sabe por el momento que camino tomar, uno puede ser recurrir a demandas legales, otro puede ser implementar controles de Seguridad de Información, apostar que los ataques van a disminuir, cancelar una serie de servicios en línea que son accesados desde Internet para bajar los riesgos.

Pregunta Detonante:

¿Cuál crees que han sido las razones determinantes para que bandas Internacionales maliciosas estén realizando sus actividades mediante el ciberespacio?, nombrar al menos cinco razones justificando cada una en detalle.

De los caminos mencionados que podría tomar la Dirección General, para cada uno menciona la conveniencia o no de tomarlos.

¿Cómo consideras que podría afectar si hay personas infiltradas de Bandas



organizadas en ZIma2?

La Compañía Zima2.

La Compañía Zima2 es una organización que fabrica productos Químicos desde 1977 que fue fundada por Don Facunado Zima.

Esta organización ha crecido en forma exponencial gracias a su diversidad de productos y que el NAFTA ha ayudado a su expansión en USA y Canadá.

Actualmente cuenta con 4,800 empleados, en 19 oficinas en México y Estados Unidos, su cuartel general está en Monterrey NL México.

La TI de Zima2.

Cuenta con un sistema ERP basado en SAP, en este sistema se manejan los procesos de ventas, facturación, cobranza, producción, atención a clientes, diseño de productos, etc.

Cuenta con aproximadamente 5,000 nodos de red y una red WAN que conecta a todas las oficinas. Esta red ha crecido en forma desordenada e inclusive los Directores se han quejado de la lentitud y falta de continuidad en las operaciones de la misma, hecho que ha afectado este año a los procesos de negocio debido a interrupciones en los Sistemas de Información.

Seguridad de Información de Zima2.

Desde el año 2005 la organización nombró a un Director de TI que a su vez está a cargo de la Seguridad de Información aunque no en forma oficial dado que al parecer cuando han atacado la red de Zima2 él ha mencionado que no se ve como el responsable de Seguridad.

En las últimas dos semanas la situación ha sido insostenible debido a una serie de ataques al parecer de Denegación de Servicios Distribuida (DDoS) dirigidos hacia el servidor de correos, lo anterior ha causado que el 50% del tiempo el servicio de correos ha estado caído sin operar.

No solo ha afectado este servicio, el sistema ERP debido a una inundación de paquetes en la red local, ha estado caído un 25% de su tiempo comprometido. Lo anterior ha causado una serie de quejas de sus Clientes, además se registraron 20 rompimientos de acuerdos establecidos en contratos con clientes los cuales se han traducido en 5 cancelaciones de pedidos y 3 demandas legales.

El Director de TI habló con un consultor para pedir ayuda de emergencia, el cual le paso dos o tres consejos que aminoraron de momento los problemas. Se instaló un Network Intrusion Detection solo en modo de escucha para saber que tipo de mensajes estaban cursando en la red.

Se pudo detectar que el 50% del tráfico era videos del un sitio muy popular, al parecer la mayoría de empleados lo acceden dado que nada se los impide. Además el tráfico peer to peer estaba siendo usado en abuso a través del programa Messenger.

Otra situación que se advirtió por parte de este experto es que el diseño de la red y su ruteo hacen que se cuente en práctica con una sola red local de 5,000 nodos de red lo que



ocasiona grandes problemas de colisiones, etc.; además que no con contaba con ninguna DMZ donde alberga los servidores que son accesados desde Internet.

Otro aspecto que llamó la atención del consultor fueron las versiones de Software de los principales Servidores de Windows dado que su actualización era de versiones muy antiguas. Lo anterior contribuyó a que los ataques hayan sido exitosos contra la Organización.

El consultor notó otra situación muy preocupante dado que detectó varios programas Sniffers en la red local y pudo leer la bitácora de alguno de ellos descubriendo decenas de cuentas con usuario y password de las principales aplicaciones de la empresa.

El Director de TI procedió a bloquear una serie de servicios de red que impiden que aplicaciones peer to peer dejen de funcionar así como una serie de sitios muy populares que contienen videos que demandan gran ancho de banda de la red.

Cientos de personas empezaron a quejarse con el Director de TI y algunos a la Dirección General que ya no podían acceder a “ciertos sitios” para desempeñar su trabajo.

La Dirección General de Zima2 llamó al Director de TI para que él le diera una solución de fondo basada en lo que encontró dicho consultor. Se decidió contratar a un experto en Seguridad de Información para ofrecer soluciones de fondo.

