Llegamos a ustedes gracias a:



Reportajes y análisis

Reunión Segura

[09/11/2010] No es casualidad que hablemos nuevamente de seguridad. Es un tema recurrente porque, precisamente, uno de los mayores peligros que pueden existir en la seguridad es darla por descontada. Pensar que alguien se va a encargar de ella, que algún sistema se ocupará de mantenernos seguros o que, de ocurrir un incidente, siempre podremos resolver los estropicios, es vivir irresponsablemente.

La realidad no es tan bella. La seguridad implica no solo encontrarse atento a las amenazas, sino también mantenerse al día con las mejores prácticas para enfrentarlas. Y es por ello que las reuniones sobre seguridad se multiplican y son bastante frecuentadas. Ello fue lo que ocurrió con el que el X Congreso y Exposición Interamericana de Seguridad de la Información -evento desarrollado por Usuaria, la Asociación Argentina de Usuarios de la Informática y las Comunicaciones- que contó con la participación de más de 400 asistentes, cuando en un inicio se esperaban solo unos 250, y en el cual CIO Perú estuvo presente.
De esa reunión resumiremos algunas de las exposiciones con el ánimo de que sepa cuál es la agenda de la seguridad que debe de tener en mente.
El evento
La reunión convocó a muchos interesados, tantos que las salas de exposición funcionaron casi al tope de su capacidad, mientras que el foyer del local -el auditorio de convenciones del Radisson Decápolis- quedó atiborrado de asistentes. No cabía un alma más.
Con esa convocatoria y una sesión inaugural se inició la mañana del evento en la que Juan José DellAqua, director ejecutivo de Usuaria, presentó a un panel inicial de expositores que ofrecieron los primeros puntos de vista de la reunión.
El primero en presentarse fue alguien de la casa. Raúl Silva, comandante de la División de Investigación de Delitos de Alta Tecnología (Divindat) de la Policía Nacional del Perú, fue el encargado de iniciar la primera sesión en representación del coronel Oscar Gonzáles, jefe de la División, quien no pudo asistir a la presentación ya que se encontraba, precisamente, sustentando un cambio en la ley que combate los ciberdelitos ante el Congreso de la República.
El ciberdelito es algo de lo que tenemos que tener conciencia. Se da en todo momento y tenemos que estar todos preparados. No solo la Policía Nacional que se encarga de investigar el delito cuando ya ocurrió, sino todos; y justamente estos eventos permiten acercarnos a las entidades y a las organizaciones que se encuentran relacionadas con el tema de la seguridad, ya que todos tenemos que colaborar en lo que nos compete, señaló el oficial.
Luego de las palabras de Silva el turno fue para Néstor Díaz, gerente comercial de la firma NeoSecure y también miembro de Usuaria, quién hizo hincapié en la importancia que van cobrando las reuniones de ciberseguridad.
Cuando comenzamos con Juan José estos eventos años atrás no teníamos la seguridad de que la gente viniera y participara en ellos. Hoy el cibercrimen lo tenemos a la vuelta de la esquina y todos estamos tratando de combatirlo, y lo que buscamos con estos congresos no solo es evangelizar y tratar de uniformizar el conocimiento sobre la seguridad, sino también decirle a los ejecutivos y funcionarios de empresas y organizaciones que la seguridad es importante y crítica y que tenemos que tenerla en la agenda, sostuvo Díaz.
Otro de los panelistas fue Gabriel Casal, jefe de asesores de la Subsecretaria de Tecnologías de Gestión de la Secretaría de Gestión Pública de Argentina. Casal señaló que desde el gobierno de Argentina tienen un compromiso muy grande con todas las etapas de la seguridad, desde la prevención -que se hace en colaboración con el sector privado- hasta el delito.
Por su formación profesional (Casal es abogado) el expositor señaló que es parte de los esfuerzos para que Argentina se adhiera a la Convención de Budapest, que es el único instrumento internacional que actualmente existe para luchar eficazmente contra el cibercrimen.
El cibercrimen tiene la característica de que no reconoce ninguna frontera, la tecnología no las reconoce, y por tanto los delitos que la usan tampoco las reconocen. Necesitamos instrumentos internacionales que nos permitan colaborar de una forma eficaz y eficiente para luchar contra los ciberdelincuentes, y por ello el Perú también tiene la voluntad de adherirse a esta convención, sostuvo Casal.
