DelitosInformaticos.com información legal de internet » Seguridad Informática

Guías de ayuda para la configuración de la privacidad y seguridad de las redes sociales

Editor — Tue, 27 Apr 2010 08:36:28 +0000

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) a través de su Observatorio de la Seguridad de la Información y en colaboración la Universidad Politécnica de Madrid ha publicado una serie de 12 guías de ayuda para que los usuarios de redes sociales sepan como configurar adecuadamente la privacidad y mantener la seguridad de sus perfiles en las redes sociales más utilizadas por los internautas.

Dada la disparidad de plataformas como Facebook, Tuenti, Youtube, ect., INTECO ha decicido estudiar cada una de ellas independientemente, dando consejos y pautas específicas. De esta forma, INTECO ha publicado una serie de documentos con las pautas de configuración en cada red social. Así el usuario puede conocer perfectamente cómo configurar tanto su perfil como el acceso a sus datos personales en cada una de ellas.

Las guías están en formato PDF y los enlaces son los suguientes:

Análisis de Riesgos: ISO 27005 vs magerit y otras metodologías

Editor — Thu, 29 Oct 2009 17:03:43 +0000

Como es ya de sobra conocido por todos los que trabajamos en el ámbito de la seguridad de la información, la piedra angular de todo SGSI (Sistema de Gestión de Seguridad de la Información) es la realización del pertinente análisis de los riesgos asociados a nuestros activos de información.

La importancia del Análisis de Riesgos deriva de que es la herramienta que nos va a permitir identificar las amenazas a las que se encuentran expuestos dichos activos, estimar la frecuencia de materialización de tales amenazas y valorar el impacto que supondría en nuestra Organización esa materialización.

En el campo del Análisis de Riesgos, en España tenemos un referente indiscutible cuando nos planteamos la metodología a seguir. Si, ese referente es MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Actualmente por la versión 2.0, goza de una excelente salud y está reconocida por ENISA (European Network and Information Security Agency) junto a otras metodologías europeas e internacionales. Es una metodología de carácter público elaborada por el Consejo Superior de Administración Electrónica (CSAE), órgano del Ministerio de Administraciones Públicas (MAP) encargado de la preparación, elaboración, desarrollo y aplicación de la política informática del Gobierno Español.

Si hasta ahora este reinado de MAGERIT ha sido indiscutible -con la interesante excepción de aquellos profesionales que han decidido elaborar sus “propias” metodologías por considerar que se adaptaban mejor a sus organizaciones- desde hace relativamente poco tiempo disponemos de un competidor de peso. Este nuevo actor en la escena del Análisis de Riesgos es, como ya muchos se habrán imaginado, el estándar internacional ISO/IEC 27005:2008, titulado Information technology – Security techniques – Information security risk management.

ISO 27005 “derogó” las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000, y proporciona desde su publicación en Junio del pasado año 2008, un conjunto de directrices para la correcta realización de un Análisis de Riesgos.

Señalar, no obstante, que ISO 27005 no proporciona una metodología concreta de Análisis de Riesgos, sino que describe a través de su clausulado el proceso recomendado de análisis incluyendo las fases que lo conforman:

•   Establecimiento del contexto (Cláusula 7)
•   Evaluación del riesgo (Cláusula 8 )
•   Tratamiento del riesgo (Cláusula 9)
•   Aceptación del riesgo (Cláusula 10)
•   Comunicación del riesgo (Cláusula 11)
•   Monitorización y revisión del riesgo (Cláusula 12)

En pocas palabras, la norma nos sirve para no tener dudas sobre los elementos que debe incluir toda buena metodología de Análisis de Riesgos, por lo que, visto desde este punto de vista puede constituirse como una metodología en si misma.

Además, el estándar incluye seis Anexos (A-F) de carácter informativo y no normativo, con orientaciones que van desde la identificación de activos e impactos, ejemplos de vulnerabilidades y sus amenazas asociadas, hasta distintas aproximaciones para el análisis distinguiendo entre análisis de riesgos de alto nivel y análisis detallado.

Pero ¿con que argumentos cuenta ISO 27005 frente a MAGERIT u otras metodologías existentes? Pues la verdad es que existe una división palpable en el sector, incluso a nivel europeo (en este caso, lógicamente, comparando el estándar ISO frente a las metodologías propias de cada país).

Por una parte, están aquellos que han acogido al nuevo estándar con gran entusiasmo, entendiendo que supone la oficialización a nivel internacional de los requisitos que ha de cumplir una metodología de Análisis de Riesgos, y que por tanto aporta claridad a un ámbito que seguramente estaba necesitándola. Esta postura es frecuente entre quienes se dedican a la implantación de Sistemas de Gestión bajo ISO 27001 –la referencia absoluta en gestión de la seguridad–, ya que ISO 27005 ha nacido claramente para apoyar la tarea del análisis y la gestión de riesgos en el marco de un SGSI.

En el lado contrario encontramos a quienes no terminan de ver la aportación de este estándar para los profesionales del análisis de riesgos, habida cuenta las numerosas metodologías existentes. Desde estas posiciones, más puristas de la gestión de riesgos, la crítica se centra en señalar que el nuevo estándar no se adentra realmente en la gestión de los mismos, sino que se queda en un mero marco declarativo de determinados riesgos, y que dicho marco se enlaza con un ciclo PDCA (Plan, Do, Check, Act) con el fin de revisar dichos riesgos.