La Dirección General de Zima2 enfrenta una situación muy crítica, quizá el pecado que cometieron es tener un crecimiento desordenado en lo que respecta a su TI y específicamente en el rubro de Seguridad de Información, este caso es muy representativo de lo que ocurre en muchas empresas u organizaciones, vemos además cómo el Director de TI en este caso no ha tenido las competencias suficientes para afrontar la problemática. Hoy por eso se necesitan personas que desarrollen fuertes competencias en Seguridad de Información, es necesario tomar en cuenta que en 5 años más, según reportan estudios formales en Seguridad de Información y de TI las organizaciones estarán manejando 20 veces más volumen de información que la que maneja actualmente, por lo tanto ¿será importante velar por la Seguridad de la misma?

Preguntas de Estudio:

Describir las vulnerabilidades que han sido detectadas en las redes de Zima2. Describir y y explicar al Director General como están siendo llevados a cabo estos tipos de ataques DDoS hacia Zima2 en un lenguaje apto para la Dirección , explicando los impactos negativos al negocio que se han sufrido, así como otros problemas potenciales.

Se te pide por parte de Dirección General establecer las defensas básicas las cuáles tienen que ver con la Seguridad perimetral.

Define la nueva arquitectura de redes que considere Seguridad a profundidad, ejemplos :DMZ, etc.

El Caso de la Compañía Zima2 (parte 2)



La Compañía Zima2 es una organización que fabrica productos Químicos desde 1977 que fue fundada por Don Facunado Zima.

Esta organización ha crecido en forma exponencial gracias a su diversidad de productos y que el NAFTA ha ayudado a su expansión en USA y Canadá.

Actualmente cuenta con 4,800 empleados, en 19 oficinas en México y Estados Unidos, su cuartel general está en Monterrey NL México.

La TI de Zima2.

Cuenta con un sistema ERP basado en SAP, en este sistema se manejan los procesos de ventas, facturación, cobranza, producción, atención a clientes, diseño de productos, etc.

Cuenta con aproximadamente 5,000 nodos de red y una red WAN que conecta a todas las oficinas. Esta red ha crecido en forma desordenada e inclusive los Directores se han quejado de la lentitud y falta de continuidad en las operaciones de la misma, hecho que ha afectado este año a los procesos de negocio debido a interrupciones en los Sistemas de Información.

Seguridad de Información de Zima2.

Desde el año 2005 la organización nombró a un Director de TI que a su vez está a cargo de la Seguridad de Información aunque no en forma oficial dado que al parecer cuando han atacado la red de Zima2 él ha mencionado que no se ve como el responsable de Seguridad.

En las últimas dos semanas la situación ha sido insostenible debido a una serie de ataques al parecer de Denegación de Servicios Distribuida (DDoS) dirigidos hacia el servidor de correos, lo anterior ha causado que el 50% del tiempo el servicio de correos ha estado caído sin operar.

No solo ha afectado este servicio, el sistema ERP debido a una inundación de paquetes en la red local, ha estado caído un 25% de su tiempo comprometido. Lo anterior ha causado una serie de quejas de sus Clientes, además se registraron 20 rompimientos de acuerdos establecidos en contratos con clientes los cuales se han traducido en 5 cancelaciones de pedidos y 3 demandas legales.

El Director de TI habló con un consultor para pedir ayuda de emergencia, el cual le paso dos o tres consejos que aminoraron de momento los problemas. Se instaló un Network Intrusion Detection solo en modo de escucha para saber que tipo de mensajes estaban cursando en la red.

Se pudo detectar que el 50% del tráfico era videos del un sitio muy popular, al parecer la mayoría de empleados lo acceden dado que nada se los impide. Además el tráfico peer to peer estaba siendo usado en abuso a través del programa Messenger.

Otra situación que se advirtió por parte de este experto es que el diseño de la red y su ruteo hacen que se cuente en práctica con una sola red local de 5,000 nodos de red lo que ocasiona grandes problemas de colisiones, etc.; además que no con contaba con ninguna DMZ donde alberga los servidores que son accesados desde Internet.

Otro aspecto que llamó la atención del consultor fueron las versiones de Software de los



principales Servidores de Windows dado que su actualización era de versiones muy antiguas. Lo anterior contribuyó a que los ataques hayan sido exitosos contra la Organización.

El consultor notó otra situación muy preocupante dado que detectó varios programas Sniffers en la red local y pudo leer la bitácora de alguno de ellos descubriendo decenas de cuentas con usuario y password de las principales aplicaciones de la empresa.

EL Director de TI procedió a bloquear una serie de servicios de red que impiden que aplicaciones peer to peer dejen de funcionar así como una serie de sitios muy populares que contienen videos que demandan gran ancho de banda de la red. Cientos de personas empezaron a quejarse con el Director de TI y algunos a la Dirección General que ya no podían acceder a “ciertos sitios” para desempeñar su trabajo.

