post

¿Cómo anda la seguridad en el home office de sus proveedores? P2

Siguiendo con esta lluvia de ideas publica sobre el cómo evaluar la seguridad en los entornos de home office de nuestros proveedores pero antes de adentrarnos en el primer tópico creo que es importante hablar un poco de los métodos más comunes de acceso remoto. Por eso dedicaré esta segunda parte a hablar un poco de cada una, no planeo entrar en detalles ya que sé que existe mucha información disponible sobre cada uno de ellos y apenas busco seguir con un poco de lógica esta serie de notas.

Los diferentes métodos de acceso pueden estar disponible tanto desde la perspectiva del BYOD como la perspectiva más convencional desde dispositivos corporativos. Sin embargo algunas generalidades se aplican de forma pareja:

  • Dependencia de la seguridad física de los dispositivos de usuario;
  • Se pueden utilizar variados tipos de servidores y de métodos de autenticación;
  • El utilizar cifrado no es un lujo es una necesidad, aunque en muchas soluciones la misma no esté habilitada por defecto;
  • Pueden permitir el almacenamiento de datos de manera permanente en los dispositivos de usuario;

Tunneling

 

Tunneling típicamente se establecen por medio de las Virtual Private Networks (VPN). Una vez que un túnel VPN se ha establecido entre el dispositivo del usuario y el VPN gateway de la compañía, el usuario puede acceder a la variedad de recursos que le este disponibles desde la red corporativa. Para hacer uso de la VPN los usuarios deben contar con el software apropiado en sus dispositivos o estar en una red que ya cuenta con un VPN gateway. Un cliente VPN se debe instalar en cada uno de los dispositivos mientras que el VPN gateway comúnmente corre en un solo servidor (desconsiderando temas de HA).  El mismo gateway se puede cargar con las diferentes tareas como autenticación, controles de acceso, entre otras funciones de seguridad.

Los túneles hacen uso de la criptografía para asegurar la confidencialidad e integridad de la información en tránsito entre el gateway y el dispositivos del usuario, sin embargo no ofrecen la misma protección en las comunicaciones entre el gateway y otros recursos de la red interna. Los tipos de VPN más comunes hacen uso túneles basados en Internet Protocol Security (IPSec) y Secure Sockets Layer (SSL). En algunos casos también se utiliza Secure Shell (SSH) Otro punto importante en este tipo de solución es que los datos en reposo van a residir en los dispositivos de los usuarios.

 

Portals

Poco menos común pero quizás bastante utilizado sin que los usuarios se den cuenta están los Portals. Básicamente son servidores que ofrecen acceso de manera directa a una o varias aplicaciones desde una interfaz centralizada. Comúnmente son interfaces web por lo que para muchos pasa desapercebido ya que a la percepción del usuario solo es un sitio web más al que acceden. En estos casos la aplicación “cliente” se instala en el servidor del portal y la misma se comunica con los servidores de aplicación correspondiente. Una importante diferencia entra los Portals vs VPN se encuentra el almacenamiento de los datos, en la gran mayoría de los casos los datos no permanecen en los dispositivos de usuario ya que apenas son desplegados de manera temporal desde el navegador. Implementado con las configuraciones adecuadas el acceso por medio de un portal puede lograr que la retención de datos de lado del usuario sea mínima.

Algunas soluciones de acceso remoto de tipo Portal que comúnmente vemos son los portales de VPN SSL. Otro tipo común son los denominados terminal server access, los cuales básicamente le ofrecen al usuario un escritorio virtual que simula un sistema operativo convencional. Quizás la opción más de moda en la actualidad dentro de este tipo son los virtual desktop infraestructure las famosas VDIs. Estas le permiten al usuario conectarse a máquinas virtuales (no simuladas). Las VDIs se han popularizado porque son muy prácticas para soportar el acceso remoto también en situaciones de BYOD aún logrando mantener la seguridad de las información corporativas que se resguardan en el ambiente virtual.

 

Remote Desktop Access

Esta quizás sea una de las opciones más populares en empresas de pequeño porte y también para uso personal. Básicamente son soluciones que nos permiten controlar de forma remota a otro dispositivo que se encuentra en la red corporativa de manera directa. Este escenario es común que se tenga control total del dispositivo y sus aplicaciones. Para este tipos de conexiones comunes, la conexión por medio directo de dispositivo a dispositivo y la conexión que pasa por un sistema intermedio. En este segundo escenario es donde encontramos soluciones populares como LogMeIn y TeamViewer. Mientras que para el primer tipo el caso más común son las aplicaciones que corren por medio del Remote Desktop Protocol (RDP) que si bien existe un “servidor” corriendo en el equipo remoto al que buscamos acceder, esta conexión no pasa por un servidor intermediario con el caso de los ejemplos antes mencionados.

Bajo este tipo de acceso le corresponde al software de remoto desktop proteger la confidencialidad e integridad de la comunicación, además de autenticar al usuario. Se encuentra también al nivel software en ambos puntos el cifrar la comunicación, por lo que desde el punto de vista la seguridad corporativa no es una opción muy bien vista ya que puede inhibir la capacidad de monitoreo del tráfico entre el dispositivo interno y el externo. Otra desventaja de este tipo de soluciones es que cada dispositivo que se habilite para acceso remoto deberá tener controles de seguridad implementados individualmente, lo que en el caso de los gateways de VPN suele ser menos complejo. Asegurar muchos vs asegurar a unos cuantos.

