Seguridad Descifrada

Sugerencias de seguridad para el equipo donde haces trabajo remoto, y para video-conferencias

2020-06-05T11:09:00.000-05:00

A continuación una lista de sugerencias de seguridad para el equipo donde estás haciendo trabajo remoto.

Y otras más para tus video-conferencias que tengas.

Claro que lo primero es que te enteres de las políticas de seguridad de tu organización sobre estos aspectos y las cumplas. Puede ser que algo de lo que yo diga vaya en contra de alguna política de tu organización.

Estas sugerencias no son exhaustivas, son algunas de mis ideas. Para algo más "formal" deberás buscar en otra parte.

EQUIPO DONDE HACES TRABAJO REMOTO:

- No instales dos antivirus para "mayor protección", puede resultar en problemas de operación.

- Actualiza tu sistema operativo y sus aplicaciones, al menos revisa si hace faltan updates una vez al mes si esto no sucede automáticamente.

- Reduce o elimina el uso de dispositivos USB, propagan malware. O al menos deshabilita la auto-ejecución de estas memorias. No pongas ahí datos sensibles.

- La contraseña robusta de tu red inalámbrica debe ser conocida solo por los integrantes de tu hogar, y entre menos la sepan, mejor.

- Tu equipo debe estar protegido por contraseña para iniciar sesión.

- Habilita navegación privada y navegación segura en tu navegador. Cuidado con el phishing, correos no solicitados y estar ingresando a todo tipo de páginas web.

- Si vas a almacenar información de la empresa en tu equipo y eso está en línea con la política, es buena idea cifrar el contenido del disco duro. Y en el mismo sentido, si hay un método de respaldo que provea tu empresa, úsalo.

SUGERENCIAS DE VIDEOCONFERENCIAS:

- Envía el enlace solo a los interesados.

- Los datos de la videoconferencia como liga, hora, contraseña y demás detalles no debe de ser expuesta en redes sociales o foros públicos.

- Ponle contraseña a tu reunión si no viene por default.

- Si la plataforma lo permite, habilita que apruebes el acceso de los participantes previo a su ingreso.

- Comparte tu escritorio hasta verificar que tienes abierto solo lo que piensas exponer y evitar que muestres “otro” tipo de información.

- Ten cuidado al abrir tu micrófono y/o habilitar la cámara para no exponerte a escenas vergonzosas; si sabes que no tendrás ese cuidado entonces compórtate como lo harías en persona.

- Ten en cuenta que la sesión podría estar siendo grabada por un participante o que saquen fotos. Si tú la organizas y la vas a grabar, así dilo al grupo antes de hacerlo.

- Tapa la cámara web cuando no la uses, o al menos fíjate que la luz junto a la cámara esté apagada.

- Es ideal que la plataforma cifre de punto a punto (end to end), de otro modo y dependiendo de tu organización y funciones, piensa la conveniencia de tratar ese tema sensible.

Técnica para redactar correos

2020-05-05T19:26:00.001-05:00

Empieza con la conclusión. En una frase o máximo 3 oraciones debes de incluir "toda" la información que necesita el destinatario, sobre todo si es un directivo que recibe decenas de correos por día (¿o cientos?), apreciará saber lo importante de tu correo a las de ya.

También es útil cuando quieres un dato de alguien y así evitar que tenga que leer todo el mensaje para que desentierre lo que le estás solicitando.

Asume que el destinatario no seguirá leyendo tu correo si ya le dijiste lo que necesita saber.

Como es posible que el destinatario solo lea las primeras líneas de tu mensaje, asegúrate de que escribes con claridad; no "cifres" la información de tal manera que sea necesario leer varias veces lo que intentas decir, mira:

No debemos incumplir la negativa de la decisión de no seguir con la recomendación...

Lee todo varias veces, evita el error de escribir y mandar. Redacta y regresa a leer lo que estás diciendo; ajusta lo que debas. Elimina palabras o expresiones innecesarias:

Más sin en cambio.
Ahora bien.
De nueva cuenta vuelvo a enfatizar la importancia.
Actualmente el estado al día de hoy.

Después de esa introducción donde expresaste todo lo que debes de decir, entonces ya puedes hablar de los detalles del correo en caso de que el lector tenga interés/tiempo en seguir adelante con tu mensaje.

A continuación algunos ejemplos de cómo iniciar el correo en el entendido de que después vendrían los detalles:

Ejemplo 1 (te hacen una pregunta).
No, no di el visto bueno. La decisión de no habilitar esa característica en Windows la tomó él, y ni yo ni mi equipo de trabajo le dimos un visto bueno ni nada que se le parezca.

Ejemplo 2 (necesitas algo).
Buen día, necesito de favor conocer la cantidad de nuevos empleados que tendrá tu área el siguiente año para yo poder presupuestarles licencias de antivirus. De no recibir respuesta para el 20 de abril, asumiré que no tendrás nuevos empleados y por lo tanto no requieres más licencias.

Ejemplo 3.
El reporte del escaneo adjunto lista 7 debiliades críticas que debes de solucionar aplicando parches en máximo 3 días hábiles.

Ejemplo 4 (mandaron correo a varios destinatarios y de ti solamente piden un punto e informas a tu superior).
Me piden el VoBo para que un servidor tenga acceso a internet, revisé la solicitud y estoy de acuerdo; si tú también entonces así responderé. La petición de acceso es puntual a ciertos sitios y cumple con el resto de lo que dicta la política de seguridad.

Balance de seguridad y requerimientos de negocio

2020-05-04T20:15:00.002-05:00

Si no tienes claridad en qué requiere el negocio para operar, está difícil que definas la seguridad requerida porque no sabes exactamente lo que hay que proteger. Hasta aquí es algo obvio.

También necesitas saber qué va a pasar "arriba de los fierros", para entender al negocio y no solo estar protegiendo bits y bytes sin saber qué está pasando "arriba". De otra forma puedes proteger de más o al contrario: de menos.

Así pues, el primer paso es que se tenga una definición de lo que un área de negocio necesita para que una TI le funcione, y ya luego el área de seguridad puede evaluar ese requerimiento y definir los controles de seguridad para proteger esa nueva infraestructura tomando en cuenta diversos factores como riesgo, políticas internas y cumplimiento de un tercero, controles existentes, etc.

Al final hay que tener un balance entre el requerimiento de negocio y la seguridad definida, y ante un choque entre ambos mundos, tener identificado a alguien o un área que asuma el riesgo por tener algo que le funcione al negocio con baja seguridad, o un esquema que no cumple al 100 con los requerimientos del negocio pero con una seguridad adecuada.

Plan de Formación de Personal de Seguridad Informática

2017-11-13T07:49:00.001-06:00

Como cualquier otra área corporativa, la de seguridad informática no es ajena a contar con una estrategia de crecimiento y capacitación para el personal que la integra. Hasta aquí suena “obvio” que debe de contar con dicha estrategia, el problema es por dónde empezar.

Lo primero es desarrollar algún tipo de lista de requerimientos técnicos y no técnicos que debe de ir acumulando el personal a lo largo de su carrera de seguridad informática. También la estrategia debe de ser lo suficientemente flexible para poder ubicar a un nuevo empleado que acaba de salir de la carrera universitaria, a uno que tiene una Maestría o a otro que ya tiene años de experiencia en el ramo y sus posibles combinaciones.

Claro está, no puedes "tratar" igual a todas las personas que ingresan y debemos acomodarla en la ubicación correcta en el “plan de formación” que le permita seguir superándose profesionalmente. Hay que evitar que se aburra yendo por ejemplo a un curso “porque ya se sabe el tema”; no le conviene ni a la persona ni a la empresa.

El plan de formación debe de partir de un tronco común, donde la idea es que todos los integrantes tengan bases sólidas primero, para luego poder ir aspirando a alcanzar diferentes “ramas” de especialización dependiendo de sus intereses y de los del área (por ejemplo, los próximos proyectos en los que estará envuelto en el corto-mediano plazo).

Algunos ejemplos de requisitos en un tronco común pueden ser: un diplomado, una certificación como la reconocida CISSP (Certified Information Systems Security Professional), algunos cursos básicos del instituto SANS o la certificación de hackeo ético CEH (Certified Ethical Hacker). No pretendo hacer un listado exhaustivo de lo que debe de contener el tronco común, sino dar algunos ejemplos para dar la idea de lo que tengo en mente.

Una vez armado el tronco común, vamos a las “ramas” de especialización. Las ramas especializadas deben estar orientadas a ser retadoras y que guarde relación con las labores del empleado en el área.

Por ejemplo, una persona que haya cumplido con el tronco común (o que no lo requiera por su perfil avanzado al ingresar al área) y que el interés es que conozca de desarrollo seguro, tendrá que transitar por la rama especializada de desarrollo seguro que debe marcar los cursos y certificaciones a buscar.

De igual manera esta rama si bien será especializada, iniciará con cursos “básicos” de la rama, en este caso de desarrollo seguro, y posteriormente irá cumpliendo con capacitación de programación segura cada vez más avanzada.

Ahora, no todo en seguridad informática debe forzosamente ser técnico. También el plan de formación debería de considerar tener cursos no técnicos, como por ejemplo de habilidades gerenciales o equivalentes. Si bien es muy útil un recurso con capacidades técnicas fuertes, nos hará pasar malos momentos si no sabe exponer un tema a la alta gerencia, o a los altos jefes de otras áreas no técnicas que no dominan ni la TI y menos la seguridad informática.

Este otro tipo de cursos también están orientados a preparar a la gente para cumplir con puestos superiores en la jerarquía donde deberán también conocer temas por ejemplo presupuestales, de redacción (¡que tanta falta hace!) y exposición de temas de manera ejecutiva y una adecuada articulación de ideas, junto con la administración de personal a su cargo, entre otros.

