basic compliance plan now to & ethics … j. dildy, ccna 45 ... 8594-nsa focus area...

Learn the essentials of managing compliance & ethics programmes

SCCE Academies. Training more than 3,500

compliance and ethics professionals around the world.

www.corporatecompliance.org/academiesQuestions: [email protected]

REGISTER EARLY TO RESERVE YOUR PLACE

LIMITED TO 75 FOR EACH ACADEMY

BASIC COMPLIANCE & ETHICS ACADEMIESFROM THE SOCIETY OF CORPORATE COMPLIANCE & ETHICS®

INTERNATIONALPLAN NOW TO

TAKE THE CCEP-I®

CERTIFICATION

EXAM AFTER YOU

COMPLETE THIS

INTENSIVE TRAINING

GET CERTIFIED ENROLL NOW

CLE APPROVED

8,600+ COMPLIANCE PROFESSIONALS HOLD A COMPLIANCE CERTIFICATION BOARD (CCB)® CREDENTIAL

8–11 JANUARY, 2017 | DUBAI, UAE

11–14 JULY, 2016 | SINGAPORE

Reconocimiento porTraducción

The ISACA® Journal tiene por objeto mejorar el nivel de competencia y la ventaja competitiva de sus lectores internacionales, proporcionando orientación técnica y de gestión de autores experimentados globales.Los artículos son revisados por pares y se centran en temas críticos para los profesionales que intervienen en auditoría de TI, gobierno, seguridad y cumplimiento.

Lea más acerca de los autores del Journal.

Los blogs de los escritores del Journal estan en www.isaca.org/journal/blog. Visita el blog de ISACA Journal, en términos prácticos, para adquirir conocimientos prácticos de colegas y participar en la comunidad cada vez mayor de ISACA.

3701 Algonquin Road, Suite 1010Rolling Meadows, Illinois 60008 USATelephone +1.847.253.1545Fax +1.847.253.1443www.isaca.org

ISACA le agradece al Capítulo de Chile por la traducción y la donación de la traducción de este volumen del ISACA Journal.

Sr. Julian Rodrigo Davis Toledo, CISA, CISMMr. Jesús Soto Valbuena, CISASr. Leonardo Vinett Herquiñigo, CISAMr. Pablo Idiaquez RíosSr. Fernando Méndez Erazo, CISA

Sr. Jorge Serrano Rodríguez, CISA, CGEIT, CRISCMr. Maximiliano Rojas Hinrichsen, CISMSr. Sergio Molanphy , CISM, CRISCSr. Pablo Caneo Gutiérrez, CISA, CGEIT, CRISC

Discuss topics in the ISACA Knowledge Center: www.isaca.org/knowledgecenter Follow ISACA on Twitter: http://twitter.com/isacanews; Hashtag: #ISACAJoin ISACA LinkedIn: ISACA (Official), http://linkd.in/ISACAOfficialLike ISACA on Facebook: www.facebook.com/ISACAHQ

Journal4Materias Segurdad de la Información Oficial Jefe de Ciberseguridad Steven J. Ross, CISA, CISSP, MBCP

7Auditoría Básica de SI: Elementos de una Estrategia de Auditoría de SI/TI, Parte 1Ed Gelbstein, Ph.D.

10La RedDebbie Newman, CISA

ARTICULOS12¿Pagos móviles como un Control de Seguridad?Robert Clyde, CISM(Disponibile anche in italiano)

14Marco de Auditoria de Seguridad de Aplicaciones MóvilesMohammed J. Khan, CISA, CRISC, CIPM

18Desde Redes Estáticas a una Red Definida por SoftwareNikesh Dubey, CISA, CISM, CRISC, CCISO, CISSP

25Beneficios y Riesgos de Seguridad de las Redes definidas por Software Tony Wang(Disponibile anche in italiano)

28Indagar sobre los Requisitos de Seguridad del Código de Ejecución Remota para Dispositivos IoT Farbod Hosseyndoust Foomany, Ph.D., Ehsan Foroughi, CISM, CISSP, and Rohit Sethi

35La Ciencia de los Datos como una herramienta para la Seguridad en la Nube Aditya K. Sood, Ph.D., and Michael Rinehart, Ph.D.

40Control de acceso a la red—¿Ha evolucionado lo suficiente para las empresas?Trevor J. Dildy, CCNA

45Amenazas Dispositivos de Computación Móviles, Vulnerabilidades y Factores de Riesgo son UbicuasLarry G. Wlosinski, CISA, CISM, CRISC, CAP, CBCP, CCSP, CDP, CISSP, ITIL v3

50Gestionando el Riesgo de la NubePhil Zongo

MAS56Palabras CruzadasMyles Mellor

57CPE PruebaPrepared by Sally Chan, CGEIT, ACIS, CMA, CPA

59Estándares, Guías, Herramientas y Técnicas

S1-S4ISACA Bookstore Supplement

DO YOU HAVE WHAT IT TAKES TO BE PART OF THE SOLUTION?

THERE’S NO SHORTAGE OF CYBER SECURITY THREATS

See graduation rates, median student debt, and other information at www.capellaresults.com/outcomes.asp .

ACCREDITATION: Capella University is accredited by the Higher Learning Commission.HIGHER LEARNING COMMISSION: https://www.hlcommission.org, 800.621.7440CAPELLA UNIVERSITY: Capella Tower, 225 South Sixth Street, Ninth Floor, Minneapolis MN 55402, 1.888.CAPELLA (227.3552)

©Copyright 2016. Capella University. 16-8594

BUT THERE IS A SHORTAGE OF IT SECURITY PROFESSIONALS

Get up-to-date security skills with Capella University’s Master’s in Information Assurance and Security (MS-IAS).

Specializations include Digital Forensics, Network Defense, and Health Care Security. Along the way to your MS-IAS, earn up to 3 NSA focus area digital badges showcasing your mastery of skills in speci� c cybersecurity areas. Plus, the knowledge you gained for your CISSP®, CEH®, or CNDA® certi� cations can help you earn credit toward your MS-IAS, saving you time and money.

ANSWER THE CALL. START TODAY. CAPELLA.EDU/ISACA OR 1.866.933.5836

8594-NSA Focus Area Badges_ISACA_Full page ad_d4_F.indd 1 3/30/16 5:12 PM

DO YOU HAVE WHAT IT TAKES TO BE PART OF THE SOLUTION?

THERE’S NO SHORTAGE OF CYBER SECURITY THREATSBUT THERE IS A SHORTAGE OF IT SECURITY PROFESSIONALS

materia

información seguridad

¿Tienes algo que comentar sobre este artículo?Visita las páginas del Journal en el sitio web de ISACA (ww.isaca.org/journal), encuentra el artículo y da click en el link Comments para compartir tus pensamientos.

ISACA JOURNAL VOL 44

Oficial Jefe de CiberseguridadUnas pocas columnas atrás1,utilicé el término “Oficial de Ciberseguridad”. Yo no había pensado en una posición con ese nombre hasta cuando lo escribí, pero el término se me pegó. Mientras escribía este artículo hice una búsqueda sobre este término, y no encontré nada2. Esto ha quedado dando vueltas en mi cabeza por largo tiempo. Por esto creo que ha llegado el momento de argumentar la necesidad de contar con esta posición (en nuestras organizaciones).

El Oficial de Seguridad de Información y el Oficial de Ciberseguridadr

Puedo oír la réplica ahora: No hay ninguna necesidad de un Oficial de Ciberseguridad porque esa función la realiza el Oficial de Seguridad de la Información (CISO).

Claramente Google piensa lo mismo. Una búsqueda para “ Oficial de Ciberseguridad”, en la mayor parte de los casos, entrega referencias de la posición del

CISO. Yo mantengo mi postura de que existe una necesidad de ambas posiciones con, quizás, una relación de subordinación entre éstas, ya sea bien con una línea de puntos o una sólida. Veo al Oficial de Ciberseguridad teniendo más responsabilidad que solo la relacionada a la seguridad de la información, tal como la hemos conocido.

