Archivo

Archive for the ‘Uncategorized’ Category

WikiLeaks y la angustia en los profesionales en seguridad

diciembre 6, 2010 Deja un comentario

Wikileaks sigue posteando cables clasificados del Departamento de Estado de los EEUU, si añades a esto la revelación de que pronto también publicará documentos sensibles de uno de los más grandes bancos de los EEUU entenderás porque ha despertado serias preocupaciones entre gobiernos y empresas del mundo.
Si bien es cierto que WikiLeaks no ha revelado cómo se obtuvieron decenas de miles de cables del Departamento de Estado o los documentos del banco, el principal sospechoso es un oficial de bajo rango de inteligencia del ejército americano llamado Bradley Manning.
En una reciente entrevista con el ex-hacker, Adrian Lamo, Manning se jacta del acceso, de hasta 14 horas continuas a las redes que contienen información clasificada.
Manning dice que tuvo acceso de nivel Top Secret a SIPRNET, una red usada por el Departamento de Defensa y por el Departamento de Estado, así como al sistema de comunicación usado por las dos agencias para mover información secreta o sensitiva.
La facilidad que tuvo Manning para lograr uno de los mas grandes robos de información de la historia, indica serios problemas de seguridad así como sistemas pobremente diseñados para mantener y controlar la información. Por otro lado, la cantidad y tipo de información a la que Manning accedió muestra que el acceso a la información altamente clasificada no era controlado bajo el principio de que un empleado debe tener acceso únicamente a lo estrictamente necesario para realizar su trabajo.
Para gerentes y dueños de negocios, que trabajan con información sensible, como bancos o instituciones de defensa, el incidente Wikileaks descubre la importancia de adoptar una política de seguridad de la información conocida como “confiar pero verificar “.
Ojo que esto no significa que Ud. necesita ser paranoico o desconfiar de sus empleados, simplemente se refiere a un proceso de confianza y verificación, donde además es importante que ellos sepan que se verifica.
El proceso incluye la segmentación y restricción de acceso a la información basada en roles. Todos los accesos a la información así como los intentos de acceso deben ser almacenados constantemente (usualmente como logs) y verificados periódicamente.
Una empresa seria, al menos una vez al año, realizará la verificación del historial crediticio así como de los antecedentes de todos sus empleados, con el objetivo de identificar posibles futuros problemas.
Políticas claras, sistemas auditables y controles reales de la gerencia son necesarios para asegurarse que lo que deseamos sea confidencial se mantenga confidencial.
La amenaza de fuga de información por personal de las instituciones, sean éstos públicas o privadas, ha sido una preocupación para los profesionales de seguridad desde hace mucho tiempo. Numerosos estudios han mostrado que el mayor riesgo para información sensible viene de empleados negligentes o maliciosos, y no así de hackers externos.
Dispositivos de almacenamiento diminutos tales como los USB ha logrado que el problema crezca exponencialmente. De hecho, en nuestro caso , Manning habría bajado los documentos del Departamento de Estado en USB así como en CDs, fáciles de transportar y que no atraen mayor atención.
Responder a las preguntas: Que información sensible tengo en mis sistemas? Quienes tienen acceso a ella? Que pueden hacer con esa información? puede evitarle serios problemas.

Anuncios

Fuga de informacion. El caso Wikileaks!

noviembre 30, 2010 Deja un comentario

Como salio la informacion clasificada como secreta?

Categorías:Uncategorized Etiquetas: ,

Profesional en Seguridad de Sistemas (IT Risk)

septiembre 7, 2010 Deja un comentario

Buscamos un Profesional en Seguridad con enfoque de negocios, habilidad de mejorar la seguridad y reducir riesgos de clientes.

Requerimientos

• Ingeniero de Sistemas o Electrónico
• 3-5 años de experiencia en Seguridad de Sistemas
• Certificaciones de Seguridad de ISC2, ISACA, SANS o CISCO.
• Exposición previa a proyectos de Seguridad de Sistemas
• Capacidad de diseño de arquitectura e infraestructura de seguridad.
• Conocimientos sólidos de seguridad de aplicaciones (Incluye aplicaciones Web)
• Conocimientos sólidos en autenticación, PKI, smart card, etc. (Diseño e implementación)
• Conocimiento práctico de políticas y estándares de seguridad
• Altamente proactivo/a

La posición es de consultoría y requiere un experto con amplia experiencia técnica y la habilidad de manejar, responder y hacer seguimiento adecuado a las necesidades de clientes.

Es responsabilidad de esta posición el asegurarse que el cliente tenga la mejor solución de seguridad posible de acuerdo a su enfoque estratégico de negocio.
Envia tu CV así como pretensión salarial al correo: xekur@xekur.net hasta el Viernes 10 Septiembre 2010.

Categorías:Uncategorized

A partir del 13 de Julio, Microsoft detiene todo tipo de soporte a las versiones de Windows 2000 y Windows XP SP2

julio 19, 2010 Deja un comentario

Microsoft, en su continuo avance entre versiones deja de soportar los Sistemas Operativos Windows 2000 y Windows XP hasta el Service Pack 2.

Traducción: Microsoft no saca mas parches de seguridad para aquellos Sistemas Operativos que ya no soporta.

Efecto directo: Equipos con Sistemas Operativos anteriores son dejados a su suerte en lo que a seguridad se refiere, pudiendo ser los mismos ALTAMENTE vulnerables en un periodo de tiempo muy corto.

Lo que esto implica es digno de analizarse pues en Bolivia aun vemos cientos de equipos, no solo personales sino también corporativos, con Sistemas Operativos inclusive anteriores a los que Microsoft deja atrás.

Desde un punto de vista de seguridad estricto, las soluciones para seguir trabajando de manera segura son:

1) Migrar al menos a Windows Service Pack 3 , esto te dará soporte de seguridad hasta al menos el año 2014.

2) Tener u permanente seguimiento a las vulnerabilidades que se vayan publicando, cerrando accesos a nuestra red y al los sistemas en ella mediante firewalls y firewall aplicativos. (Tediosa tarea)

3) Migrar de Sistema Operativo.

La solución número 1 es definitivamente la que recomiendo, y que llevada a cabo de manera estructurada y ordenada dentro del ambiente tecnológico de una empresa no debería significar mayores problemas. Sin embargo, esta no es una solución definitiva sino solo un parche, por lo que el camino a seguir es el de iniciar a la brevedad un proyecto de upgrade de Sistemas Operativos personales, que contemple un ciclo de pruebas de nuestras aplicaciones actuales, solicitando a los proveedores de las mismas la actualización a la brevedad.

Es un tema delicado que sin duda tiene facetas económicas y técnicas muy interesantes……….

Alvaro Cuadros

CISSP CISM

Categorías:Uncategorized

Auditoria de Bases de Datos Relacionales – Parte 1

noviembre 20, 2007 5 comentarios

Donde estan las “joyas de la corona” de la empresa? Estamos de acuerdo que en las Bases de Datos, es por eso que todo auditor de sistemas asi como profesional de seguridad está interesado en la implementación de una buena auditoria a nivel bases de datos, sin embargo, los problemas con los que se tropiezan el camino son comunes para todos nosotros. Basicamente estos estan referidos a:

1. Procesamiento. Toda activación de logs en las RDBMS implica uso de recursos del gestor mismo, asi como de capacidad de procesamiento del equipo mismo.

2. Almacenamiento. Toda activación de auditoria requerirá tambien la retención de la información capturada en un medio de almacenamiento , sea este magnetico u optico.

Por estas dos caracteristicas la resistencia de los administradores de Bases de Datos (DBAs) a la implementación de la auditoria es considerable. Y es que, al implementar la auditoria de esta manera (Directamente sobre la Base de Datos) afectamos tambien directamente el rendimiento de la DB misma. Y para que contratamos un DBA? Para mantener la base de datos en un rendimiento optimo SIEMPRE.

En la segunda parte veremos algunas opciones de implementación de auditoria que no enoje a nuestros amigos DBAs y nos permita un control lo suficientemente granular sobre cambios y consultas a la base de datos corporativa.

ALVARO CUADROS