El cumplimiento de estos requerimientos del plan de formación en materia de cursos y certificaciones podría volverse inclusive un tema tan relevante como para tomarlo en cuenta para ascensos o bonos.

¿Existe una posición abierta de nivel gerencial? Tomemos en cuenta también los cursos y certificaciones obtenidas tanto de la parte técnica como la gerencial, la cantidad que haya logrado acumular por año, la suma de certificaciones no obtenidas y demás datos para incluirlo como una parte importante del proceso de elección.

¿Existe la posibilidad de un bono? No solo observemos el desempeño mostrado, sino cursos y certificaciones exitosamente logradas en el periodo para incorporarlo como un paso del proceso de selección de asignación del premio.

En conclusión, un plan de formación tiene varias ventajas. Una es que los integrantes tengan claro “el camino” a seguir en su vida profesional y que no estén cada año pensando qué cursos tomar y que al final los seleccionen porque “se escuchan interesantes”. Otra es que el plan orienta a que la gente se capacite en lo que es de interés del área y evitar que el responsable de la gestión de antimalware vaya a cursos de administración de la seguridad tipo 27001.

Lo anterior beneficia a la corporación para tener gente especializada en sus labores del día a día. Y seguir el plan de formación dará motivación a la gente a seguirlo porque sabe que sus logros serán tomados en cuenta para bonos, ascensos, etc. dentro de la empresa.

Sin mencionar que los alentará a seguir en el corporativo porque saben que su profesionalización continuará y también de qué forma lo hará. Recordemos que no solo los aumentos salariales motivan a la gente, sino entre otras cuestiones, la capacitación que reciban porque esa es suya y se la llevarán por los años que les resta de vida profesional en la organización donde vayan a estar laborando.

Sistemas sin Conexión a Internet

2017-07-14T16:36:00.001-05:00

¿Es momento de desconectar a sistemas de internet y aislarlos? La mayoría de los ataques actuales que vienen desde “afuera” están basados en el hecho de que computadoras cliente tienen acceso a internet. Y son estas mismas computadoras cliente que a su vez interactúan con servidores críticos. La fórmula del ataque es simple entonces: comprometer esa computadora cliente desde internet y explotar alguna debilidad del servidor crítico para extraerle su información valiosa.

La anterior descripción de ataque puede ser ejemplificada con un “phishing”, donde atacan a una computadora cliente y de ahí “saltan” al sistema de interés. Ahora bien, qué pasaría si esa computadora cliente no tuviera acceso a internet? Sin correo y sin navegación seguro le complicamos la vida al atacante que tendrá que trabajar más para lograr su objetivo.

Cada vez veo más entendimiento en la comunidad de que los servidores críticos deben estar con conexiones puntuales hacia sitios de internet o de plano no tener esa conexión hacia “afuera”. Un servidor debe “nacer” por default sin salida a internet y el acceso puntual es otorgado bajo demanda. Pero todavía no veo una tendencia a también hacerlo con las computadoras personales de operadores que acceden a esos servidores críticos.

Si bien muchas empresas protegen a sus servidores críticos, no lo hacen así con las computadoras cliente de operadores que interactúan con esos servidores. Luego entonces el atacante no puede comprometer directamente a ese servidor y lo que hace es atacar a la computadora cliente que sí tiene los permisos para acceder a ese servidor crítico. Es un ataque indirecto y puede ejecutarse por medio del ya famoso phishing. ¿Cómo funciona? Es aquel donde un delincuente envía un correo con una liga que dirige a un sitio malicioso que a su vez descarga un virus a la computadora del usuario.

Así es que por más que protejamos al servidor crítico, la computadora personal que accede a él permanece con una seguridad promedio, en el mejor de los casos. Desde esa máquina, el operador no solo accede al servidor crítico, también lee su correo electrónico, navega en internet, mete USB. Es una máquina para el trabajo diario y también sirve para administrar o interactuar con servicios críticos. Y ahí está la debilidad aprovechada por los ciber-atacantes.

¿Qué podemos hacer? Primero, revisar que esos servidores críticos estén debidamente protegidos, como con listas blancas, con hardening, antivirus, aislados de internet (o con accesos puntuales a ciertos URL). Y que solo puedan ser contactados por una lista definida de computadoras internas de operadores y administradores.

En segundo lugar, y es la idea central de este artículo, debemos voltearnos a revisar las computadoras personales de operadores o administradores que acceden a ese servidor crítico. Y aquí viene la bomba. Deben de tener una computadora para operar/administrar (sin acceso a internet) y otra diferente para trabajar en el día a día, obvio con acceso a internet. Es decir, una para operar pero sin acceso a internet, otra para las actividades mundanas cotidianas. ¿Cómo resolverlo?

Lo óptimo es tener dos computadoras físicas: una para entrar a servidores críticos y otra “normal” para el día a día. En este momento pensarán en cuánto dinero les costará tener una implementación de este tipo y yo les contestaré cuánto creen que puedan perder por un ciber-ataque. Tener dos computadoras separadas dificultará enormemente el trabajo del atacante, tal vez hasta tal punto que desistirá e irá a otra empresa que no tenga esta arquitectura segura. ¿Por qué? Porque por un lado el servidor crítico estará bien protegido, y cuando comprometa la computadora “normal” del operador/administrador, verá que no tiene acceso a ese servidor crítico. El atacante entenderá que tiene el control de una computadora “normal”… sin privilegios a la zona segura corporativa.

Un nivel mayor de seguridad (¿o paranoia?) es si el servidor crítico y esa computadora para operar/administrar inclusive están aislados de la red corporativa. Así el hacker tampoco podrá penetrar a esa zona segura que ahora forman los servidores críticos y computadoras cliente para operar. Pero me estoy desviando del tema, regresemos.

Tener dos sistemas para una misma persona es difícil, sobre todo desde el punto de vista económico. Y también representa retos técnicos que deben ser superados. Por ejemplo:

¿Qué pasa si la operación del día a día requiere acceso a internet por alguna razón?
¿Qué pasa si la computadora para operar necesita intercambiar datos con la computadora “normal” del día a día?
¿Cabe otra computadora en el lugar del operador?
¿Hay contactos eléctricos disponibles?

Me llama la atención la segunda pregunta. Porque es una mala idea es permitir intercambiar datos vía USB entre la máquina de la zona segura y la de operación normal. Ese intercambio de datos puede ser aprovechado por maleantes como lo confirma este artículo (http://bit.ly/2sv4tjN) que sugiere la existencia de software malicioso que “salta” entre una zona segura y una “normal”. En todo caso, si existe el intercambio de datos vía USB, tendríamos que prohibir la ejecución de programas desde esos USB. Pero insisto, aún con esta restricción, es riesgoso estar usando los USB entre ambos tipos de computadora.

En conclusión, es mala idea tener una PC para entrar a redes sociales y para entrar a administrar un servidor crítico. Es un mal plan tener una misma PC para recibir correo y desde ahí hacerle clic a decenas de sitios para luego interactuar con el servidor de nómina y realizar órdenes de pago. Hay un hueco cuando una misma computadora sirve para asuntos sensibles y para aquellas actividades típicas que debe hacer un empleado. Piénsenlo, hagan cuentas y decidan.

Secuestro de Archivos

2017-05-24T12:21:00.003-05:00

Secuestrar a alguien o a algo que es valioso para uno, es un crimen lucrativo para los delincuentes ya que se aprovechan del cariño o la necesidad de tener algo. En esta ocasión nos vamos a concentrar en el problema digital que significa el hecho de no tener a la mano nuestros archivos porque fueron secuestrados.

¿Qué significa que secuestren nuestros archivos? Pues bien, empecemos por el principio. Existe una técnica bien conocida en el área de seguridad informática que le llaman “cifrar”. Es un mecanismo para proteger la confidencialidad de la información para que solo quienes tengan la llave puedan acceder a ella. Es como tener en un baúl nuestros bienes más preciados y tener una o más llaves para que solo uno o un grupo de personas puedan abrirlo y tener acceso a esos bienes. Este concepto lo tenemos desde hace ya tiempo en los ambientes digitales y que ha servido y sigue siendo de utilidad todos los días para las personas que usamos dispositivos digitales y redes de comunicación.

Ahora bien, esta técnica para cifrar archivos está orientada a “los buenos” que tratan de proteger la información de las personas y evitar que sus datos sean vistos por entidades ajenas. Pero al igual que un arma que puede ser bien usada por un policía para fines benéficos o por un criminal para asaltar, la técnica del cifrado de archivos también puede tener otro lado de la moneda cuando cibercriminales la usan para delinquir.

Los delincuentes cifran la información de usuarios pero ellos se quedan con la llave. Y piden rescate para liberarla con el fin de “abrir” el baúl donde está la información. Si no hay pago, no hay llave. Y de hecho, al estar tratando con delincuentes, no hay garantía de que aun habiendo pago, sí vayan a dar la llave; estamos en la incertidumbre.

Los delincuentes apuestan a que los usuarios tendrán tantos deseos de recuperar sus datos que acabarán pagando. También apuestan a que el usuario no tendrá bien protegido su equipo o no tendrá respaldos de su información. Porque al secuestrar archivos de trabajo, fotos, tesis, reportes, información contable, planos de edificios, etc., saben que causan un daño.

Y que el usuario no desea trabajar horas y horas para volver a producir los documentos secuestrados. O quieren tener acceso a su información de años a atrás que les sirve como referencia, por ejemplo. O tan simple como que hay datos como las fotos familiares que son irremplazables y no hay copia (respaldo). U otros datos corporativos que simplemente son también irremplazables porque son auditables o los necesitamos por ley o para trabajar con ellos y son imprescindibles.