La Dirección General de Zima2 llamó al Director de TI para que él le diera una solución de fondo basada en lo que encontró dicho consultor. Se decidió contratar a un experto en Seguridad de Información para ofrecer soluciones de fondo.

Cierre

La Dirección General de Zima2 enfrenta una situación muy crítica, quizá el pecado que cometieron es tener un crecimiento desordenado en lo que respecta a su TI y específicamente en el rubro de Seguridad de Información, este caso es muy representativo de lo que ocurre en muchas empresas u organizaciones, vemos además cómo el Director de TI en este caso no ha tenido las competencias suficientes para afrontar la problemática. Hoy por eso se necesitan personas que desarrollen fuertes competencias en Seguridad de Información, es necesario tomar en cuenta que en 5 años más, según reportan estudios formales en Seguridad de Información y de TI las organizaciones estarán manejando 20 veces más volumen de información que la que maneja actualmente, por lo tanto ¿será importante velar por la Seguridad de la misma?

Preguntas de Estudio

1. Se te pide por parte de Dirección General establecer políticas adecuadas de uso de Redes. Describir en detalle estos dos tipos de recomendaciones procurando ser muy específico. Menciona los controles de Seguridad que incluyan tecnologías, procesos y capacitación necesaria. Menciona al menos 5 políticas de Seguridad de Información que recomiendas definir e implementar.

2. Otro pedido que hace la Dirección General es sobre la implementación de controles de Seguridad de Información más avanzados que los del punto anterior.

3. Describe como implementarías un IDS que considere además sus procedimientos y capacitación. Respecto a controles criptográficos será necesario proponer controles específicos. Por último hacer recomendaciones sobre futuras adquisiciones o desarrollos de aplicaciones en el sentido de ventajas o desventajas de iniciar adoptando sistemas abiertos en lugar de sistemas propietarios.

4. Menciona como podrías mitigar los riesgos que llevan a que personas no autorizadas instalen Sniffers.

5. Menciona 5 razones por la cuales la empresa deberá de restingar los servicios en la red sobre todo los que la empresa no necesita para operar (accesos a otros sitios, aplicaciones peer to peer, etc.).



Servicios administrados de nóminas SA de CV (SAN) (parte 1)

Seguridad en aplicaciones y en las operaciones.

Introducción

Dentro del mercado de tecnologías de información existen empresas dedicadas al desarrollo de aplicaciones que son utilizadas ya sea por ellas mismas o por terceros para ofrecer servicios de procesamiento de datos. Esto con el fin de permitir que sus clientes dediquen sus esfuerzos a actividades estratégicas para su negocio.

Esta tendencia ha permitido que los procesos considerados “staff” por las organizaciones puedan ser manejados como servicios a través de terceros. Los ejemplos más claros de este concepto son los servicios de Tecnologías de Información, Recursos Humanos, Comunicación e imagen, entre otros.

Este concepto busca reducir costos operativos y de inversión al ceder parte o la totalidad de la operación de procesos staff a compañías expertas en ello.

SAN es una empresa que desarrolla sistemas de nómina y ofrece los servicios de procesamiento de nominas a nivel México.

Pregunta Detonante:

¿Cuáles considera son las principales ventajas para que una empresa desarrolle sus propias aplicaciones y mantenga sus operaciones de TI con personal propio? ¿Cuáles considera son sus principales desventajas?

Cuerpo del Caso:

Servicios administrados de nóminas SA de CV (SAN)

La Compañía Servicios Administrados de Nóminas SA de CV (SAN) es una empresa de capital extranjero creada en 1996 con el objetivo de ofrecer servicios de procesamiento de nómina en México. Para esto adquirió el código fuente de una aplicación de nómina desarrollada para el mercado mexicano y contrató a los desarrolladores de la misma para ejecutar las modificaciones de acuerdo a las necesidades del cliente.

La empresa no vende licencias de software, si no los servicios de procesamiento de Nómina, para lo cual cuenta con expertos de nómina y fiscalistas que ejecutan y validan las transacciones solicitadas por el cliente. Sus ingresos provienen de cada transacción procesada.

Su mercado son grandes Corporativos que manejan más de 4,000 transacciones mensuales.

Cuando se cierra una negociación, un equipo de implementación genera los ambientes y realiza la configuración de dicho ambiente de acuerdo a las necesidades del cliente. En los



últimos años los proyectos de implementación han se han alargado hasta caso 18 meses. Esto implica grandes costos para la organización, ya que la misma no empieza a cobrarle al cliente hasta que empieza a procesar transacciones y los costos de implementación generalmente son mayores a lo cobrado al cliente por malas estimaciones de tiempo y recursos.