Esto no pretende ser una acusación contra la función del CISO o de los mismos CISOs u otros profesionales de la seguridad de la información. Debemos recordar que las amenazas de ataques cibernéticos son todavía nuevas. El término de ciberseguridad (o si lo prefieres “seguridad cibernética”) no entró en al idioma anglosajón hasta principios de esta década. El hecho de la existencia de los ciberataques es más importante que el término.

No puedo encontrar referencias con anterioridad a mediados de los 2000 para poder deliberar y determinar la existencia de ataques maliciosos sobre los sistemas de información (que es mi definición de la ciberseguridad), distintos de espionaje internacional3. Pero, los profesionales de la seguridad de la información estuvieron trabajando duro desde antes de esa fecha. Los temas de la época eran -y todavía lo son—los virus y gusanos, el fraude, el uso indebido de información privilegiada, la fuga de datos, la encriptación, la infraestructura de clave privada, la firma digital y la planificación de la continuidad del negocio. Estas preocupaciones pueden no tener el atractivo en la confrontación a los gobiernos extranjeros, terroristas y criminales, pero siguen siendo esenciales para asegurar el uso de los recursos personales y organizacionales de la información.

El mandato de un Oficial de Ciberseguridad incorporaría algunos aspectos de la seguridad de la información, pero debiera ir más allá de éstos.Fundamental para la diferenciación de estos roles, es mi opinión que los sistemas de información no son vulnerables a los ataques cibernéticos simplemente porque esten mal protegidos, sino más bien porque están mal construidos4. Por lo tanto, se deduce que la lucha contra estos ataques va más allá del ámbito de un departamento de seguridad de la información. ¿Qué haría un Oficial de Ciberseguridad que un CISO no está haciendo?

Steven J. Ross, CISA, CISSP, MBCPEs director ejecutivo de Risk Masters International LLC. Desde el año 1998 Steven J. Ross ha estado escribiendo en una de las columnas más populares de esta revista. Steven Ross puede ser contactado en la dirección [email protected]

ISACA JOURNAL VOL 4 5

demandan decisiones rápidas. Por lo tanto, un Oficial de Ciberseguridad debe estar facultado para tomar esas decisiones y estar respaldado por el Consejo de Administración (BoD) de las críticas por parte de los gerentes del negocio.

Preparación y Recuperación

Mientras que un ataque cibernético es, de hecho, un incidente de seguridad, la respuesta a ello tiene que ver con la restauración de los servidores y bases de datos, no con los sistemas de seguridad de la información. Estos están involucrados sólo en la medida en que deba ser erradicado cualquier defecto que permitió ejecutar el ataque. Las personas que llevan a cabo la identificación del problema, la eliminación del malware, la restauración de los sistemas y los datos, son aquellos responsables por los sistemas y los datos—desarrolladores de aplicaciones, administradores de sistemas y administradores de bases de datos (DBAs).

Cuando y sí se produce un ataque, la respuesta debe ser rápida y disciplinada. Esto requiere formación y ejercicio contínuo por parte del personal técnico. Un Oficial de Ciberseguridad podría proporcionar el liderazgo y la supervisión de lo que yo llamo un CyberCERT7 en el cual debería ser desplegada la primera noticia de un potencial ataque cibernético. Muchas alarmas serán falsas, por lo que la experiencia de un CyberCERT sería esencial para poder identificar un ataque real y entonces moverse con la agilidad necesaria para responder a este.

Coordinación

Veo el Oficial de Ciberseguridad como un ejecutivo que se apoya en las habilidades de muchas funciones. Estas seguramente incluirían especializaciones técnicas y de seguridad de la información, como también las de comunicaciones, entrenamiento, seguridad física, gestión de riesgos. En la medida en

Actualizando las Arquitecturas de los Sistemas

El problema de fondo, y que permite a los atacantes entrar en los sistemas de información, es que históricamente los sistemas tienen “una cubierta exterior crujiente y un centro masticable suave”5. Si alguien puede penetrar las barreras externas de los firewalls y los filtros antivirus, él o ella tendrá libertad para pasearse sobre el ambiente de TI de una organización. Por lo tanto, el punto más débil en una red define la penetrabilidad del ambiente como un todo.

La solución de este problema requiere no sólo parchar los agujeros, sino también reconstruir la totalidad de la arquitectura de sistemas de una organización, y no sólo su arquitectura de seguridad. Esta es una tarea que consume tiempo, es difícil y extremadamente cara, y que debe ser llevada a cabo con prudencia y cuidado. Con la ciberseguridad como la razón fundamental para la reconstrucción de una arquitectura de sistemas, se requiere el conocimiento, la autoridad, y el contar con un ejecutivo que tenga una amplia gama de conocimientos en arquitectura de sistemas, la supervisión de administradores de sistemas, ingenieros de redes, administradores de bases de datos, así como de especialistas en seguridad de la información.

La re-arquitectura de un ambiente de TI no se va a lograr rápidamente. Se debe desarrollar a lo largo de un período de años, tal vez muchos años. Lo que se requiere, en primer lugar, es una arquitectura de referencia de modo que a medida que los sistemas sean actualizados y cambien, éstos puedan ser acomodados al ambiente tal como se prevé. Esta es una misión de ingeniería de sistemas, no de la seguridad de la información por sí sola.

Toma de decisiones

No hay, quizás, ninguna función es más importante para un Oficial de Ciberseguridad que reconocer que está en marcha un ataque e iniciar una acción de respuesta. Esto significa que los sistemas de prevención han sido violados y se han activado, de preferencia al momento del ataque, los mecanismos detectivos. Este no es siempre el caso. El Instituto Ponemon reporta que, “Los ataques maliciosos pueden tomar 256 días, en promedio, en ser identificados, mientras que identificar las brechas de datos causados por errores humanos toma en promedio 158 días”6.

Los Gerentes de Informática (CIOs) suelen esperar a que los líderes del negocio los autoricen a cerrar un centro de datos o una red. Los ataques cibernéticos

Un Oficial Jefe de Ciberseguridad debiera proveer el liderazgo y supervisión de lo que yo llamo CyberCERT, el cual debiera desplegarse a la primera noticia de un ciberataque.


Desde el punto de vista de la gobernabilidad empresarial, es el momento de reconocer ese hecho y separar la función de seguridad cibernética de la construcción e implementación de medidas de seguridad de la información y de la dirección de departamentos de TI.

Notas Finales

1 Ross, S.; “Cyber/Privacy,” ISACA® Journal, vol. 1, 2016, www.isaca.org/Journal/archives/ Pages/default.aspx

2 Al momento de escribir esto, Google me dice que hay algunas referencias al “to chief cybersecurity officer”, que les diré es bastante cerca de la misma cosa. Sin embargo, cuatro referencias, en la práctica no marcan tendencia.