Ahí es donde entran los delincuentes: apuestan a que más de uno querrá pagar el rescate. Ahora solo necesitan secuestrar la mayor cantidad de computadoras posible para maximizar sus ganancias: aunque solo un porcentaje bajo esté dispuesto a pagar ya ganaron si la cantidad de sistemas se cuenta en miles o millones.

Los delincuentes crean entonces un código malicioso que le llamaremos “ransomware” que es un término proveniente del inglés. Este código malicioso infectará computadoras y como dijimos, entre más, mejor; y está especializado en secuestrar archivos.

Así es que todo se vale para infectar: enviar correos con adjuntos maliciosos, pedir a los usuarios que entren a sitios malignos o mejor aún: infectar computadoras sin que el usuario siquiera deba de llevar a cabo una acción.

Hace no poco tiempo todos nos enteramos por las noticias de un código malicioso llamado “WannaCry”. En varios medios noticiosos aparecieron notas describiendo que los usuarios reportaban una pantalla roja que decía que sus archivos habían sido secuestrados y pedía dinero en 3 días o duplicaría la cantidad de rescate.

Se trata precisamente de un “ransomware”. Y por cierto y como ya dijimos, este código malicioso tenía todos los elementos más nefastos: secuestra los archivos más preciados, los delincuentes conservan la llave, infecta una gran cantidad de equipos en poco tiempo y sin participación del usuario; por eso sus efectos negativos alrededor del mundo.

Este “ransomware” WannaCry aprovecha una vulnerabilidad informática de sistemas operativos de Windows, para la cual de hecho ya había una solución que había sido publicada por Microsoft antes de la aparición de WannaCry.

Sin embargo muchas empresas y usuarios en casa no la tenían instalada, ya sea porque lo dejaron para “después” o porque no reciben parches de seguridad de manera automática o porque tienen un Windows pirata, entre otras razones.

El secuestro de archivos es en más de una ocasión posible gracias a las malas prácticas de usuarios o áreas de tecnología en empresas. Por ejemplo en este caso en particular de WannaCry la acción preventiva era “sencilla”: instalar el parche de seguridad de Microsoft para Windows y de esta manera el “ransomware” perdía su poder y capacidad de infectar…era todo lo que había que hacer.

Así es que aprendamos la lección y no dejemos para mañana el parche o el respaldo que podamos aplicar hoy.

Destrucción de Documentos

2017-04-19T11:48:00.001-05:00

Crear información. Transferir esos datos. Usarlos para un objetivo útil. Y al final destruirlos. Simplifiqué al máximo el ciclo de la información y en este artículo quiero enfocarme en ese último paso que en muchas corporaciones puede no llevarse a cabo consistentemente. O tal vez nunca se haga.

Los documentos que tiramos a la basura contienen todo tipo de información desde la banal hasta la confidencial. Y si mientras “vive” en nuestras computadoras o archiveros le damos un tratamiento acorde a su sensibilidad (¿verdad?), no también deberíamos de hacer lo mismo al final de su vida?

Pero el primer problema es que la gente sepa que debe destruirlos. El segundo es que ¡no hay destructoras de papel! Buscamos y buscamos en los pasillos de la empresa y no hallamos uno. “Creo que vi uno en Legal, pero no sé si sigue ahí”, nos dice un colega.

La existencia de estos aparatos empieza a sonar como leyenda urbana; muchos dicen haberlos visto pero no hay uno a la vista. Así es que acabamos interrumpiendo nuestra búsqueda abruptamente y prefiriendo tomar al toro por los cuernos. “Lo haré yo, usando las manos lo trituraré y es el mismo efecto que la dichosa máquina esa”.

Pero pocas veces tenemos el cuidado necesario para realmente romper esos papeles sensibles en partes que realmente no sean recuperables. Así es que la mayoría de las veces rompemos los papeles un par de veces con las manos y listo, ya están destruidos y a la basura.

Pero tal vez en este punto estén pensando: “¿Momento, por qué tanto lío por papeles que van a la basura? ¿Qué loco va a estar hurgando en mi basura?” Pues al perecer sí hay locos. Los hay tantos que en inglés hasta existe un término: “dumpster diving”.

Bucear en la basura es un método efectivo para encontrar oro en la forma de papeles impresos. ¿O suponemos que nuestra corporación maneja información tan poco importante que nadie va a echarse un clavado a la basura en busca de datos útiles para un fin malicioso? Reflexionemos dos veces la respuesta.

Por lo tanto parece no ser suficiente romper documentos a mano limpia. Inclusive cuando uno lo hace usando un aparato que hace “tiras” cada papel arrojado, no hay seguridad de que sea irrecuperable.

¿No me creen? Busquen en internet “recover shredded paper” o “Unshredder”. Se sorprenderán de lo que encontrarán. Por ejemplo software que ayuda a un actor malicioso a escanear el papel destruido y trata de hacer sentido reconstruyendo cada pedazo de papel aparentemente desconectado del resto.

Y es que bueno, cuando uno hace tiras una hoja, pues el contenido sigue estando ahí revuelto entre otras tiras de papel, así es que basta paciencia para armar el rompecabezas con curitas y poder volver a tener acceso a la preciada información.

No por algo en las películas cuando el enemigo va a tomar una embajada, empieza a salir humo de los papeles quemados. Porque no los hacen tiras.

Destruir los documentos a través de “confeti” es más efectivo, pero como siempre, si ni siquiera hay una cultura de destruir papeles en la corporación, de nada sirve el último aparatito de moda o que haya el rumor de que existe uno en “Legal”.

Así es que a revisar la política de destrucción de papel en la empresa y ver cómo se está implementando para determinar si hay cultura de eliminación de documentos, si hay suficientes aparatos y si realmente sirven para su propósito.

Watering Holes

2017-04-19T11:44:00.004-05:00

Todos hemos visto el canal “Animal Planet” donde no solo hay videos de perros y gatos divertidos, sino que también y principalmente, documentales sobre animales. Mis favoritos son en donde los protagonistas son los leones…felinos fascinantes! En fin, en uno de estos episodios explicaron algunas de las técnicas de caza de estos depredadores y una llamó mi atención. Era época de sequía y no había muchos lugares para que los animales pudieran beber agua, así es que lo leones implementaron un plan inteligente.

En lugar de ir detrás de manadas de búfalos y demás víctimas, decidieron aguardar alrededor de un abrevadero. Ahí encontraron sombra de la vegetación que crece cerca de esos lugares y obvio, agua a disposición. Faltaba la comida. El plan era que esta vez no tenían que salir a buscarla por todas partes porque ¡la comida llegaba a ellos!

Los animales, en su búsqueda del vital líquido, llegaban por docenas al abrevadero. No tenían muchas opciones si no deseaban morir de sed. Así es que en el momento menos pensado mientras tranquilamente bebían, de pronto salía un grupo de leonas estratégicamente posicionadas para al menos abatir a una presa.

Gran plan.

Y con poco esfuerzo lograban su cometido en diversas ocasiones, hasta cierto punto de manera “fácil”. Probablemente desde hace cientos o miles de años los depredadores ejecutan esta técnica de caza. Nació el ataque “watering hole”.

Los atacantes cibernéticos ya han estado usando esta manera de cazar por varios años. Claro, no andan en búsqueda de búfalos ni cebras, sino de víctimas informáticas. ¿Cómo funciona su ataque?

Empecemos por al abrevadero a donde las víctimas deben de ir por algo que necesitan. En este caso es un sitio web válido. Por ejemplo, el depredador desea cazar a personas relacionadas con la seguridad física.

Entonces infecta un sitio web de venta de armas, o uniformes o de normatividad relacionada a ese ramo. Sabe que sus víctimas irán a visitar tarde o temprano este tipo de sitios válidos porque necesitan conseguir información o hacer una compra.

O por ejemplo si el atacante desea “conseguir” doctores, infecta un sitio legítimo relacionado a medicamentos, conferencias médicas o nuevos estudios clínicos. Sabe que los doctores irán a estos sitios porque es parte de sus funciones.

Necesitan ir al abrevadero. Una vez que la computadora del doctor visita el sitio web legítimo pero comprometido, a su computadora le llega un virus que infecta al equipo de cómputo. El doctor ahora y sin saberlo, bajó una infección informática a su equipo de cómputo que fue cazado por el depredador.

Ahora el sistema no solo es usado por el médico, sino también por “el león” que hace y deshace a placer. Roba información del galeno. O tal vez haga que el sistema comprometido envíe correos tipo “spam”. También el objetivo puede ser conocer el avance de un estudio médico de vanguardia para un fin malicioso.

La computadora está en poder del atacante. Está a su disposición.

El ataque “watering hole” no involucró ir a buscar a las víctimas. Ellas solas fueron por necesidad a visitar la página web legítima sin necesidad de que el atacante las forzara, no tuvo que hace uso de otras técnicas más tardadas y tal vez menos efectivas.

Este tipo de ataque funciona muy bien cuando el agente malicioso quiere ir contra computadoras de cierto grupo de personas. Gente de seguridad física, ingenieros civiles, investigadores académicos o diseñadores automotrices.

Es un ataque difícil de prevenir porque el hacker arremete contra sitios web válidos con los cuales la gente trabaja y no es posible simplemente cortarles la comunicación. Inclusive en ocasiones la comunicación hacia esos sitios legítimos tiene una seguridad informática relajada porque, bueno, después de todo son sitios web genuinos de los cuales nadie sospecharía. Todos asumimos que esas páginas web son seguras. Que no nos enviarán un virus porque confiamos en ellas.