Le empresa cuenta con un área de desarrollo de aproximadamente 30 personas, quienes además de realizar desarrollos propios de la aplicación (nuevas versiones, mejoras), realizan actividades de soporte técnico en caso de fallas de la aplicación. el error más común son cálculos erróneos que generan pagos mal realizados (i.e IMSS , Hacienda) lo que causa multas para los clientes. Por obligaciones contractuales, si esas multas fueron ocasionadas por errores de cálculo, las mismas deben de ser compensadas por SAN en la facturación que esta haga al cliente.

La aplicación corre en servidores que se encuentran en las instalaciones de SAN en la Ciudad de Monterrey. Los clientes acceden a estos servidores vía Internet a través de un cliente WEB para la captura de incidencias (altas o modificaciones salariales). A través del área de atención a clientes pueden solicitar la ejecución de transacciones especiales (por ejemplo un finiquito).

Actualmente la empresa se encuentra en crisis, debido al descontento de sus principales clientes

La Problemática

SAN enfrenta diversos problemas que han ocasionado que su área de desarrollo se vea saturada en la resolución de fallas del sistema. Esto ha ocasionado que los tiempos dedicados a adecuaciones para clientes se vean relegadas y la mejoras y nuevas versiones se encuentren paradas (desde hace más de dos años están desarrollando la versión de .NET)

En los últimos meses se realizó un análisis de las razones del porqué los procesos de implementación se alargaban y se detectaron las siguientes causas:

1. El cliente tardaba en entregar información requerida para la configuración del sistema 2. Las fechas de entrega para las adecuaciones por parte del área de desarrollo no se

cumplían por la carga de trabajo. 3. No se cumplía con los requerimientos establecidos por el cliente. La gente de

desarrollo se queja que los implementadores no saben tomar requerimientos (¿Qué es eso?)

4. Existían problemas de migración entre el sistema de nóminas que dificultaban la migración de información histórica al Sistema de SAN.

El área de Procesamiento, el área fiscal y el cliente se quejan continuamente (de allí la saturación del personal de desarrollo) de que el sistema realiza cálculos mal. Lo más crítico es que mencionan que con anterioridad el sistema si funcionaba. Se ha detectado que al realizar modificaciones para un cliente en particular han afectado a los ambientes de otros clientes afectándolos adversamente. Lamentablemente no existe documentación de los cambios, lo que ocasiona que los problemas de detección de fallas sean mayores. Lo más crítico es que los desarrolladores al realizar sus pruebas de calidad no detectaron estos problemas. Otra causa de errores de cálculo son ocasionados por el usuario al introducir información invalida y que el sistema o el usuario debería detectar.




1. ¿Cuáles considera usted que son los principales problemas en el proceso actual de desarrollo de la aplicación? ¿Qué solución implementaría? (justifique su decisión)

2. Por favor indique que controles implementaría basados en la prioridad de su implementación, incluyendo las razones de su decisión.

3. Recomendaría usted la implementación de mejores prácticas tales como CMMI y/o ITIL? Justifique su respuesta.

Servicios administrados de nóminas SA de CV (SAN) (parte 2)

La Problemática.

El pasado mes de diciembre durante la ejecución del cálculo de aguinaldos se cayeron los servidores de producción. Después de un exhaustivo análisis se detectó que un implementador estaba ejecutando una prueba de un ambiente y de la interface de dicho ambiente con el ERP del cliente. Este evento ocasionó que las bases de datos de algunos clientes se corrompieran obligando a la restauración de respaldos los cuales se realizan mediante cintas magnéticas. Lamentablemente con dos clientes dicho procedimiento no funcionó por las siguientes razones:

1. Para un cliente su respaldo consistía de tres cintas, una de las cuales no fue hallada. 2. Para el otro cliente sus cintas estaban inutilizables dado que fueron expuestas a

campos magnéticos durante su traslado.

Actualmente se está en negociaciones con un cliente muy importante y el cual en caso de que acepta la propuesta de SAN implicaría un aumento del 35% en las transacciones mensuales a ser ejecutadas. Este cliente realizó una auditoría de seguridad y realizó los siguientes hallazgos.

1. Tuvo acceso físico a los servidores sin consentimiento de SAN 2. Utilizó las cuentas de default de los ruteadores, teniendo acceso a su configuración. 3. Se presentó en recepción como un empleado de nueva contratación. La señorita de la

recepción facilitó el acceso a las instalaciones a pesar de no contar con la credencial correspondiente.