 

Direct Application Access

El último de los métodos nos permite lograr acceder remotamente a recursos sin la necesidad de utilizar software para acceso remoto. Se trata del acceso de forma directa a una aplicación. Bajo este concepto la aplicación debe proporcionar todo lo necesario desde el punto de vista de la seguridad (comunicación, almacenamiento, cifrado, control de accesos, etc). El ejemplo más común de este tipo de método son las aplicaciones de webmail. En este tipo de conexión es de suma importancia que las organizaciones identifiquen cuales aplicaciones tienen un perfil de riesgo bajo en caso de ser expuestas para acceso desde redes públicas.

En mi opinión personal todos convivimos con una mezcla de estos métodos en algún momento o aún lo hacemos. No existe un método perfecto, simplemente existen los métodos que cubren mejor con las necesidades de acceso y obviamente el nivel de riesgo que cada organización está dispuesto a aceptar. Para fines prácticos y bajo la idea de que la seguridad se debe implementar en capas, estos métodos se pueden combinar en algunos casos justamente para mitigar los niveles de riesgos a niveles aceptables.

En fin, esta ha sido la segunda parte. Para la siguiente nota empezaré exploremos más a detalle los controles de seguridad a nivel solución.

¡Hasta la próxima!

Photo by Svilen Milev from FreeImages

post

¿Cómo evaluar la ciberseguridad en el home office de sus proveedores? P1

Que tal amigos,

Pues una vez más les vengo a compartir algo con lo que me encuentro entretenido últimamente.

Seguro muchos o más bien la gran mayoría de ustedes se encuentra trabajando desde la (in)comodidad de sus hogares. Y me supongo que así como yo en el momento que fueron forzados a iniciar actividades remotamente se preguntaron qué tan seguros estarían. Obvio primero todos nos preocupamos por nuestras propias compañías. Sin embargo para nosotros que nos dedicamos al tema de Third-Party Risk el pensamiento estaba en nuestros proveedores. Obviamente sin dejar de ser conscientes de que todo empezó en un contexto de urgencia y manteniendo un apetito de riesgo considerablemente alto en muchos casos por saber que muchos de nuestros proveedores no estarían en las mejores condiciones para mantener la triada.

Pues bien, no se para ustedes pero para quien les escribe estamos por entrar en el 5to mes de trabajo remoto y sé que me esperan al menos 2 más como mínimo. En estos 5 meses que han pasado me ha tocado gestionar innúmeros cuestionamientos de tanto compañeros de lado del negocio sobre los posibles riesgos de sus proveedores trabajando 100% remoto, como ver a muchos proveedores no solo en EUA como también de algunos países de LATAM alzar la mano para compartir lo que están haciendo desde la perspectiva de ciberseguridad para mantener un entorno seguro de trabajo remoto para sus empleados y que a la vez atiendan a nuestros requerimientos de seguridad. Algunos casos fueron positivamente ejemplares, mientras que otros no tanto. Sin embargo esto sucedió apenas en las primeras 4-6 semanas de encierro.

¿Qué pasa en la actualidad? ¿Qué esperar en el mediano y largo plazo?

Para la realidad en estos rumbos la segunda pregunta ya se volvió la primera. Me refiero a que ya nos han llegado los primeros casos de proveedores que indiferente al fin de la pandemia han decido mantener el trabajo remoto de manera permanente. ¿Esto que significa? Básicamente el riesgo que muchos ejecutivos hasta hace algunos meses aceptaron desde la mentalidad de que era un riesgo temporal y con sus días contados siempre y cuando se controle la pandemia, se pronto se puede volver una situación permanente. ¿Sería el momento de ajustar el apetito al riesgo? Quizás aún no lo sea de manera generalizada, quizás para algunas regiones o para algunos tipos de proveedores más que otros.

La cuestión está en que independiente de lo que decidan los altos mandos alguna información tenemos que empezar a recopilar y analizar para apoyarlos en su toma de decisiones. Por esta razón tomando como base la publicación especial del NIST 800-46 empecé a hacer algo de brainstorming sobre como empezar a obtener información específica sobre los esquemas de trabajo remoto y que nos permita como equipo evaluar de manera un poco mejor fundamenta los riesgos de cada proveedor. Obviamente contemplando aplicarlo no solo a aquellos interesados en mantener operaciones 100% remotas de manera permanente, pero también aquellos que por las circunstancias de combate a la pandemia y la falta de vacuna seguirán de manera remota en el mediano plazo.

Entonces vayamos al grano. ¿Qué encontraremos en la NIST 800-46? Esta guía del NIST nos proporciona contenido en 3 tópicos principales considerando además no solo el contexto de conectividad de dispositivos operativos, pero también el contexto del BYOD. Les recuerdo que es una guía agnóstica, así que no esperan ver información detallada sobre ningún producto.