Los críticos con ISO 27005 añaden otro aspecto que no termina de convencerles, y es precisamente esa subordinación –para ellos sin duda excesiva– del estándar hacia el SGSI. Consideran que no es admisible la declaración que se hace en la subcláusula 7.1 de la norma, que cita como finalidades del Análisis de Riesgos, entre otras, el apoyo a un SGSI. Esta declaración es puesta en entredicho argumentando que en realidad la implementación de un SGSI es consecuencia de un análisis de riesgos previo, y no al revés. No parece desenfocada en absoluto esta última opinión, ya que precisamente el SGSI tiene como finalidad, y valga en este caso la redundancia, gestionar la Seguridad de la Información siempre desde el punto de partida que supone el Análisis de Riesgos.

Al margen de controversias, que no tienen por qué ser estériles, lo cierto es que desde hace poco más de un año los profesionales que nos dedicamos a la Seguridad de la Información disponemos de un nuevo apoyo para esa difícil y crucial tarea que es el Análisis y la Gestión de Riesgos de los activos de información en las organizaciones. Tarea que, hay que decirlo, necesita de cuantas más aportaciones, mejor.

Entre esas aportaciones cabe destacar por parte española la publicación un mes después de que lo hiciera ISO 27005, de una –en este caso si- metodología de Análisis de Riesgos bajo la forma de norma UNE. Nos referimos, claro está, a la UNE 71504, de la que sin duda será interesante hablar en otra ocasión y compararla con ese referente indiscutible en España que es MAGERIT.

Autor: Manuel Díaz

Áudea Seguridad de la Información
www.audea.com

MENORES: NAVEGACIÓN SEGURA.

Editor — Wed, 15 Jul 2009 10:29:34 +0000

Estamos siendo testigos del auge del uso de las nuevas tecnologías por los menores de edad. Tuenti, twister, myspace, facebook, son lo mas entre los mas jóvenes, pero……..que esta pasando con la seguridad en la navegación de estos menores?

Paralelamente a la proliferación de los chats, redes P2P, programas de mensajería instantánea, redes sociales y demás plataformas virtuales, está surgiendo, proporcionalmente, una gran preocupación y compromiso por salvaguardar la privacidad de los menores en la web, entre los padres, tutores, educadores y organismos institucionales. Lo cual es positivo, muy positivo, pero parece ser que aún insuficiente.

Los mas pequeños de casa navegan y chatean por Internet sin que muchos padres conozcan ni supervisen el uso que hacen del pc y de la conexión ADSL que pagan religiosamente a sus hijos. Muchos padres lo desconocen por desinterés, porque creen que a ellos no les va a ocurrir nada otros por falta de tiempo y otros porque no están familiarizados con el medio.

No se trata, ni mucho menos, de espiar todos los movimientos de los hijos en su navegación, sino de educarlos en un uso adecuado y responsable, advirtiéndoles de los “peligros” existentes y ofreciéndoles las herramientas necesarias para saber identificarlos y superarlos con éxito.

El Instituto Nacional de Tecnologías de la Información (INTECO) ofrece a través de su web (www.inteco.es) información de gran utilidad para que los padres puedan involucrarse en esta labor de información y protección a sus hijos en el uso de las TIC. http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/Estudio_ninos.

ISO 27001: ¿Hacia un cumplimiento obligatorio?

Editor — Tue, 24 Mar 2009 09:53:37 +0000

Hoy en día nadie pone en duda la fortaleza de la norma ISO 27001 en materia de gestión de Seguridad de la Información. Desde su publicación en 2005, año en que ISO adoptó el estándar británico BS-7799-2 con la denominación ISO/IEC 27001:2005, la norma ha ido haciéndose un hueco cada vez más importante en el ajetreado mundo de la certificación.

Y lo ha hecho de la mano de su guía de buenas prácticas ISO 27002, que sin ser certificable, es un compendio de recomendaciones para aquellos que se enfrentan a la ingente -y exigente- tarea de implementar un Sistema de Gestión de Seguridad de la Información (SGSI).

No obstante, ISO 27001 está todavía muy lejos de alcanzar el grado de implantación a nivel mundial de otros estándares de gestión, como por ejemplo, el ampliamente conocido estándar que establece los requisitos de un sistema de Gestión de la Calidad: ISO 9001.

Tal es la superioridad del estándar de calidad que actualmente no se cuestiona si se trata de una norma de cumplimiento obligatorio o voluntario. Simplemente, si no estás certificado bajo 9001, estás fuera del mercado. Así de rotundo.

Viendo esa evolución que ha tenido ISO 9001 en todo el mundo desde que fuera publicada en 1987, y teniendo en cuenta que la sociedad en la que vivimos y las empresas que operan en el mercado dependen ya de una manera absoluta de la información, parece lógico pensar que ISO 27001 va a ir ganando peso progresivamente tanto en organizaciones de carácter público como en la empresa privada.

En este escenario, podría todavía resultar aventurado pensar que ISO 27001 se convierta en el futuro en un estándar de obligado cumplimiento en sentido estricto, o de cumplimiento “obligatorio” a la manera en que de facto lo es ISO 9001. Pero también es cierto que empezamos a ver ciertos signos indicativos de que quizás no estemos hablando de un futuro tan lejano.