4. Encontró cintas que ya no se utilizaban en el bote de basura y pudo leer la información contenida en las mismas.

Cierre

La Dirección General de SAN enfrenta una situación muy crítica, está perdiendo clientes y siendo mal referenciado por ellos. Esto le ha impedido mejorar sus ingresos (al contrario van a la baja), actualmente la crisis financiera los está llevando a entregar parte de su participación accionaria a sus acreedores. Se considera que el concepto del servicio es bueno y que deben de generar las acciones necesarias para realizar un producto robusto y con



mayor satisfacción al cliente. Se requiere hacer una revisión de sus procesos actuales y de la forma de operar. Los clientes cada vez son más sensibles al cuidado de su información por lo que la integridad y disponibilidad de la misma se ha vuelto crítica. Mucho de esto debido a aspectos regulatorios). Esto los está obligando a darle mayor énfasis a los aspectos de seguridad de su aplicación y a sus procesos operativos. Dada esta situación, usted ha sido contratado como consultor para que diseñe e implemente los procesos y controles requeridos para volver a la compañía a generar utilidades.


1. ¿Cuáles considera usted que son los principales problemas en las operaciones? ¿Qué solución implementaría? (justifique su decisión)

2. ¿Considera usted que existe segregación de funciones en el proceso de desarrollo? Por favor justifique su respuesta.

3. De acuerdo a lo expuesto ¿en qué nivel de madurez considera usted que se encuentra SAN en cuanto a sus prácticas de desarrollo?

4. Por favor indique qué controles implementaría basados en la prioridad de su implementación, incluyendo las razones de su decisión. Por favor incluya al menos dos controles administrativos y dos técnicos. Especifique la naturaleza de dicho control (Preventivo, detectivo, correctivo, etc)

TJX

Implicaciones legales de incidentes de seguridad de información

Introducción

El hecho de que la mayoría de las empresas grandes y medianas, y aún las pequeñas, estén teniendo una presencia relevante en Internet, a través de las páginas Web donde se hace propaganda de las bondades de los productos y servicios que ofrecen a sus clientes potenciales y establecidos, incluyendo la realización de transacciones comerciales electrónicas formales y que, como parte de dichas transacciones, se requiera del envío y almacenamiento en las bases de datos de las empresas, de información sensible de los clientes, impone la necesidad de medidas de protección electrónica para los datos en tránsito y en almacenamiento. Además, por la ubicuidad de los sitios Web, que pueden hospedados y ser accedidos desde cualquier parte del planeta, requieren de un tipo de legislación especial que trascienda fronteras, que sea observada, cumplida y reforzada, por igual, independientemente del país, por empresas y legislaciones locales.

Preguntas detonantes:

¿Cómo habrán de prepararse las empresas para afrontar los retos que presenta este entorno sin fronteras?

¿Cómo deberá evolucionar el entorno legal y regulatorio ante las nuevas amenazas que se presentan a las empresas en este medio electrónico?

¿Cómo debe prepararse el especialista en seguridad de información para responder a este



entorno legal y regulatorio?

Investiga e informa de tres casos recientes donde se haya expuesto información de clientes (incluye las ligas electrónicas).

Cuerpo del Caso:

En diciembre 18 de 2006 un auditor encontró anomalías en los datos de tarjetas de la empresa TJX Cos. En ese momento, TJX Cos. contrató a expertos forenses de IBM y General Dynamics Corp. y notificó al Servicio Secreto de E. U., el cual invirtió un mes tratando de atrapar a los ciber criminales en el acto. Aunque no pudieron dar con los infractores, encontraron sus huellas: archivos de cómputo alterados, software sospechoso y algunos datos revueltos como por ejemplo, registros de tiempo en el orden incorrecto. El 17 de enero de 2007, TJX Cos. anunció que sus sistemas TI habían sucumbido a la infiltración de intrusos desconocidos, lo que derivó en el robo de tarjetas de crédito más grande de la historia. TJX Cos., la compañía propietaria de T.J. Maxx, Marshalls, Home Goods, y A.J. Wright en Estados Unidos y Puerto Rico, tuvo que dar la versión oficial de cómo, de acuerdo con la primera versión, cerca de 45 millones de tarjetas de crédito y débito, en un período de dos años, llegaron a manos de otra gente.

Una persona familiarizada con la investigación interna dice que los ciber criminales accedieron a unos 200 millones de números de tarjetas de crédito correspondientes a registros de cuatro años de operaciones.

