martes, 17 de febrero de 2015

#ENSAYO: MANUAL PARA UN ÁREA & SECTOR DE ‘inSEGURIDAD’ DE LA INFORMACIÓN & INFORMÁTICA






Índice


Prólogo.
Definiciones y aclaraciones.
El comienzo de un Administrador de Seguridad.
Sensaciones de un Administrador de Seguridad.
¿Cómo se debería llamar el Área de Seguridad?
Organigrama.
¿Cómo diagramaríamos un organigrama de una Organización que incluya Seguridad Informática?
¿Quién debe administrar el Firewall?
¿Quién debe administrar el Antivirus?
¿Quién debe administrar el Data Center?
¿Quién debe administrar las Cámaras IP o CCTV de Seguridad?
¿Quién debe resguardar las passwords de los sistemas y dispositivos críticos?
¿Con cuáles áreas debemos tener contacto directo? (líneas punteadas en el organigrama)
Usuarios que atentan contra un Área de Seguridad Informática.
Alianzas y aliados necesarios para la buena gestión de la Seguridad.
Concientización y Capacitación.
Concientización.
Capacitación.
Metodología de capacitación.
Tips o cuasi consejos previos a capacitar.
Vigilancia – Control de Accesos.
El Jefe, Administrador de Seguridad u Oficial de Seguridad.
Organización de un Área de Seguridad Informática.
Desglose del personal del Área de Seguridad.
Primeras actividades al asumir un Área de Seguridad Informática
Clasificación de la Información.
Matriz de Análisis FDOA, FODA, DAFO o SWOT.
Matriz de análisis de riesgo (de un Área de Seguridad Informática).
Plan de Contingencia y Política de Backup-Restore.
¿Por qué casi nadie realiza una prueba de Restore-Backup?.
¿Qué datos se registran en un Plan de Restore-Backup?.
¿Dónde se atesora el Plan de Contingencia y el Plan de Backup-Restore?.
Comité de Seguridad de la Información: Desventajas y Beneficios.
Política de Seguridad de la Información - MGSI
Desventajas de los Comités de Seguridad.
Ventajas de los Comités de Seguridad.
MGSI, Normas, Estándares, Certificaciones…PUA.
PUA o Política de Uso Aceptable de…
Ejemplo de una PUA muy básica y recortada.
Ciclo de vida de las escrituras.
The Facebook en tu Organización.
Los servicios en la nube = ¿Fuga de Información aceptada?
¿Quién nos protege? ¿De quién nos protegemos?
Forenses dentro de la Seguridad de la Información.
Conclusiones Finales: La Seguridad apasiona, la Seguridad molesta, la Seguridad es marketing.
La seguridad apasiona.
La seguridad molesta.
La seguridad es marketing.
La Seguridad en el futuro.  ¿Seguridad Eléctrica? ¿Seguridad Hídrica?
Fin.
Preguntas  y  dudas  varias.
Resumen de los principales tópicos del libro en frases.
Glosario.
Acerca del autor - Contacto  -  Diseño - Formato.


Algunos temas desarrollados en el ensayo son:

Alianzas y aliados necesarios para la buena gestión de la Seguridad


Es fundamental para el éxito de la gestión. Máxime si no estamos en el raviol superior del organigrama, encontrar a los “aliados de la causa”.

El principal coligado: nuestro Director o Superior de la Dirección o Coordinación que contenga al Área de Seguridad.

De esta manera, por lo menos dentro de nuestra Dirección, hará que tengamos la potestad de dirigir los principios de la seguridad de la información y a través de las buenas prácticas, lograr que los demás sectores de la Organización -a través del buen ejemplo- opten por los beneficios de cumplir con las pautas y procedimientos de seguridad establecidos.

Sería muy provechoso que el Área de Auditoría Interna también se encuentre involucrada y alineada con las prácticas de seguridad, y que ellos mismos auditen y promocionen las buenas praxis en todos los sectores involucrando a usuarios rasos y personal superior.

Se deben establecer lazos de compañerismo y amiguismo con el personal de los distintos sectores (principalmente de auditoría, legales, contables, diversas mesas de entradas, servicios generales, cafetería, etc.), y que por medio de distintas actividades fuera del horario laboral, como jugar al fútbol, tenis, ir a recitales de bandas musicales, al cine, cantobar, asados o “after hours”, nos permitan -entre pase y pase (de fútbol), copa y copa, jarra y jarra- intercambiar pensamientos, metodologías de trabajo, ¿puntajes de los pisos?, y ¿recetas de cocina?