    1. Seguridad a nivel solución de acceso remoto: Cubriendo y explicando los 4 principales tipos de soluciones de conectividad remota en uso actualmente.
    2. Seguridad a nivel dispositivo de usuario:  Consideraciones de controles para asegurar los dispositivos en manos de los usuarios, tanto corporativos como personales.
    3. Seguridad en los controles de acceso:  Creo que no hace falta explicar esto.

Mi objetivo es hace una corta serie de publicaciones en blog para cada uno de estos tópicos con los puntos que he estado considerando promover con los analistas de mi equipo.

Cuestiones como la forma en la que levantaremos información que responde a cuestionamientos dentro de cada uno de esos tópicos aún están por verse. Sin embargo les comparto algunas áreas de oportunidad que ya tengo identificadas dentro del programa que gestiono.

    1. Información ya proporcionada por medio de nuestra versión del Standardized Information Gathering : Como parte de nuestro programa ya le solicitamos a nuestros proveedores de manera recurrente el llenado o actualización de sus información en un cuestionario bastante extenso. Es probable que varias informaciones la podremos obtener de ahí.
    2. Documentación adicional: Muchos proveedores acompañan sus respuestas al cuestionario con sus políticas y estándares. Dichos documentos también pueden contener respuestas a lo que estamos buscando.
    3. Hacer cuestionamientos directos a los proveedores dirigidos a este tema específico.

La realidad es que aún y que más del 80% se pueda obtener por medio de 1 y 2, es altamente probable que sigamos con la máxima del “Trust but verify” y terminemos por hacer los debidos cuestionamientos con la finalidad con confirmar los supuestos generados con base a los documentos que ya tenemos en manos.

¿Ustedes que piensan?

Creo que este post ya ha salido más largo de lo que inicialmente pensé pero las ideas siguieron fluyendo.

En los próximos días estaré soltando las continuación.

¡Hasta la pronto!

post

16 de Julio 2020: Streaming Wars |Third Party IoT | Twitter | Notas interesantes del día

Un día más con notas interesantes que compartir.

Empezando por la confirmación de parte de Twitter sobre lo sucedido el día de ayer. Comprando que la teoría que involucraba recursos internos era la más cercana a lo sucedido.  La nota publicada en Zdnet me parece un buen resumen del posible “como”.

Twitter confirms internal tools used in bitcoin-promoting attack

https://www.zdnet.com/article/twitter-confirms-internal-tools-used-in-bitcoin-promoting-attack/

Ahora la otra pregunta que mucho tenemos es el “quien” o “quienes” lo hicieron. El día de hoy Brian Krebs publico una interesante nota con evidencias que da indicios quienes pueden ser los posibles culpables del caos de ayer, además de Twitter y su mala gestión de privilegios claro.

Who’s Behind Wednesday’s Epic Twitter Hack?

https://krebsonsecurity.com/2020/07/whos-behind-wednesdays-epic-twitter-hack/

Por cierto se han puesto a pensar que las personas que llevaron a cabo esto también tuvieron acceso a TODOS los DMs en Twitter.  Jeje tengo la conciencia tranquila sobre el uso de esos mensajes, pero se que muchas persona no.

En fin, otro par de temas que también me llamaron la atención el día de hoy fueron la nota publicada en Dark Reading denominada Third-Party IoT Vulnerabilities: We Need a Cybersecurity Paradigm Shift y una investigación publicada por Kaspersky denominada The Streaming Wars: A Cybercriminal’s Perspective

La primera me pareció bastante interesante como tratan la cuestión de las vulnerabilidades provenientes de los fabricantes de dispositivos que se catalogan dentro del concepto del internet de las cosas, el famoso IoT. Y como es una situación diferente a la que diariamente me corresponde tratar que son los Third Party Risks. Y es que los grandes responsables por tratar las vulnerabilidades relacionadas a los IoTs son los mismos fabricantes. Ahora la realidad es que a grandes rasgos este tema no esta tan alejando de las actuales discusiones sobre Huawei y la seguridad de sus dispositivos. Sigue siendo una situación de confianza y responsabilidad de los fabricantes. El libro

The Huawei and Snowden Questions: Can Electronic Equipment from Untrusted Vendors be Verified? Can an Untrusted Vendor Build Trust into Electronic Equipment? (cortito el nombre) habla de forma más amplia y en general sobre los aspectos de la seguridad en hardware y la confianza en los fabricantes. Obviamente en el contexto de Huawei, sin embargo considero que tiene mucha relación también con las discusiones de seguridad en IoT.

Third-Party IoT Vulnerabilities: We Need a Cybersecurity Paradigm Shift
https://www.darkreading.com/iot/third-party-iot-vulnerabilities-we-need-a-cybersecurity-paradigm-shift/a/d-id/1338333?_mc=rss_x_drr_edt_aud_dr_x_x-rss-simple

Por último y no menos importante, me pareció bastante interesante la investigación de Kaspersky sobre como se va la guerra de los servicios de Streaming desde el punto de vista de los cibercriminales. En su investigación apuntan los diferentes métodos y estrategias de ataque utilizados para el robo de credenciales de acceso a estas plataformas. Métodos que van desde las típicas campañas de phishing hasta la distribución de malware utilizando el contenido original de dichas plataformas como anzuelo.