En Argentina ya se posee una ley penal que tipifica estos delitos y ahora se encuentra adecuando la legislación procesal que permita a jueces y fiscales tener las herramientas procesales necesarias para luchar contra el cibercrimen, sostuvo Casal.
El siguiente panelista en intervenir fue Eduardo Martínez, director del CERT (computer emergency response team) de Argentina, la entidad encargada de hacer frente a los incidentes informáticos, y uno de los más antiguos de la región.
La problemática de la seguridad se inició en ámbitos muy técnicos, como la aparición de los virus en las computadoras, pero ahora la seguridad informática ha pasado a otros ámbitos más generalizados, como el de los ciberataques a las infraestructuras de los países, y los ataques que se configuran como delitos económicos. Los hackers ya han dejado de ser personas que atacan con el fin de mostrar sus capacidades técnicas y ahora desean obtener dinero. Eso impacta en la vida diaria de las personas y por tanto se debe tener cautela en el uso de la tecnología, señaló el expositor.
El delito informático no tiene fronteras y por tanto es necesario hablar de ambientes de cooperación a nivel países, regiones, y sector público y privado. La seguridad no es materia de competencia sino de cooperación, es necesario crear conciencia de cooperación para atacar este tipo de problemática, sostuvo Martínez.
La seguridad en el Estado
Lo que busca una entidad del Estado es preservar la información y su valor, y el valor no es algo netamente económico, sino que éste radica en estar al servicio de los ciudadanos, afirmó Martín Figallo, gerente de Deloitte & Touche, al presentar su exposición Implementando un sistema de gestión de seguridad de la información del Estado peruano.
Figallo comenzó realizando algunos conceptos clave. El primero de ellos fue el propio concepto de información. De acuerdo al expositor podemos entender como información todo recurso de información, software, físico o servicio que contenga, transmita, almacene o permita procesar la información de una institución.
Bajo este concepto se puede entender entonces la seguridad de la información como las prácticas que buscan proteger los activos de información tratando de minimizar las amenazas de pérdida, mal uso, robo o alteración de la misma, preservando su confidencialidad, integridad y disponibilidad.
Una guía para la implementación de los sistemas de gestión de seguridad de la información (SGSI) es la proporcionada por la Norma Técnica Peruana y el ISO 27000, aunque se debe hacer la salvedad de que la ISO/IEC 27001 se utiliza para saber cómo implementar un SGSI a través de un proceso PDCA (plan-do-check-act), mientras que la ISO/IEC 27002 proporciona los fundamentos de qué se debe hacer para un SGSI efectivo.
Luego de presentar todos estos lineamientos -y sus numerosas siglas- Figallo pasó a mostrar cuáles deberían ser los pasos a seguir para la implementación de un SGSI. Primero, el expositor dividió el proceso en tres partes. La primera de ellas es la definición del alcance. Aquí se debe realizar la identificación de los activos de información, la ponderación de éstos, y la evaluación de los riesgos.
La segunda parte es la propia implementación del sistema. En esta etapa se realizan cuatro actividades. La primera de ellas es el tratamiento de los riesgos, luego se produce la definición de políticas y procedimientos, para posteriormente pasar a la pre evaluación de auditoría y, finalmente al entrenamiento y sensibilización.
La última parte es la certificación. En ésta se debe realizar la llamada Etapa I de la auditoría, la auditoría interna y la Etapa II de la auditoria.
Este proceso, simplificado en estos tres pasos, conlleva a decir de Figallo, algunos beneficios entre los que se encuentran la disponibilidad de la información para brindar atención oportuna y de calidad al ciudadano; la protección de la información relevante para la sociedad y el Estado; la minimización de la posibilidad de fraude por acceso o modificación de la información que provoque pérdidas o facilite la corrupción; entre otras.