Por ejemplo, en Perú la ISO/IEC 27002:2005 –recordemos, la guía de buenas prácticas y no el estándar certificable- es de uso obligatorio en todas las instituciones públicas desde el año 2004, fijando así un estándar para las operaciones de la Administración, cuyo cumplimiento es supervisado por la Oficina Nacional de Gobierno Electrónico e Informática – ONGEI.

Sin salir de Sudamérica, en Colombia la norma ISO 27001 es de cumplimiento obligatorio para algunos sectores. Es el caso de los operadores de información, que de conformidad con el Decreto 1931 de 2006 de aquél país, se hallan sujetos al cumplimiento del estándar.

Pero, sin duda, será el sector privado el que con mayor empuje pondrá a ISO 27001 en el lugar que le corresponde, debido al importante papel que puede desempeñar un SGSI en el ámbito del gobierno corporativo de las empresas en cuanto a gestión de riesgos se refiere.

Un claro ejemplo lo encontramos, cómo no, en la cuna de la gestión de la Seguridad de la Información, el Reino Unido. En 2004, el Financial Reporting Council (FRC), el regulador británico al que las empresas de ese país que cotizan en bolsa deben reportar sus datos financieros, constituyó un grupo de asesores presidido por Douglas Flint, de HSBC Holdings Plc.

La misión encomendada a este grupo era revisar la guía Turnbull, unas buenas prácticas de control interno para empresas británicas cotizadas en bolsa, publicadas por primera vez en 1999. Con las observaciones realizadas por el grupo, el FRC publicó la actualización de la guía en Octubre de 2005. Esta actualización refuerza la importancia del control interno y la gestión de riesgos en el gobierno corporativo de las empresas.

Control interno y gestión de riesgos, sin duda dos conceptos que nos resultan muy familiares a quienes trabajamos a diario con ISO 27001. Efectivamente, el estándar en gestión de Seguridad de la Información, no se limita a gestionar los sistemas de información de las organizaciones, sino que va bastante más allá. Supone todo un examen del proceso o procesos que pretendemos certificar, obteniendo un conocimiento exhaustivo del mismo.

Esa exhaustividad proviene de la identificación y valoración de los activos de la organización, y del análisis de riesgos correspondiente, que nos aportará luz sobre los controles que debemos aplicar para mitigar los riesgos detectados.

Desde otras posiciones se está considerando el encaje de ISO 27001 en el ámbito de la Responsabilidad Social Corporativa (RSC), así como dentro de otro concepto de Governance, Risk Management & Compliance (GRC) que nos comentaba Scott L Mitchell, del think tank estadounidense Open Compliance & Ethics Group (OCEG). Este concepto supone superar el de responsabilidad social corporativa, integrando buen gobierno, cumplimiento normativo, gestión del riesgo y Seguridad de la Información.

Ciertamente, de producirse esa evolución que adelanta OCEG, la Seguridad de la Información pasaría a convertirse en algo tan intrínseco a las empresas como lo es hoy el control financiero o la gestión de la calidad. Ese es el salto que aún tiene pendiente la Seguridad de la Información para hacerse un hueco en la empresa y quedarse para siempre.

Desde luego, un punto de apoyo muy sólido hacia esa evolución lo proporciona el Informe Anual 2008 del IT Policy Compliance Group, con el título Improving Business Results and Mitigating Financial Risk. Según los datos que recoge el informe, las organizaciones con mayor grado de desarrollo en IT GRC –o GRC de las Tecnologías de la Información- superan la media de ingresos en un 17%, que se traduce en un 13,8% más de beneficios.

Cifras que, sin duda, son un estímulo para que ISO 27001 continúe avanzando posiciones en su particular carrera por equipararse al estándar de calidad ISO 9001 en cuanto a grado de implantación y obligatoriedad de facto. Es decir, por convertirse en un estándar cuya certificación las empresas obtendrán no sólo para mejorar la seguridad de su información, sino también para incrementar sus resultados y, por supuesto, para estar en el mercado. Un mercado que para entonces habrá madurado lo suficiente como para marginar a aquellas organizaciones que no se tomen muy en serio la seguridad de sus activos de información.

Manuel Díaz San Pedro
Áudea Seguridad de la Información
Consultor de Seguridad

ISO 27001: ¿Hacia un cumplimiento obligatorio?

Editor — Tue, 17 Feb 2009 09:20:24 +0000

Áudea Seguridad de la Información
Manuel Díaz San Pedro
Consultor de Seguridad
www.audea.com

Vulnerabilidad Grave en Internet Explorer

Editor — Tue, 13 Jan 2009 12:39:58 +0000

Hace unos días se publicó la existencia de una vulnerabilidad en Internet Explorer que permite ejecutar código arbitrario con los permisos del usuario que se encuentre validado.

Su ataque consiste en utilizar XML para incluir código HTML, mientras corrompe la memoria del sistema, e inyecta mediante javascript lo necesario para descargar binarios maliciosos que acaban conformando un malware de tipo “Trojan Horse”.

Se están detectando intentos de ataques de SQL Injection en diversos sitios web para cargar el código malicioso, y que posteriormente se infecten las máquinas que los visiten.

Sistemas afectados:
Windows Internet Explorer 7 en los sistemas:
Windows XP Service Pack 2, Windows XP Service Pack 3, Windows Server 2003 Service Pack 1, Windows Server 2003 Service Pack 2, Windows Vista, Windows Vista Service Pack 1, y Windows Server 2008.
Microsoft Internet Explorer 5.01 Service Pack 4, Microsoft Internet Explorer 6 Service Pack 1, Microsoft Internet Explorer 6, and Windows Internet Explorer 8 Beta 2 son potencialmente vulnerables en todos los sistemas operativos.