The Streaming Wars: A Cybercriminal’s Perspective
https://securelist.com/the-streaming-wars-a-cybercriminals-perspective/97851/

En fin, creo que es todo por hoy. Espero disfruten las lecturas.

Photo by Flavio Takemoto from FreeImages

post

15 de Julio – 2020: Twitter Hack | TLS 1.2 | Notas interesantes del día

¿Qué tal todos?

Me pareció buena idea compartirles algunas notas interesantes que leí el día de hoy.

Y la primera de ellas no pudiera ser otra si no la del hackeo de cuentas de twitter de algunas figuras públicas. De las muchas notas que empezaron a fluir tan pronto sucedieron los hechos, la de Techcrunch me pareció de las más completas.

Apple, Biden, Gates, Musk and other high-profile Twitter accounts hacked in crypto scam
https://techcrunch.com/2020/07/15/twitter-accounts-hacked-crypto-scam

Hasta el momento aún no se tiene una confirmación de como sucedió pero si varias sospechas, una de las cuales me parece muy factible es la de @RachelTobac quien indica que hackers pudieron aprovecharse de cuentas de empleados de Twitter que tenian accesos privilegiados para ciertas tareas administrativas en la plataforma. Esta teoría justo mientras me encontraba escribiendo este post parece tener bases sólidas considerando la nota publicada en VICE.

Twitter Is Removing Images of Internal Tool Sources Say Enables Account Takeover
https://www.vice.com/en_us/article/jgxd3d/twitter-insider-access-panel-account-hacks-biden-uber-bezos

Supongo que hay que seguir al pendiente para saber en terminará esto.

En otro tema pero también relacionado con la ciberseguridad, recordarán que las versiones de TLS 1.0 y 1.1 están en proceso de extinción. Riskrecon publicó un reporte analizando el estado actual de diferentes industrias en la migración a TLS 1.2. Cabe mencionar que muchas empresas si bien ya soportan la versión 1.2 aún mantienen habilitadas versiones antiguas del protocolo con la idea que soportar navegadores antiguos.

New Report: The State & Significance of TLS 1.2 Support
https://www.riskrecon.com/state-of-tls1.2-support

Si no les interesa llenar un formulario (regalar sus datos) para obtener el reporte. Pueden leer una nota condensada publicada en ThreatPost.

The TLS 1.2 Deadline is Looming, Do You Have Your Act Together?
https://threatpost.com/riskrecon-the-tls-1-2-deadline-is-looming-do-you-have-your-act-together/157296/

Que disfruten las lecturas.

¡Hasta la próxima!

Photo by Leszek Soltys from FreeImages

post

¿Cómo tratar la seguridad de la información con nuestros proveedores? Parte 3

Al fin llegamos a lo que consideraría la tercera y última parte de esta entrega. Aunque no considero sea la última vez que escriba sobre el tema de la seguridad de la información en proveedores.

Recapitulando un poco sobre las primeras dos partes. Hemos entendido la importancia de establecer inicialmente un programa de seguridad propio para en base a ellos definir nuestros propios requerimientos de seguridad hacía terceros. También nos dimos la tarea de conocer más sobre la información que manejamos y compartimos con terceros.

Ha llegado la hora de empezar a cuestionar, levantar información, investigar sobre los controles de los terceros con los que trabajamos. Creo que para la realización de este punto tenemos que tener en cuenta algunas variables u escenarios.

1.- ¿Se trata de un proveedor nuevo? Si la respuesta es afirmativa, en el momento en el que se empieza a establecer la relación es cuando debemos presentarles nuestros requerimientos de seguridad y alinearlos a los alcances de los servicios a contratar. Esto nos permitirá identificar la brecha de manera previa a la firma de contrato y determinar el nivel de riesgo de trabajar con X, Y o Z proveedor.

2.- ¿Se trata de un proveedor ya existente? De ser el caso seguramente este proveedor desconoce en buena parte nuestros requerimientos de seguridad o en dado caso no está a la par con la versión más reciente de los mismos. Tenemos que ser tolerantes en este escenario ya que no es simplemente llegar exigiendo tenemos que entender el lado del proveedor y sus posibles restricciones de tiempo y presupuesto. De igual manera recuerden que también nos podemos topar con restricciones de oferta tanto de proveedores como de servicios.

Muy bien ya logré ubicar al proveedor en uno de los escenarios mencionados. ¿Ahora qué hago?

Es momento de notificarle a ese tercero que necesitamos hacer una revisión sobre sus controles de seguridad. Recuerden que es importante acotar que el alcance de ciertos requerimientos, créanme que esto les facilitará la vida.

¿Qué información le pudo pedir? ¿En qué me puedo basar?

  1. Mi sugerencia es que en primer lugar busquen que sus requerimientos salgan de referencias como Shared Assessments, ISO 27002, COBIT, ENISA, NIST u cualquier otra normatividad/código de práctica/framework. Es importante también que si tomaran una de esas referencias y la repasaran a manera de cuestionario al proveedor tengan el criterio al momento de evaluar las respuestas de considerar también sus propios requisitos definidos junto a propio programa de seguridad.
  2. En segundo lugar establezcan una lista predefinida de documentos/evidencias que pueden ser solicitados o compartidos a manera de dar soporte a las respuestas de los cuestionamientos realizados. Consideren solicitar esto a la par del punto 1.
  3. No olviden que si las respuestas u evidencias no les parecen suficientes son libres y deben de pedir información adicional.