Ayudarlos a tratar de resolver el dilema de qué tableta o Smartphone comprarse según la versión del sistema operativo y las aplicaciones que corren; aconsejarlos del por qué debemos tapar con cinta de color o un recorte de papel dibujado la cámara web de la notebook; asegurarse de las conexiones https cuando sean necesarias; y “todo tipo de intercambio de información que nos sirva para que conozcan las actividades que se desarrollan en un Área de Seguridad de la Información”.

De esta forma, indirectamente lograremos involucrar voces portadoras de Seguridad en sus respectivos sectores y hogares (doble concientización, doble regocijo para nosotros).
Asimismo, estas tareas nos servirán para tener una idea del grado de conocimiento o de las ganas de implicarse en los temas de Seguridad por parte de los jefes o directores; de la gente que frecuentamos en la Organización, conocer el estado de ingresos y egresos de expedientes, notas, movimientos de usuarios en servicio, etc.

O sea, tomaremos todas las posibilidades que nos ofrece la carrera de Ingeniería Social pero, de nuestro lado.

Todos los lazos a establecer con usuarios son importantes, desde el jefe de un sector, pasando por el personal de una mesa de entradas hasta la gente que trabaja en la cafetería, limpieza o choferes. 

Hay mucha gente que erróneamente piensa qué, porque estas personas desarrollan una tarea de llevar papeles, manejar vehículos, limpiar o servir café no escuchan, no ven, no piensan y no razonan. Pensamiento equivocado si lo hay, ya que “ellos” manejan un alto grado de información, a veces confidencial, y muchas veces privada que los mismos jefes desconocen por completo.

Dos tareas muy importantes a llevar a cabo por el Área de Seguridad son la concientización y la capacitación.

A través de los encuentros fuera de la oficina arriba mencionados, y por el solo hecho de hablar e intercambiar palabras con el personal de distintas áreas, ya estamos “capacitando” y “concientizando”.

No solo por platicar sobre temas laborales, sino a través de comentarios sobre las noticias actuales que salen publicadas en diarios (periódicos), blogs o en televisión como lo son el robo de identidad, los peligros de las redes sociales, las aplicaciones para Smartphones, el SPAM, el pishing, la cotización del bitcoin, las tarjetas de crédito y las operaciones bancarias on-line.

Todas actividades que se entremezclan tanto en el trabajo como en la vida cotidiana de la gente.

Como concepto final, repetir y decir que es fundamental para el éxito de la gestión de la seguridad y más allá de la ubicación en la que estamos perdidos en el organigrama y de la jerarquía del usuario que tenemos enfrente, encontrar a los “aliados de la causa”.


El Jefe, Administrador de Seguridad u Oficial de Seguridad


¿Cuál debería ser el perfil de la persona encargada de manejar un área tan sensible para un Organismo como lo es la de Seguridad Informática, de la Información, TIC, o el nombre que le plazca?

Hay siempre una gran discusión alrededor de este tema y la diferenciación que hay entre gente con grandes conocimientos en seguridad, en informática, en programación, en hardware, y en todo el amplio espectro que se maneja en TIC, que muchos dividen o juzgan a las personas candidatas para el puesto de Jefe, Oficial o Administrador de Seguridad por la calificación que si el aspirante posee título universitario en carreras informáticas o no.

Aquí vamos a centrarnos en que el jefe o superior de esta Área de Seguridad viene encaminado por lo menos de una de estas ramas tecnológicas de conocimiento, con forma de Licenciado en Sistemas de Información, Ingeniero en Sistemas Informáticos o Analista de Computación.

Lo corriente -mejor sería decir lo anormal- en las empresas u Organismos con una estructura u organigrama definido, es que el Administrador de Seguridad sea Contador Público, Licenciado en Administración, en Recursos Humanos o similar. No digo que estas personas no puedan cumplir exitosamente con la mencionada función, de hecho hay profesionales de esas ramas muy preparados y que se capacitan en informática; pero vamos a apuntar a lo que sería un escenario casi ideal, o sea, alguien graduado en sistemas informáticos, computación o sistemas de información.
Mejor aún, -si el candidato- cuenta con posgrados o estudios superiores en Administración de Proyectos, MBA (Master in Bussiness Administration), Administración de RR. HH., o ¿Marketing? (sí, claro).