La vulnerabilidad es menos crítica en Windows Vista, si se utiliza el modo protegido de los navegadores Internet Explorer 7.0 y 8.0

Microsoft está trabajando en un parche que solucione este problema, y se espera que esté disponible en breve.

Mientras Microsoft desarrolla el parche, existen algunas medidas preventivas que se pueden realizar para evitar infectarse:

-Trabajar desde una cuenta con permisos de usuario (la vulnerabilidad utiliza permisos de Administrador, y de esta forma no puede explotarla).

-Evitar desactivar la función DEP (Data Execution Prevenction) de los Sistemas Windows que lo posean.

-Utilizar un Navegador Web alternativo hasta que el parche esté disponible (firefox, googlechrome…)

Áudea Seguridad de la Información

VULNERABILIDADES EN LA CONVERGENCIA IP

Editor — Tue, 08 Jul 2008 10:01:10 +0000

Hoy en día, la convergencia de las comunicaciones corporativas de voz, datos y video en una única red IP, desde cualquier ubicación y a través de diferentes tecnologías de acceso (Ethernet, ADSL, WiFi, 2.5G, 3G, WiMax, Satélite), es ya una realidad. Son cada vez más las empresas que se han planteado unificar sus comunicaciones utilizando este único medio, en lo que se ha convenido en denominar convergencia IP. Unificación de sistemas de telefonía y ahorros en llamadas empleando voz sobre IP (VoIP), soluciones para movilidad de usuarios, y sobre todo, la simplificación e integración de toda la infraestructura de comunicaciones en una única red, son las ventajas más interesantes que hacen que cada vez más la convergencia IP forme parte ya del presente para muchas empresas.

Una de las mayores preocupaciones a la hora de enfocar los proyectos de convergencia de distintas redes y soluciones a IP, es la capacidad de la infraestructura de comunicaciones para soportar VoIP junto al resto de aplicaciones de negocio. Este primer desafío plantea que las redes IP existentes, aunque puedan ser muy rápidas, en muchas situaciones no están preparadas para las necesidades de tiempo real, ya que han sido diseñadas para servicios tradicionales de email, portales de contenido, navegación Web, etc. La incorporación a las empresas de los servicios de telefonía IP, audio y videoconferencia, movilidad, mensajería instantánea o video bajo demanda debe ir acompañada de una infraestructura que permita garantizar la calidad de servicio (QoS), y que asegure niveles de latencia muy bajos.

Una vez salvado el difícil reto de asegurar la capacidad y calidad del servicio, nos enfrentamos ahora a otro obstáculo, garantizar la seguridad de la información y de la infraestructura tecnológica necesaria, que podría suponer un impedimento para el desarrollo y despliegue de los servicios convergentes IP. En ese sentido, y al igual que se hace para servicios IP tradicionales, se debe enfocar la seguridad tanto en la red, como en el equipamiento final, teniendo en cuenta las mismas vulnerabilidades que en los entornos habituales, entre otras: acceso no autorizado, denegación de servicios, escucha de tráfico, alteración de información, suplantación de identidad tanto de usuario como terminal, etc.

Todas estas vulnerabilidades ya conocidas afectan a los nuevos servicios IP, ya que no hay que olvidar que éstos emplean para su correcto funcionamiento direccionamiento IP y direcciones MAC, integran servicios con protocolos estándares como POP3, SMTP para mensajería, FTP para actualización de configuración, DHCP y DNS para la configuración de red y conexiones con otros recursos, así como otros protocolos habituales, y por ello se deberían se deberían aplicar las mismas políticas y controles de seguridad que en los servicios tradicionales asociados a PCS y Servidores.

Durante estos últimos años, han aparecido vulnerabilidades específicas que afectan a algunos servicios IP, como mensajería instantánea y VoIP, que fundamentalmente aprovechan las debilidades de los protocolos estándares como SIP (RFC 3261) y H.323 (H.320, RTP y Q.931), mientras que en otros protocolos propietarios de fabricantes como Cisco, Nokia y Avaya, las probabilidades de que las vulnerabilidades sean explotadas son inferiores, al no estar disponible su código. Las amenazas y vulnerabilidades más destacadas son:

• Acceso a la información del establecimiento de llamada y a la conversación: Técnicas de eavesdropping y man-in-the-middle (MitM) permiten que la información de la conversación que utiliza protocolo UDP, junto con la señalización UDP ó TCP, pueda ser accedida mediante ARP Spoofing o MAC flooding en cualquier dispositivo de red. Herramientas de sniffing como Cain & Abel, VoIPong y Oreka son algunos ejemplos de software que permiten la escucha y grabación de llamadas IP en redes mal configuradas. La solución frente a este ataque consiste en establecer un número máximo de direcciones MAC por cada puerto que impidan la inundación del switch, así como asignar estáticamente las direcciones MAC por puerto, aunque esto penalice el aprendizaje de direcciones. Como medida adicional se deben separar las redes de voz y datos en VLANs distintas, lo que disminuiría la probabilidad de efectuar ataques. Finalmente, y como una de las técnicas más efectivas frente a estas amenazas está el empleo de cifrado en la comunicaciones VoIP, mediante el protocolo ZRTP/SRTP (creado por Phil Zimmermann –PGP-) y la implementación TLS-SIP, que permitiría garantizar la confidencialidad del mensaje SIP frente ataques MitM y eavesdropping, la integridad del mensaje SIP frente ataques MitM, la autenticación y el no repudio entre los proxies de la comunicación SIP.