Una vez que tenemos la información solicitada es momento poner las manos a la obra y realizar nuestra evaluación. Es importante considerar que dicha evaluación no necesariamente debe basarse solo en lo que llamamos “desk review”. En muchas ocasiones una visita al proveedor es fundamental para una identificación óptima de riesgos.

Terminado el análisis y teniendo los resultados, llega el momento de entregar las buenas y/o malas noticias. Los resultados se deben informar por un lado al área contratante del proveedor en cuestión en primer lugar. Posteriormente el proveedor debe ser notificado en caso de hallazgos y en base al criterio de tratamiento y/o aceptación definido proveer sus respuestas para el tratamiento de los riesgos identificados. Tomen en cuenta que un riesgo puede ser Mitigado, Evitado, Aceptado o Transferido.

Tomen en cuenta que como negocio es indispensable también definir como actuar ante casos extremos donde los proveedores no pueden mitigar un determinado riesgo o no están dispuestos a cooperar. Un buen proceso de excepciones es indispensable para muchos casos.

Sea cual haya sido la respuesta, el seguimiento al proveedor debe mantenerse hasta que cada riesgo haya sido tratado según lo acordado.

En fin mis queridos amigos, de esta manera doy por terminada esta tercia de textos sobre la seguridad de la información en proveedores. Esta no es una guía definitiva ni mucho un tutorial, simplemente son algunas cuestiones que pueden ayudar en el punto de partida de algo que puede ser bastante amplio para muchas organizaciones y sobre todo muy nuevo en el escenario Latinoamericano.

Como siempre sus comentarios son bienvenidos.

Gracias por haber leído hasta aquí J

Les dejo unas cuantas lecturas recomendadas:

If You’re Only as Strong as Your Allies, Should You Trust Third-Party Code?

¿Cuánto por esa cuenta? El valor de la información en el mercado negro?

Corporations Cite Reputational Damage As Biggest Cyber Risk

A Vendor’s Security Reality: Comply Or Good-Bye

post

¿Cómo tratar la seguridad de la información con nuestros proveedores? Parte 2

Que tal mis amigos, en caso de que se les haya pasado leer la Parte 1, les recomiendo darle una leída antes de seguir con este post.

Recapitulando brevemente. En el post anterior mencionábamos la importancia de empezar por tener nuestro propio programa de seguridad antes de querer aventurarnos a tratar de exigirles lo mismo a nuestros proveedores.

En esta segunda parte quisiera empezar con la siguiente pregunta. ¿Por qué debo exigirles controles de seguridad de información a mis proveedores?

Les respondo con otra pregunta. ¿Dejarían que alguien que nunca han visto conducir, lo hiciera en el auto que acaban de sacar de la agencia? En otras palabras, cuando tenemos a proveedores como aliados para lograr cumplir con nuestros objetivos de negocio en gran parte del tiempo estamos cediendo información valiosa.

Si bien podemos justificar que compartir dicha información es importante para que el negocio fluya también tenemos que tener en cuenta que puede pasar si por descuido (en el mejor de los casos) de ese proveedor la información termina en manos incorrectas.

Esta cuestión creo yo que se vuelve más clara cuando ponemos la luz sobre los dilemas que involucran los manejos de datos personales. Compartir información de clientes y/o de empleados se vuelve un tema de extrema sensibilidad al involucrar a una tercera parte. Si algo sucede con dicha información y esto involucra un tercero nos tocará a nosotros como primera entidad en la lista de responsables pagar por los platos rotos.

¿Entonces, todos mis proveedores deben ser auditados sobre sus controles de seguridad de la información?

Pues NO. Responder a esta pregunta nos lleva a una tarea muy importante de identificar a nuestros proveedores y tener identificados nuestros flujos de información. Tenemos que poder responder si nos preguntan sobre un proveedor; por el servicio que nos brinda y cuál es la información que le compartimos para que el servicio pueda ser prestado.

Adicional a los cuestionamientos iniciales podemos sumarle a la ecuación el aproximado de registros/información únicos que compartimos. Este dato es sumamente importante si queremos establecer más adelante un criterio para determinar el nivel de impacto que tendremos si algo sucede con esa información. Este valor es base en el establecimiento de multas cuando organismos reguladores detectan un incumplimiento, mal manejo de información o la fuga/robo de datos.

Cabe mencionar que conocer el aproximado de datos y su respectiva clasificación nos permite gestionar mejor los esfuerzos dedicados a evaluar a un proveedor. Es común que se pierda tiempo realizando evaluaciones en proveedores que se pueden considerar de bajo impacto, tiempo que sería valioso para evaluar mejor a algún proveedor con un impacto mayor.