3 El diccionario en línea Merriam-Webster cita el uso del término fi en el año 1994, sin atribución. No creo que el término era de uso general hasta alrededor de 2010. www.merriam-webster.com/ dictionary/cybersecurity. Los acontecimientos de mediados de la década de 2000 a los que me refiero son los ataques al sistema del gobierno de Estonia y el robo de 45,7 millones de tarjetas de pago utilizados por los clientes de los Estados Unidos del minorista TJX. See NATO Review Magazine, 2013, www.nato.int/docu/review/2013/cyber/ timeline/EN/index.htm, and Franscella, Joe; “Cybersecurity vs. Cyber Security: When, Why and How to Use the Term,” Infosec Island, 17 July 2013, www. infosecisland.com/blogview/23287- Cybersecurity-vs-Cyber-Security-When-Why- and-How-to-Use-the-Term.html

4 Ross, S .; “Microwave Software,” ISACA® Journal, vol.1, 2015, www.isaca.org/Journal/ archives/Pages/default.aspx

5 No es original, pero citado por Kindervag, “Developing a Framework to Improve Critical Infrastructure Cybersecurity,” National Institute of Science and Technology, USA, 8 April 2013, p. 3

6 IBM Ponemon Institute, 2015 Cost of Data Breach Study: Global Analysis, 27 May 2015, p. 3, www-03.ibm.com/security/data-breach/

7 Ross , S .; “CyberCERT,” ISACA® Journal, vol. 5, 2014, www.isaca.org/Journal/archives/2014/Volume-5/Pages/CyberCERT.asp

que se requieren defensas de seguridad cibernética en una organización, el Oficial de Ciberseguridad sería el principal canal entre la Junta de Dirección (BoD), el nivel superior de la dirección y todos los especialistas antes mencionados.Hacia afuera, cuando surjan los problemas de seguridad cibernética, el Oficial de Ciberseguridad representaría a la empresa u organismo en su trato con las agencias policiales y los organismos de seguridad, así como con los medios de comunicación, clientes, accionistas.

Políticas

Esto no será un trabajo fácil de proveer o ejecutar. La efectividad de una posición de Oficial de Ciberseguridad dentro de una organización es dependiente de la credibilidad en las amenazas de los ataques cibernéticos. Sin eso, no hay forma de que un Oficial de Ciberseguridad pueda demostrar que él / ella está en realidad logrando algo. Durante un año, y en casi todos sus días, no habrá casi ningún ataque cibernético así que no hay manera de mostrar progreso, mucho menos éxito. Esto ha sido un enigma durante años para los CISO, por lo que no debería ser una sorpresa.

La relación entre el Oficial de Ciberseguridad y el CISO podría estar llena de celos, rivalidad y luchas internas. Éstas podrían ser resueltas, como he dicho anteriormente, manteniendo a una reportando a la otra. Sin embargo, ello genera una competencia por los limitados fondos asignados a la seguridad de la información, lo cual solo crearía una lucha política.El potencial de una lucha política interna podría ser eliminado (o al menos disminuido) con el nombramiento de la persona que hoy es el CISO como Oficial de Ciberseguridad. Si se establece esa posición, es decir, moviendo al CISO a ella, sería un movimiento lógico de la carrera de este último. Sin embargo, esto se basa en que el CISO que tiene las destrezas y experiencias para el papel más amplio que se ha descrito. Muchos CISOs que conozco están muy preparados para ser Oficial de Ciberseguridad, pero algunos no tienen las habilidades verbales e interpersonales que serían esenciales para el éxito en un papel de coordinación.

Creo que hay CISOs y Directores de TI (CIOs) que son de facto en la actualidad Oficial de Ciberseguridad.

¿Disfruto este artículo?

• Aprende más acerca, discute y colabora sobre ciberseguridad en el Centro de Conocimiento. www.isaca.org/topic-cybersecurity


Elementos de una Estrategia de Auditoria de SI/TI, Parte 1

La palabra “estrategia” significa, a menudo, diferentes cosas para las personas. Para esta columna, sería bueno recordar la historia de aquella persona que para llegar a un pueblo específico, decide caminar por las colinas sin un sistema de posicionamiento global (GPS). Aun cuando la persona se pierde, todavía puede ver el pueblo a la distancia. Luego se encuentra con un pastor, y le pregunta: “¿Cómo puedo llegar a la aldea?”, “Bueno”, le responde el Pastor, “Yo no comenzaría por aquí”.

Este artículo se refiere a una estrategia de SI/TI como el conjunto de medidas que permitirán al director ejecutivo de auditoría (DEA) y a los auditores de SI/ TI definir su punto de partida, identificar el estado de su destino, y determinar los procesos y recursos que los conducirán hasta allá. La figura 1 proporciona una visión general.

Mientras que la figura ilustra la secuencia de eventos que se necesitan que ocurran en la práctica, esta discusión sigue el camino inverso, empezando por el público. Las razones para esto son que la alta dirección y el comité de auditoría definen-por separado y de forma independiente- si la estrategia de auditoría es aprobada y ratificada o no. Ellos también aprueban los recursos que son necesarios para implementarla. El dictamen conforme del gerente de TI (CIO)—el objeto de la auditoría—ayudaría en la implementación de la estrategia, pero si esto no ocurre, sería deseable entender exactamente por qué no. La función de los auditores externos puede, o no, ser relevante dependiendo de la naturaleza de la organización y el rol que juegan estos auditores.

Sin las aprobaciones pertinentes la estrategia propuesta no es más que una lista de deseos.

Los Entregables de la Estrategia de Auditoría de SI/TI

El DEA al proponer una estrategia, sin duda, está consciente de que los SI/ TI son sólo una parte, muy importante por cierto, del universo total de auditorías de la organización. Por lo tanto, la estrategia

propuesta debería reflejar cómo los sistemas de información, las tecnologías y la gestión de datos encajan con el enfoque global de la auditoria basada en riesgo.

Prioridades de la AuditoriaEstas varían de una organización a otra, por ejemplo, dependerá del sector en que se encuentra la organización, privado o público, si cotiza en la bolsa de valores o es una sociedad anónima cerrada, y del marco regulatorio en el que opera.También son factores a considerar el cumplimiento de las normas y reglamentos internos.

Algunas otras consideraciones incluyen:

• Las actividades y procesos de negocio (operativos, financieros, legales, reputacionales, etc.) que tienen un potencial impacto crítico en el negocio

• El rol de los SI/TI en el soporte a estas actividades y procesos de negocios, indicando cuales han sido recientemente auditados ¿Tienes algo

que comentar sobre este artículo?Visita las páginas del Journal en el sitio web de ISACA (ww.isaca.org/journal), encuentra el artículo y da click en el link Comments para compartir tus pensamientos.

Ed Gelbstein, Ph.D., 1940-2015Trabajó en SI/TI, tanto en el sector público como en el privado, en varios países por más de 50 años. Gelbstein hizo desarrollo analógico y digital en la década de 1960, incorporando computadores digitales en el sistema de control para procesos continuos a finales de los años 60 y principios de los 70, y administró proyectos de gran tamaño y complejidad hasta principios de 1990. En los años 90, se convirtió en un ejecutivo de los pre-privatizados ferrocarriles británicos y luego proveedor global de comunicaciones informáticas y de datos en las Naciones Unidas. Después de su (semi) retiro de la ONU, se unió al equipo de auditores del Consejo de Auditores de las Naciones Unidas y a la Oficina de Auditoría Nacional Francesa. Gracias a su espíritu generoso y su escritura prolífica, su columna continuará siendo publicada en el Diario Póstumo de ISACA.

IS auditoríabásica

En abril de 2016, Ed Gelbstein fue galardonado con el Premio Cangemi Michael al Mejor Artículo póstumo. Este premio reconoce a las personas que han hecho importantes contribuciones en el campo de la auditoría de SI, control y/o publicaciones de seguridad. ISACA felicita a la querida esposa del Dr. Gelbstein, Cora quien, en nombre de su marido, recibió el premio.


Frecuentemente los auditores internos consideran al Instituto de Auditores Internos (IIA) como la fuente de jure (u oficial) de las normas y los diferencian de aquellos que son utilizados para TI y seguridad. Los auditores de SI/TI tienen varias opciones para adoptar normas de facto, marcos y directrices que están disponibles desde varias fuentes, como ISACA®1 y el Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST). La estrategia debería indicar cómo estas guías de orientación se complementan entre sí y, en particular, la selección de mapas propuestos contra el marco de gestión de riesgo empresarial (ERM) adoptado por la empresa.