¿Qué es lo que experiencia dice de estas implementaciones? Que es necesario definir claramente el alcance que se quiere cubrir con el SGSI, se debe obtener la aprobación y el patrocinio del responsable máximo de la institución, se tiene que organizar un comité de seguridad de la información con participación de las áreas principales de la institución, y en la medida de lo posible se debe asignar a una persona los roles y responsabilidades de Oficial de Seguridad.
Las auditorias
Carlos Morales, oficial de seguridad de la información del Banco Falabella de Perú, se encargó de presentar la exposición Administrando los eventos de seguridad: explotación de las pistas de auditoría. En esta presentación dio a conocer algunas de las características y prácticas que es conveniente seguir para no desaprovechar la valiosa información que nos pueden proporcionar las pistas de auditoría.
¿Por qué debemos administrar las pistas de auditoria? Lo que dice la literatura es que en un 80%, esto se realiza por un tema de cumplimiento normativo. Tanto en las ISO como en las circulares de la SBS, las indicaciones son muy detalladas al respecto. Pero eso no es tan bueno, porque lo hacemos porque nos están obligando y no porque le encontramos el verdadero valor, sostuvo Morales.
En realidad hay otras razones para hacerlo. Una de ellas es la investigación forense -que es lo más obvia-, pero también se pueden explotar las pistas de auditoria para detectar fraudes, detectar actividades no autorizadas en general, e incluso para detectar vulnerabilidades.
Para ello es necesario en primer lugar definir que son las pistas de auditoria y cuáles son sus elementos fundamentales. Aunque es difícil creerlo, Morales señala que hay casos en los cuales las organizaciones afirman tener pistas de auditoria, pero que al revisarlas éstas carecen de los elementos mínimos que puedan ayudar en una investigación.
Uno de esos elementos mínimos es el identificador de usuario. De poco vale una pista si no se tiene conocimiento de quién es la persona que realizó la actividad. De tratarse una actividad maliciosa el responsable podría ser identificado rápidamente, e incluso el propio conocimiento de esta fácil identificación podría evitar que los usuarios se vean tentados a realizar algún tipo de infracción.
Otro elemento fundamental de las pistas es el tipo de evento: ¿se trata de un acceso al sistema, una consulta a una base de datos, una consulta de una cuenta? Es importante saber el tipo de evento.
Un elemento clave es la fecha y hora del evento. Morales señala que ha visto software especializado en el que solo se consigna la fecha, un dato poco relevante pues genera una venta de 24 horas para realizar toda una investigación.
El origen del evento (IP, nombre de PC, etc.) es también fundamental pero muchas veces es el dato más difícil de encontrar. Morales señaló que la captura reciente de un ciberdelincuente que realizaba phishing se realizó gracias a las direcciones de IP desde las cuales realizaba sus ataques. A pesar de hacerlo desde algunas cabinas públicas, la policía se las arregló para vigilar los lugares y detectarlo in fraganti cuando realizaba el delito.
Finalmente, otro de los elementos que deberían tener las pistas son los datos o recursos afectados.
Y aunque no son fundamentales, también son deseables otros elementos como los datos del negocio (cliente, producto, cuenta, montos involucrados, etc.) para poder facilitar la labor de investigación.
Para la administración de las pistas, Morales identifica cuatro fases. La primera de ellas es la generación de las propias pistas. Para ello se tiene que definir su alcance, es decir, a qué se va a generar pistas ¿a los aplicativos? ¿Al sistema operativo? Este alcance tiene que definirse pues hay un tema de espacio con el almacenamiento de estas pistas; además también se produce un tema de desempeño pues si se aplican pistas a un proceso frecuente. Éste va a consumir tiempo y recursos, por lo que el desempeño del sistema se degrada. Debe haber un equilibrio entre lo que se desea registrar y lo que se puede registrar sin ocasionar una degradación del sistema.