Para no alargar más esta segunda parte les dejo las siguientes preguntas:

  • ¿Qué tanta información comparten sus empresas con proveedores?
  • ¿De qué manera comparten dicha información?
  • ¿Es información física o digital?
  • ¿Dónde la almacena el proveedor? (Considerar también el país)
  • ¿Qué pasa con la información cuando ya no se requiere para el negocio?
  • ¿Su proveedor la podría transferir a un tercero?
  • Pues bien mis amigos esos son apenas algunos de los cuestionamientos que sugiero hacerse previo cualquier análisis sobre los riesgos de un proveedor.

Si tienen más preguntas aprovechen la sección de comentarios para compartirlas.

Les recomiendo darle una leída a esta nota de DarkReading, si se ve dirigida a la temática del impacto de la seguridad en la reputación hace mención a la poca importancia que se le da al riesgo de terceros en la actualidad y la tendencia a que esa importancia crezca en el futuro cercano.

post

¿Cómo tratar la seguridad de la información en nuestros proveedores? Parte 1

Finalmente después muchos meses y muchos cambios he decidido retomar la actividad en el blog. En esta ocasión quisiera compartir algunas opiniones personales relacionadas directamente a mis actividades profesionales en la actualidad. Por esta razón he decido escribir unos cuantos posts al respecto.

Creo que no es novedad para nadie en el medio de la seguridad de la información el indagar sobre los controles de seguridad implementados por nuestros proveedores, controles que además de buscar asegurar las operaciones proveedor también impactan en asegurar la información que compartimos como parte de nuestros acuerdos de servicios.

En los últimos meses me he dedicado a analizar la seguridad de una serie de proveedores de la compañía para la cual laboro alrededor de Latinoamérica y me he topado con sorpresas bastante agradables considerando que tenía una expectativa muy diferente.

¿Seguridad de la información en proveedores? ¿Por dónde empezar?

Dos preguntas básicas con una respuesta corta y simple. ¡Por uno mismo! Sí como empresa queremos buscar que nuestros proveedores implementen controles de seguridad alrededor de los servicios que nos brindan, tenemos que empezar por establecer nuestro propio estándar de seguridad.

Una analogía un poco simple de ver esto es la de un doctor que mientras fuma te diga que no lo debes de hacer dado que afecta tu salud. Si uno como empresa no tiene establecido un programa de seguridad de la información difícilmente tendrá credibilidad en exigirle a un tercero contar con medidas iguales o superiores.

De la misma manera ese entorno/programa que logremos establecer debe mantenerse al día para que de tal manera posamos llevar las mismas actualizaciones a los requerimientos que le pediremos a los terceros.

Existen disponibles muchos frameworks en los cuales las empresas se pueden apoyar para definir ese programa de seguridad de la información. No es ninguna novedad la falta de profesionales en el área por lo que el contratar a un tercero puede también ser algo complejo. Por tal razón para finalizar esta primera parte les comparto algunas referencias que les pueden ser de utilidad:

Gestionar la relación con proveedores se volvió un control más amplio a implementarse desde la versión 2013 de ISO 27001, tomando también en cuenta la seguridad de la información en las relaciones con proveedores.

Este “nuevo” control exige considerar una política de seguridad de la información para proveedores en la cual se documenten los requisitos de seguridad de la información necesarios a cumplir con la finalidad de mitigar los riesgos asociados a proveedores y terceras personas.

También debemos tomar en cuenta el tratamiento de riesgos, estableciendo todos los requisitos de seguridad pertinentes a cada proveedor según el acceso, procesamiento y almacenamiento. El criterio de aceptación de riesgos relacionados a los proveedores también debe ser previamente establecido además del flujo necesario para dicha aceptación. Es fundamental que los riesgos aceptados lleven la firma de un líder de peso en el negocio.

En los próximos posts ahondaré más en cómo perfilar a nuestros proveedores y posteriormente algunas herramientas para realizar tales revisiones.

Existen varias otras referencias por lo que los invito a dejar sus recomendaciones en los comentarios.

Más sobre Security Frameworks: http://www.securityweek.com/importance-security-frameworks

post

La psicología detrás del usuario bajo el contexto de Infosec

Esta nota no es más que mi percepción del tema, no me considero ningún experto en psicología.

Ya es casi rutinario el que año con año veamos que el número de brechas y robo de datos a las empresas se incremente. De manera recurrente vemos que el usuario/el humano es el punto más débil eso ya no se discute. Aún así vemos grandes compañías gastar su presupuesto en soluciones que prometen ser la medicina para sus infosec headaches.

Leyendo el Human Factor Report 2016 de Proofpoint me llamó la atención ver que en sus resultados con respecto a los datos del 2015 concluyen que, los “bad guys” han cambiado la dirección que le dedican a su esfuerzo. Resulta que los hackers saben que en lugar de consumir su tiempo tratando de explotar vulnerabilidades técnicas que les pueden llevar mucho tiempo sin mencionar que tienen más probabilidad de ser detectados, pueden ser más efectivos si van sobre las vulnerabilidades humanas.

Claro tiene todo sentido, todos los que llevamos unos cuantos (pocos o muchos) años trabajando en estos temas sabemos que puede ser mucho más sencillo y sin mencionar menos riesgoso realizar un ataque de Ingeniería Social remoto a gastar el tiempo tratando de explotar una falla técnica.