Herramientas En particular, las herramientas y técnicas de auditoría asistidas por computador (CAAT’s)2 son cada vez más populares, especialmente aquellas que apoyan varias funciones tales como:

• La monitorización continua/auditoría continua que permite a los auditores supervisar la actividad del usuario, los controles de las aplicaciones y las transacciones del negocio

• Análisis y pruebas de datos

• Gestión de papeles de trabajo (una base de datos centralizada con todos los documentos de las auditorías pasadas y las recientes). Algunos pueden debatir si esto se trata de un CAAT o no. Estos productos también están disponibles para apoyar la estandarización de formatos, aumentando la consistencia (y potencialmente la calidad) de la documentación de auditoría.

Existen muchos productos disponibles en el mercado, sin embargo no serán abordados en este artículo.

Al igual que en el caso de las normas y marcos de referencia, las herramientas (a menudo costosas) deben ser adquiridas, pero pueden ser de poco valor a menos que sus usuarios se manejen bien en la ejecución de las auditorías. Esto implica, por parte de los auditores de SI/TI, un compromiso de aprendizaje y un enfoque eficaz de entrenamiento.

• Las recomendaciones que no han sido implementadas y aquellas que se han implementado, pero que puede ser necesario auditar nuevamente

Normas de Auditoría, Marcos y DirectricesDe vez en cuando se actualizan o revisan directrices y marcos de estándares de auditorías relevantes, y el DEA debería asegurar que se adopta la versión más reciente e indicar los pasos de transición necesarios para pasar de la versión más antigua a la nueva. Por ejemplo, la Gestión de Riesgo Empresarial del Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO)—este Marco Integrado fue revisado en mayo de 2013 y, de manera similar, COBIT® 5 y sus documentos relacionados han reemplazado a COBIT® 4.1, Risk IT y Val IT. La transición de una versión a otra no es una tarea trivial; exige un esfuerzo y aprendizaje considerable.

Figura 1—Elementos de una Estrategia de Auditoria de IS/TI

Source: Ed Gelbstein. Reprinted with permission.

Entradas Dominios Entregables

Proveedores Participantes Audiencia

• Análisis Impacto en Negocio• Evaluación Riesgos IS/IT• Evaluación Riesgos COSO(IS/IT)• Perfil y dotación actual IS/IT• Cumplimiento Requerimientos• Otros – Informes de Auditoría anteriores – Temas Comité Auditoría – Integridad y madurez

• CIO and CISO• Función de riesgo ERM• Dueños de los sistemas• Dueños procesos de negocios• Proveedores externos• Legal y adquisiciones

• Director Ejecutivo Auditoría• Miembro(s) comité auditoría• Auditores inetrnos IS/IT• Consultores si se requiere

• Alta Dirección• Comité auditoría• Auditores externos (?)• CIO

• Definir universo auditoria IS/IT• Gobernabilidad – Políticas y cumplimiento – Personal IS/IT – Proveedores externos – Instalaciones• Operaciones IO +DR +BC +CM• Móviles• IoT• Gestión Datos (DMBOK)• Proyectos• Clasificación por criticidad• Impacto en el Negocio

• Prioridades auditorías• Normas• Herramientas• Requerimientos personal – Cantidad – Perfiles – Entrenamiento – Certificaciones• Plan Anual Auditoría• Métricas

DR = Recuperación de desastres BC = Continuidad de Negocios CM = Gestión de Crisis IoT = Internet de las CosasDMBOK = Cuerpo de Gestión del Conocimiento



• Aprende más acerca, discute y colabora sobre herramientas y técnicas de auditoría en el Centro de Conocimiento. www.isaca.org/ topic-audit-tools- and-techniques

• Plan Anual de Auditoría—Entidades o áreas que serán auditadas el próximo año, con el detalle suficiente del calendario y los recursos para permitir al auditado prepararse.

• Métricas—Para que la estrategia sea significativa para aquellos que deben aprobarla y ejecutarla con los recursos disponibles, se deberán describir las métricas de éxito4 que serán usadas para evaluar la estrategia, destacando los indicadores cuantificables que serán utilizados y reportados.

Conclusiones

Este artículo, que es el primero de una serie de dos partes, se concentra en lo que debería entregar una estrategia de auditoría y a quién. Esta es la parte fácil. Los desafíos planteados en la parte 2 de esta serie, son la definición y extensión del universo de auditoría de SI/TI que continuamente cambian y, el aseguramiento de que el foco permanezca en aquello que es crítico de manera que la auditoría realmente sea basada en riesgo.

Tal vez la parte más difícil es conseguir la cooperación total de aquellos que se espera proporcionen información (representado por las Entradas y los Proveedores de la figura 1). Son pocas las posibilidades de hacerse el tiempo para enfocarse en esto y puede haber elementos de la política organizacional que se tengan que vencer.

Notas Finales

1 ISACA, “Standards, Guidelines, Tools and Techniques,” ISACA® Journal, vol. 3, 2016, www.isaca.org/archives

2 ISACA, Audit Tools and Techniques, www.isaca.org/Groups/Professional-English/it-audit-tools-and-techniques/Pages/Overview.aspx

3 Gelbstein, E.; “The Soft Skill Challenge,” ISACA® Journal, vol. 3, 2015, www.isaca.org/archives. Gelbstein, E.; “Is There Such a Thing as a Bad Auditor, Part 1 and 2,” ISACA® Journal, vol. 1, 2016, www.isaca.org/archives

4 Gelbstein, E.; “Trust, but Verify,” ISACA® Journal, vol 1, 2016, www.isaca.org/journal/archives

Requerimientos de Personal

Esto parecería ser un tema sencillo de abordar (en teoría). El auditor de SI/TI es la persona adecuada, lo que implica que él/ella debe estar bien informada, cualificada y experimentada, y tener las habilidades blandas adecuadas.3 Los retos para el DEA y el auditor líder de SI/TI son identificar y justificar una estrategia que cubra:

• Cantidad de Auditores—Para determinar el número de auditores necesarios para hacer el trabajo, con el grado de calidad requerido en toda la parte crítica del negocio, requiere el análisis de la estrategia y los planes de auditoría asociados. Esto tiene consideraciones serias. Muchas empresas, que son demasiado pequeñas para tener una función ERM o un auditor interno, dependen de la intervención externa de su matriz, si forman parte de un gran conglomerado (por ejemplo, la oficina en el país de una multinacional ubicada en otro lugar), de auditores contratados por una compañía proveedora calificada, o de un auditor independiente. Otras empresas y el sector sin fines de lucro pueden ser incapaces de financiar con los recursos adecuados una función de auditoría. En este sentido, la externalización de esta actividad es considerada más rentable que reclutar y formar un equipo.

• Perfil del auditor—Esta parte de la estrategia debe tener en cuenta varias características de la disponibilidad de los auditores sin violar su derecho a la privacidad. Por ejemplo, puede ser pertinente tener en cuenta la edad de los auditores con el fin de evaluar con anticipación su jubilación futura, o su capacidad para cambiarse de un trabajo a otro (la rotación de personal es un buen indicador de riesgo). La edad también puede indicar su experiencia, la que puede ser especialmente relevante para ciertas auditorías. Esta evaluación puede apoyar la estrategia en la definición del rol de las certificaciones y la identificación de las brechas entre el conocimiento actual y el requerido para aplicar el cambio de marcos de trabajo y directrices. El análisis de las brechas también debería incluir la forma en cómo subsanar estas (por ejemplo, con formación profesional in-situ, cursos presenciales, entrenamiento on-line o capacitación en el lugar de trabajo).


P: ¿Cómo piensas que está cambiando o ha cambiado el rol de auditor de Sistemas de Información (SI)? ¿Cuál podría ser tu mejor consejo para los auditores de SI en relación a la generación de su plan de carrera y con miras al futuro de la auditoría de SI?