-->

Es un abrevadero seguro. Tiene lo que necesitamos. Hay vegetación alrededor de él que nos da confianza y paz, además se ve muy tranquilo y ningún depredador tendría la osadía de estar espiándonos y buscando el momento justo para ir detrás de nosotros. Piénsenlo la próxima vez que visiten su sitio web preferido y de confianza.

La importancia de las políticas de seguridad de la información

2017-01-03T10:22:00.000-06:00

¿Qué es una política de seguridad de la información? Son lineamientos que reflejan la postura de una organización ante la necesidad de proteger su información. La política establecerá de manera general qué deben hacer los empleados y qué no, para preservar la confidencialidad, integridad y disponibilidad de los activos de información.

¿Debe de haber contraseñas para acceder a las computadoras? ¿Un usuario puede desinstalar un antivirus? ¿Un administrador de sistemas puede realizar un cambio en la configuración de un servidor sin avisar a nadie? Esta es la serie de temas que bien podría abordar la política para que quedaran claros los lineamientos que rigen la seguridad de la información en una empresa.

Sabemos ya qué es una política. ¿Pero quién la necesita? La respuesta es fácil. Todas las organizaciones. Es como preguntar qué país necesita leyes. Tal vez unos tengan leyes muy amplias, otros las tendrán muy generales pero es un hecho que habrá algún tipo de ley. Lo mismo pasa con la política de seguridad de la información.

Idealmente esta política debe de formalizarse, vigilar que se siga y sancionarse si no la cumplimos. La primera parte de “formalización” es para que no sea un papel sin valor o un pliego de buenos deseos que ojalá alguien cumpla.

De alguna manera hay que ver que tenga esa fuerza y cada organización tendrá sus mecanismos para formalizarla. La segunda parte referente a que “vigilemos que se siga” es donde debe de haber alguien que verifique su seguimiento.

Es como el reglamento de tránsito: una parte es que exista el documento y que sea formal, y otra parte es que haya agentes de tránsito vigilando su cumplimiento. La última parte de sancionarse es obvia y es cuando la patrulla levanta una infracción a un conductor que no respetó la luz roja del semáforo.

La política es importante para tener lo que comúnmente se llama “las reglas del juego”. Así habrá un orden y dirección. Los empleados deben seguirla para evitar que la Alta Dirección deje este asunto de seguridad de la información al criterio particular de cada persona.

Y si bien una política es importante, también podemos caer en errores al implementarla, por ejemplo:

¿Debe llamarse política de seguridad de la información? El nombre de este documento es lo de menos. Lo importante es el espíritu de la política. Pueden llamarle “lineamiento”, “norma” o “pautas”, siempre y cuando contenga las “reglas del juego”.
¿Debe de ser un solo documento? No nos equivoquemos buscando un solo documento maestro que aglutine todas las reglas de la política. Estas reglas bien pueden estar dispersas en diversos documentos con diferentes nombres. De nueva cuenta, lo de menos es tener un solo documento o doce: lo importantes es el espíritu de la política, difundirla y seguirla.
¿Debemos de llenarnos de reglas? Imagino una política kilométrica, con todo tipo de lineamientos a seguir para miles de actividades de todo tipo. A eso le llamaríamos sobre-regulación y el primer problema que enfrentaría una política así sería tener tiempo para si quiera leerla.
¿Debe de ser específica? La política tiene generalidades, no pormenores. Para aquellos asuntos que valga la pena tratarse al detalle, deberán existir otros mecanismos que describan el procedimiento o actividad específica y sí, siempre alineado a la política general.

En conclusión, si no hay reglas, regirá el caos. Cada quién hará lo que crea que es correcto con argumentos propios de por qué si debería o no debería de hacerse esto o aquello y la protección de la información quedará a la deriva.

La importancia de la política radica precisamente en eso: en poner orden, en generar lineamientos orientados a la protección de uno de los activos más importantes que es la información que manejan las organizaciones.

El Internet de las Cosas ¿Seguras?

2016-10-27T08:26:00.001-05:00

¿Qué es el internet de las cosas? El Internet of Things (IoT) es un término usado para todos aquellos aparatos diferentes a una computadora que tienen conexión a internet. Ejemplos sobran. Un refrigerador, una cámara de vigilancia vía web, una tele de las llamadas “inteligentes”, tal vez una lavadora o un tostador de pan. Son aparatos que tienen internet para diversos propósitos (por cierto, muchos de ellos, en verdad, inútiles).

Está la cámara que sin necesidad de una computadora envía video a internet para que el usuario lo pueda ver en su teléfono. O el refrigerador que “sabe”: ya no tiene leche y la compra automáticamente en el supermercado. ¿Un tostador? Todavía no entiendo para qué querría un tostador tener internet, pero eso no importa, no hay que quedarse atrás en esta moda de “todo conectado a internet”.

Hasta aquí todo va bien. Suena conveniente tener una cámara directamente conectada a internet. O adquirir la ya conocida tele con “apps” de internet para ver cómodamente y a la hora que uno quiera la serie de The Walking Dead. ¿Qué podría salir mal?

La respuesta es conocida: la seguridad. Los fabricantes de estos aparatos tienen en mente que sus productos funcionen para venderlos lo mejor posible. Pero no tienen a la seguridad informática como una de sus prioridades. O bien carecen de una seguridad aceptable, o de plano no tienen nada que los protejan.

Pero no nos quedemos en la teoría diciendo lo peligroso que podrían ser estos aparatos conectados a internet si Júpiter está alineado con Marte y Saturno. ¿Necesitamos alineación de planetas? No, en el mes de octubre un proveedor de internet sufrió un embate llamado “denegación de servicio”.

Es como sucede cuando regresamos de Cuernavaca en un puente: miles y miles de autos queriendo pasar por la caseta de cobro para entrar a la Ciudad de México en un corto periodo de tiempo. Las casetas no se dan abasto.

Los autos crearon una denegación de servicio porque por más que las casetas atiendan rápido e inclusive abran un par más de ellas, los autos siguen llegando. Y el servicio está degradado a tal punto que en cierto sentido, está negado. De ahí el término de denegación de servicio.

Lo que hacen los criminales en línea es de manera artificial enviar miles y miles de autos maliciosos a las casetas de cobro, para que los verdaderos vacacionistas tarden tanto en pasar la caseta que será casi como si la caseta estuviera cerrada. Denegación de servicio.

El truco radica en cómo crear autos maliciosos de manera artificial en cantidades exorbitantes para enviarlos a la caseta de cobro. Aquí es donde entran nuestros amigos del internet de las cosas.

Imaginen a esa cámara conectada directamente a internet. Supongamos que tiene una contraseña xc3511 para poder administrarla. Pero lo malo es que esa es por default, de esas que el fabricante pone en todos los modelos de un producto.

Basta que el hacker averigüe la contraseña de una para saber que todas las cámaras de ese modelo de ese fabricante tiene la misma por default xc3511 para poder entrar al dispositivo como administrador y adueñarse de la cámara.

Ahora creará un programa malicioso: buscará una y otra vez con rapidez este tipo de cámaras conectadas a internet. Y una vez que el programa las halle, de inmediato realiza una conexión con el password por default todopoderoso y ¡kaputt!

Miles de cámaras son controladas por el hacker. Y así hace con televisiones u otros aparatos conectados a internet que son vulnerables y que pueden ser controlados.

¿Ven a dónde va la historia? Los autos maliciosos son las cámaras y refrigeradores controlados por el hacker. La caseta de cobro es en este caso el proveedor de internet Dyn que presta servicios de conexión a por ejemplo Twitter.

Este proveedor sufrió en octubre una denegación de servicio de millones de dispositivos haciéndole peticiones de red inútiles con el fin de que los clientes de Dyn no obtuvieran el servicio de conexión. El virus que contagió a cámaras y demás dispositivos en la red tiene nombre: Mirai. Para más información de este suceso, busquen “Dyn DoS mirai”.

Es todo un reto mantener a las computadoras con una seguridad razonable, donde no existan contraseñas por default y tengan sus parches de seguridad. Imagínense ahora el reto de dejar en manos de los usuarios el hecho de cambiar las contraseñas por default de sus tostadores de pan. Y de estarles aplicando parches de software de seguridad a la cámara web o al refrigerador.

Me pregunto si los fabricantes del llamado internet de la cosas aprendieron la lección de hace ya varias décadas donde los sistemas de cómputo surgieron sin una seguridad en mente. Y eso costó y sigue costando caro a todos los que usamos la red.

El internet de las cosas nos parecerá algo conveniente “¡qué idea tan buena que mi foco tenga conexión a internet!” Pero tras bambalinas es un juguete más conectado con nula o mediocre seguridad informática y donde sin así quererlo, estaremos participando en ataques a gran escala contra internet, cortesía de nuestro tostador y tele “inteligente”.

El Producto Maravilla

2016-09-08T19:38:00.000-05:00

Antes de poder sentarme en mi lugar para empezar bien el día trabajando, recuerdo que debo de asistir a la presentación de un producto. No soy de los primeros en llegar, pero llego justo a tiempo. No falta la plática con los colegas mientras llegan los proveedores, disparando un par de bromas durante la charla para suavizar el ambiente.

No es raro que los proveedores lleguen tarde a las juntas, casi siempre ponen como pretexto el “tráfico de la ciudad”, como si fueran extranjeros y por eso no saben del caos citadino y claro, por lo tanto calculan mal sus tiempos. Así es que la espera es de 10, 15 minutos.

Por fin llegan los proveedores. ¿Dónde puedo conectar mi laptop al cañón?”, empiezan diciendo mientras uno les señala el cable del proyector. “¡Ah sí! Buenos días, perdón, cómo están? Qué gusto”, continúan diciendo y uno amablemente les devuelve el saludo.

