Llegamos a ustedes gracias a:



Reportajes y análisis

Secure Soft, la cumbre de la seguridad

[30/04/2018] La semana pasada se realizó la quinta edición de la Cyber Security Summit Perú, un evento anual organizado por Secure Soft con el ánimo de mostrar las más recientes tendencias en el campo de la seguridad.

Óscar Avilés, CEO y fundador de Secure Soft.

Este año acudimos a la cumbre y en ella pudimos observar algunas presentaciones que nos dieron un punto de vista novedoso sobre el tema. Por ejemplo, las presentaciones magistrales abarcaron temas como los defraudadores y las infraestructuras de pagos, además de la estrategia de la propia Secure Soft para afrontar las amenazas a la ciberseguridad. Además, también vimos a un panel de CIOs que ofrecieron su experiencia en cuanto a qué acciones tomar para protegerse en un mundo tan conectado.

El inicio

Óscar Avilés, CEO y fundador de Secure Soft, fue el que dio inicio al evento. En sus palabras iniciales, Avilés destacó la realización de la cumbre por quinto año consecutivo y la presencia de invitados internacionales que iban a compartir sus experiencias durante sus charlas magistrales, además de contar con las sesiones de los 18 socios que participaban en los tracks que se darían luego de las charlas magistrales.

Luego de las palabras iniciales de Avilés, el turno fue para el primer expositor, Vilius Benetis, consultor especializado en ciberseguridad y CEO de NRD Security, quien expuso el tema "Ciberseguridad: Enemigos o Defraudadores.

Benetis habló sobre la importancia de tener socios para enfrentar las amenazas a la seguridad. En el mundo existen muchos grupos a los que las organizaciones se pueden unir, como FIRST o ISACA, quienes además pueden ayudar en la construcción de centros de ciberseguridad.

Vilius Benetis, consultor especializado en ciberseguridad y CEO de NRD Security.
Vilius Benetis, NRD Security, SecureSoft

De hecho, Benetis hizo énfasis en uno de los grupos del que es miembro: FIRST. De esta agrupación dijo que tiene muchos socios en el mundo, incluyendo el Perú.

A pesar de ello, también es necesario comprender que en el mundo actual existe una doctrina de seguridad que es necesario tomar en cuenta. De acuerdo a esta doctrina, la seguridad debe basarse en la inteligencia, se debe ser resiliente y estar preparado para los ataques, siempre estar listo para las posibles brechas de seguridad y tener preparada la respuesta ante ellas, desarrollar una red de socios para manejar los incidentes y tener reservas al momento de confiar en el aprendizaje automático y la inteligencia artificial.

Y quizás aquí, en ese último punto, se encuentra una de las características del discurso de Benetis. Él hace mucho énfasis en que es necesario comprender que la seguridad es un asunto de personas. Quizás haya uso de IA y aprendizaje automático del lado de los atacantes, y sea necesario hacer uso de las mismas herramientas para defenderse de sus atacantes; pero ello no significa que una de esas herramientas vaya a ser más 'inteligente' que una persona. Por ello, es necesario siempre tener personas preparadas en seguridad para afrontar los ataques, no solo herramientas, por más sofisticadas que estas sean.

Al final, Benetis hizo también hincapié en la necesidad de contar con un socio que tenga un SOC CMM (capability maturity model), como el que tiene Secure Soft de nivel 4.

Jorge Castañeda, gerente general de Secure Soft.
Jorge Castañeda, Secure Soft.
El CyberSOC

La segunda de las presentaciones fue la de Jorge Castañeda, gerente general de Secure Soft. En su exposición "Defensa proactiva y reactiva, basada en una estrategia de CyberSOC, explicó el enfoque que tiene la compañía hacia la ciberseguridad actual.

Su estrategia de cyberSOC se basa en tres características, debe ser proactiva, reactiva y mejorar continuamente. En la primera característica se encuentran las acciones destinadas al monitoreo de la salud de los servicios; es decir, observar el estado de la salud, de la capacidad y realizar el análisis de eventos.