R: El rol fundamental del auditor de SI no ha cambiado por varios años respecto del tipo de riesgo que tratamos de direccionar. Los auditores de SI serán desafiados en el futuro para direccionar nuevas áreas de riesgo y se alejen de los controles generales computacionales que han sido efectivos por tanto tiempo en las organizaciones. Mientras el riesgo es transferido a proveedores tercerizados, los auditores de SI serán desafiados para mostrar

cómo los controles son efectivos cuando están dejando de ser ejecutados dentro de la compañía.

P: ¿Cómo visualizas el cambio a largo plazo de los roles de la auditoría de Sistemas de Información (SI), gobierno y cumplimiento?

R: En los años siguientes la auditoría de SI, el gobierno y el cumplimiento se moverán hacia la auditoría continua a través del uso del análisis de datos. Una vez que una transacción choca con un sistema de planificación de recursos empresarial (ERP por sus siglas en inglés), los usuarios serán informados si cierto umbral es alcanzado y causa sospechas. En lugar de esperar hasta el siguiente año cuando la población de pruebas es

revisada por un auditor, las banderas clave habrán ya notificado a los dueños del sistema con áreas potenciales de preocupación.

P: ¿Cómo es que las certificaciones que sostienes te han ayudado a avanzar o potenciar tu carrera profesional? ¿Cuáles son las certificaciones que buscas cuando reclutas a un nuevo miembro de tu equipo?

R: Yo obtuve la certificación de Auditor Certificado de Sistemas de Información (CISA®, por sus siglas en inglés) dentro de mi primer año de trabajo como contador público. Después de obtener la certificación pude mostrar a los diversos interesados (stakeholders) internos y externos que conocía el estándar de la industria para la auditoría de

Deborah (Debbie) Newman is a senior global IT auditor with Abbott Laboratories. In this role, she focuses on critical information controls, specifically, testing the design and operating effectiveness of those information controls to verify compliance with professional standards.

Debbie Newman, CISAEs un auditor senior global de TI dentro de Laboratorios Abbott.En este rol ella se enfoca en controles de información crítica, específicamente, probando el diseño y efectividad operativa de esos controles de información para verificar el cumplimiento con estándares profesionales.

lared

Sistemas de Información. No tengo certificaciones que busque específicamente cuando se trata de reclutar nuevos miembros para mi equipo. Sin embargo, una certificación técnica me muestra que un individuo se ha tomado el tiempo de aprender las guías de buenas prácticas en la industria. Me muestra su dedicación a la profesión fuera de sus actividades normales de negocio. P: ¿Cuál podría ser tu mejor consejo para los auditores de SI en relación a la generación de su plan de carrera y con miras al futuro de la auditoría de SI?

R: ¡Tomar muchas notas! Yo estoy constantemente refiriéndome a las notas que escribí meses y años atrás. En ocasiones éstas son elementos técnicos y en otras ocasiones es un consejo de un colega. Uno nunca sabe cuándo va a necesitar hacer referencia a algo del pasado.

P: ¿Cuál ha sido el desafío más grande de tu lugar de trabajo o de carrera profesional y cómo lo enfrentaste?

R: Aprendiendo a “trabajar donde quiera que estés”. Los profesionales de auditoría están constantemente desafiados por nuevos ambientes de trabajo. He tenido que aprender rápidamente como bloquear cualquier distracciones externas al trabajar en trenes, aviones y en varias salas de conferencias. A menudo, los lugares donde ejercemos nuestros trabajos pueden no ser los más cómodos o no contribuyen a ser productivo. He encontrado que la mejor manera para superar el desafío de trabajar en múltiples locaciones es organizar tareas con base en el lugar donde vas a estar trabajando después. Algunas veces las tareas administrativas tales como reportar los gastos de viaje es mejor desempeñarlas en un tren, mientras que la documentación de los procedimientos de auditoría se elaboran mejor en mi sofá.

¿Cuál es el mayor desafío de seguridad que será enfrentado en 2016?

Administración de identidades y accesos. Nos esforzamos para administrar nuestras propias identidades en un nivel personal con nombres de usuario, contraseñas y preguntas de seguridad para docenas de sitios web. Las organizaciones sienten este mismo esfuerzo cuando los usuarios tienen acceso a docenas de aplicaciones

¿Cuáles son tus tres metas para 2016?• Pasar tiempo con mi familia y amigos• Viajar al menos seis nuevos países• Pasar el examen de Fundamentos de Ciberseguridad CSX

¿Cuál es tu blog favorito?El arte de aconsejar (The Art of Advice) de Justin Greis, https://theartofadvice.com/

¿Qué cosa está en tu escritorio en este momento?

Una taza de café, fotografías de mi familia y un calendario de “1,000 lugares para visitar antes de que te mueras”

¿A quién estás siguiendo en Twitter?No puedo nombrar a todos los 631. Por nombrar algunos:• @andylassner• @oatmeal• @sbellelauren• @adam_newman• @meritmusic

¿Cómo es que los medios sociales te han impactado profesionalmente?

Me permiten estar en contacto con gente que he conocido por el mundo. He podido encontrarme con gente que no había visto en años porque conectamos y compartimos nuestros planes de viaje futuros a través de los medios sociales

¿Cuál es tu consejo número uno para otros auditores de Sistemas de Información?

¡Mantenerse en contacto con todas las personas que conozcas! Uno nunca sabe cuándo ellos serán parte de tu siguiente proyecto o equipo. La comunidad de auditoría es muy pequeña.

¿Cuál es tu beneficio favorito de tu membresía de ISACA®?

Acceso a las publicaciones y materiales de entrenamiento a través de la tienda de libros en línea.

¿Qué haces cuando no estás en el trabajo?• Pruebo nuevas recetas y técnicas de cocina • Viajo para ver a mi familia y amigos

1

3

4

2

5

6

7

8

9



Pregunte a cualquier comerciante y él/ella dirá que aceptar con tarjetas de créditos trae su propio conjunto de desafíos de seguridad. No solo existen aquellos (fairly prescriptive) requerimientos provenientes de los Estándares de Seguridad de Datos de la Industria de Pagos con Tarjetas (PCI DSS) de los cuales hay que preocuparse, sino que al ser un profesional de la seguridad en un contexto comercial también se incluye una serie de otras cosas de las cuales estar preocupado. Estas incluyen anticiparse a las potenciales transacciones fraudulentas, mantenerse al tanto de donde son almacenados los datos de los tarjeta-habientes y las rutas por la cuales transitan los datos al interior del entorno del comercio, asegurando la apropiada delimitación entre el ambiente de datos del tarjeta-habiente (CDE, por siglas en ingles) y otros ambientes, evaluando es estado de la seguridad y cumplimiento de los proveedores de servicio, y numerosos otros temas.

El punto es, los pagos pueden ser un reto desde el punto de vista de la seguridad. Ya que nadie cuenta con un presupuesto ilimitado, la responsabilidad recae en los profesionales de la seguridad de encontrar formas creativas para enfrentar esos desafíos de manera consciente del presupuesto y se centrados en la eficiencia. El ser creativo en este contexto significa a veces, buscar maneras aparentemente poco ortodoxas para exprimir hasta la última gota de la utilidad de las oportunidades que se presentan, para avanzar sobre los intereses de seguridad, garantizando al mismo tiempo que estas oportunidades tengan el mínimo impacto en las operaciones comerciales.

Lo crea o no, la aceptación de pagos móviles puede ser una de esas vías. Al entender cómo funcionan los pagos móviles bajo la capa—y buscando formas creativas de convertir esto en una ventaja desde el punto de vista de seguridad—las partes interesadas pueden potencialmente tomar algunas medidas para avanzar con sus programas de seguridad, mientras que, al mismo tiempo, proporcionar una valioso servicio a los clientes. ¿Porque los pagos moviles?