Lo cierto es que la brecha costará mucho dinero, tanto que quizás nunca se pueda estimar del todo. Varios analistas han estimado que el costo final será de cientos de millones de dólares o incluso más de $1,000 millones de dólares [1]. Muchas de estas estimaciones no incluyen demandas; hasta ahora se han presentado más de 20 demandas por daños [2]. Los bancos podrían gastar $300 millones de dólares en reemplazar las tarjetas de tan sólo un año de números robados, aún cuando la mitad de los números hayan expirado y algunas estuviesen ocultas en los datos robados. TJX, proyectó unos $20 millones en transacciones fraudulentas derivadas del incidente.

Otras implicaciones:

La cuenta por el incidente podría sobrepasar los $1,000 millones de dólares en un espacio de 5 años – incluido el costo de consultores, actualizaciones de seguridad, honorarios de abogados y campañas adicionales de mercadotecnia para retener a los clientes, pero no los cargos por demandas – esto de acuerdo a Forrester Research, empresa de investigación de mercado y tecnología en Cambridge, Mass. Tan sólo la actualización de seguridad podría costar $100 millones de dólares.

TJX declinó comentar sobre estos números, pero declaró que está realizando una “investigación completa y dolorosa sobre el incidente” contratando un equipo de 50 expertos en seguridad de datos y declarando un cargo por $5 millones en su primer trimestre fiscal. También dijo que pagará por un servicio de monitoreo de fraude de tarjetas de crédito para ayudarle a anticipar el robo de identidad de aquellos clientes cuyos números de seguro social fueron robados. “Creemos que los clientes deberían sentirse seguros por comprar en nuestras tiendas”, dice una carta que la Directora Ejecutiva Carol Meyrowitz publicó en el sitio Web de TJX.

¿Seguridad de Datos o Ataque de Código Malicioso?

A simple vista, este robo de información puede parecer principalmente un problema de seguridad de datos. Y cierta evidencia indica que esta inquietud superó las preocupaciones por el código



malicioso. Por ejemplo, un estudio realizado a 100 profesionales TI del Reino Unido patrocinado por Cisco Systems revelaba que la preocupación por virus cayó un 30%, en tanto que el robo de información fue la inquietud de seguridad número uno [3].

Sin embargo, estas inquietudes aparentemente distintas (seguridad de datos y ataques de código malicioso) pueden ser los dos lados de la moneda. Una razón es que los ciber criminales pueden usar código malicioso para robar datos. No se ha hablado públicamente de este software sospechoso encontrado en los sistemas TI de TJX Cos., y cómo llegó a los servidores críticos sigue siendo una incógnita. Sin embargo, varias herramientas de código malicioso que habrían ayudado a los ciber ladrones a perpetrar este ataque son conocidas por estar ampliamente disponibles.

Otra relación entre estas dos inquietudes es que cada vez más los autores de código malicioso apuntan a los datos corporativos debido al potencial de sacarles provecho. Los ataques dirigidos, en los cuales los autores de código malicioso hacen planes detallados contra víctimas seleccionadas, son la norma en lugar de la excepción. Los ciber criminales involucrados en el caso de TJX Cos. vendieron el lote de tarjetas de crédito a otros criminales por cantidades de dinero muy altas. Dichas ventas son ofrecidas audazmente en varios sitios protegidos por contraseñas utilizados por las pandillas.

Ciber Criminales Audaces

El hecho de que los autores de este ciber crimen no hayan sido detenidos (y tal vez nunca identificados) sólo puede servir para estimular de forma indirecta más robos. En efecto, los métodos de los ladrones de TJX Cos. indican su total confianza. Sus operaciones tienen las características de las pandillas de ciber criminales rumanos y miembros del crimen organizado de Rusia. Los investigadores dicen que estos grupos son conocidos por monitorear los objetivos menos seguros y ser metódicos en sus intrusiones. El Wall Street Journal menciona que los ladrones se comunicaron entre sí usando los propios sistemas TI de TJX Cos.; para evitar robar los mismos grupos de números de tarjeta dos veces (y por tanto duplicar el esfuerzo), se dejaban mensajes cifrados sobre qué tarjetas ya habían copiado. Un individuo familiarizado con la investigación interna de TJX Cos. dijo de los métodos usados: “tan fácil como entrar a una casa a través de una ventana totalmente abierta [2]."