• Otra vulnerabilidad relacionada con el uso de una única VLAN para voz y datos, y que podría afectar al acceso no autorizado a los servicios de voz, se denomina VoIP Hopping, consistente en la conexión del cable Ethernet que llega al terminal de voz directamente a un ordenador, pudiendo a partir de entonces realizar los ataques eavesdropping y MitM descritos anteriormente. Para prevenir este tipo de ataque es recomendable no emplear políticas de VLAN basadas en MAC, ya que son fácilmente susceptibles de ataques de spoof, tanto para la dirección MAC, como para la dirección IP, establecer una asociación estática entre el puerto y la VLAN, así el Switch sobrescribirá las etiquetas VLAN que han sido víctimas de spoof, establecer filtros por etiquetas VLAN, deshabilitar cualquier protocolo no necesario para prevenir ataques y vulnerabilidades de dichos protocolos, y habilitar 802.1x como medida de control de acceso de nivel 2, que también proporciona defensa frente ataques de DHCP.

• Denegación de servicio: Aunque los aspectos de calidad del servicio QoS pueden provocar la parada de los servicios IP, se deben tener en cuenta otros aspectos relacionados con la seguridad para hacer frente a posibles ataques, como DoS exploits, que explotan vulnerabilidades específicas de componentes y protocolos de los servicios IP mediante el envío de paquetes malformados con estructuras incorrectas. Otra técnica, denominada Flood DoS/DDoS, provocaría la denegación del servicio por agotamiento de recursos al recibir gran cantidad de paquetes. Otra forma de denegación consiste en atacar al servicio DHCP que suministra la información de configuración de red a los terminales IP, agotando todas las direcciones previstas para su entrega, y dejando a los terminales sin posibilidad de operar.

Es evidente que la seguridad es un aspecto crítico a la hora de integrar servicios en una red IP, por ello debemos disponer de recursos y esfuerzo en garantizar, no sólo calidad de servicio, sino disponibilidad, confidencialidad e integridad de la información, ya que han quedado patentes las numerosas vulnerabilidades existentes en la actualidad en estos entornos. Para detectar estas y otras vulnerabilidades existentes, sería buena práctica emplear una herramienta de detección como SiVuS, un escáner de vulnerabilidades para las redes VoIP que usen protocolo SIP, o VoIP Hopper que permite a los administradores conocer los riesgos de la implementación de VoIP en su red.

Antonio Martínez
www.audea.com

Las empresas aumentan su productividad controlando el acceso a internet de sus empleados

Editor — Fri, 23 May 2008 09:11:50 +0000

Autor: Silvia Fernandez

Los trabajadores pierden un tiempo considerable de horario laboral navegando por internet con fines personales y esto supone unas pérdidas importantes para las empresas. Un trabajador que esté unos 35 minutos conectado cada día (diarios, viajes, grandes almacenes…), le cuesta a la empresa el equivalente a un mes de sueldo al año. Además de “ocupar” ancho de banda que se debería usar para las comunicaciones “habituales” = productividad. Para evitar estas pérdidas hay herramientas para el filtrado de las conexiones web de las empresas.

Internet es una herramienta muy útil para trabajar pero representa una amenaza para las empresas por el indebido uso que le dan sus empleados. Un gran porcentaje del personal dedica varias horas de trabajo a navegar en páginas web para uso personal.

Antes se abusaba del teléfono, el control llegó con las centralitas inteligentes y las restricciones de llamadas salientes. La incorporación masiva de las nuevas TIC hizo que el correo electrónico y la navegación por páginas web sean las pérdidas más importantes de tiempo útil de trabajo.

Estudios realizados a nivel europeo revelan que un 23% del tiempo de conexión a Internet en el trabajo se dedica a fines privados (leer la prensa, conectar con los bancos o ver el destino de sus vacaciones, entre otros), lo que disminuye las horas que se deberían dedicar a las tareas habituales, provocando una disminución de la rentabilidad en la empresa. Con 50 empleados que tengan conexión libre a Internet, una empresa puede llegar a perder más de 150.000 € anuales en rentabilidad.

Por tanto, para la dirección de una empresa, es de especial interés el regular el uso de Internet con buenas herramientas que ofrezcan una visión exacta del uso y permitan poner en marcha políticas de uso.

Más información:

Silvia Fernandez
www.diagonalinformatica.com

http://www.diariometro.es/es/article/2008/04/23/21/4143-67/index.xml

Más espías en las empresas, según datos de Recovery Labs

Editor — Fri, 09 May 2008 07:50:47 +0000

Según Recovery Labs (http://www.recoverylabs.com) compañía especializada en el desarrollo y comercialización de aplicaciones y servicios de recuperación de datos, borrado seguro y peritaje informático, el número de solicitudes de peritaje informático para investigar fugas intencionadas de información, ha aumentado considerablemente con respecto al año anterior.peritaje informático.

Se trata del dato más llamativo al comparar los motivos de solicitud de peritaje informático con respecto al año pasado, ya que el espionaje aumenta en más de 17 puntos porcentuales, convirtiéndose así en el segundo motivo más numeroso de solicitud de peritaje con un 20%, por detrás del de sabotaje, que baja de un 60% a un 48,75%.