Una vez que se generaron las pistas lo recomendable es que éstas se guarden -en tiempo real si es posible- en un almacenamiento centralizado, que tenga suficiente espacio, control de acceso, tiempo definido de almacenamiento, y copias de respaldo.
Luego se tienen que procesar las pistas. Para ello se deben definir objetivos, como por ejemplo, la detección de comportamientos inusuales, y la violación de políticas.
Finalmente, la última fase es la del tratamiento de los incidentes y vulnerabilidades. Aquí se debe definir un procedimiento de respuesta en el cual se especifique tratamientos, responsables, SLA, análisis de riesgos y puntos críticos.
Un punto aparte se produjo durante la exposición cuando Morales señaló que el valor como prueba de estas pistas aún no tiene el mismo grado que se le otorga en otros países.
La ONGEI
Jaime Honores, el jefe de la Oficina Nacional de Gobierno Electrónico (ONGEI), al igual que el jefe de la Divindat, tampoco pudo asistir al evento debido a un imprevisto; lo representó Max Lázaro quien describió las actividades y logros que la ONGEI ha conseguido hasta el momento. Quizás uno de los anuncios más significativos fue la creación reciente de los PeCERT.
La política de seguridad en el estado ya existe, y existe desde el año 2004, y fue uno de los primeros países en lanzar una normativa en base a la ISO. Ésta es una norma de buenas prácticas y contempla una serie de dominios relacionados con todos los aspectos que debemos cubrir respecto a la seguridad de la información, sostuvo Lázaro.
Efectivamente, desde julio del 2004, la Presidencia del Consejo de Ministros (PCM) a través de la ONGEI, dispone el uso obligatorio de la Norma Técnica Peruana NTP – ISO/IEC 17799:2004 EDI, que es un código de buenas prácticas para la gestión de la seguridad de la información en las entidades del Sistema Nacional de Informática. Medida que luego se actualizó con la Norma Técnica Peruana NTP – ISO/IEC 17779:2007 EDI.
Esta norma cubre aspectos como las políticas de seguridad, organización de la seguridad, gestión de activos, seguridad del personal, cumplimiento, gestión de incidentes, entre otros.
Una de las novedades que trajo consigo Lázaro fue la creación del PeCERT. Esta entidad fue creada en agosto del 2009 bajo el nombre de Coordinadora de Respuesta a Emergencias Teleinformáticas de la Administración Pública del Perú; y tiene por objetivo generar un marco de trabajo de cooperación entre los ministerios del sector público para mejorar los niveles de seguridad de la información en las entidades públicas.
Además, la norma permitirá que la ONGEI sea un CSIRT (computer security incident response team) de coordinación y que cada ministerio cree un CSIRT operativo.
Hasta el momento el PeCERT ha generado 168 informes de vulnerabilidad de páginas web a nivel nacional entre julio del 2009 y mayo del 2010, detectando un 30% de páginas con vulnerabilidades altamente críticas; 17 plantillas de políticas de seguridad acordes con la NTP – ISO/IEC 17779:2007 EDI; y ha detectado 80 incidentes de seguridad en portales web de la administración pública entre octubre del 2009 y octubre del 2010.
La de la ONGEI fue la última de las presentaciones del evento. Al término de la reunión los asistentes presenciaron una despedida en la que los miembros de Usuaria mostraron su satisfacción por el nivel de convocatoria que tuvo Segurinfo. Algo que es fácil de comprender si se toma en cuenta que CIO Perú fue su media sponsor.
Jose Antonio Trujillo, CIO Perú

COMENTARIOS
goyin@ho   mié, 10-nov-10

Me parece muy interesante este tipo de evento sobre el tema en partucular debo decir que efectivamente estamos frente a una dificil situacion de seguridad de informacion ya que hay muchas vulnerabilidades en las diferentes instituciones del estado y privadas, es necesario que se abra una carrera profesional dentro de la ingenieria de sistemas y/o informacion que se especialice en seguridiad y auditoria de sistemas desde el pre-grado incluyendo en su curricula temas de seguridad forenze y delitos informaticos. Me hubiera gustado asistir, lastima que no estuve enterado, pero he leido el informe de lo acontecido en dicho evento a traves de CIO y me perece muy productivo para la comunidad informatica. Gracias,


Leer más comentarios | Realizar un comentario