Y claro, no podían faltar las disculpas por la tardanza: “Es el tráfico, ya saben.” Y uno asienta con la cabeza como diciendo “Sí, lo sé, entiendo”. Pues ya qué.

Mientras prende la laptop del proveedor, aparecen entremezclados momentos incómodos de silencio, donde todos nos vemos unos a los otros. Alguien rompe el disgusto y habla del partido de ayer. Por fin enciende la laptop y disparan PowerPoint.

“Les vamos a mostrar un producto innovador, algo realmente nuevo que no han visto jamás”. Empiezan las diapositivas de la presentación y ¡oh sorpresa! Inician hablando de la relevancia de la empresa con el típico “¿Quiénes somos?”. Diez o quince minutos aprendiendo del fabricante del producto.

Bla, bla, bla. Me aburre. Muchos premios, muchos clientes ultra importantes como agencias de tres letras. Una sinfonía de maravillas. “¿Bueno, y qué hace el producto innovador?”, piensa uno. Sigue siendo un misterio.

Pasan a la diapositiva 21…creo que por fin hablarán del producto. Uy no. Ahora toca el turno de “la importancia de la seguridad informática para las empresas”.

Y no puede faltar la explicación de lo que es confidencialidad, integridad y disponibilidad. Como si no lo hubiera visto mil veces. Pues esta es la 1001. Seguido de por qué una empresa debe de atender los asuntos de ciberseguridad, y chorro-mil estadísticas de ataques informáticos alrededor del mundo y cientos de consecuencias negativas. Me aburre más, necesito café.

Ya han pasado casi 30 minutos. Todavía no sé qué hace ese producto maravilla. Veo caras de mis colegas de tipo “No pienso darles más de la hora asignada”; ¿Mmhh, o de hecho soy yo el único quien tiene esa cara? En fin. Y de pronto: habemus producto.

¡Empiezan a hablar de lo único interesante! Inician con la arquitectura del producto dentro de la infraestructura de TI. Para variar, la solución necesita un agente, un software instalado en cada una de las PC. Típico.

Otro agente más que debe ser instalado y mantenido en cada una de las computadoras; y pregunto de inmediato: “Y no pasa que luego de un par de meses, los agentes empiezan a desconectarse y esto es una pesadilla porque la consola central no los ve y no los puede administrar?” La respuesta llega en automático: “Claro que no, eso no le pasa a este producto, vaya pregunta”.

“Ajá, claro”, pienso yo. Y sigue la charla de cómo un agente establece comunicación con la consola central y cómo puedes hacer reportes con todo tipo de gráficas.

“Un momento”, interrumpe un colega. “Faltan 10 minutos para que acabe la sesión y todavía no sabemos qué hace el producto”. Yo río internamente, tiene mucha razón. Están por terminar y nadie todavía sabe qué hace ni cómo nos puede ayudar: han tenido la habilidad para hablar mucho y no decir nada.

Así es que por fin dejan de ver la pantalla con el PowerPoint, toman asiento, nos ven a la cara y hablan del producto.

“Detecta virus como ningún otro producto lo ha hecho”. Y uno piensa “Wow, tanto espectáculo para hablar de un vil antivirus?” Empiezan a hablar maravillas y de cómo apoya la misión y visión de toda empresa. De cómo los jefes nos felicitarán por la buena compra. Y que no hemos visto nada igual. Pero que no nos confundamos, porque este no es cualquier antivirus, y que de hecho es un grave error llamarlo antivirus porque es un “advanced APT detector” o ADD.

Claro, no podía faltar el término obscuro en inglés para tratar de impresionar. Aquí puse el ejemplo de un supuesto antivirus, pero realmente pueden sustituirlo por cualquier otra herramienta de seguridad informática: firewall, IDS, etc.

Acaba el tiempo. “¿Conclusiones?”, pide uno como cliente ya para dar por terminada la junta. Vomitan más adjetivos deslumbrantes del producto. Y yo pregunto: ¿Podemos hacer una demo, aquí en producción?” Al menos la respuesta es afirmativa.

Y resulta que después de varias semanas de armar un laboratorio donde probarán sus juguetes, sale el cobre: a final de cuentas no era un producto innovador. Ni avanzado en nada.

De hecho su consola está verde. Y el software presenta varias fallas. “Eso lo podemos arreglar de inmediato”, contestan, y uno piensa “¿Pues que no debería de servir ya a la primera si tan bueno es”?

En las presentaciones en PowerPoint todo es hermoso y funciona a la perfección. Las gráficas deslumbran y las animaciones cautivan.

La dama de ventas que asiste a la junta convence con su pura presencia. Hasta dan ganas de firmar y comprar ahí mismo; no hay lugar para esperar.

Pero como todo producto, hay que probarlo. Y no en un ambiente controlado, sino en “la vida real” donde lo enfrentaremos a los retos cotidianos y a la convivencia con otros productos de TI y claro, a los usuarios.

Ese es mi consejo: que un producto visto en PowerPoint pase la prueba del añejo instalándolo en computadoras e infraestructura de la propia empresa y que demuestre de qué está hecho.

Y por cierto, ya no recuerdo el último producto innovador y maravilloso que realmente fue así en la vida real, creo que fue de hecho hace ya varios años…

Cómo desincentivar el uso de gestores de contraseñas

2016-07-30T13:38:00.000-05:00

Una llave de oro abre todas las cerraduras.- Christoph Wieland

Desde hace años accedo a ese sitio en internet y siguiendo una de las recomendaciones de seguridad informática, uso una contraseña difícil de adivinar. Dado que este portal también pide token para acceder a él, mi contraseña no es demasiado compleja y tiene solo 10 caracteres.

Recordemos: un token genera contraseñas dinámicas diferentes cada vez que lo prendemos. Sirve como segundo factor de autenticación.

También sigo otra sugerencia de seguridad informática: usar un gestor de contraseñas.

¿Y eso qué es? Existen decenas si no es que cientos de contraseñas usadas por las personas para entrar a diferentes sitios en internet o en la empresa. Sin mencionar contraseñas del ruteador de la casa para entrar al WiFi, el de la computadora personal, etc.

Los gestores de contraseñas son programas que las guardan para evitar recordarlas. Ese gestor pide una sola contraseña de acceso, pero con esa sola llave, me permite acceder al resto de llaves. Es como un llavero: colecciona la llave de Twitter, FaceBook, GMail, etc. También un gestor permite usar diferentes contraseñas.

Los gestores pueden de manera automática ponerlas cuando un sitio las pide, o bien, uno puede entrar al gestor y copiarla para pegarla en el portal. Ambas opciones son válidas.

Mi sorpresa fue cuando ese sitio mencionado al inicio, de un día para otro impidió usar mi gestor. Intenté, como siempre, que el gestor detectara el sitio para poner de manera automática la contraseña: no sirvió.

El portal estaba rechazando esta forma de ingresar la contraseña. ¿Cómo acceder ahora al sitio? Fácil, pensé; hay otra manera. Entro al gestor, copio la contraseña y la pego en la página de internet.

¿Qué sucedió esta vez? El portal rechazó pegar la contraseña: ni con las teclas (CTRL-V), ni con el menú del navegador...no hubo forma. "Increíble", pensé. Los encargados del sitio impidieron hacer esto en su página.

¿Pero por qué? Imagino: Chavita, de seguridad informática, tuvo esta idea porque, según él, así es más seguro. No tenía muy clara la razón, algo leyó "por ahí" y un día lo propuso en la empresa: lo vendió como una "mejor práctica". Este argumento nunca falla.

Durante la reunión, Chavita titubeó antes de decir palabra alguna, pero explicó: podría ser que un virus robara la contraseña al momento de copiar-pegar. También comentó: los usuarios podrían tener sus contraseñas en un archivo cualquiera en su computadora y de ahí copiar-pegar. Y eso no es seguro: tener una contraseña dentro de un archivo Word o Notepad sin protección.

Notemos el uso de las palabras "podría ser". ¿Nunca expuso casos concretos o alguna referencia? No, con tan solo unir los conceptos de "mejores prácticas" y el famoso "podría ser", por arte de magia todos le creyeron.

De inmediato le dieron la instrucción al encargado del sitio para impedir pegar contraseñas en el portal. Nadie cuestionó que los virus tienen otras varias formas de conseguir una contraseña, por ejemplo: cuando un usuario la teclea (con programas llamados keyloggers).

Tampoco nadie comentó que los hackers desean robar cientos o miles de contraseñas en un solo robo: un solo golpe maestro. Por eso centran sus esfuerzos en hurtar grandes cantidades de ellas de sitios de internet en lugar de robar una contraseña a la vez de cada equipo personal de los usuarios.

¿Qué hago para acceder a ese sitio? A veces abro el gestor, memorizo un tramo de la contraseña y la escribo manualmente en el sitio y así de manea sucesiva hasta completar los 10 caracteres.

Otras veces abro NotePad, pego ahí la contraseña y dejo la ventana del sitio y la ventana de Notepad abiertas al mismo tiempo para ir ingresando mi contraseña manualmente. Como dice Chavita que debe de ser.

Pero Chavita no pensó en el esfuerzo para usar gestores de contraseñas porque tienen diversos beneficios. Y estos sitios que impiden el uso de copiar-pegar para contraseñas solo limitan y dificultan el uso de los gestores.

A menos que encuentre trucos (busquen en internet: "Enable Copy-Paste in Web Pages That Disallow It"), haré lo indicado por Chavita respecto a la "mejor práctica" para evitar que una amenaza "pudiera" robarme mi contraseña.