Francamente, esta afirmación puede sonar loca para muchos profesionales. Por ejemplo, la Encuesta del 2015 sobre Pagos Móvil de ISACA encontró que el 87 por ciento de los 900 profesionales de la seguridad encuestados esperaba ver un aumento en las violaciones en los datos de pagos móviles en el próximo año. Alrededor de la mitad (47 por ciento) indicó que los pagos móviles no son seguros, y sólo el 23 por ciento respondió que los pagos móviles son seguros para mantener la información personal protegida. Así que, claramente, decir que la profesión considera los pagos móviles con cierto escepticismo, es un eufemismo.

Dicho esto, vale la pena considerar las alternativas a los pagos móviles. Considere por un momento las vías para el fraude y el abuso de los clientes disponibles cada vez que presenta su tarjeta para iniciar una transacción con tarjeta-presente. Cada vez que la tarjeta está fuera de la billetera del titular de la tarjeta, existe la posibilidad de que se pierda o sea robada. Existe la posibilidad de la interceptación a través del punto de venta (es decir, a través de un skimmer), la oportunidad para el robo a través del almacenamiento lógico en el punto de venta (POS) mismo, la posibilidad de sniffing de la red entre el POS y en cualquiera que sea el sistemas que maneje el detalle de los pago antes del procesamiento de los pagos en el back-end, etc. En todos y cada paso a lo largo de ese camino, las cosas podrían salir mal en una gran forma.

Ahora, compare eso con un escenario de pagos móviles como Android Pay, Samsung Pay o Apple Pay. Bajo esos modelos, el número de cuenta primario (PAN) está protegido por medio de tokenización (tokenization) del pago, las transacciones son autenticadas utilizando criptografía fuerte, y hay mecanismos para atenuar o incluso eliminar muchos de los escenarios de fraude

¿Pagos móviles como un Control de Seguridad?

Robert Clyde, CISMEs el director general de Clyde Consulting LLC (EE.UU.). También se desempeña como director en los consejos de seguridad de White Cloud Security (de confianza aplicación aplicación de la lista); TZ Holdings (antes Zimbra), un líder en la comunidad y el software de colaboración; y XBridge Systems, líder en software de descubrimiento de datos. Él preside un comité ISACA® y ha servido como miembro del Consejo Asesor Estratégico de ISACA, Conferencia y de la Junta de Educación, y el IT Governance Institute Advisory Panel (ITGI). Anteriormente, fue director general de Informática de adaptación, que proporciona software de gestión de carga de trabajo para algunos de nube más grande del mundo, de alto rendimiento (HPC) y entornos de datos grandes. Antes de fundar Clyde Consulting, fue director de tecnología de Symantec y cofundador de Axent Technologies. Clyde es un orador frecuente en conferencias de ISACA y de la Asociación Nacional de Directores Corporativos (NACD). También es miembro de la industria del consejo asesor de la Dirección de Sistemas de Información de Gestión de la Universidad del Estado de Utah (EE.UU.).


Disponibile anche in italianowww.isaca.org/currentissue


actualización en tándem de los POS y las tiendas minoristas, esta actualización puede ser una buena oportunidad para revisar esas tiendas minoristas y al mismo tiempo dar una mirada más amplia a las contramedidas de seguridad implementadas (ya que, como cualquier comerciante lo puede decir, las tiendas minoristas son a menudo el punto en donde se producen los retos concretos).

Una revisión sistemática en conjunto de las medidas de seguridad implementadas para las tiendas minoristas, tanto en lo referente a los POS como a la tienda de forma más general, tiene una serie de beneficios. Tenga en cuenta que para completar la documentación requerida en el marco del programa de PCI DSS (un informe sobre el cumplimiento [RoC – Report of Compliance] para los comerciantes más grandes o un cuestionario de autoevaluación [SAQ – Self-Assessment Questionneire] para los más pequeños), un subconjunto de estos lugares estaría probablemente bajo investigación potencialmente de todas formas. En concreto, dado que las tiendas minoristas que participan en una operación de pago casi siempre serán parte de la CDE, casi siempre estarán incluidas en una revisión. Esto significa que el presupuesto empleado para la actualización del POS podría potencialmente servir a dos propósitos, tanto para mejorar el POS (y potencialmente mitigar ciertas áreas de riesgo ya existentes), así como para la creación de una oportunidad más amplia para examinar otras áreas potenciales de preocupación en las propias tiendas minoristas.

La puesta en marcha de aceptación de pagos móviles es sin duda un desafío y lleva consigo una inquietud comprensible, ya que la tecnología en sí es relativamente nueva. Sin embargo, esto también presenta una oportunidad para los profesionales experimentados que saben qué buscar y puedan, al igual que los expertos en judo, revertir la situación en su favor.

que uno podría encontrar en un contexto tradicional de tarjeta-presente. Por otra parte, existe una sólida unión entre el titular de la tarjeta y la transacción de pago misma, a través del requisito de autenticación suplementario (biométrica o número personal de identificación [PIN]) antes del pago pueda ser iniciado.

Nadie está diciendo que los pagos móviles tienen universalmente las propiedades de seguridad más robustas en cada caso de uso existente, sino que simplemente se sugiere que puede haber ventajas en muchas situaciones relativas a una transacción tradicional con tarjeta-presente. Entendiendo que este es el caso, la aceptación de pagos móviles puede entonces avanzar desde un ser un reto a una oportunidad.

La Reducción del Riesgo en la práctica

Con esto en mente, ¿cuáles son algunas formas en que los pagos móviles pueden ser aprovechados por los profesionales de seguridad para ganar terreno en este campo? La primera área es entender las propiedades de seguridad que los pagos móviles tienen y los posibles beneficios/inconvenientes que surgen como consecuencia, tal como se ha indicado aquí. Pero no se quiere decir que para esto uno tenga que leer las especificaciones de ingeniería o algo similar, pero si le incumbe a los profesionales de seguridad el entender los conceptos de alto nivel, ya que en última instancia, ellos tomaran decisiones de riesgo respecto. El reciente documento (white paper) de ISACA, ¿Es el móvil el ganador en la Seguridad de Pagos?, esboza la propuesta de valor del negocio (y, sí, la seguridad) y describe algunos controles que pueden ayudar a los profesionales de seguridad en el terreno de mitigar algunos de los posibles riesgos.

Como el documento lo explica en más detalle, una de las principales ventajas de los pagos móviles usando tokenización del pago es que el PAN(número de cuenta primario) no se almacena realmente en el dispositivo móvil o es transmitido al comerciante. Incluso si se ve comprometida la red de comerciante, el PAN no es comprometido, lo que reduce el riesgo de robo o fraude.

Este es un buen punto de partida, pero existe una forma adicional en que los pagos móviles pueden entregar valor a los programas de seguridad, incluso más allá de esto: En concreto, ya que el despliegue de la aceptación de pagos móviles requiere una

artículoartículo


• Aprende más acerca, discute y colabora sobre dispositivos móviles en el Centro de Conocimiento. www.isaca.org/topic-mobile-computing


El 3 de Abril de 1973, Martin Cooper, un investigador y ejecutivo de Motorola, efectuó la primera llamada móvil desde un teléfono que pesaba un poco más de 1 kg. Avanzando rápido al 2016. El teléfono móvil promedio es mucho más liviano y más rápido que la versión de 1973, ofrece más funcionalidades y contiene mas poder computacional que las primeras computadoras personales. Queda claro que la tecnología móvil ha llegado para quedarse, ya que un número creciente de consumidores y empresas por igual adoptan su conveniencia, velocidad y beneficios. “A medida que el numero de personas que poseen y usan teléfonos celulares continua creciendo, lo mismo ocurre con el uso de teléfonos inteligentes. 91% de la población adulta de los Estados Unidos actualmente es propietaria de un teléfono celular y de ese 91%, 61% son teléfonos inteligentes”1. Con tales cambios tecnológicos, especialmente en el ámbito empresarial, auditoria de TI y los profesionales de la seguridad deben adaptarse al cambiante panorama de amenazas creadas por las aplicaciones (apps) móviles anticipándose a los riesgos y poniendo controles apropiados y efectuar pruebas de las aplicaciones móviles desde su concepción hasta su liberación.