Según Juan Martos, Responsable del Departamento de Informática Forense de Recovery Labs, “El hecho de que las investigaciones informáticas más solicitadas estén directamente relacionadas con pérdidas de datos críticos para las empresas, contrasta con la creciente preocupación de las grandes compañías por proteger su información”. Y es que, a pesar de contar con medidas de seguridad de la información cada vez más eficaces, los empleados desleales constituyen unos de los principales riesgos para la información de la empresa. Casos de sabotaje, como el de un empleado que, con el fin de hacer el máximo daño posible, elimina todos los datos de su equipo antes de abandonar la empresa o, casos de espionaje en los que un trabajador envía información crítica a una compañía de la competencia, ponen de manifiesto el peligro que este tipo de amenazas suponen para la continuidad de la empresa.
Para ayudar a las empresas a proteger su información, Recovery Labs recomienda implementar políticas de seguridad y contar con soluciones tecnológicas que faciliten la aplicación de dichas políticas para paliar, en la medida de lo posible, la fuga de información a manos de empleados.

Entre los consejos que ofrece la compañía para evitar las fugas de datos, se encuentran:

Bloquear los puertos usb de los equipos informáticos de los empleados. Un administrador puede deshabilitar los puertos a través de la Bios o en el sistema.
Si deshabilitar los puertos usb es una medida demasiado restrictiva, se pueden instalar programas que controlen el uso de los puertos de conexión, diferenciando por usuario, por dispositivo, etc.
Establecer permisos especiales de acceso, lectura, modificación, etc. para aquellos documentos con información confidencial.
Utilizar software de encriptación en los ficheros que se desee proteger.

Si estas medidas no son suficientes y la fuga de información ya se ha producido, es necesario demostrarlos ante un Tribunal de Justicia, para lo que se hace imprescindible la actuación y el testimonio de peritos informáticos. Un cuidadoso protocolo de Peritaje Informático garantiza la seguridad, la autenticidad y la cadena de custodia de la prueba, desde su adquisición hasta su presentación ante los tribunales.

Seguridad nacional y los acuerdos con empresas de software privativo

Editor — Mon, 25 Feb 2008 14:22:32 +0000

El pasado día 8 de febrero y en un céntrico club madrileño, se escenificó cara al público, un nuevo acuerdo entre el Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia y la Multinacional del software Microsoft. Esta relación entre el el CCN y Microsoft no es nueva, comenzó en el año 2004 con la firma del acuerdo para el acceso al código fuente de Windows. A esta firma, le siguió en 2006, la del acuerdo para acceder al código fuente de la “Suite” ofimática Office. La del pasado día 8, que abre una vía de colaboración entre la Administración y Microsoft, tiene la intención de prevenir y dar respuesta a incidentes de seguridad informática que puedan afectar a la seguridad pública y nacional. El objetivo sería garantizar el funcionamiento eficaz de las Tecnologías de la Información y las Comunicaciones (TIC) que están al servicio del ciudadano y de los intereses nacionales. Todas estas iniciativas se enmarcan en el “Goverment Security Program” (GSP), o en el “Security Cooperation Program” (SCP), que Microsoft ofrece a gobiernos de todo el mundo. En palabras de D. Luis Jiménez, subdirector general adjunto del Centro Criptológico Nacional del Centro Nacional de Inteligencia:

"Este acuerdo ratifica públicamente el compromiso del Centro de garantizar la seguridad de las Tecnologías de la Información en el ámbito de la Administración, para lo cual, se necesita trabajar en un entorno de colaboración entre la industria y los gobiernos. El intercambio de información y su posterior análisis entre el CCN-CERT y Microsoft se utilizará para ayudar a prevenir cualquier ataque, anticiparse en lo posible a ellos y, en caso de que se produzcan, dar una respuesta rápida para mitigar los efectos".

Sin entrar a analizar los posibles beneficios del acuerdo firmado, da la impresión de que se piensan poner recursos públicos para mejorar los productos de una multinacional extranjera, al menos, en lo que se refiere a la seguridad. También es cierto, que este acuerdo ha sido firmado por otros 44 antes que España, países que se supone que harán lo mismo que nosotros, es decir, intentar colaborar para mejorar la seguridad de los programas de Microsoft. No obstante, dicho esfuerzo si se dedicase al Software Libre, podría tener efectos mutiplicadores cara a la seguridad global y al mismo tiempo, se tendría una mejor imagen en lo que se refiere al uso de los recursos públicos, pero parece que en este momento, nos encontramos a años luz de considerar que esto puede ser de este modo.

Durante el acto de firma, se hicieron varias declaraciones y las de Dña. Rosa García, Presidenta de Microsoft Ibérica, me hicieron reflexionar seriamente sobre los posibles problemas de seguridad nacional que se pueden derivar del uso masivo de determinado software. Doña Rosa dijo algo que considero que puede que no quisiera haber dicho en este foro, pero también es cierto que es rigurosamente cierto y no menos alarmante:

“Todos recordamos los estragos que virus de alta peligrosidad pueden causar , propagándose por Internet, llegando a afectar en ocasiones a cientos de miles de PCs y sistemas de particulares, empresas e instituciones públicas, o el lucrativo objetivo de los ataques actuales. La era digital ha abierto la puerta a nuevas formas de servir al ciudadano, comunicarse y cooperar de forma global, pero también ha creado el reto de garantizar de forma adecuada la seguridad de los sistemas públicos. Desde Microsoft creemos que este acuerdo, basado en la colaboración y la combinación de esfuerzos entre el sector público y el privado, puede ayudar al Gobierno español a prepararse, gestionar y minimizar de forma óptima el impacto de los incidentes de seguridad".