Una Maestría en Seguridad Informática también estaría bien, pero debería acompañarse de otros estudios diferentes a la computación para abrir la mente y tener un mayor abanico de respuestas para la correcta toma de decisiones y el control: la información pura.

Por otra parte, ¿quién puede afirmar que alguien que no alcanzó estudios universitarios o superiores no está capacitado para ser el Administrador de Seguridad?

Es muy difícil atreverse a afirmar esto, ya que si una persona no comenzó o no terminó una carrera universitaria y trabaja del lado de la seguridad, seguramente esté “hackeando” desde los 14 años de edad. En los comienzos “rompiendo cosas” con un sombrero negro, de paso fugaz por un sobrero gris, y al llegar a este puesto de trabajo ya habrá de asumir el cargo con el sombrero blanco puesto. ¿O debería, cierto?

No en su currículum vitae (CV) escrito pero sí en el cerebral (esta persona) -ciertamente-, se habrá especializado en “hackear” computadoras, equipos electrónicos, teléfonos, consolas de videojuegos, aplicaciones, “jueguitos”, servidores, ¿satélites?, trenes, camiones y tractores (tanta fuerza, tanta fuerza), barcos, aviones, submarinos (toneladas, de cemento) ¿semáforos?...

Con semejante CV, ¡Cómo no va a estar capacitado para ser el Administrador de Seguridad!
Ahora, según la magnitud del Organismo, empresa o ente, hay puestos que son más teóricos que prácticos, más de tener que expresarse en un lenguaje coloquial que técnico; más de cuadritos, matrices y estadísticas que de ataques de fuerza bruta, SQL injection y técnicas de lockpicking. Por lo tanto, la responsabilidad de elegir el perfil del Jefe de Seguridad, depende de la aleación de algunos de los ingredientes de esta ensalada de conocimientos, actitudes, aptitudes, títulos, certificaciones, prácticas, herramientas y técnicas de ataque realizados que mencionamos en este apartado.

Re-reiteración de propuesta: Oficial de Seguridad no me parece una denominación apropiada para la persona que gobierna esta robusta y sensible área de una Organización. Oficial de Seguridad parecería ser el jefe o superior de las personas encargadas de la vigilancia, suena más a un rango policial.

Algunos de los nombres para este puesto que se me ocurren son:

-          Administrador de Información.
-          Administrador de Información Segura.
-          Jefe de Seguridad Informacional.
-          Responsable de Advertencias.
-          Administrador de Confianza.
-          Responsable de Certidumbre. 


Desventajas de los Comités de Seguridad

Machacamos, por si no fuimos claros: la principal desventaja de los Comités son sus miembros.

Por ser parte de los mismos el personal jerárquico, no tienen (tampoco les interesa) mucha idea de los temas que se tratan en las sesiones.
En pocos casos los coordinadores, directores o superiores llegan a ocupar éstos puestos por su dedicación, su antigüedad, sus conocimientos, y sus ganas de progresar intelectualmente. Llegan a ocupar cargos ¿laborales? por favores, política, acomodo, negocios, sindicalismo, etc.
Dichosas las entidades en las que se llega a las jefaturas por mérito propio, por el saber, por cualidades humanas. En esos casos sí los Comités son de gran utilidad.

Un gran inconveniente es la programación de las reuniones. Es prácticamente imposible juntar a todos o a casi todos los “miembros permanentes” debido a que están de comisión fuera de la oficina, en reuniones de otras entidades, reuniones “¿importantes?” de último momento, licencias, o por la excusa que más os plazca.

Durante el transcurso del año y ante la necesidad de cumplir con las reuniones mínimas obligatorias (son dos, recordemos, por reglamento usual de funcionamiento), generalmente se les pide a los miembros permanentes que nombren a un “miembro delegado” en representación del titular, que es la persona que va a participar de las reuniones ordinarias pero no de las votaciones.