También dentro de la proactividad se encuentran las acciones enfocadas en el uso de la ciberinteligencia; es decir, el uso de SIEM (security information and event management) y el UEBA (user and entity behavior analytics), además del uso de la inteligencia contra amenazas y la caza de amenazas (threat hunting), además de la protección contra el fraude y la protección de la marca.

Adicionalmente, tanto el monitoreo de la salud de los servicios como la ciberinteligencia deben ser complementados con el análisis de vulnerabilidades.

"Nuestra plataforma de gestión de vulnerabilidades, a través del modelamiento de vulnerabilidades en componentes de red y aplicaciones, nos permite identificar las vulnerabilidades y amenazas más riesgosas, sostuvo el ejecutivo.

La segunda característica, la reactiva, se traduce en la gestión de eventos e incidentes, para lo cual es necesario contar con un equipo de respuesta ante incidentes y realizar un análisis forense de los hechos.

Específicamente hablando de la respuesta ante incidentes, Castañeda indicó que el equipo debe dedicarse a la contención, detección, erradicación y recuperación y entendimiento de las lecciones aprendidas, todo lo cual se complementa, nuevamente, con ser parte de organizaciones como FIRST, que pueden ofrecer ayuda en caso de ser necesario.

Finalmente, en el último grupo se encuentra la mejora continua, una característica que se traduce en la creación de una base de conocimientos.

Aaron Turner, international security leader.
Aaron Turner, international security leader, SecureSoft
La seguridad en los pagos

La segunda charla magistral fue la ofrecida por Aaron Turner, international security leader, quien ofreció una exposición denominada "Seguridad en la infraestructura de pagos: Desafíos y oportunidades, en la que básicamente indicó los problemas que se tienen en los pagos móviles y en los pagos digitales en general.

Su exposición fue directo al problema. Por ejemplo, indicó que se ha estimado que en diversos países de América Latina se ha producido pérdidas por aproximadamente 10 millones de dólares por el uso de los llamados "skimmers, esos pequeños dispositivos que se usan para robar la información de las bandas magnéticas de las tarjetas bancarias. ¿La raíz del problema? Falta de seguridad en la fabricación de los terminales, y esto se debe al caso específico de los terminales de Brasil, en donde debido a las leyes del país se tienen que fabricar -no importar- los POS que se utilizan en esa nación. Criminales se las arreglaron para robar los planos de los dispositivos para poderlos modificar luego con mayor facilidad.

Otro de los ejemplos que propuso Turner como ejemplo de la pobre seguridad que se tienen en los pagos móviles y electrónicos, lo dio señalando la confianza indebida que se tienen a las redes móviles.

De acuerdo a Turner, se han producido millonarias pérdidas debido a la poca seguridad que se ha dado en la red SS7 que se encarga en un país europeo de la emisión de los conocidos SMS. En un banco de ese país, se utilizaba los SMS como parte del proceso de una transacción bancaria. Cuando los criminales tuvieron acceso a la red SS7 y, por tanto, a los contenidos de los SMS, tuvieron acceso a los datos que en ellos se encontraban. La raíz del problema es que esa tecnología, la de los SMS, nunca fue diseñada para la entrega segura de la autenticación.

Finalmente, otro de los casos de uso inseguro fue el que señaló en la conocida tecnología Blockchain. Como luego explicó durante una conferencia de prensa, el modelo de Blockchain, al ser distribuido, no posee una raíz de confianza que pueda garantizar lo que en la red Blockchain se comparte. Así, aunque es muy útil, puede ser insegura si no se tiene dentro de esa red una entidad u organización que se encargue de ofrecer confianza -es decir, validar las transacciones- a la red.

Y si hay forma de hacerlo. Cuando se le preguntó si esta inseguridad se transfería también a los llamados "contratos inteligentes, indicó que no sería ese exactamente el caso, pues en un contrato inteligente sí existe una raíz de confianza -el que genera el contrato- que sí va a responder por los cambios que se hagan en la red.