Cuando leí estas palabras en la prensa, me llamó la atención que dijera: “puede ayudar al Gobierno”, como si no estuviera segura de que la medida sirviera realmente para algo y al rato, me vinieron a la mente dos publicaciones muy relevantes al caso y que conozco bien. Por un parte, la Revisión Estratégica de la Defensa [PDF], que en su apartado “Otros Riesgos” dice lo siguiente:

“c. Los ataques cibernéticos

La economía mundial, fuertemente globalizada, depende del intercambio amplio de información, cuya interrupción provocaría problemas comparables a los ocasionados por la alteración del flujo de los recursos básicos.

La vulnerabilidad estratégica que supone este tipo de amenazas comprende especialmente dos campos. Por un lado, los ataques contra los sistemas que regulan infraestructuras básicas para el funcionamiento de un país como el sabotaje de los servicios públicos, la paralización de la red de transporte ferroviario o la interrupción de la energía eléctrica a una gran ciudad suponen un serio quebranto para la normalidad y la seguridad de una sociedad avanzada.

En consecuencia, todas las infraestructuras básicas deben dotarse de elementos de protección suficientes para poder neutralizar este tipo de agresiones cuando su funcionamiento depende de complejos sistemas informáticos y de comunicaciones. Por otro lado, la penetración en la red de comunicación, mando y control de las Fuerzas Armadas, en el sistema nacional de gestión de crisis o en las bases de datos de los servicios de inteligencia puede suponer una amenaza directa a la seguridad nacional. Por tanto, las Fuerzas Armadas deben dotarse de las capacidades necesarias para impedir cualquier tipo de agresión cibernética que pueda amenazar la seguridad nacional.”

Por otro lado, el excelente documento“CyberInsecurity: The Cost of Monopoly” de Bruce Schneier y otros, en el que se analizan los riesgos para la seguridad que se derivan de la adopción de un software es un monopolio global. De hecho, si atendemos a lo que dice el Informe Reina del 2007 y analizamos los sistemas operativos instalados en la Administración española en 2006 comprobamos lo siguiente:

El 50% de los sistemas grandes instalados en 2006 tenían sistema operativo Unix y el otros 50% Linux. En la gama de sistemas medios, disminuye muy significativamente el número de equipos Unix instalados en 2006, situándose tan solo en el 15%. Asistimos, por el contrario, a un importante incremento de equipos Windows que se sitúan en el 68% en total. También es de destacar, el 10% de equipos Linux instalados en 2006. En la gama de sistemas pequeños observamos un significativo incremento de equipos Windows XP que se sitúa en primera posición con una cuota del 40%. En conjunto los equipos Windows se sitúan en el 78%. Los equipos Linux bajan al 16% mientras que Unix alcanza una cuota inferior al 6%. Por último, la distribución de sistemas operativos instalados en ordenadores personales en 2006. Windows XP acapara el 71% de este parque y Windows 2000 el 22%. Un escandaloso 93% global, para un parque de ordenadores personales que se usa principalmente para tareas ofimáticas y que podría funcionar sin problemas con Software Libre, como ya han hecho otros países.

Es decir, que la neutralidad tecnológica y la capacidad de protección “genética” en los sistemas de la Administración Española brillan por su ausencia. Quedando claro en este punto, que los sistemas medios, pequeños y personales, en su gran mayoría, funcionan con sistemas operativos y programas de Microsoft, o lo que es lo mismo, cuando aparece una vulnerabilidad, todos son vulnerables al mismo tiempo y se depende de la empresa fabricante para solucionar el problema. Si analizamos todo lo anterior debemos estar preocupados y la declaración de Dña. Rosa podría reescribirse de de este modo, para que sea más evidente lo que hemos visto:

“Todos recordamos los estragos que virus de alta peligrosidad pueden causar, propagándose por Internet, llegando a afectar en ocasiones a cientos de miles de PCs (poner aquí “con Windows”) y sistemas de particulares (no amparados por el acuerdo con el CNI/CCN), empresas (tampoco amparadas por el acuerdo con el CNI/CCN) e instituciones públicas, o el lucrativo objetivo de los ataques actuales (cuyo objetivo principal, suelen ser las cuentas y la información con valor económico de los ciudadanos)…”

Pero de un modo u otro, este acuerdo reconoce y pone en evidencia dos cosas que considero interesantes de destacar. En cierto modo, nos da la razón a los que defendemos el uso del Software Libre para mejorar la delicada seguridad de los sistemas de la Administración por estos dos motivos:

a) El uso masivo de sistemas basados en Windows, en determinadas circunstancias, pueden llegar a suponer un serio riesgo para la seguridad nacional, de las administraciones públicas y de los ciudadanos. Un fallo de seguridad durante la ventana de exposición, afectará a millones de ordenadores de forma simultánea. Por ello, se justifica que sea necesario tomar medidas extraordinarias, como por ejemplo, este acuerdo de colaboración firmado entre el CNI/CCN y Microsoft.

b) Del mismo modo, con estos acuerdos se reconoce y consagra como medida positiva e indispensable, para mejorar la seguridad de los sistemas informáticos de la Administración, el tener acceso al código fuente de los programas. Asimismo, también se considera como algo positivo la posibilidad de colaborar en la depuración y mejora del código por parte de las Administraciones Públicas. Objetivos que se logran directamente con el Software Libre y sin necesidad de firmar acuerdos, ni de disponer de tiempo, dinero y personal de la Administración, para solucionar los fallos de seguridad de productos informáticos de empresas, que todo hay que decirlo, no nos regalan el software.