Ya ha pasado de la hora de que los responsables de invertir e implementar seguridad dentro de las empresas se den cuenta de que no basta con caer en las “verdades” de un vendedor de cajas que dice que un appliance va a ser la solución para todos sus problemas. Es hora de que se enfoquen también en sus empleados/usuarios.

Educar a la gente va más allá de solo dar una plática o enviar algunos correos de cuando en cuando.  Desde mi perspectiva es importante conocer y estudiar un poco el comportamiento humano, entender por qué reaccionamos de una manera u otra.

Los del lado oscuro ya se han dado cuenta de que días de la semana somos más susceptibles de caer en estafas vía correo electrónico, incluso conocen en que horarios somos más propensos a abrir un link o un anexo sin poner tanta atención al mensaje.

En las últimas semanas me he encargado de impartir pláticas a empleados de diferentes niveles educativos y de diferentes roles organizacionales y me doy cuenta que, si queremos que el mensaje correcto llegue y haga sentido tenemos que darlo en un lenguaje que cada tipo de usuario pueda entender. El uso de ejemplos reales, situaciones que sabemos que se les puede presentar o que incluso al primo de un amigo le haya sucedido, pueden ser de gran ayuda.

Tenemos que hacer entender a la gente la importancia y las consecuencias que sus acciones tienen. Es la única manera de que hagan las cosas con un poco más de atención y puedan empezar a convertirse en lo que se denomina como Human Firewall.

En estos momento me encuentro leyendo el libro Phishing Dark Waters de Christopher Hadnagy (@humanhacker) y Michele Fincher (@socengineerinc) y me gustó mucho la manera como presentan las razones psicológicas por las cuales los seres humanos tienden a caer en los ataques phishing.  Los autores presentan su explicación por medio de un círculo vicioso al que denominan Emotional Decisión-making Cycle.

En resumidas cuentas no importa si el ataque busca explotar el miedo, la curiosidad, el deseo, la simpatía u cualquier otro sentimiento en la víctima. Todo gira entorno a generar respuestas cerebrales que hagan que las emociones (sin importar cuales) se interpongan a la lógica y conlleven a que se tomen malas o impulsivas decisiones.

Entender ese tipo de cuestiones nos lleva a ideas un poco más claras sobre qué hacer romper ese círculo vicioso, cosas tan sencillas como tomarse un par de minutos antes de responder a algún mensaje sospechoso. Tomarse ese tiempo nos abre oportunidad para:

  1. Analizar si tenemos toda la información necesaria que justifique la toma de una decisión específica.
  2. Identificar si estamos bajo alguna influencia ajena a la situación que pueda perjudicar la decisión.
  3. Buscar alternativas para solucionar el problema tomando en cuenta las posibles consecuencias
  4. Tomar la decisión
  5. Evaluar los resultados de la decisión tomada.

Todas las acciones mencionadas pueden llevarse a cabo a algunos minutos, no se trata de tomar horas para darle respuesta a un requerimiento/correo. Con tan solo seguir el punto 1 podemos darnos cuenta si ese correo que supuestamente es del CEO proveniente de la cuenta ceo@empresa.com es en realidad falso ya que la cuenta del CEO en realidad es sunombre.apellido@empresa.com .

En fin ese es apenas uno de muchos aspectos que podemos descubrir si con vistas a la seguridad de la información estudiáramos un poco más a las personas para tratar de complementar la efectividad de los controles técnicos en los que invertimos grandes sumas de dinero.

Ya saben sus comentarios son siempre bienvenidos.

 

¿Generas conciencia sobre las amenazas a la seguridad de la información en tu familia?

Ha pasado casi 1 año o para ser más exacto 10 meses desde la última vez que me inspiré para escribir algo en este casi olvidado blog.

En fin en los últimos días, talvez derivado del regreso de mis muy merecidas vacaciones con mi familia he estado divagando sobre algo con lo que tuve que lidiar y que ahora se lo deje de tarea a otras personas de la familia.

Supongo que todos en nuestras familias contamos con alguien, algún adulto o incluso infante que se empieza a adentrar en la tecnología. Siento que fechas como la navidad el número de gente que se empieza a involucra por primera vez siempre tiene un pico exponencial por obvias razones. Simplemente hagan memoria de cuantas personas en su familia cercana no fueron obsequiados con un Smartphone, computadora o tableta en la pasada temporada navideña.

En mi caso me toco participar en el proceso de elección de regalo para mi señora madre el cual terminó por ser un nuevo Smartphone. En efecto mi madre ya lleva algunos años utilizando teléfonos inteligentes y computadoras (es una feliz Ubuntera). El sujeto que entra en la jugada en el contexto de esta nota es mi señor padre, una persona muy pero muuuy ajena a la tecnología y que terminó por heredar el antiguo Smartphone de mi madre.

Me pareció muy conveniente estar físicamente cerca de ellos durante ese proceso que apenas está iniciando.  Tomarme el tiempo para sentarme con mi padre y explicarle las bondades de utilizar un Smartphone, no sin antes ilustrarle también sobre los peligros de lo mismo.