Los investigadores ahora creen que los ciber criminales apuntaron, desde fuera, una antena en forma de telescopio hacia una tienda de descuento Marshalls, ubicada cerca de St. Paul, Minnesota, y utilizaron una laptop para decodificar el flujo de datos a través del aire entre dispositivos de mano para checar precios, cajas registradoras y las computadoras de la tienda. Dejaron huellas electrónicas que muestran que la mayoría de las penetraciones fueron hechas durante los períodos pico de ventas para capturar mayor cantidad de datos. Eso les ayudó espiar el registro de los empleados a la base de datos de la empresa propietaria, TJX Cos. en Framingham, Mass. y robar una o más cuentas de usuarios y contraseñas, para así crear sus propias cuentas en el sistema y repetidamente apropiarse de información de clientes, incluyendo la recolección de datos de transacciones como números de tarjetas de crédito en alrededor de 100 archivos grandes para su propio acceso. Ellos fueron capaces de acceder al sistema de TJX de manera remota desde cualquier computadora en Internet.

La red inalámbrica de la empresa de $17,400 millones de dólares tenía menos seguridad de la que muchas personas tienen en sus redes caseras y, por 18 meses, la empresa no tuvo idea de lo que estaba ocurriendo.

Cuando las redes inalámbricas explotaron en popularidad al inicio del 2000, los datos fueron



protegidos por un mecanismo de codificación llamado WEP o Wired Equivalent Privacy, que fue rápidamente roto. El peligro se hizo evidente cuando en 2001 expertos en seguridad lanzaron advertencias de que habían sido capaces de romper los sistemas WEP de cifrado de varios detallistas importantes.

En 2003, la industria inalámbrica estaba ofreciendo un mecanismo más seguro llamado WPA o Wi-Fi Protected Access, con un cifrado más complejo. Muchos comerciantes incrementaron su seguridad, pero otros, incluido TJX, fueron más lentos en realizar el cambio. Un auditor encontró después, que la empresa tampoco había instalado firewalls ni protección de datos en muchas de sus computadoras que utilizaban su red inalámbrica, y tampoco había instalado otra capa de seguridad que había comprado.

TJX Cos. se ha disculpado repetidas veces por permitir esta brecha, y se realiza una investigación para determinar si la compañía es culpable por almacenar información personal de los clientes y sus tarjetas de crédito en violación de los estándares de la Payment Card Industry (PCI) además de haber transmitido dicha información a los bancos sin haberlos cifrado.

Los ciber criminales también obtuvieron información personal como números de licencias de conducir, identificaciones militares y números de seguro social de 451,000 clientes – datos que podrían ser utilizados para robo de identidad. TJX borró sus propias copias de los registros robados por los ciber criminales y no ha podido decifrar los archivos cifrados (encriptados) que los ciber criminales dejaron en sus sistemas.

En marzo, la policía de Florida culpó a una pandilla de comprar algunos de los datos robados de TJX y utilizarlos para robar en unos cuatro meses, unos $8 millones en pequeñas transacciones, comprando tarjetas de regalos y usándolas para comprar TVs, computadoras y otros equipos electrónicos en Wal-Mart Stores, Inc. Sam’s Club y otras tiendas a través del estado. Fraudes relacionados con TJX, han ocurrido en al menos otros 6 estados y en al menos 8 países desde México hasta China, esto de acuerdo con banqueros e investigadores. Estos aún están trabajando en encontrar todos los números robados.

La facilidad y escala de este fraude expone lo pobre de la protección que algunas empresas ofrecen a los datos de sus clientes sobre las redes inalámbricas, las cuales transmiten datos por ondas de radio y son fácilmente interceptados. El incidente también ha renovado el debate acerca de quién debería ser hecho financieramente responsable. Los bancos que emiten las tarjetas de crédito o débito hasta ahora han cargado con el costo de las pérdidas de TJX, en vez de la empresa o las redes de tarjetas de crédito como Visa o MasterCard.

Los consumidores individuales han sido ya cubiertos de los cargos fraudulentos de TJX. Los poseedores de tarjetas de débito legalmente pueden ser sujetos de demandas por transacciones fraudulentas si no reportan el fraude dentro de los 60 días siguientes, mientras que los clientes de tarjetas de crédito sólo pueden ser culpables por los primeros $50 dólares en cargos fraudulentos.

Ejemplo:

Eleanor Dunning de Dana Point, California, se llevó un susto temporal el pasado otoño cuando abrió el sobre con su cuenta de tarjeta de crédito Bank of America Visa: Habían $45,000 dólares en cargos por tarjetas de regalo de Wal-Mart en Florida. “Lo que vi fue una página completa de $450 dólares en cargos, todos idénticos, todos del mismo lugar.” El banco removió los cargos y emitió una nueva tarjeta. Cuando el incidente de TJX se dio a conocer y comprendió que ella había sido una víctima de él, ella decidió dejar de comprar en Marshalls.