Pero entonces, ¿cómo afrontar este entorno inseguro? Prestando atención a los detalles, indicó.

Si se va a crear un sistema de pago móvil, por ejemplo, se debe de tener en mente la seguridad en cada una de las etapas y en cada uno de los elementos que van a formar parte del flujo de la transacción; es decir, en el aparato, en la aplicación, en el entorno de pago, e incluso en los bancos involucrados.

El panel

Luego de las exposiciones magistrales fue el momento de los CIOs. Para ello se invitó a cuatro de ellos a dar su punto de vista sobre algunos temas de seguridad. En el panel se encontraron Jorge Luis Sifuentes, gerente de Sistemas de Banco Ripley; Luis Budge, gerente de Seguridad y Prevención del Fraude de BBVA; Lizandro Morillo, gerente de la división de Tecnología de la Información de BanBif; y José Marangunich, gerente del Área de Seguridad Integral para los Negocios del BCP.

De Izq. a der.: Jorge Luis Sifuentes, gerente de Sistemas de Banco Ripley; Luis Budge, gerente de Seguridad y Prevención del Fraude de BBVA; Lizandro Morillo, gerente de la división de Tecnología de la Información de BanBif; y José Marangunich, gerente del Área de Seguridad Integral para los Negocios del BCP.
SecureSoft

Uno de los temas que se puso de relieve fue la necesidad de poseer una posición preventiva -más que reactiva- frente al cibercrimen. Con respecto a este tema, Sifuentes indicó que lo primero que se tiene que tener en cuenta es quienes son los actores de las acciones; es decir, quién es el atacante, el defensor y el entorno en el que se producen los ataques.

Es necesario determinar ese espacio, porque ese espacio está relacionado con la realidad de su compañía, la realidad de su negocio y qué es lo que necesita proteger, indicó el ejecutivo. Una tarea que se complica en la actualidad porque no se puede controlar los cambios que se realizan en la tecnología, ni tampoco los cambios que se producen en el negocio.

La gran responsabilidad, entonces, es cómo incorporar competencias en la compañía para poder reaccionar cada vez mejor. En ese sentido, las empresas tienen que identificar socios adecuados para la estrategia que uno desea implementar en la compañía.

Por su parte, Marangunich indicó que hoy en día las unidades técnicas tienen que tener en claro algunas cosas. Primero, el mapa de riesgo. "Si no tenemos claro cuál es el mapa de riesgo, no podremos ver las estrategias asociadas a ese mapa, detalló. Todo, además, tiene que ir alineado con la estrategia de la compañía y con la participación de los socios estratégicos que pueden ayudar en caso necesario. En el caso del BCP se han instaurado evaluaciones preventivas en las que equipos técnicos que se dedican a inspeccionar que tan cierta es la cobertura de la compañía ante posibles problemas de seguridad. Además, ellos presentan un informe que sube hasta el comité de dirección y hasta el área de auditoría.

Morillo sostuvo, por su lado, que se tienen que construir competencias en la organización y buscar los socios externos adecuados. Es más, el ejecutivo indicó que la propia TI se tiene que presentar ante las áreas de negocio como un socio interno para construir juntos el trabajo de defensa, prevención y marco de seguridad para que el área de negocios pueda desarrollar sus objetivos.

Finalmente, Budge señaló que en su institución siempre se ha tenido en claro que es lo que se tiene que hacer en el corto, mediano y largo plazo, pero que con los incidentes que se tuvieron el año pasado con WannaCry se tuvo un punto de quiebre. Todas las estrategias de corto, mediano y largo plazo se convirtieron en estrategias de corto plazo, y los planes estratégicos se transformaron en planes muy agresivos para amenazas específicas. Se tuvo un plan, por ejemplo, para responder a ataques de malware, que abarcaba desde aspectos técnicos hasta aspectos operativos. Y junto con éste tienen otros tres grandes planes de corto y mediano plazo para los principales puntos de ataque.