Y a ti Chavita te digo: de nada le serviría a esa amenaza tener mi contraseña. Porque cada vez que quiero entrar a tu sitio, también pide una contraseña dinámica única y diferente proporcionada por el token y solo yo lo poseo.

Cómo explotar una vulnerabilidad informática

2016-06-25T15:48:00.000-05:00

¿Cómo un hacker explota una debilidad informática? Leemos en las noticias: "explotaron" una "debilidad" y lograron entrar sin permiso a un sistema. Listemos los tipos de huecos comunes de sistemas informáticos:

Configuraciones inseguras.

Obsolescencia de mecanismos de seguridad.

Vulnerabilidades en software.

1.- Configuraciones inseguras. El personal de TI configura los sistemas. Por ejemplo, cuando la computadora nos pide ingresar una contraseña o nos obliga a tener más de 10 caracteres, es porque la gente de sistemas así lo configuró.

¿Podemos por ejemplo configurar en nuestro móvil una contraseña de acceso? Sí, y es deseable porque si lo perdemos, alguien más no podrá usarlo. Imaginemos: configuramos la contraseña de un solo número. Cuando lo extraviamos, el atacante ingresará un 1, luego 2 y así hasta el 9. Un número de esos nueve lo desbloqueará. Desgraciadamente ya logramos configurar con inseguridad. Lo mismo sucede al hacerlo con los sistemas y pueden quedar inseguros.

¿Un atacante es feliz de encontrar una deficiente configuración? Sí, y lo será más sabiendo de la existencia de sistemas y software configurados por default, el cual no tiene garantía de ser seguro (aunque venga "de fábrica") como lo demuestran numerosos casos. Los "defaults" persiguen que un sistema opere y funcione de manera fácil; la seguridad es secundaria.

2.- Obsolescencia. Las puertas de los autos tenían una seguridad basada en una llave con cerradura hace 30 años y en su tiempo proveía protección. Pero los ladrones ya saben cómo abrirlas y los autos modernos usan nuevas tecnologías para impedir el robo de la unidad. La cerradura ochentera es obsoleta. Lo mismo sucede con varios mecanismos de seguridad informática de hace 30 años: no resisten ataques modernos que usan novedosas técnicas.

Quedan indefensos ante poderosos ataques, rompiendo la antigua seguridad.

¿Vemos circular autos de hace 30 años con la misma seguridad de antaño? Desde luego e Igual hay sistemas de hace 3 o más años operando aún con mecanismos del pasado. Recordemos: en tecnologías de información, "el pasado" fue hace algunos meses.

Un sistema obsoleto es resultado de varias causas:

Si funciona, para qué actualizarlo?
Cuesta tener uno moderno.
Ignoramos que un sistema viejo es inseguro por los mecanismos de seguridad empleados.
Negligencia porque "hay cosas más importantes en la lista de pendientes" y "luego lo haremos".

3.- Vulnerabilidades en software. Un programa son instrucciones seguidas por un sistema. Word es software, también PowerPoint o un navegador de internet. Un atacante encuentra un hueco de seguridad cuando las instrucciones están mal planteadas o incompletas, logrando una acción imprevista. Por ejemplo, imaginen estas instrucciones para beber:

Toma el vaso

Llévalo a tu boca.

Ingiere el contenido del vaso.

El atacante vierte un laxante en el vaso, si la intención era beber agua, entonces ya logró lo imprevisto: la víctima irá al sanitario en los próximos minutos. También el atacante puede dar múltiples vasos con agua.

La víctima beberá uno tras otro porque las instrucciones así lo dicen, causando malestar estomacal. Si el vaso contiene un sólido (pollo), la víctima deberá "beberlo". ¿Qué pasa si está vacío? Tal vez tenga veneno. ¿Y si es un vaso con agua recién hervida?

El programador de software pensó en estas 3 simples indicaciones "claras" para beber agua de un vaso. Simple. Pero el atacante logró encontrar deficiencias en las instrucciones. Esos "huecos" fueron aprovechados para crear situaciones imprevistas no deseadas con consecuencias nefastas.

¿Queda claro el ejemplo? Los desarrolladores de software programan código (instrucciones para el sistema). Y a veces las instrucciones deben enfrentar pruebas no pensadas ideadas por atacantes para hacer daño. Cuando la víctima beba veneno, ella morirá: el hacker encontró un hueco de seguridad en las instrucciones permitiendo "matar" al sistema, o al menos obligarlo a hacer una actividad maliciosa.

Este artículo pretende acercarnos a estos términos para incrementar nuestra capacidad de entender la información publicada en diversos medios de comunicación. Aprovechémosla y leamos con nuevos ojos el próximo artículo de "esos de sistemas".

Seis reglas para escribir correos que ahorran tiempo

2016-06-04T20:17:00.003-05:00

Todos los días escribes correos. Evita perder tiempo escribiéndolos. Logra que el destinatario entienda lo que deseas rápidamente. Las reglas:

Un asunto breve que describa el tema.

Máximo 5 oraciones (quitando el saludo y despedida).

Un espacio entre cada oración.

Una idea por oración, no te repitas.

Máximo dos líneas por oración, una es mejor.

Ve al grano, sé conciso.

Ejemplo 1:

Buen día.

Imprime por favor la presentación de fortaleza de contraseñas para la junta de mañana.

Que esté en blanco y negro.

Verifica que el video que demuestra el hackeo a contraseñas de 8 caracteres pueda verse en la computadora de la sala de reuniones.

Gracias y nos vemos mañana.

Ejemplo 1 sin aplicar reglas:

Hola buen día. Ves que tenemos una junta mañana de fortaleza de contraseñas donde mostraremos una presentación. Para esta reunión, seguramente la gente necesitará tener dicha presentación de forma impresa. Sin embargo no debe de estar en color, sino mejor en blanco y negro, ya sabes, no vaya a haber opiniones de que gastamos tinta a color, así es que mejor como dije, en blanco y negro. Ahora bien, la presentación recuerdas que tiene un video, no? Pues bien, necesitamos que este video que demuestra cómo hackear contraseñas de 8 caracteres en unos cuantos minutos se pueda ver realmente durante la junta en el proyector (ya sabes, el video que tú mismo hiciste para esta presentación), así es que de favor pon el video en el sistema y verifica que se pueda ver, es muy importante que se pueda ver en esta máquina de la sala de juntas, como ya dije. Y obviamente ponlo antes de la junta para esta verificación, no después de la reunión. En fin y ya para concluir, sin más por el momento te lo agradezco enormemente y pues no hay más, nos vemos mañana en la junta y bueno, ya con todo preparado, no?

Ejemplo 2:

Hola.

La propuesta es entregarte el informe mañana por la tarde.

Tenemos primero que investigar las diversas fuentes de la noticia en internet para insertarlas en el reporte y validar que son confiables.

Dime de favor si deseas el documento impreso o te lo envío por correo.

Estamos en contacto.

Ejemplo 2 sin aplicar reglas:

Hola hola.

En este mismo correo me pides un informe. Pues bien, tengo varios pendientes durante la mañana, debo de revisar un reporte de incidentes y realizar otras tareas más; y sí, para este informe debemos de hacer una amplia investigación en muchos sitios de internet porque como nos pides, el reporte debe de tener referencias y no solamente, también veremos que sean confiables y de una fuente fidedigna para evitar sorpresas que no queremos al final, ya sabes que no nos conviene y es lo que siempre nos has pedido. Así es que he hecho cálculos, y me he hecho un espacio hoy por la tarde y mañana por la mañana, eso significa que puedo entregarte una pequeña propuesta mañana por la tarde, pero bueno, es un primer borrador, no lo tomes como una versión definitiva, de ahí que es una propuesta. Y pues nada, ya solamente resta que me digas cómo lo estarás necesitando este reporte, porque te lo podemos entregar impreso pero también como siempre está la posibilidad de enviártelo sencillamente por correo, pero como no sé qué deseas realmente en esta ocasión, pues mejor pregunto y ya tú me dirás qué te parece que es la mejor opción para no errarle; recordarás la vez que me pediste que fuera por correo y te lo llevé impreso y bueno, fue todo un lío, básicamente no quisiera que eso pasara de nueva cuenta (y tú menos), así es que espero tus indicaciones de favor para proceder y hacer lo mejor. Así es que es todo por el momento, no te distraigo más porque debes de tener mucho trabajo, así es que me quedo en espera de tu amable respuesta para saber lo que tengo que hacer y entregarte el informe exacta y precisamente como lo deseas, un saludo y ahora sí ya no te quito más el tiempo.

Ejemplo 3:

Buen día.

La propuesta de correo que me envías para advertir a los empleados del phishing que llegó hoy por la mañana es muy extenso, favor de redactarlo en media página.

Eliminar el párrafo donde dice que si les llega a su buzón, lo reporten a la mesa de ayuda; el antiphishing ya lo está bloqueando.

Por favor mándamelo antes de las cinco.

Lo leo y te enviaré mis comentarios para que los revises con tu jefe y si está de acuerdo, envíenlo hoy.

Salgo como a las 6, si hay dudas me hablas de favor.

Un saludo.

Ejemplo 3 sin aplicar reglas:

Muy buenos días, te comento que ya recibí lo que me enviaste respecto a el correo para mandar a los empleados una advertencia de este phishing que está llegando desde hoy por la mañana y que anda inundando los buzones de las personas. Fíjate que ya lo leí de inicio a fin, y sí está muy bien, muy completo, con todo lo que te pedí. Pero lo siento que está muy largo, no sé, se siente que no va al grano, da vueltas aquí y allá, y siento que la gente no lo va a leer, yo creo y opino que debe de ser reducido, como que tiene muchas palabras innecesarias y se repite, se repite mucho y eso no es agradable, porque como ya dije, la gente no lo va leer. Además vi el párrafo donde dices que si por alguna extraña razón les llega a su buzón, es decir, su bandeja de entrada, pues lo reporten a nuestra mesa de ayuda de la empresa y bueno, yo sí creo que realmente este dato está de más, el párrafo, me refiero, yo lo eliminaría, sabes? Porque como ya nos dijeron, este mensaje phishing ya lo están bloqueando actualmente y entonces básicamente está de más decir que lo reporten a la mesa de ayuda porque les vamos a contestar que ya lo estamos bloqueando y entonces no tiene caso que lo reporten, no? Mejor así. Yo sí estimo necesario que de favor me lo puedas estar enviando hoy antes de las 5 (no después de las 5), pero tiene que estar bien hecho ya con todo lo que comenté. Una vez que me lo mandes yo le echo un ojo, veo cómo está y voy a ponerte comentarios en el mensaje, para que todavía tú luego vayas con tu jefe y se lo muestres a ver qué le parece y recabes sus comentarios y ver si desea cambiar algo, para eso lo revisarías con tu jefe, y si sí tiene comentarios pues habrá que ponerlos en el texto, seguramente así lo va querer, y si ya todo está bien pues entonces sí que es necesario e importante que lo envíen hoy mismo, pero solo si tu jefe está de acuerdo, recuérdalo, no lo envíes de otra forma, por ningún motivo. Y bueno, de hecho ya no te robo más el tiempo, solo me gustaría agregar que hoy salgo como a las 6 porque llegué temprano hoy y debo salir a un compromiso que no puedo llegar tarde, entonces te encargo que si tienes dudas después de las 6 pues básicamente te sientas en la libertad de llamarme para alguna duda que pudieras tener, esto con el fin de que te aclare cualquier cuestión y no haya dudas sin resolver; insisto, realmente no me molestarás si me llamas, por eso mismo te lo estoy diciendo, ok? Bien, pues ahora sí eso es ya todo, te dejo y pues como quedamos, no?

Ejemplo 4:

Hola.

Terminamos la revisión de seguridad del servidor y arroja 5 debilidades críticas.

Pedro los contactará hoy por la tarde para revisarlos, aclarar dudas y definir la fecha en la que nos pueden dar un plan de trabajo para atenderlas.

Las soluciones no deben de aplicarse mas allá del próximo martes 23, favor de tomarlo en cuenta.

Gracias.

Ejemplo 4 sin aplicar reglas:

Buena tarde.

Como nos lo pediste, ya concluimos de revisar la seguridad del servidor y sí nos preocupa que existan 5 debilidades que son bastante críticas. Recordarás que Pedro de mi equipo está viendo este tema por lo que le he pedido que les eche una llamada hoy por la tarde para en conjunto revisarlos y que se puedan aclarar dudas de ambas partes y como siempre, sí definir una fecha en la que puedan darnos un plan de trabajo completo para que atiendan todas estas 5 debilidades que encontramos. Ahora bien, yo sí creo realmente que la solución a estas debilidades no debe de pasar más lejos del martes 23 y esto es algo que les pido encarecidamente que se pueda cumplir en su plan de trabajo que nos enviarán, de favor tengan en mente esta fecha para no pasarse de ella, como ya dije. Y bueno, dudas con Pedro de mi equipo que obviamente está al pendiente de este asunto y ustedes tómenle la llamada que les hará, de favor, no dejemos estas 5 vulnerabilidades críticas sin darle la debida y oportuna atención, hasta luego.

Un software que facilita la vida en internet

2016-06-04T11:34:00.005-05:00

Te comparto mi artículo de TechTarget.

Seguridad en la Información de las Laptops Corporativas

2016-05-14T23:22:00.001-05:00

Hoy en día no todos los empleados trabajan en su lugar todo el día. Las necesidades desde hace años es que las personas tengan que salir de su lugar laboral; por ejemplo consultores, agentes de ventas, proveedores o gente que debe de salir a supervisar una actividad fuera del lugar habitual del trabajo.

Si bien la opción podría ser una tableta o hasta un teléfono, cuando es necesario redactar documentos o largos correos, muchas personas eligen mejor usar una laptop para poder escribir cómodamente y manejar hábilmente el ratón. Es entonces cuando deciden que lo mejor es usar la laptop para ahí depositar o acceder a información de la empresa con la cual se debe trabajar. Y cuidado, hoy en día se proporcionan laptops y no las PC por la simple comodidad de poder llevarla a una sala de juntas o llevársela a la casa para seguir trabajando allá, así es que no es solamente una solución para aquellos que salen de sus corporativos periódicamente.

Ahora bien, qué sucede con su seguridad? Y no me refiero al equipo como tal en caso de que sea robado o extraviado, me ocupa algo mucho más valioso que los pocos miles de pesos de la laptop: la información que en ella se deposita.

¿Y cómo proteger esa información? Si bien hay varias medidas que se pueden seguir, a continuación les presento algunas básicas.

Antivirus. No tener un antivirus es un suicidio digital. Y tenerlo instalado de adorno, es decir, que no esté actualizado, es estar a un paso del desastre. Si es una laptop corporativa, debería de tener ya el producto de la empresa, pero no sobra verificar que se tiene y estar seguro de qué manera se actualiza (no se alarmen, la actualización es automática, solo hay que revisar que así esté configurado).

Actualización de software. Hay parches de seguridad que se publican frecuentemente por parte de los desarrolladores de software. Compañías como Microsoft, Apple o Adobe lo hacen y si bien el sistema puede estar configurado para recibirlos automáticamente, esto no siempre sucede así. Los parches de seguridad corrigen debilidades del software que son aprovechadas por atacantes en internet. Por eso es de vital importancia mantener el sistema al día para evitar situaciones de riesgo con nuestro equipo.

Hay que tener especial cuidado, porque es seguido que uno pone atención en mantener actualizado el sistema operativo (por ejemplo Windows), pero uno ignora a las aplicaciones que en él viven como podría ser el Adobe PDF Reader, el navegador Chrome o las miles de aplicaciones que podemos instalar en la laptop. Estas aplicaciones también reciben actualizaciones de seguridad y es importante instalarlas al igual que las que se publican para los sistemas operativos.

Cifrado del disco. Imaginen este escenario de riesgo: robo o extravío de la laptop. Como dijimos, lo de menos es el costo del equipo, lo más relevante es la información que ahí está almacenada, como datos personales de clientes, planos de instalaciones de seguridad, proyectos, correos sensibles, documentos financieros, y un largo etcétera que puede resultar en una fuga de información involuntaria.

Así es que, qué podemos hacer para evitar que si alguien roba o se encuentra la laptop previamente perdida no pueda acceder a nuestra información? Pues bien, una solución ideal es cifrar los datos del equipo y si es de la empresa, habrá que regalar una llamada a la mesa de ayuda o los amigos de Sistemas para preguntar qué solución tienen y que se pueda usar. Bastará con seguir sus recomendaciones. Ante el escenario de que no tengan una solución, consultar si es posible que uno mismo instale una de su preferencia; me sorprendería que se negaran. Hay varias soluciones que están disponibles en el mercado.

Por ejemplo Windows tiene una propia llamada BitLocker y dependiendo de la versión de Windows, esta herramienta ya viene incluida y no hay costo adicional por tenerla. Para Mac tenemos FileVault e igualmente puede ser que ya venga incluida. Hay soluciones comerciales con costo y como siempre, soluciones de software libre que hacen un buen trabajo también (por ejemplo VeraCrypt).

Así es que ya sea que usen una herramienta que proporcione el propio Microsoft Windows o Apple OSX, o bien una solución comercial o de software libre lo importante es que la hagan y la usen. Lo último que queremos es que seamos los culpables de que información corporativa salga a la luz pública y que tengamos que afrontar las consecuencias.

Contraseña de inicio. Es necesario decir que es importante tener una contraseña de inicio de sesión, esa que tenemos que introducir cada vez que prendemos la computadora o cuando la dejamos desatendida por varios minutos. Esto protege a la laptop de atacantes que deseen entrar a la laptop y que ¡oh bonita sorpresa! se encuentren con un sistema desprotegido cuando la prenden.

Respaldo de información. En la laptop se trabaja con información que debe de ser respaldada en otro medio. El escenario de riesgo aquí es donde el equipo se pierde, ya saben, eso casi no sucede. Si ahí teníamos documentos en los cuales estábamos trabajando, pues los habremos perdido para siempre. De nueva cuenta, vale la pena una llamada a la mesa de ayuda de la organización para saber cómo hacer estos respaldos y en caso de que no se provea, tener notros una herramienta; muchas de ellas de hecho ya son en la nube y se envían allá los datos que viven en el sistema; si eligen la nube, fíjense que sea una nube PIE (Pre Internet Encryption) donde los datos son cifrados antes de ser enviados.

En conclusión, no debemos dejar a la buena suerte la información de la laptop. Es importante ser proactivos y verificar cómo se están protegiendo los datos. Y aclaro que estas medidas son básicas, pero su profesional de seguridad informática de confianza les podrá ampliar y detallar estas medidas y decirles un par más de utilidad.

Cómo seleccionar personal para su área de seguridad informática

2016-04-19T14:38:00.003-05:00

TechTarget publicó un artículo mío, se los pongo a su disposición.

La Importancia de las Cifras

2016-04-09T08:35:00.000-05:00

Siempre que tengo unos minutos disponibles, leo la columna de Sergio Sarmiento. Considero que sus opiniones sobre el entorno político nacional e internacional son interesantes y de relevancia. Particularmente me llamó la atención su artículo del 8 de abril del año en curso, en el que expresa sus dudas sobre las cifras que maneja el gobierno de la Ciudad de México en torno a las 22 mil muertes prematuras en un año asociadas a la mala calidad del aire. Lo anterior enmarcado en el nuevo hoy no circula de la capital.

En su artículo, toca el tema de que estas cifras pareciera que no tienen un sustento claro. El periodista solo ubicó un dato certero de la Cofepris que indica que en el año 2010 hay reportes de entre 2,000 y 4,000 defunciones al año causadas por partículas inhalables que están en la atmósfera. Sin embargo no logró encontrar más datos duros que sustentaran fehacientemente las 22 mil muertes anuales ya mencionadas en la capital y asociadas a la contaminación.

Por otro lado, el periódico Milenio en su sitio de internet, publicó el 8 de abril una noticia referente a un hackeo de la página web de un candidato para gobernar un estado de nuestro país. En ese informe, la reportera Isabel Zamudio comenta que el hackeo sucedió la madrugada del jueves (supongo que se refiere al jueves 7 de abril) y que se usaron hackers de nacionalidades como la de Estados Unidos, Rusia y Asia. También agrega que el hackeo usó recursos millonarios.

Al leer el artículo de Sergio y la noticia de Isabel, de inmediato correlacioné ambos casos donde pareciera que hay datos no verificados que salen de alguna fuente no especificada y poco clara. En particular sobre la noticia del periódico Milenio, me quedan varias dudas.

¿Cómo pudieron saber tantos datos en tan poco tiempo? Interpreto por el reporte que el sitio fue afectado el jueves 7, y un día después ya sabían desde dónde había sucedido y cuánto había costado. Tal vez el primer dato se puede obtener rápidamente en unas horas, aunque yo preferiría tener más tiempo para tener una mayor seguridad antes de hacerlo público. Sin embargo el costo es más complicado y desconozco cómo pudieron “definirlo” en tan poco tiempo.

¿Cómo estimaron que se usaron millones para el hackeo del sitio web? La noticia no establece si son millones de pesos, dólares u otra moneda, ahí está otra duda. Tampoco ofrece una cifra concreta, sino solo se limita a informar que fueron “millones”; pero ni hablar, de alguna manera lograron en muy poco tiempo hacer una estimación de este dato.

¿Un hackeo a un sitio web involucra millones? Sé qué puede implicar técnicamente poder afectar un sitio web y aunque me atrevo a generalizar, estimo que no cuesta millones de pesos o dólares dado que técnicamente no es algo complejo; obvio, depende de las protecciones de seguridad con que cuenta el sitio, y parto del supuesto de un sitio con seguridad promedio o un poco debajo del promedio. Y por cierto, me llama la atención que se haya comentado que utilizaron hackers de diversas nacionalidades; al parecer afectar ese sitio no se pudo realizar por alguna razón con recursos mexicanos.

Cuando leí la noticia del hackeo al sitio, simplemente me hice esas preguntas pero no le dediqué más tiempo; de hecho tal vez con esos datos no se tomen decisiones que afecten a muchos. Sin embargo en el caso de la opinión de Sergio, pareciera que se pudieran estar tomando decisiones que afectan a un número importante de personas con base en cifras que pudieran no estar bien identificadas o que no se está difundiendo su fuente con claridad.

En mi opinión y en nuestro campo de acción, ya sea por ejemplo la seguridad física o la informática, creo que es importante tener claro de dónde se obtienen cifras y estadísticas porque en más de una ocasión estaremos tomando decisiones con base en ellas y que por ejemplo estarán afectando el rumbo de la seguridad dentro de nuestras organizaciones o afectando presupuesto.

Cuando no hay claridad en la fuente de información o está ambigua (recuerden el costo de “millones”), debemos exigir que se clarifiquen y se concreten, igual que transparentar la fuente de donde viene ese dato.

Decir que existen “muchas infecciones de virus al mes”, “desde Asia intentan vulnerar el perímetro” o mi preferida: “evidencias de que no seguimos las mejores prácticas”, significa que estaremos arrojando de alguna forma datos, pero sin un significado real.

De hecho, existen ocasiones en que no queda muy clara la manera de obtener un indicador y otras más donde no hay una sola manera de lograrlo y cada quien lo obtendrá siguiendo una metodología diferente. El ejemplo puede ser si nos preguntan “cuántos ataques recibes al mes” o “cuántos intentos de ataques recibes al mes”: cada quien podrá tomar en cuenta diversas fuentes de información y criterios para llegar a un número, que sobra decir, será subjetivo y por lo tanto no será comparable.

En fin, sirva el presente artículo para reflexionar sobre este asunto y estar al pendiente de cuando nos presenten “cifras” que realmente son ambiguas, sin sustento claro o cuya fuente no es especificada.

"7 recomendaciones para darle seguridad a tu Linux" por Fausto Cepeda

2016-02-16T13:32:00.001-06:00

Mi artículo.

La Importancia de los Planos

2016-01-15T19:38:00.000-06:00

Las áreas de seguridad física y de arquitectura son ejemplos claros de áreas que manejan planos de manera intensa. Los primeros usan los planos de instalaciones por ejemplo para hallar puntos vulnerables de acceso o para plasmar los requerimientos de las ubicaciones exactas de controles de seguridad como detectores de incendio o cámaras CCTV. Sobra decir las razones de los arquitectos para usar planos de edificios, basta decir que los usan diariamente para sus labores de construcción o remodelación.

Normalmente a los planos no se les trata con un cuidado especial, son como cualquier otro documento de trabajo que se usa por diversas áreas de la organización y hasta por proveedores. Sin embargo los planos de un inmueble pueden llegar a ser de alta relevancia, sobre todo dependiendo del tipo de instalación del que se trata.

Por ejemplo hablemos del sector penitenciario. Si un reo tiene la intención de escapar, él y sus cómplices bien pueden hacer uso de estos planos para construir un túnel que consiga alcanzar exactamente el baño de su celda para por ahí iniciar su huida de película. Otro ejemplo sería algún edificio donde se guarde dinero o algún otro valor donde los planos puedan servir para construir túneles o que sean de utilidad para planear un hurto.

Por lo tanto es importante mantener la seguridad de planos que sean de relevancia y que podrían llegar a tener un mal uso si caen en manos maliciosas. A continuación identifico algunos de los riesgos asociados al manejo de los planos y propongo algunas posibles medidas que se pueden seguir para incrementar la seguridad de los mismos.

Evitar dejar desatendidos los planos en impresoras. Es común que se deban imprimir planos para algún fin. Y también es común que uno vaya pasando y que dichos planos se puedan encontrar en la impresora ya que su dueño no tuvo el interés de ir por ellos o los va a recoger “luego”. Una medida para mitigar el riesgo es crear una política que establezca que toda impresión de planos debe de recogerse de inmediato o bien, proteger electrónicamente a los planos de tal manera que se impida su impresión en primera instancia.

Cifrar planos enviados por correo o medios electrónicos. Mandar un plano adjunto por correo es necesario en varias situaciones ya que por ejemplo un proveedor los puede necesitar para alguna cotización. Estos adjuntos van sin protección por la red. Por lo tanto una medida de seguridad importante a tomar en cuenta antes de enviarlos, es que se les proteja por medio de cifrado para que el plano adjunto al correo vaya protegido.

Cifrar los planos almacenados en medios electrónicos. Si bien es importante proteger los planos cuando se envían por correo, también es importante darles seguridad cuando están almacenados en las computadoras a través del cifrado. Esta medida cobra especial importancia cuando se guardan en lapotps que salen de la organización y que tienen mayor riesgo de ser robadas o extraviadas. Y ni se diga de los dispositivos tipo USB que se llegan a extraviar con facilidad y lo último que deseamos es que el nuevo dueño del USB encuentre nuestros planos.

Proteger los planos impresos. Para el uso cotidiano de los planos seguramente los tendremos a la mano y si bien puede parecer una manera de trabajar razonable, la sugerencia para mitigar el riesgo de que alguien no autorizado tome y robe un plano fácilmente, es la de resguardarlos bajo llave y no dejarlos por ejemplo encima del escritorio desatendidos.

Acuerdos de confidencialidad con proveedores. Las razones por las cuales los proveedores deben de tener acceso a los planos y conocerlos son diversas y justificables para por ejemplo realizar una cotización o llevar a cabo un trabajo en los inmuebles. Y es exactamente ahí donde perdemos el control de estos planos, ya que ahora su resguardo depende de un tercero. Un control administrativo que se puede poner en marcha para atender esta situación es el de incluir un acuerdo de confidencialidad con los proveedores con el fin de que manejen los planos con medidas de seguridad similares a las que seguimos y aplicamos nosotros.

En conclusión, los planos de los inmuebles son de relevancia para instituciones con instalaciones estratégicas y se les debe de manejar con un nivel de seguridad que corresponda a su nivel de importancia. Y claro, obviamente las anteriores medidas se pueden no solo aplicar a planos sino a todo tipo de documentación con información sensible.

¿Por qué hacerlo, si no está en la política de seguridad?

2016-01-12T09:18:00.001-06:00

Les comparto mi artículo que TechTarget publicó.

De zombis y pentesters

2016-01-05T07:33:00.003-06:00

¿En qué se parece un pentester a un zombi? Averígualo aquí.

Transmitiendo la urgencia de seguridad

2016-01-05T07:32:00.003-06:00

Ojalá les agrade el artículo con el tema de transmitir la urgencia de seguridad en una organización.

Cuando la seguridad se degrada por cuestiones “de negocios”

2016-01-05T07:31:00.003-06:00

Espero les guste el artículo que escribí en TechTarget.

¿Quién es responsable por las debilidades en el software?

2016-01-05T07:30:00.004-06:00

Les dejo mi artículo que escribí para TechTarget.