Rememoremos que si el Comité estuviera formado por “personas calificadas intelectualmente o técnicamente, responsables y honestas para que sumen sus conocimientos, aptitudes y actitudes en pos del progreso institucional de cada entidad”, toda esta narración de desventajas no tendría razón de plasmarse en papel. Volvamos a la tétrica realidad de las Organizaciones.

Ahora tenemos otra desventaja dentro de la ventaja que es que no participen los miembros permanentes, y es que el miembro delegado o suplente es la persona más inservible de un área o sector, que como no tiene nada que hacer, se lo ofrenden al Comité.

Es muy importante la participación de los miembros titulares, ya que son la voz oficial y ¿calificada? de las áreas más significativas de una entidad, representan a sectores como la Gerencia General, RR. HH., Tecnología, Finanzas o Administración.

El miembro delegado puede ser más complicado aún si es una persona que cree saberlo todo, porque entorpece y retrasa la duración de las reuniones con preguntas torpes, sin sentido o con discursos fuera de la temática que se expone.

Al momento de finalizar las reuniones y llegar a crear un nuevo circuito/entorno de trabajo o establecer en la Organización modificaciones favorables desde el punto de vista de la “Seguridad de la Información”, los sujetos pertenecientes a los niveles jerárquicos son los primeros en pedir una excepción por fuera de la nueva resolución para ellos, sus secretarias, para su entorno más cercano, para los amigos de su entorno más cercano, y así sucesivamente hasta llegar a una buena cantidad de seguidores a quienes le deben o deberán un “favor”.

Esto pasa en muchos casos comprometiendo la seguridad de Organismo, ya que por lo general se prohíbe el uso de sitios o aplicaciones perjudiciales para los datos y equipos de las Organizaciones. Precisamente “esos” sitios y aplicaciones de mala fama, dañinos o innecesarios laboralmente, son los requeridos por los jerárquicos, sus amigos y amigos de amigos.

Un típico ejemplo de este caso es cuando se autoriza la prohibición en el uso de gran parte de las redes sociales, ya que muchas de ellas -dada la gran cantidad de usuarios que las visitan-, tienen en sus filas spammers, pedófilos, botneros, ladrones de identidad o malvivientes que introducen malware en todas sus variantes.

Algunas de estas redes sociales, no suman en lo referido a la buena reputación de los empleados de las empresas, a la imagen que pretende ofrecer una entidad, y menos aún cuando ingresa personal externo a un ente para realizar trámites, reuniones o diligencias, y ven cómo algunos energúmenos empleados navegan o chatean en portales web de citas, contactos, encuentros piratas, apuestas u horóscopos del amor.

El patrón de las redes sociales es Facebook. Al cerrar su acceso en una Organización por resolución del Excelentísimo Comité de Seguridad de la Información, son las personas “trabajadoras” de las esferas más altas de una Institución las que, mediante un llamadito telefónico, solicitan “cordialmente, amablemente y de muy buena manera” forzar a una “excepción” -sin registro, ni formulario de por medio, obviamente- en principio sólo para ellos y su entorno no laboral más cercano, de ingreso permanente al sitio web “The Facebook”.
(Ver Facebook en tu Organización, más adelante, en este mismo documento…).  

Otro punto de conflicto entre quienes quieren hacer bien sus deberes y quienes entorpecen la buena labor del Comité de Seguridad, son esos personajes que a toda costa quieren dejar su sello distinguido (fácilmente detectable por lo lamentable de su aporte) en una presentación o un escrito a aprobarse, ya sea una resolución, una norma, un procedimiento o cualquier punto de una PUA o un MGSI.

Normalmente una, a veces dos, en los mejores casos tres personas son las encargadas de pensar y redactar el documento a aprobarse, de corregirlo, de husmear por leyes, reglamentos, resoluciones internas y externas, nacionales e internacionales; de presentarlo y defenderlo ante los miembros del Comité, y de llegar felizmente a hacerse entender de la idea y del porqué de la propuesta a implementar. ¿Para qué?

Para que normalmente casi todos, en los mejores casos tres, a veces dos, con mucha suerte un “integrante jerárquico” del Comité pretenda -con un alto porcentaje de éxito- dejar su sello distinguido (fácilmente detectable por lo lamentable de su aporte (repite lamentable)) en un escrito a aprobarse; ya sea una resolución, una norma, un procedimiento o cualquier tópico de un MGSI o una PUA, arruinando de esta manera la mejor redacción posible de uno o varios puntos formadores del Manual o la Política.