Marilyn Oliver, de San Marcos, California, recibió una llamada de Bank of America alertándola de que 40 tarjetas de regalo con valor de $400 dólares cada una habían sido compradas con su tarjeta Visa desde cajeros en un solo Wal-Mart de Florida.

Debido a este incidente, los representantes de los bancos y los legisladores de algunos estados están empujando por leyes que atribuirían la responsabilidad financiera por incidentes como estos a las compañías que fueron penetradas [2]. Por lo tanto, las ramificaciones de estas amenazas relacionadas (seguridad de datos y ataques de código malicioso) probablemente estén presentes por algún tiempo.

Remedios propuestos por TJX para los clientes:

El acuerdo, sujeto a aprobación por parte de la Corte Federal donde se radicó una demanda de clase contra la empresa, pretende compensar a los clientes de varias maneras que incluyen ''vouchers'' o vales por una cantidad no especificada y una venta de ''apreciación al cliente'' válida para todos los clientes sin importar si fueron afectados o no.

Esta propuesta de acuerdo no incluye la exigencia de los bancos de los clientes afectados, quienes tuvieron que incurrir en gastos al emitir nuevas tarjetas de débito y crédito.

Para clientes que hayan devuelto mercancía sin recibo y que hayan recibido una carta como que fueron afectados:

TJX propone ofrecer, pagado por esta, tres (3) años de monitoreo de su historial de crédito con seguro de cobertura contra robo de identidad (dos (2) años para quienes hayan aceptado una oferta anterior ofrecida por la compañía)

Además, TJX reembolsará el costo de gestionar el reemplazo de ciertos documentos y/o licencias de conducir y si el número de seguro social resulta ser utilizado como número de identificación en su licencia de conducir u otro tipo de identificación, la empresa pagará por ciertos tipos de pérdidas causadas por robo de identidad

Para clientes que compraron en las tiendas de la empresa en EE.UU., Canadá y Puerto Rico (excluyendo las tiendas Bob's Stores) durante el período relevante al caso e incurrieron en ciertos costos como resultado de esta situación:

TJX ofrecerá vales para usarse en dichas tiendas en el país correspondiente

Para todos los clientes:

TJX ofrecerá en un futuro una venta de ''apreciación del cliente'' que durará tres días, la cual ocurrirá una sola vez, y que ofrecerá precios reducidos en un 15%. Esta venta especial será anunciada y se espera ocurra durante 2008.

Cierre

Hasta el momento no se han acabado de identificar todas las consecuencias ni alcances del incidente de seguridad acaecido a TJX. Siguen presentándose demandas legales que incrementarán los costos ya incurridos por la empresa, quizás poniendo en duda la viabilidad financiera de la misma. Las lecciones que este caso deja, tampoco han acabado de escribirse; a medida que se obtenga más información, se irán complementando las medidas de seguridad que hasta el momento se han identificado. Los alcances de este incidente han tocado a mucha gente y



a muchas empresas, las cuales nunca estuvieron directamente involucradas en el incidente y sin embargo, se vieron impactadas de manera directa y concreta por él. Queda clara la necesidad de seguir trabajando en el terreno internacional sobre nuevas y más efectivas formas de colaboración entre las autoridades de los países involucrados, de manera que se produzcan más y mejores resultados en la persecución de los delincuentes.

Referencias

1. "Analistas: el caso TJX puede costar más de 1,000 millones de dólares," The Boston Globe, Abril 12, 2007, http://www.boston.com/business/personalfinance/articles/2007/04/12/analysts_tjx_case_may_cost_over_1b/?page=2

2. "Cómo Información de Tarjetas de Crédito Salió por la Puerta Inalámbrica”, The Wall Street Journal, May 4, 2007, página 1.

3. "El robo de información reemplaza al código malicioso como la principal preocupación de seguridad”, Realidad comprobada por John Leyden, Abril 19, 2007, http://www.theregister.com/2007/04/19/security_fears_poll/.

Tarea:

Realizar una investigación en Internet sobre el estado del caso TJX, al momento del estudio, actualizando la información aquí presentada e incluyendo las referencias bibliográficas correspondientes.

Preguntas de estudio:

1. ¿Cuáles son los impactos que las empresas deberán anticipar como consecuencia de su presencia en Internet?

2. ¿Cómo podrán prepararse las empresas para evitar exposiciones indebidas a incidentes de seguridad de información?

3. ¿Qué leyes o regulaciones existen en Estados Unidos de América en relación a la protección de datos / privacidad?

4. ¿Qué protecciones se pueden implementar de manera que los datos de los clientes puedan ser debidamente protegidos?

proyecto integrador de seguridad informatica

Education