Tampoco debemos olvidar otras ventajas del Software Libre, que no tienen equivalencia en el software propietario y que pueden ser muy interesantes para dar una respuesta rápida a incidentes de seguridad. Por mucha colaboración y comunicación que se establezca entre la Administración y las empresas de software privativo, la solución solamente depende y dependerá siempre, de la empresa y de sus políticas, o lo que es lo mismo, al final, estaremos poniendo la seguridad nacional, o de las administraciones publicas y los ciudadanos, en manos de una, o de varias empresas, que además, como es el caso que nos ocupa, pueden se extranjeras.

No entraremos aquí en la vana discusión sobre si el Software Libre es más seguro que el propietario o viceversa, simplemente diremos algo que parece evidente a la vista de lo visto anteriormente, el Software Libre hace que sea mucho más sencillo, rápido y transparente, el lograr la seguridad deseada en los sistemas de la Administración.

Si queremos mejorar la seguridad de los sistemas y poder responder rápidamente a los incidentes de seguridad, debemos considerar que hay informes y estudios que demuestran que los incidentes y los fallos de seguridad asociados, se solucionan más rápidamente con el Software libre. Asimismo, el diseño modular de los sistemas Libres, como ya destacaba la OTAN en un estudio sobre nuevas tecnologías aplicables a la defensa, nos permite desactivar los programas comprometidos, hasta lograr una solución adecuada, minimizando así el impacto de estos fallos sobre nuestra seguridad.

Sin embargo, como se pudo comprobar con los ataques que sufrió Estonia, que en su mayoría fueron denegaciones de servicio dirigidas desde “bootnets”, la falta de seguridad en los sistemas domésticos, también puede afectar y muy seriamente, a la seguridad nacional. Recordemos que en el ámbito doméstico también es evidente que la mayoría de los sistemas están ejecutando software de Microsoft. Es posible que las hipotéticas mejoras en la seguridad que se logren con este y otros acuerdos, redunden a la larga en la seguridad de los ciudadanos, pero debe quedar claro que la seguridad de los sistemas domésticos, o de las empresas, no es competencia directa del CCN.

Desgraciadamente, según informe del Inteco, el 70% de los ordenadores domésticos está infectado por malware. Y en esta complicada y penosa situación, ¿podemos estar medianamente seguros de que no acabará siendo un serio problema el uso de la firma electrónica?. También es cierto, que en la historia reciente se han producido incidentes de seguridad que han afectado a la seguridad nacional de países de nuestro entorno, países que también disponen de acuerdos similares al suscrito por España y en los que han intervenido de forma decisiva los programas y los sistemas operativos de Microsoft.

El acuerdo firmado entre el CCN y Microsoft, no dudo de que sea necesario dada la enorme predominancia de los sistemas de Microsoft y la manifiesta e injustificable falta de neutralidad tecnológica de la Administración española, algo que cara a la seguridad, se debería corregir de algún modo y con la máxima urgencia. Pero la migración al software libre, es algo que recomiendan muchos informes independientes [PDF] y es algo que ya están haciendo algunos países, que al parecer, tienen las ideas más claras que nosotros. Un ejemplo lo tenemos en los EEUU, que ha decidido usar software de código abierto en el sistema operativo que usarán sus ejércitos en las guerras del futuro. Sin embargo, está por comprobar que este y otros acuerdos suscritos con las empresas de software propietario, tengan el impacto deseado en la mejora de la seguridad real de los sistemas informáticos de la Administración. De hecho, los incidentes de seguridad, algunos graves, se suceden casi a diario y en las estadísticas ordenadores comprometidos, los españoles comenzamos a tener un predominante y peligroso puesto.

No me cabe la menor duda, de que este y otros acuerdos serían innecesarios si se apostase firmemente por el uso del Software Libre en la Administración y sociedad española. Estas libertades, que se materializan en estos acuerdos y que se consideran tan interesantes y positivas para la seguridad nacional, no debemos olvidar que están plenamente incluidas en las licencias libres como la GPL. Al igual que otras muchas libertades igualmente interesantes, que no estarán, ni podrán estar nunca en estos acuerdos firmados entre las administraciones o gobiernos y las empresas de software privativo. El mero hecho de poder eliminar el estorbo que pueden suponer las licencias propietarias y otras regalías, a la hora de tomar medidas de seguridad rápidas y contundentes, debería ser considerado seriamente si pensamos en la seguridad de sistemas críticos de la Administración.

Por ello, estoy plenamente de acuerdo con lo que dice D. Carlos Castro de la Junta de Extremadura, no apostar por el Software Libre en España, es una estupidez, algo que bien se puede aplicar a los sistemas de la Administración y a los domésticos, pero que tampoco estaría mal que el ejemplo viniera de la Administración.

Fuente: http://fernando-acero.livejournal.com/50008.html

"Copyleft 2008 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved"