31/8/2014

Errores que cometen los padres que cuelgan fotos de sus hijos en redes sociales

Limitar al máximo las imágenes de los menores, no publicar retratos desnudos o evitar dar datos de lugares y horarios, algunas de las claves para proteger la imagen de nuestros niños en las redes sociales.

Nuestros hijos han nacido en la era digital. Asimilan el manejo del móvil o la tablet casi al mismo tiempo que aprenden a caminar. Pero desde el primer momento también se convierten en protagonistas de la tecnología. Sus imágenes están presentes en la Red con total normalidad casi desde la primera ecografía. El álbum familiar, que hasta ahora se disfrutaba en la intimidad del hogar se abre ahora al público general a través de las redes sociales y cada logro de los pequeños, como su primera sonrisa o su primer día en la guardería, se retrata y comparte en Internet.

Pero esta tendencia de los padres a publicar fotos de sus hijos en cada momento, ¿es totalmente inocente? ¿Sabemos dónde está la línea entre lo prudente y el exhibicionismo? ¿Dónde van a parar todas esas instantáneas en el gran universo de información que supone la Red? ¿Pueden los datos que publicamos sobre nuestros hijos influirles negativamente en el futuro?

Ofelia Tejerina, abogada de la Asociación de Internautas, explica que los padres deben tener en cuenta que las imágenes que publican ahora de sus hijos pequeños pueden afectarles cuando sean mayores. "Las fotos van a quedar ahí para siempre y, aunque creamos que solo las están viendo nuestros conocidos en Facebook, por ejemplo, si no tenemos bien ajustado el nivel de privacidad de nuestro perfil, pueden verlas amigos de amigos y de esta forma perdemos por completo el control de las imágenes", señala. Tejerina indica que todos tenemos derecho a gestionar las distintas parcelas de nuestra vida y que nuestros hijos en el futuro pueden no querer que sus compañeros de clase les vean de pequeños bailando o bañándose desnudos. Y no solo eso. "Imagina que todos tuviésemos acceso a cientos de imágenes de infancia de Angela Merkel; seguramente tendrá fotos de su parcela familiar que nada tienen que ver con su imagen política o profesional", dice Tejerina.

En alerta contra los depredadores sexuales

Existe otra cuestión. La foto de un menor bañándose en el mar puede ser totalmente inocente, hasta que llega a un depredador sexual y no sabes qué va a hacer con ella. "Yo les digo a los padres y a los menores que nunca sabrán si hay gente mala en la Red que rastrea las imágenes de los pequeños", indica Tejerina, que aconseja a los padres que recuerden en todo momento que Internet está lleno de depredadores sexuales antes de subir una foto. En este sentido, recuerda que existe una práctica llamada 'morphing' por la que se coge una imagen de un menor totalmente normal y, a través de un programa de edición, se trata y se realiza un montaje pornográfico.

Además, Tejerina recuerda que la actitud que tengan los padres ante Internet será la que enseñen a sus hijos cuando sean mayores. "No podemos radiografiar la vida de un niño publicando 20 fotos al día en las redes sociales y pretender luego que cuando él tenga 13 años no envíe él mismo todas sus fotos", señala, al tiempo que indica que las mismas recomendaciones afectan al WhatsApp. Así, el ejemplo de los padres es fundamental a la hora de que los hijos aprendan buenas conductas en Internet.

Si a pesar de todas estas premisas, los padres siguen queriendo publicar las fotos de sus hijos en las redes sociales, Tejerina ofrece una serie de consejos para que lo hagan de una forma segura.
  1. Limitar al máximo las fotos que se suben. Debemos preguntarnos constantemente si es imprescindible colgar las fotos de nuestros hijos a diario.
  2. Si se quiere compartir imágenes con la familia, optar por el correo electrónico.
  3. No publicar fotos de los niños desnudos en ninguna circunstancia, ni en la playa, ni en la piscina ni dentro de casa.
  4. No ofrecer datos del lugar en el que se encuentran los niños, o dar detalles sobre si están solos o los horarios habituales del colegio.
  5. No etiquetar a los menores con sus nombres y apellidos para evitar que sean indexadas en un buscador.
  6. Si el menor sale con otros amigos, preguntar a los padres si quieren que se suban sus imágenes.
  7. Ambos progenitores tienen que estar de acuerdo a la hora de subir las fotografías de los hijos.
  8. Ajustar la privacidad de los perfiles, tanto de las redes sociales como de WhatsApp, para acotar al máximo el público que va a ver esas fotos.
  9. Recordar que también hay que respetar la intimidad de los niños y que puede que no quieran (ahora o en el futuro) que otros vean lo juegos o momentos que, aunque puedan ser divertidos, se circunscriben al seno de la familia o con amigos muy cercanos.
Fuente: Asociación de Internautas

ProxyMe: ataques de Cache Poisoning

ProxyMe es una aplicación proxy desarrollada por nuestro compañero Manuel Fernández de Eleven Paths. Fue presentada durante el evento Arsenal del congreso de seguridad Black Hat, que se celebró entre los días 2 y 7 de agosto del 2014 en Las Vegas. Ya está disponible para su descarga con el código fuente desde https://code.google.com/p/proxyme/.

El plugin "CachePoison.dll" utiliza un ataque conocido como "Cache poisoning". Fundamentalmente, consiste en forzar a un usuario a que su navegador cachee determinado contenido, al que normalmente se le suele añadir código malicioso para que sea ejecutado por el cliente.

Para conseguir que el contenido sea cacheado (y se consiga una permanencia del código malicioso en el equipo cliente) es necesario realizar previamente un ataque de "man-in-the-middle". De esta tarea se encarga ProxyMe.

Contenido completo en fuente original Eleven Path

30/8/2014

Google permite compartir el navegador Chrome con múltiples usuarios

Facilita el pasar de uno a otro; la modalidad invitado permite abrir una nueva sesión sin afectar el uso habitual del browser y sin utilizar una ventana de incógnito.
En la última versión en modo Beta para Windows, Mac y Linux, el navegador web Chrome permite que los usuarios puedan cambiar de usuario de forma fácil y segura para alternar entre múltiples cuentas, de acuerdo a una publicación de Google en el blog oficial del browser.

Así, es posible configurar varios usuarios en un mismo Chrome, una función pensada para computadoras compartidas, y que también está disponible en Firefox y Opera. La versión actual de Chrome primero requiere crear un usuario (un perfil) en el browser para luego asociarle una cuenta de Gmail; se hace desde Configuración - Usuarios.

En la nueva versión se podrán crear varios perfiles en un mismo navegador y pasar de uno a otro con un clic en "Cambiar persona" (Switch person), directamente desde el menú, como se hace con las cuentas de usuario del sistema operativo. También suma una herramienta para cuando prestamos temporalmente el equipo. Esta función, conocida como Guest Mode (Modo Invitado) permite compartir el uso del navegador Chrome con otro usuario, sin interferir en la configuración inicial del dueño de la computadora.

Ubicado en la parte superior derecha del browser, se puede activar una nueva ventana de navegación por incógnito, o iniciar otra cuenta de Google para que el invitado pueda consultar su correo electrónico, realizar cualquier otra tarea en la Web y acceder a su propio historial de navegación.

Una vez instalado el browser, se deberá habilitar esta opción ubicada con el nombre del usuario en la parte superior del navegador. Allí se desplegará una ventana que permitirá elegir la función Switch Person - Browse as Guest. De esta forma, se simplifica el uso compartido, y los usuarios invitados cuentan con una opción más fácil de acceder a los diversos servicios asociados a la cuenta de Google sin tener que abrir una pestaña en Modo Incógnito.

Fuente: La Nación

Análisis de Impacto de Negocios / Business Impact Analysis (BIA)

Una vez se tiene el análisis de riesgos, este se convierte en el punto de partida del Análisis de Impacto de Negocios y/o Business Impact Analysis (BIA). Este BIA se constituye asi en el pilar sobre el que se va construir el Plan de Recuperación de Negocios. El BIA será la guía que determine que necesita ser recuperado y el tiempo que tarde dicha recuperación, actividades que en el Plan de Continuidad de Negocios se convierten quizás en las más difíciles y criticas por realizar adecuadamente. El apoyo del BIA es invaluable para identificar que esta en riesgo una vez se presente un riesgo permitiendo así justificar los gastos que se requieran en protección y capacidad de recuperación. Usualmente se habla de "critico" o "esencial" cuando se listan las actividades desarrolladas en una Organización.

Al hacer un BIA quizás resulte mas útil hablar de "tiempos inactivos", puesto que ninguna organización contrata un empleado para que realice labores "no esenciales", cada labor tiene un propósito, pero hay unas labores que son mas exigentes en su tiempo de ejecución que otras cuando hay limites de recursos o tiempos apretados de entrega para su realización. Veámoslo de este modo: Un banco que haya sufrido un percance por un pequeño incendio en la bodega puede detener su campaña publicitaria pero no podrá detener los procesos de retiros y depósitos de sus clientes. La campaña publicitaria del banco es esencial para su crecimiento a largo plazo, pero cuando se presenta una emergencia o desastre puede ser aplazada no por su criticidad sino por que su "tiempo de inactividad" puede ser mucho mayor y no afectar la operación del banco. La organización debe revisar cada una de las tareas que se realizan con el mismo patrón de referencia. Por cuanto tiempo puede dejar de realizarse esta actividad sin que ello cause perdidas financieras, quejas de los clientes, y/o penalizaciones legales o contractuales? Cuando se trata el tema de continuidad, todo gira alrededor del impacto. Es acerca de sostener la operación básica de la Organización mientras que lo demás se puede dejar en espera. Es centrarse en las operaciones que le permiten sobrevivir a la Organización. Todos los procesos de la Organización, así como los recursos tecnológicos en los que se soportan tales procesos deben ser clasificados de acuerdo a su prioridad de recuperación. Los tiempos de recuperación de los procesos para una organización están medidos por las consecuencias de no poder ejecutarlos.

De que consecuencias estamos hablando? Demandas en contra de la Organización por el incumplimiento de una entrega en una fecha determinada, perdida de reputación, etc. Generalizando, los impactos de un desastre pueden ser financieros, legales, o de retención/perdida de clientes.

Ahora, como realizar el análisis de impacto de negocios (BIA)? Se inicia identificando los procesos que se realizan en la organización, y asignándoles un líder; siendo ideal que ya exista un Sistema de Gestión en el que ya se haya hecho esta actividad. Con los lideres de proceso se puede conformar un "equipo de planeación" que hará la evaluación del proceso que tengan asignado. Una vez identificados procesos y sus lideres, se debe listar cada una de las actividades que se realiza para cada uno de los procesos para entender cual es el propósito de los mismos, y aquí se debe analizar cada actividad que se ejecute en tres aspectos: riesgo financiero de no ejecutar tal actividad, riesgo regulatorio o legal de no ejecutar tal actividad, y el riesgo reputacional o con el cliente de no ejecutar tal actividad. Aclaremos cada uno de los riesgos:
  • Financiero: incluye perdida de ingresos, pérdida de intereses con entidades bancarias, costos de pedir dinero prestado para hacer caja, perdida de ingresos por ventas no realizadas, penalizaciones por no cumplir compromisos contractuales o niveles de servicio, y oportunidades perdidas durante el tiempo inoperante.
  • Regulatorio: incluye perdidas por no presentar reportes financieros o de impuestos en las fechas indicadas, demandas o penalizaciones por incumplir requerimientos obligatorios en las actividades de la Organización (por ejemplo ambientales), o la obligación de tener que retirar productos en venta por falta o in suficiencia en la realización de pruebas del producto antes de ponerlo a disposición del consumidor final.
  • Reputacional o con el cliente: incluye la perdida de confianza por parte de los clientes y del mercado, reclamaciones de responsabilidad, clientes insatisfechos por el servicio, apariciones en las noticias por quejas de los clientes, perdida de reputación, y perdidas de ventajas competitivas.
Una vez que el Equipo de Planeación tienen una lista de todas las actividades y sabe que pasa si no se realizan, la siguiente respuesta a obtener es que tan pronto veremos el impacto? Será tan pronto se deje de hacer una actividad? Un callcenter que sea evacuado por un posible incendio deja de funcionar inmediatamente. A menos que haya un callcenter alterno donde se pueda operar para seguir recibiendo llamadas, el impacto a los clientes es inmediato. Que tan significativo sea dicho impacto depende enteramente del negocio o actividades que maneje una Organización: cuantas llamadas se reciben y que servicio busca cada una de ellas.

A manera de ejemplo, un callcenter en promedio puede recibir 1.200 llamadas en promedio por hora, 72% de ellas finalizan con una venta de U$57 dólares, asi que haciendo cuentas 1200 x 0.72 x $57 = $49,248 cuesta cada hora de servicio que el callcenter este fuera de operación. Si los clientes o potenciales consumidores encuentran lo que desean comprar en una pagina de internet, realizan la orden y el sitio deja de funcionar, hay un impacto inmediato. El impacto depende estrictamente de la actividad que realice una Organización, de cuantas ordenes de trabajo se reciben, que cuesta cada orden, y saber si el cliente esta dispuesto a esperar a realizar su pedido hasta que se restablezca el servicio o ira a solicitarlo a otro proveedor (siempre pueden ir con la competencia!!!).

Cuando el equipo de planeación tiene la lista de actividades, una idea de que ocurre cuando dejan de ejecutarse, y en que tiempo empezaran a ver el impacto, es hora de cuantificar el impacto. Se pueden utilizar medidas cuantitativas como dólares por minuto, hora o día de inactividad, o medidas cualitativas que permitan predecir resultados basados en el conocimiento o experiencia de los miembros del equipo de planeación o compañeros de trabajo. Una vez se completa esta actividad ya tenemos una vista general de todo lo que realiza la compañía, que impacto tiene para la organización que no se ejecute un proceso o una actividad, que tan rápido se sentirá ese impacto y que tan fuerte impactara a la organización. Esta información será el punto de partida para desarrollar estrategias de recuperación para cualquier organización.

Ya con esta información recopilada, se hace necesario determinar en una escala los tiempos de recuperación óptimos. A manera de ejemplo, se puede determinar que estas son las categorías a emplear:

Categoría 1: Procesos Misionales y/o Críticos (0 a 12 horas)
  • Funciones que pueden realizarse sólo si las capacidades se reemplazan por otras idénticas.
  • No pueden reemplazarse por métodos manuales.
  • Muy baja tolerancia a interrupciones.
Categoría 2: Vitales (13 a 24 horas)
  • Pueden realizarse manualmente por un periodo breve.
  • Costo de interrupción un poco más bajos, sólo si son restaurados dentro de un tiempo determinado (5 ó menos días, por ejemplo).
Categoría 3: Importantes (1 a 3 días)
  • Funciones que pueden realizarse manualmente por un periodo prolongado a un costo tolerable.
  • El proceso manual puede ser complicado y requeriría de personal adicional.
Categoría 4: Menores (Mas de 3 días)
Funciones que pueden interrumpirse por tiempos prolongados a un costo pequeño o nulo.

En este momento es que empezamos a hablar de los tiempos de recuperación, y entran en escena varios de ellos: RTO, RPO, MTD y WRT. Vamos con cada uno de ellos:

Los RTO y RPO

Son parámetros específicos que están íntimamente relacionados con la Recuperación de Desastres y tienen que ser tomados en consideración para que un plan de este tipo pueda ser implementado. El RTO (Recovery Time Objective) es el Tiempo objetivo de recuperación, en otras palabras cuanto puede permanecer la Organización sin ejecutar una actividad, el uso de una aplicación (hardware y/o software) o información relevante. Frecuentemente es asociado con el tiempo máximo de inactividad. El RTO se utiliza para decidir cada cuanto se deben realizar respaldos de información o backups; también es útil para decidir que infraestructura es requerida para reiniciar operaciones, por ejemplo un centro de cómputo alterno de similares especificaciones al existente en la Organización, o un callcenter paralelo en una ubicación diferente a la que se utiliza de manera permanente. Si en su organización hay un RTO con valor CERO (no puede ser inferior a esta cifra), inevitablemente su Organización tendrá que contar con una infraestructura redundante con respaldos de información en sitios alternos y así sucesivamente. Ahora, si se tiene un RTO de 48 o 72 horas entonces un respaldo de información en cinta será suficiente para esa aplicación en particular.

El RPO es ligeramente diferente. Este parámetro nos dice que cantidad de información puede la Organización perder. En otras palabras, si su organización realiza respaldos nocturnos de información todos los días a las 7:00 PM y el sistema colapsa al día siguiente a las 4:00 PM, toda actualización que se realice desde su último respaldo se perderá. El RPO para este contexto será el respaldo de información que haya realizado en el día anterior. Ahora, si estamos hablando de un banco que hace transacciones en Internet, el RPO debe ser prácticamente igual a cero, incluyendo la última transacción y el último bit de información que se haya manejado. Así las cosas, el RPO nos dice que clase de protección se requiere para la información que se maneja en su Organización.

Así las cosas, el RTO y el RPO influyen por completo en la infraestructura de soporte y respaldo que vaya a utilizar en su organización. Entre mas se reduzca e RTO y el RPO, mas dinero debe invertirse en seguridad.

Maximum Tolerable Downtime (MTD) o Maximum Tolerable Outage (MTO)

Tal como suena, es el tiempo máximo de inactividad que la organización puede tolerar la ausencia o no disponibilidad de una función o proceso. Diferentes procesos o tareas dentro de la organización pueden tener diferentes MTD. Si una función de la Organización esta categorizada dentro de la Categoría 1, obviamente tiene el MTD mas corto. Hay una correlación entre la criticidad de las funciones o procesos de la organización y su tiempo máximo de inactividad. A mayor criticidad, menor tiempo de espera a que se reinicie la operación en ese proceso o función. El tiempo de caída o de inoperancia se constituye por dos elementos: el tiempo de recuperación del sistema y el tiempo de trabajo en recuperación o WRT. Así las cosas, MTD = RTO + WRT.

Work Recovery Time (WRT) Tiempo de trabajo en Recuperación.

Este segmento comprende el máximo tiempo de inactividad posible o MTD. Si su MTD es de 3 días, probablemente el día 1 sea el RTO y los dias 2 y 3 pueden ser los WRT. Como es de esperar, toma tiempo hacer que las funciones criticas de la Organización estén nuevamente operando (hardware, software, configuraciones necesarias, etc), y este es un tema que usualmente se ignora en las etapas de planeación, especialmente por Sistemas o IT. Si los sistemas están nuevamente funcionando, eso es todo desde la perspectiva de sistemas o IT. Pero que ocurre desde una perspectiva de negocios? Hay pasos adicionales a tenerse en cuenta antes de que los sistemas estén operando como conseguir una ubicación alterna, conseguir los equipos, conexión a banda ancha, etc, etc y que tienen que ser obligatoriamente contemplados en la definición del MTD; y si no se tiene en cuenta se esta poniendo en riesgo a la organización al no haber tomado tales tiempos en consideración.

Veamos como interactúan estos tiempos:

  • Punto 1: RPO La máxima cantidad de información que se puede perder de acuerdo al cronograma de realización de copias de respaldo y/o necesidades de información que se presenten.
  • Punto 2: RTO Tiempo requerido para que los sistemas críticos de la Organización estén nuevamente operando
  • Punto 3: WRT Tiempo requerido para recuperar la información perdida (Basado en el RPO), así como de ingresar al sistema todos los datos que se generaron durante la caída del sistema.
  • Punto 2 y 3: MTD La duración del RTO mas el WRT
  • Punto 4: Pruebas, verificación e inicio normal de operaciones
Durante la ejecución normal de operaciones, usualmente hay una diferencia entre el último respaldo de información realizado y el estado actual de la información. En algunos casos, este lapso puede ser de minutos u horas, pero en la mayoría de casos siempre será de horas o días. Este marco de tiempo es el punto objetivo de recuperación. En muchas organizaciones este es precisamente el lapso de tiempo que existe entre cada una de las copias de respaldo que realizan. Observando el circulo con el numero 1 se aprecia la diferencia existente entre la realización de la ultima copia de respaldo y el estado actual de la información, justo antes de la caída del sistema. Ese es el momento en el cual uno o más de los sistemas críticos dejan de estar disponible y se inicia el Plan de Continuidad y/o de Recuperación de Desastres. La primera fase del MTD (tiempo máximo de inactividad que la organización puede tolerar la ausencia o no disponibilidad de una función o proceso) es el objetivo a cumplir. En este marco de tiempo los sistemas se evalúan, reparan, reemplazan y reconfiguran. El RTO finaliza cuando los sistemas nuevamente están en línea y la información es recuperada hasta el último respaldo de información disponible. Justo allí es cuando empieza la segunda fase del MTD.

Es en esta fase cuando la información es recuperada através de procesos automatizados y/o manuales. Hay dos elementos en la recuperación de información, el primero es la restauración de la información perdida, y la segunda es la carga de la información recopilada de manera "artesanal" por que no había manera de ingresarla al sistema. La mayoría de empresas realizan las dos fases mencionadas en ese mismo orden, pero habrá casos en los que el Plan de Recuperación pueda dictar lo contrario. Aquí la clave es entender que hay un retraso entre el momento en que los sistemas vuelven a estar completamente operativos y el momento en el que se pueden reasumir las operaciones normales. Durante los periodos indicados con los círculos con los números 2 y 3, se hará el trabajo con mecanismos alternos y/o manuales. Estos procesos se reactivaran posteriormente de acuerdo a lo que se defina en el Plan de continuidad. Por ejemplo, si una base de datos financiera esta inaccesible, como se podrán registrar los pagos, las ventas, y todas las actividades relacionadas por todo el equipo de trabajo? Es necesario definir eso en el proceso de planeación. El Circulo con el Numero 4 indica la transición entre recuperación de desastre y continuidad del negocio de nuevo hasta la operación normal. Es probable encontrar que sea necesario realizar procesos manuales que deberían ser automatizados, pudiendo planear el regreso a la normalidad por quizás departamentos de la organización o zonas geográficas.
Para finalizar, los dejo con un diagrama que explica las entradas y las salidas de un BIA.

Fuente: Leonardo Camelo - Seguridad Información Colombia

29/8/2014

Evento "Ciberdefensa y seguridad de redes de comunicaciones"

El próximo 2 de septiembre se realiza una nueva Jornada Regional de "Ciberdefensa y seguridad de redes de comunicaciones" en la Escuela Superior Técnica Grl Div. Manuel N. Savio.


La información del evento y la inscripción se debe realizar en www.mindef.gob.ar

Aspectos prácticos del cifrado simétrico

Por Domingo González - Kriptopolis

En ocasiones nos puede surgir la necesidad de cifrar nuestros datos, ya sea por interés personal en proteger nuestra información privada, por cuestiones de política de empresa o simplemente porque nos obliga la legislación vigente de protección de datos. En cualquier caso, si además la información va a ser almacenada en la Nube (Cloud Computing), el cifrado se convierte en poco menos que obligatorio.

Esta serie de artículos de Kriptopolis pretende mostrar el uso práctico de varias herramientas para el cifrado de información. Aunque se realizará una pequeña introducción a los conceptos sobre criptografía, no es objetivo del mismo tratar en profundidad los fundamentos técnicos del cifrado ni describir los algoritmos criptográficos, información que ya está disponible en este y otros portales especializados con mayor rigor y profundidad...

Los artículos se van a centrar en el uso del denominado cifrado simétrico o de clave secreta, en un escenario de uso personal, donde el cifrado y descifrado de la información será realizado por la misma persona, que también es conocedora única de la contraseña de cifrado.

A lo largo de varias entregas, vamos a describir el uso de determinadas herramientas de cifrado a nivel de fichero, de directorio, de partición y de volumen virtual, intentando mantener de esta forma un nivel creciente de dificultad. También hablaremos a lo largo de la serie sobre otros temas intrínsecamente ligados con un buen uso del cifrado, como son el borrado seguro y la generación de contraseñas robustas, describiendo además las herramientas disponibles para tal fin. Las herramientas de software analizadas aquí no son ni de lejos todas las existentes, tan solamente una selección personal que espero haya sido acertada para el objetivo de esta serie.

    Cómo hacer un Plan de Continuidad de Negocios (BCP) [I]

    En esta entrada voy a darles una guía sobre como realizar un Plan de Continuidad de Negocios, aunque les recomiendo tener a mano la Norma BS 25999-2 e ISO 22301 para que este trabajo sea aun mas fructífero.
    Mientras que las organizaciones gubernamentales, sin ánimo de lucro o las ONG cumplen con funciones criticas, las organizaciones privadas deben entregar de manera continua productos y servicios para cumplir con sus inversores y claro esta, sobrevivir. Siendo Organizaciones cuyo propósito es tan disímil, ambas tienen una necesidad en común: implementar un Plan de Continuidad de Negocios o BCP.
    ISO 22301 Vs BS 25999
    En resumen, aunque los aspectos mas importantes de la continuidad del negocio son comunes a ambas normas, la Norma ISO 22301 pone mayor énfasis en la comprensión de los requisitos, el Liderazgo de la dirección y en el establecimiento de Objetivos medibles y en el control de su desempeño.

    Planeación de la Continuidad del Negocio vs. Plan de Reanudación del Negocio y Plan de Recuperación de Desastres

    Un plan de reanudación de negocios describe como reiniciar la operación después de una interrupción. Un Plan de recuperación de desastres se enfoca en recuperar los sistemas después de una interrupción estrepitosa. Ambos implican detener las operaciones criticas y su reanudación.

    Ahora, aceptar que algunos productos o servicios deben ser permanentemente entregados sin interrupciones es la clave para entender los diferentes alcances del Plan de Reanudación de Negocios y el Plan de Continuidad de Negocios.

    La ejecución de un Plan de Continuidad de Negocios permite que los productos o servicios críticos sigan siendo entregados a los clientes. En vez de enfocarse en restablecer las operaciones después de que estas se interrumpan por un desastre, un plan de continuidad se enfoca en que los procesos críticos continúen estando disponibles.

    ¿Qué es un Plan de Continuidad de Negocios?

    Los productos o servicios críticos de una Organización son aquellos que deben ser entregados para asegurar la supervivencia de la Organización, evitar los problemas de no entregarlo y cumplir con obligaciones legales o contractuales existentes. El Plan de Continuidad de Negocio es un plan proactivo que busca asegurar que los productos o servicios continúen siendo entregados durante una interrupción no planeada.

    Un Plan de Continuidad Incluye:
    • Planes, medidas y disposiciones para asegurar la entrega continua de los servicios y/o productos que le permitan a la Organización recuperar sus instalaciones, información y activos.
    • La identificación de los recursos necesarios para respaldar la continuidad del negocio, incluyendo personal, información, equipos, recursos financieros, apoyo legal, seguridad y alojamientos en caso de ser necesarios.
    Implementar un BCP mejora la imagen de la Organización con sus empleados, accionistas y clientes al demostrar una actitud proactiva. Dentro de los beneficios adicionales podemos incluir una mejora en la eficiencia organizacional, así como también permite identificar la relación entre los activos, recursos humanos, los recursos financieros y los productos y servicios críticos de la organización.

    ¿Por qué es valioso un Plan de Continuidad del Negocio?

    Toda organización está en riesgo de ser víctima de un desastre:
    • Un desastre natural como una inundación, un incendio, un terremoto, etc.
    • Sabotaje
    • Cortes de energía
    • Fallas en comunicaciones, transporte o de seguridad.
    • Ciber ataques por parte de un hacker

    Creación de un Plan de Continuidad de Negocios BCP

    Crear y mantener un BCP le sirve a una Organización para conseguir los recursos necesarios para enfrentar cualquiera de estas situaciones, vamos ahora a ver que secciones incluye por lo general un BCP.

    Establecer el Control

    Un BCP contiene una estructura de gobierno, a menudo en la forma de un comité que asegura un compromiso de alta dirección y define las funciones de alta dirección y sus responsabilidades. Este comité es el responsable de la supervisión, inicio, planeación, aprobación, ensayos y auditorias al BCP. Asimismo implementa el BCP, coordina actividades, aprueba los resultados que arroje el BIA, supervisa la creación de planes de continuidad y revisa los resultados de actividades de aseguramiento de calidad.

    Los directivos de un Comité BCP normalmente:
    • Aprueban la estructura de gobierno
    • Aclaran cuáles son sus funciones y las de todos los que participan en el programa
    • Revisan la creación de comités, grupos de trabajo y equipos que van a desarrollar y ejecutar el plan
    • Suministran orientación estratégica
    • Aprueban los resultados del BIA
    • Revisan los productos y servicios críticos que se han identificado
    • Aprueban los Planes de Continuidad
    • Monitorean las actividades de aseguramiento de calidad,
    • Resuelven conflictos de interés
    El comité del BCP normalmente esta compuesto por los siguientes miembros:
    • Líder Ejecutivo, quien tiene la responsabilidad general del comité del BCP; solicita el apoyo de la alta dirección y dirección, y asegura la financiación adecuada para el BCP.
    • Coordinador del BCP asegura el apoyo de la alta dirección, estima requisitos de financiación, desarrolla la política del BCP, coordina y supervisa el proceso de BIA, asegura participaciones eficaces de los lideres de procesos, coordina y supervisa el desarrollo de los planes y disposiciones para la continuidad del negocio; establece grupos de trabajo y equipos y define sus responsabilidades; coordina jornadas de capacitación, y establece la revisión periódica, pruebas y de auditorías del BCP.
    • Oficial de Seguridad, quien trabaja para garantizar que todos los aspectos del BCP cumplen con los requisitos de seguridad de la organización.
    • Jefe de Información el cual coopera estrechamente con el coordinador del BCP y especialistas IT en planes de continuidad.
    • Lideres de proceso, quienes suministran información valiosa sobre las actividades de la organización, y revisan los resultados del BIA.
    El comité BCP es comúnmente co-presidido por el coordinador ejecutivo y el coordinador.

    Análisis de Impacto de Negocio o BIA

    En este blog ya existe una entrada sobre este tema, la cual esta en este link: Análisis de Impacto de Negocios / Business Impact Analysis (BIA).

    Esquema de Compatibilidad de ISO 22301 con Otros Sistemas de Gestión

    Según esta tabla, nos podemos plantear una perfecta sincronización de tareas tales como las auditorias internas y procesos de revisión para todos los Sistemas de Gestión. Además podemos pensar en una optimización de lo recursos comunes: el sistema documental, los procesos de comunicacion etc:

    Fuente: Leonardo Camelo - Seguridad Información Colombia

    Especialización en Seguridad Informática en Córdoba

    Durante agosto comienza a dictarse nuevamente la Especialización en Seguridad Informática en la provincia de Córdoba (Argentina) aprobada oficialmente en marzo/2009 por la Comisión Nacional de Evaluación y Acreditación Universitaria (CONEAU).

    El objetivo es formar profesionales en las temáticas y problemáticas relacionadas con las aplicaciones y técnicas necesarias para la detección de vulnerabilidades en los sistemas informáticos, capaces de enfrentar problemas complejos de seguridad de la información con un conjunto de herramientas tecnológicas especializadas y modernas, a los efectos de poder proteger uno de los activos más importantes de las organizaciones: la información.

    La situación de la seguridad informática y sus disciplinas asociadas, se viene agudizando en nuestro país y en el ámbito internacional. El incremento permanente de factores de riesgo y amenazas a las organizaciones e instituciones civiles de las naciones que se observan focalizadas muy a menudo en ataques a sus sistemas informáticos, agregados a los rápidos cambios, plantean como uno de los mayores retos de las organizaciones la búsqueda de garantías en la seguridad de la información y de los recursos informáticos" dijo su Director el Magíster Eduardo Casanovas.

    Los módulos temáticos de la carrera son los siguientes:
    • Introducción a la Seguridad Informática.
    • Criptografía.
    • Seguridad en Redes Inalámbricas.
    • Seguridad en Redes de Datos.
    • Auditoría y Control de la Seguridad Informática.
    • Implementaciones de seguridad en  Sistemas Operativos.
    • Gestión de la Seguridad Informática.
    • Software Aplicativos.
    • Seguridad de la Información en las Redes de Defensa.
    Destinado a profesionales universitarios relacionados con las áreas de Sistemas, Telecomunicaciones y Electrónica, preferentemente Ingenieros, Licenciados o equivalentes o carreras afines a la temática de este Posgrado.

    Se puede obtener más información aquí.

    Cristian de la Redacción de Segu-Info

    28/8/2014

    Tutorial de GPG Tools para Mac OS X

    En el caso del envío de correo electrónico, lainformación que se envía podría ser registrada o visualizada, e incluso manipulada por los puntos intermedios por los que viaja dicho correo hasta llegar a su destinatario, además de que podría ser necesario garantizar la autoría del mensaje. Es necesario cifrado y firma digital de datos.

    GPG, GNU Privacy Guard, es una implementación del estándar OpenPGP, que a su vez nació como versión libre de PGP, Pretty Good Privacy. Se encuentra disponible por defecto en la mayoría de las distribuciones basadas en Linux hoy en día y en Mac OS X, está disponible en los repositorios oficiales de cada distribución. GPG Tools es una solución basada en GPG para sistemas OS X. La aplicación de gpg y por tanto GPG Tools se utiliza para llevar a cabo las siguientes acciones:
    • Cifrado de archivos mediante la utilización de clave pública. Este tipo de cifrado asimétrico asegura que un archivo no podrá ser descifrado si no se dispone de la clave privada.
    • Cifrado de archivos mediante el uso de una passphrase. El cifrado utilizado en este caso es simétrico en vez de asimétrico.
    • Firmado de ficheros mediante el uso de clave privada. Firmar un archivo o un mensaje permite al que recibe dicho mensaje o archivo saber si el remitente es quién dice ser y si el mensaje ha sido modificado.

    Funcionamiento básico de clave pública

    Este mecanismo es un método por el cual se utiliza un par de claves dependientes una de la otra, es decir, la acción que realiza la clave pública la descifra la clave privada, y la acción que realiza la clave privada la verifica la clave pública. La clave pública puede ser accesible por cualquier persona y la privada sólo debería estar en poder de la persona a la que pertenezca. Aunque no es obligatorio, la clave privada debería disponer de una passphrase para desbloquear su uso. Por ejemplo, si la clave privada cae en manos no deseadas y no estuviera protegida por un PIN o passphrase, el usuario malintencionado podría llevar a cabo una suplantación de identidad y acceder al contenido sensible que se protegía.

    Es importante tener claro que el cifrado de los archivos o mensajes se realizará con la clave pública del usuario al que el mensaje vaya dirigido. De este modo solo el usuario al que va el mensaje, por lo que el único que dispone de la clave privada, podrá descifrar dicho mensaje. El usuario puede distribuir su clave pública mediante servidores de claves que hay distribuidos en Internet. Hay que recordar que la clave pública y privada son indivisibles, es decir, no se pueden generar por separado.

    El firmado de un contenido es una acción que puede realizarse tanto si el fichero o mensaje ha sido cifrado tanto como si no. El firmado se realizará cuando un usuario quiere indicar a quién recibe el mensaje que dicho mensaje es suyo y no ha sido manipulado en el envío de la información. Para ello el usuario firma el mensaje o archivo con la clave privada suya. Cuando el mensaje es recibido se verifica con la clave pública de quién envío el mensaje, y se tiene la certeza de que ese mensaje fue enviado por quién dice ser y no ha sido modificado, es decir, mantiene su integridad.

    Las GPG Tools disponen de una serie de elementos que aportan confidencialidad, integridad, privacidad y movilidad de datos de manera segura. La suite proporciona las siguientes herramientas:
    • GPGMail: Esta herramienta permite cifrar, descifrar, firmar y verificar los mails utilizando el estándar OpenPGP. Actualmente existe una versión para Lion, la cual se encuentra en versión alpha, y no es compatible con Mountain Lion.
    • GPGKeychain Access: Esta tool permite al usuario utilizar las claves OpenPGP pudiendo crear, ajustar y verificar las claves. Además, permite la comunicación entre el usuario y los servidores de claves repartidos por el mundo. Esta tool es esencial y totalmente necesaria para gestionar las claves propias y las claves públicas de tus contactos.
    • MacGPG1: Implementa la versión 1 de GnuPG para utilizar cifrado, firmado, descifrado y verificación de información.
    • MacGPG2: Implementa la versión 2 de GnuPG para utilizar cifrado, firmado, descifrado y verificación de información.
    • GPGServices: Es un plugin para los servicios globales de OS X, el cual añade la posibilidad de utilizar OpenPGP sobre casi cualquier aplicación, como puede ser Safari, Finder o TextEdit. En una nutshell:
      • Posibilidad de firmar y cifrar cualquier carpeta y archivo.
      • Posibilidad de verificar e importar cualquier texto seleccionado y cualquier campo de texto.
      • Posibilidad asignar 'atajos de teclado' para cada operación.
    • GPGPreferences: Integración con el panel de preferencias de Mac OS X. Permite configurar acciones por defecto, como por ejemplo qué clave utilizar en cada instante.
    • Mobile OpenPGP: Esta tool permite utilizar OpenPGP en los dispositivos iOS gracias a la tecnología JavaScript. Permite cifrar, descifrar, firmar y verificar rápidamente el texto que, generalmente, se querrá enviar vía correo electrónico.
    Estas son las herramientas que presenta la suite, las cuales se irán desglosando a lo largo de la serie dedicamos a GPG Tools y la importancia de las claves asimétricas

    Fuente:

    Los 10 defectos mas significativos del diseño de seguridad de software

    El IEEE Center for Secure Design publicó un informe [PDF] que se centra en la identificación de los defectos de diseño de software, basado en datos reales recogidos y analizados por expertos de empresas de tecnología líderes del mundo.
    IEEE Computer Society, la principal asociación de profesionales de la informática, lanzó una iniciativa de seguridad cibernética con el objetivo de ampliar su participación en materia de ciberseguridad. Como parte de esa iniciativa, se formó el IEEE Center for Secure Design (CSD). La iniciativa reunió a un grupo de expertos de diversas de organizaciones para discutir fallos de diseño de seguridad de software.

    El resultado fue una lista de los 10 defectos de diseño más importantes del software y las técnicas de diseño para evitarlos. Además se publican consejos prácticos pata fomentar el uso correcto de la criptografía aplicada a validar los datos.

    El diseño seguro de aplicaciones ha sido el talón de Aquiles de la ingeniería de software durante décadas, sobre todo porque es difícil y requiere conocimientos profundos. "IEEE Center for Secure Design (CSD) jugará un papel clave en la reorientación del diseño de seguridad de software" dijo Neil Daswani el equipo de ingeniería de seguridad. "Al poner el foco en el diseño de seguridad y no sólo en los fallos de implementación del código, CSD hará un un gran servicio".

    "Errores y defectos son dos tipos muy diferentes de problemas de seguridad", dijo Gary McGraw, CTO de Cigital. "Creemos que se ha hecho mucho más enfoque en errores comunes que en el diseño seguro y la forma de evitar defectos, que es preocupante ya que el 50% de las cuestiones de seguridad del software corresponden a deficiencias en el diseño".

    La siguiente lista de recomendaciones nació para ayudar a los desarrolladores a evitar defectos de diseño en seguridad:
    • Ganar o dar confianza, pero nunca asumirla
    • Utilizar un mecanismo de autenticación que no pueda ser evitado o manipulado
    • Autorizar después de autenticar
    • Separar estrictamente instrucciones de datos y control y nunca procesar instrucciones recibidas de fuentes no confiables
    • Definir un enfoque que asegure que todos los datos sean validados expresamente
    • Usar correctamente la criptografía
    • Identificar los datos confidenciales y cómo deben ser manejados
    • Siempre considerar los usuarios
    • Entender cómo integrar componentes externos cambia la superficie de ataque
    • Ser flexible para considerar cambios futuros a los objetos y actores
    Cristian de la Redacción de Segu-Info