Él estaba en sus ansias por tener acceso rápido a sus correos electrónicos y mensajería por medio de Whatsapp volviendo a tener contacto de manera sencilla con sus amistades que quedaron de sus años viviendo en México.

Si bien veía con gusto su inclusión a este mundo conectado, no dejo de pasar por mi mente todas las amenazas que tendría a su alrededor. Por esa razón básicamente establecí un esquema de soporte y atención a mi señor padre en el cual nos involucrábamos mi madre, mi hermano y yo. Quienes en ese mismo orden de escalamiento seriamos su punto de contacto directo ante cualquier duda que el tuviera.

Teniendo eso definido lo que siguió fue su Awareness session donde fue necesario dejarle bien en claro algunos puntos básicos:old-people_o_706797

  • No abras correos de gente que no conozcas
  • No creas en las cadenas
  • No compartas información personal
  • No confíes en nadie
  • Si dudas sobre alguno de los puntos anteriores CONSULTANOS

Entiendo que si bien parecen cosas muy simples no podemos generalizar sobre los niveles de vulnerabilidad que tenemos antes las diferentes amenazas, así que por más básico que pueda parecer siempre hay que empezar de abajo.

Para reforzar aún más el punto anterior les comparto un ejemplo de algo que me compartió una amiga que ya tiene varios meses involucrada en temas de seguridad de la información.

Sucede que en su grupo de amigas (todas millenials) una de ellas recibió un mensaje por medio de LinkedIn en el cual una persona desconocida le pedía apoyo financiero con la promesa de compartir una herencia que recibiría de un familiar que falleció en una guerra.

¡SÍ! Lo leyeron bien. Es el viejo truco. Mi amiga en cuestión trató de explicarle a la potencia victima que se trataba de una estafa y que no debería responder o hacerle caso a ese tipo de mensajes. Su consejo fue respondido por el argumento “Pero y si es cierto, estaría dejando pasar la oportunidad de recibir una gran herencia”.

Así es mis estimados lectores, mi reacción la dejo con una imagen.

En fin estos temas terminaron por lograr inspirarme a escribir esta nota.

Por último le quisiera dejar algunas preguntas.

  • ¿Han vivido alguna situación parecida a cualquiera de los dos casos?
  • ¿Cómo han manejado el acercamiento a la tecnología entre sus familiares sean estos jóvenes o personas mayores?
  • ¿Qué sugerirían para proteger a estas personas más allá de los típicos controles técnicos que ya conocemos?

Esperemos que esta sea apenas la primer nota de muchas para el blog en este 2016.

post

¿Por qué pasamos por alto los mensajes de alerta en los sistemas?

Un reciente estudio publicado (http://neurosecurity.byu.edu/) por investigadores de la Brigham Young University y la University of Pittsburgh en conjunto con Google nos presenta interesantes datos sobre la manera en la que se comportan los usuarios ante los mensajes de alertas provenientes de los sistemas de información.

Se trata de un estudio que a mi parecer es muy interesante ya que nos deja en evidencia cuestiones bastante comunes que muchas veces decimos que suceden por estar en “automático” como cuando simplemente al ver un error del sistema operativo presionamos Aceptar o Continuar por mera costumbre sin antes leer de que se trató el error.

El estudio (http://neurosecurity.byu.edu/chi_fmri_habituation/)  denominado How Polymorphic Warnings Reduce Habituation in the Brain—Insights from an fMRI Study consistió en evidenciar como nuestros cerebros tan solo después de un par de exposiciones a una alerta genera un estado mental de hábito disminuyendo su procesamiento en exposiciones posteriores resultando en que muchos pasen por alto mensajes importantes arrojados en por los sistemas. Lo que los autores denominan “habituation” es un proceso que ocurre de manera inconsciente en nuestros cerebros.

Los investigadores desarrollaron dos experimentos para constatar su hipótesis; En el primer estudio diseñaron mensajes de alertas polimórficos los cuales tuvieron como objetivo reducir la resistencia a la creación de hábitos. De tal manera los usuarios terminan mantener un poco más de atención en dichos mensajes. El segundo estudio involucro el rastreo de los movimientos del puntero del mouse para validar que los mensajes polimórficos de verdad generan una mayor resistencia a la creación de hábitos.

Como resultado de ambos estudios pudieron validar que sí existe una reducción en la desatención de los usuarios ante mensajes polimórficos que al mostrarse aleatoriamente diferentes resultan en que los usuarios dediquen segundos adicionales a su lectura antes de tomar alguna acción.

Creo que el involucramiento de la neurociencia para fines prácticos en cuestiones relacionadas a la seguridad de la información puede tener suma importancia si nos ponemos a pensar fríamente que muchas de las brechas en la actualidad tienen alta participación del usuario. Por medio de estudios como este las compañías enfocadas a soluciones de seguridad podrían sacar más provecho al campo de la neuroseguridad o “neurosecurity” y los diseños de sus interfaces gráficas pueden disminuir la velocidad en la que generamos tales hábitos reteniendo por un tiempo mayor la atención de los usuarios, logrando disminuir en algún nivel el índice de vulneraciones por respuestas inconscientes.

¿Qué opinan sobre este tema? ¿Cuántas veces han aceptado o han dado clic en alertas sin antes leer el mensaje?