Después de un tiempo de discusión en el que sólo lograremos reducir el daño a nuestro documento final en una tasa de alrededor del 40 % (en el mejor escenario posible), se aprobará la sesión y el escrito, dándole forma a una nueva disposición para la entidad.

Al retirarse, marchase cabizbaja la gente de bien que integra el prestigioso concejo.

Marchase exultante y oronda la gente obtusa que desintegra la desprestigiada junta. 


Forenses dentro de la Seguridad de la Información


Muy pocas o prácticamente ningún Área de Seguridad o TI, como así tampoco las Organizaciones en general, cuentan con un especialista o un sector determinado para las prácticas específicas de “Informática Forense”.

La Informática forense es una de las disciplinas más determinantes a la hora de las resolución “finita” de la disputa entre el Área de Seguridad y todo caso a resolver o “denuncia” relacionada con el borrado de información (intencional o no), la “rotura” de discos duros, memorias flash disfrazadas en cualquier envase (se las ha visto con forma de minions) y el “sembrado” de pruebas.

Al “yo no hice nada”, “se abra apretado solo el botón”, “yo no modifiqué ese archivo”, “yo no lo borré”, “seguro que es un virus que se metió en mi máquina”, “alguien se logueó en mi pc”, “yo nunca tuve Facebook”, “yo no saqué esa foto” y demás torpes excusas e intentos de borrar evidencias o limpiar la escena de la fechoría.



No solamente es de gran ayuda tener a un “informático forense” trabajando en un Área de Seguridad, sino que es determinante en la ayuda que le puede brindar a distintos sectores de una Organización como ser: Compras, Licitaciones, Movimientos de Fondos, Tesorería, Dictámenes o RR. HH., entre otros, para ayudar a investigar (resolver) casos de estafa, desvíos de fondos, o falsificación de datos, y más.

Si hubiera un perito informático en cada Organismo, ¿cuántas defraudaciones por parte del personal interno se podrían evitar?, ya que estos defraudadores no querrían correr el riesgo de ser pescados (atrapados) y encarcelados -¡ojalá fueran apresados!- en el mejor de los casos.

Del mismo modo, se podrían evitar ataques o delitos desde un Organismo hacia otro u hacia  diversos destinos de ataques, ya que el forense podría llegar a determinar el “origen de las especies” (el origen de las conexiones, el tráfico cifrado, el “destino”).

Asimismo, no estaría de más la posibilidad de sumar un “Laboratorio de Esteganografía” al Área de Seguridad.


Me parece que el Área de Seguridad de la Información moderna, dado el avance supersónico, desenfrenado y brusco de la tecnología no sólo laboral (servidores, routers, switchs, firewalls, cámaras IP, etc.) necesaria para la operatoria de las Organizaciones; sino que además el hogareño y particular que llega a las entidades en formato personal del tipo BYOD legales e ilegales (Smartphones, tabletas, reproductores MP3, MP4,¿MPn?, cámaras digitales, memorias flash tipo pendrives, módems 3G, 4G, NG, discos externos, antenas wifi, ¿dress intelligent?, ¿drones?, etc.), y en forma hogareña-laboral y no laboral (VPN, Webmails, Extranet, Intranet desde afuera, escritorios remotos, “TeamViewer”, similares y etcéteras remotos) hacen que el Área de Seguridad sea mucho más técnica que administrativa, narrativa y formal.


La Seguridad en el futuro.  ¿Seguridad Eléctrica? ¿Seguridad Hídrica?


¿Cómo será la seguridad en el futuro?

¿Dentro de las próximas 5 horas, quince semanas, 25 meses, treinta y cinco años, 45 décadas o cuatrocientos cincuenta decalustros?

¿Se seguirá produciendo información privada o confidencial?
¿El gran hermano será el administrador de datos del mundo?
¿El hermoso planeta Tierra se seguirá llamando así o pasará a ser conocido como “The Facebook Planet” o “Google Star”?
¿Será Mark nuestro presidente universal?
¿Serán Larry y Sergey sus ministros?
¿Volverán a ser indispensables los papeles, los lápices y las conversaciones orales?

Si todos los servidores, computadoras, tabletas y memorias flash son destruidos a partir del odio visceral del malvado ser humano creador de conflictos y refriegas, ¿dónde subsistirá la información contenida en éstos medios electrónicos/magnéticos?

A la mayoría de los gobernantes les encanta crear y comprar malware, especialmente los 0-days, software “espía” sobre la población, reclutar hackers de sombrero oscuro. Espiar, sabotear, destruir e innovar en armas de guerra y mejor aún si son de destrucción masiva, en esta loca carrera contra la muerte.

Con la ayuda de la informática y la electrónica avanzan a pasos agigantados, siendo los radares, las antenas de telecomunicaciones, y la “Internet regional”, los blancos -objetivos- primeros y preferidos a la hora de “atacar” o “jugar” con ellos.

Cuando sobre el planeta Tierra no quede un recóndito lugar en donde resguardar nuestra información, ¿qué habrá que hacer?, ¿utilizar “servicios” en la mesosfera, ya que la “nube” será aún más vulnerable? -si para esos tiempos ya no ha sido destruida-, ¿replicar los centros de datos en Urano? -si a Urano todavía no le han puesto un cartelito de inmobiliaria: “Dueño Alquila” o “Dueño vende excelentes lotes. Contáctese con nosotros al número 00 1 (925) 294-49920-.

En el futuro, que puede ser dentro de un tris o mañana, ¿la información tendrá valor?, ¿la “no” información cotizará en la bolsa de valores?, ¿servirá para algo estar informado, o será más saludable estar desinformado?, ¿cuánto costará ser anónimo?, ¿las vacaciones serán promocionadas en lugares “anónimos”: sin señal de celular, ni TV, ni diarios, ni revistas, ni Internet, ni vuelos rasantes de drones?

Será un nuevo formato de reality en televisión: “Ganará quien se mantenga oculto por más tiempo sin ser encontrado, ni ubicado, ni filmado, ni fotografiado, ni rastreado, ni escuchado, ni nada”.

¿Seguirá existiendo Internet?, o podrás pagar más cara una tarifa de alquiler por un servicio si “no cuenta con servicio de Internet”.
   
En el futuro, que puede ser dentro de 9,58 s (WR):

¿Quién tendría más poder o decisión dentro de una Organización?:

-          El Administrador de Información (antiguamente llamado Oficial de Seguridad) o,
-          El Administrador de Electricidad (antiguamente electricista, trabajador del Sector de Servicios Generales).

Si la información se propaga entre computadoras, entre servidores, entre dispositivos wifi, ¿entre lamparitas LI-Fi?, entre distintos y diversos equipos electrónicos a través de la “madre electricidad” o la “diosa Ámbar” y, sin el poder de la misma, los datos no fluyen, no se procesan:

¿Quién gana más poder, más influencia y más prestigio dentro de una Organización?:

-          ¿El Administrador de Información (antiguamente llamado Oficial de Seguridad)?
-          ¿El Administrador de Electricidad (antiguamente electricista, trabajador del Sector de Servicios Generales)? o,
-          ¿El Administrador del Agua? (fuente de una fuerza inagotable de sabiduría, pureza y destrucción).



Hasta aquí un resumen de algunos de los puntos más importantes narrados en el presente ensayo.

Para descargar gratuitamente el libro completo pueden hacer click en el siguiente link: Ensayo: Manual para un Área & Sector de 'inSeguridad' de la Información & Informática




Acerca del autor - Contacto  -  Diseño - Formato


Autor: damián ienco.

Estudios:
Programador Basic de Microprocesadores (1986)
Bachiller en Ciencias Naturales (1989)
Programador DBase IV (1994)
Ingeniero en Sistemas Informáticos (2001)
Exploiting & Security Wireless Technologies (2010)



Diseño de tapa e ilustraciones:

Diseñador: thiago ienco (volante central)

Estudios:
Jardín de infantes completo.
Primaria: primer grado completo.



Fecha: aaaa AC DC/mm/dd

Este ensayo se terminó de escribir en el año 2014 d. C., durante su mes de diciembre, en su séptimo día.                                                                          




Publicado por en No hay comentarios:
Etiquetas: , , , , , , , , , , , , , , ,
Suscribirse a: Entradas (Atom)