Para que los controles adecuados para las aplicaciones móviles sean desarrollados y probados, uno primero debe diseccionar las capas de riesgo. Como se muestra en la figura 1, pueden existir multitud de capas, pero los segmentos de riesgo básico pueden ser divididos en cuatro categorías principales de seguridad de aplicaciones móviles:

• Dispositivos Móviles

• Redes Móviles

Figura 1—Cuatro Segmentos de Riesgo para la Seguridad de Aplicaciones Móviles

Source: Mohammed Khan. Reprinted with permission.

• Servidores Web de Aplicaciones Móviles

• Bases de Datos de Aplicaciones Móviles

Construyendo un marco a nivel del consumidor y de la empresa

Las aplicaciones empresariales o de consumo comparten los mismos tipos de riesgos y amenazas. Sin embargo, algunos factores de riesgo empresariales son únicos en sus propias formas y, para hacer frente a este riesgo, uno tiene que evaluar la propuesta de valor de negocios para la creación de aplicaciones empresariales. De acuerdo a un articulo, “Dispositivos móviles dominan el uso del consumidor hasta el punto de que las empresas están viendo el valor de integrarlos en el lugar de trabajo también”2. Hay tres ventajas deseadas:

• Eficiencia—La capacidad para que la fuerza de trabajo pueda llevar a cabo las tareas que habitualmente se realizan en una plataforma de cliente-servidor se debe replicar para que se pueda realizar de la misma manera en una aplicación móvil para conseguir la máxima movilidad y beneficiarse de la creciente capacidad de Internet de las Cosas (IoT).

• Servicios—Los empleados deben poder maximizar los servicios que ellos le proveen a los clientes siendo empoderados de realizar

Marco de Auditoria de Seguridad de Aplicaciones Móviles

Mohammed J. Khan, CISA, CRISC, CIPMEs un gerente de auditoria global en Baxter, una compañía de dispositivos médicos global. El trabaja con el director ejecutivo de auditoria, con el director de seguridad de la información y el director de privacidad. El ha encabezado auditorias global en multinacionales en varias áreas, incluyendo sistemas de planificación de recursos empresariales, centros de datos globales, revisión de terceros, reingeniería de procesos y mejoras, evaluaciones globales de privacidad (Unión Europea y los Estados Unidos), e iniciativas de ciberseguridad en varios mercados los últimos cinco años. Recientemente, ha adquirido más experiencia en el área de ciberseguridad de dispositivos médicos. Khan previamente ha trabajado como consultor senior de aseguramiento y asesoría para Ernst & Young y como un analista de sistemas de negocios para Motorola.


Redes

ServiciosWeb

Base deDatos

DispositivosMóviles


Uno de los retos con los que se enfrentan los auditores es evaluar específicamente como hacer frente a los factores de riesgo de las aplicaciones móviles. Las capas ilustradas en la figura 1 ayudan al auditor en disecar las áreas de amenazas. También, deben existir algunos controles básicos en su lugar para que controles mas complejos sean abordados e implementados. Aunque, el marco de prueba propuesto en figura 2 no encapsula todos los controles complementarios, si se centra en los controles clave requeridos que tengan un nivel de madurez básico relacionados con el fortalecimiento de la seguridad de las aplicaciones móviles.

actividades a nivel de empresa en la misma forma en que están acostumbrados a trabajar con las aplicaciones de escritorio. La aplicación debe proveer el mismo tipo de soporte y disponibilidad de datos según lo esperado de los servicios que no son de aplicaciones de nivel empresarial.

• Satisfacción del Cliente—Es importante proveerle a los clientes el mismo nivel de satisfacción empresarial y de cumplir con los indicadores clave de rendimiento (KPIs) que forman parte de la razón por la cual el cliente se ha registrado para la solución de la empresa en primer lugar.

Figura 2—Marco de Pruebas de Auditoría para Aplicaciones Móviles

Threat Area Control TopicControl Test (Verify the

Following) Control Test Risk MitigatedMobile device Data storage Data are stored securely to

prevent malicious extraction from the app when data are at rest.

Encryption of the data at rest in the mobile device (app) is set to Advanced Encryption Standard (AES) 128, 192 or 256.

Data loss and disclosure

Mobile device Data transmission Mobile app data transmission is encrypted when data are not at rest (transferred).

Encryption of data is enforced for data in transit using Secure Sockets Layer (SSL) and strong security protocols such as: • Web access—HTTPS vs. HTTP• File transfer—FTPS, SFTP,

SCP, WebDAV over HTTPS vs. FTP, RCP

• Security protocols—Transport Layer Security (TLS).


Mobile device Reverse engineering of app code

App code is protected from modification from unauthorized intruders through use of binary protections.

Binary protections are standard protocol for app development life cycle and enforced by the development team at time of app coding and maintenance.

User experience compromise, unauthorized access, data loss

Mobile device App access management and security

App is configured to limit access and configured appropriately for limited authorized use.

Mobile application management (MAM) is utilized to manage access and deployment of the app. Additionally, proper whitelists (approved) and blacklists (noncompliant) are maintained. Examples of MAM services include MobileIron, Airwatch and Apperian, providing a central online location for distribution and tracking purpose.

Unauthorized access and fraud

Network Wireless connectivity Encryption is enforced when Wi-Fi connection is activated.

Transmission of data utilizes, at a minimum, SSL or TLS—both cryptographic protocols for secure transmission of data.


Network Session hijacking Prevent hijacking of a session due to insecure connection protocol.

Connection protocols for the uniform resource locator (URL) via TLS are through HTTPS rather than HTTP to securely connect to a URL.

Data loss and disclosure, unauthorized access

artículoartículo


Figura 2—Marco de Pruebas de Auditoría para Aplicaciones Móviles (cont.)


Following) Control Test Risk MitigatedNetwork Domain Name

System (DNS) spoofing

DNS is secured to avoid rerouting of data to another Internet Protocol (IP) address.

Proper packet filtering setup is built in to verify source address and blocking packets with conflicting source address. Utilization of TLS, Secure Shell (SSH) and HTTPS is enabled for secure communication protocol.


Web server Operations patch management

A process is in place to identify and apply critical system security patches and updates.

Processes exist for the deployment of system patches for all applicable systems. Processes exist for identifying new patches or for notification of new patches from vendors. The system is current with the latest patches prescribed from central IT. If any vulnerability scans have been performed, patches have been applied to address any identified issues. Missing patches are identified and compared against documented formal exceptions from security team.


Web server Access management Roles and responsibilities for ownership have been established, documented and communicated.

All applicable web servers have been assigned both technical and business system owners, as required. The defined roles and responsibilities are adequate, especially for internal and third-party personnel.


Web server Brute-force attack Management of denial-of-service (DoS) strategy encompasses proper programs to lock out unauthorized protocols.

Lock-out protocols are enabled for accounts with multiple incorrect password attempts. Utilization of CAPTCHA (program that distinguishes between humans and computers) is recommended to avoid DoS.

Unauthorized access and fraud, availability of app

Database Privileged access Elevated access to databases are properly secured utilizing best practices.

Access to database is limited to appropriate individuals, and proper access reviews and documented system accounts are kept on file. All default accounts and passwords are disabled by enforcing strict password controls.


Database Structured Query Language (SQL) injection

Back-end database access is properly secured from vulnerabilities utilizing proper input validation techniques.

Input validation technique is in place; specifically defined rules for type and syntax against key business rules exist.



Figura 2—Marco de Pruebas de Auditoría para Aplicaciones Móviles (cont.)


Following) Control Test Risk MitigatedDatabase Validation of app

(client) inputData coming from mobile apps have to be vetted prior to trusting it to pull or push data to the database layer.

Sanitization of app user data coming from the mobile app is properly protected through embedded logic checks within the application. Proper implementation of logic checks is enabled at the server side.


Database App database services

Database server software is updated to current secure versions.

The database server is properly tested and hardened against malicious attack. Login forms have HTTPS required. SSL connections are mandatory.


App management

App deployment administration

App store updates are properly governed utilizing a life cycle management methodology.

A governance structure is in place for mobile app life cycle management, specifically, the release of mobile apps to the app store and modification of future releases.


App management

App deployment source code management

Source code management is properly assigned prior to release.

The app is signed using the enterprise account of the company’s enterprise account certificate.


App management

Remote wiping of data

Ability for remote wipe of the device/app data exists to mitigate risk of lost or compromised devices.

Enterprise apps that are released to company employees or contractors using company-owned devices utilize a remote mobile management software, such as MobileIron, to facilitate remote wiping.


Source: Mohammed Khan. Reprinted with permission.

Conclusión

Es esencial que los auditores de TI trabajen con todos los equipos dentro de la organización responsables por el desarrollo de aplicaciones móviles-negocio, desarrollo TI, Seguridad TI, legal y Cumplimiento. Los auditores deben facilitar el proceso de vigilancia de los esfuerzos de desarrollo de aplicaciones móviles e implementar un marco básico robusto que determine un mínimo de controles de seguridad que permitan a las aplicaciones móviles a soportar el operar en un ambiente móvil vulnerable. Además del marco básico de auditoria definido en este articulo, se recomienda utilizar un marco de pruebas de penetración que aplique a todas las aplicaciones móviles antes de su liberación. Además, las pruebas de penetración deben ser efectuadas según la aplicación móvil es actualizada y nuevas tecnologías se implementen para

dar soporte a la aplicación. Esto reduce el riesgo de vulnerabilidades internas como externas que pueden resultar en el compromiso de los datos.

Notas Finales

1 Collat School of Business, “The Future of Mobile Application,” infographic, University of Alabama, Birmingham, USA, http://businessdegrees.uab.edu/resources/infographics/the-future-of-mobile-application/

2 Poole College of Management Enterprise Risk Management Initiative, “Managing Risks of the Mobile Enterprise,” North Carolina State University, USA, 1 October 2012, https://erm.ncsu.edu/library/article/manage-risks-mobile-enterprise

¿Disfruto de este artículo?

• Aprenda mas, discuta y colabore sobre herramientas de auditoria y técnicas y computación móvil en el Centro de Conocimiento. www.isaca.orge/topic-big-data

La industria de las redes se está transformando gradualmente desde un enfoque centrado en el hardware, a una plataforma definida por software. Aunque el concepto de la creación de redes definidas por software (Software-defined Networking —SDN) todavía se considera nuevo y la aceptación de la misma está en una etapa muy incipiente, el ciclo de vida y la evolución del ordenador personal indican los beneficios de un modelo de este tipo de arquitectura y sugerir la dirección en la que la imparable industria de las redes con el tiempo entrará en retirada.

SDN es ampliamente considerada un escenario conceptual. La aplicación de SDN depende de la estrategia de red adoptada por las empresas. SDN hace referencia a todos los protocolos y tecnologías que trabajan en sincronía para crear una visión global de la red y proporcionar un sistema centralizado, basado en la inteligencia servicio de red, la entrega del servicio y el control.

La Fundación Open Networking (ONF) es la organización que lidera y promociona la adopción de SDN, a través de desarrollos y estándares abiertos. ONF se refiere a SDN como una arquitectura de red emergente, en que el control de la red se programa directamente y está desacoplado del plano de la transmisión1. Esta migración del control, fuertemente amarrada a los dispositivos de red individuales, facilita la infraestructura de capas inferiores y separar aplicaciones y servicios de red, que permite a los administradores manejar el flujo de tráfico

para satisfacer las necesidades cambiantes de las empresas.

El Desafío

La adopción de las nuevas tecnologías, por ejemplo, dispositivos móviles, servidores, contenidos virtualizados y los servicios en la nube, se encuentran entre las principales fuerzas que impulsan la industria de las redes de hoy. Estas nuevas tecnologías han obligado a la industria de las redes para realizar una nueva mirada a las arquitecturas de red tradicionales actualmente en uso. Muchas redes son típicamente de naturaleza jerárquica, construidas con capas de switches Ethernet bajo una topología de árbol. Principal característica de las redes tradicionales es que cada dispositivo tiene control local y datos locales. Cada dispositivo tiene su propia gestión, por ejemplo, la conexión con el dispositivo a través de Telnet, un protocolo de red simple, que permite a los usuarios iniciar sesión de un equipo hacia otro equipo que está en la misma red.

El proceso de establecimiento de la topología de red utilizando un plano de control que se ejecuta localmente es compleja, debido a que no existe ningún dispositivo que sea conocido por toda la red. Para gestionar cambios o actualizaciones en cada dispositivo se debe estar conectado a su plano de datos de forma individual, lo que no es un enfoque inteligente. El plano de control es donde se toman las decisiones de enrutamiento y reenvío, mientras que el plano de datos es donde se ejecutan los comandos del plano de control.

Este diseño tradicional cumplió con las necesidades de una época en que la computación cliente-servidor era dominante. Sin embargo, una arquitectura tan básica no está bien equipada para satisfacer las necesidades informáticas y de almacenamiento dinámico de centros de datos empresariales de hoy en día y la evolución de los paisajes técnicos debido a las cambiantes necesidades del negocio.

Las desventajas de las redes tradicionales es que por su naturaleza estática contrastan con la dinámica de los requisitos de servidores de hoy en día. Las

Desde Redes Estáticas a una Red Definida por Software. Una evolución en Proceso

Nikesh Dubey, CISA, CISM, CRISC, CCISO, CISSPEs un especialista en seguridad cibernética y gobierno, gestión de riesgos y experto en cumplimiento (GRC). Tiene una amplia gama de experiencia en consultoría en las áreas de auditoría de SI, seguridad de la información y GRC. Trabajando en diferentes continentes le ha dado la oportunidad de mirar de cerca temas centrales, los conductores, las expectativas y los retos de diversas empresas. Su artículo anterior ISACA® Journal, “Corporate Responsibility—Retaining Top Management Commitment”, discutido como una forma innovadora de conservar y mejorar los niveles de compromiso de gestión, que es esencial para el éxito de cualquier programa. Actualmente es asociado con el AGC Networks y puede ser contactado en [email protected] o [email protected].




artículoartículo

Una Nueva Forma de Construir Redes

La mayoría de las redes desplegadas actualmente día requieren una gran cantidad de administración manual. Esto es porque las redes tradicionales tenían el plano de control del dispositivo interactuando con los datos del dispositivo (figura 1), utilizando protocolos como Open Shortest Path First (OSPF), Border Gateway Protocol (BGP), Address Resolution Protocol (ARP) y el Protocolo de árbol de expansión (STP), y esto fue una limitación desde una perspectiva técnica y de gestión. La limitación surge debido a que el administrador debe configurar y administrar iniciando sesión en todos los dispositivos y gestionar las capacidades externamente a través de dispositivos de hardware que requieren cambios de configuración, por lo que es tedioso y requiere muchos recursos.

Figura 1—Redes Legadas/Tradicionales

Source: Nikesh Dubey. Reprinted with permission.

Sin embargo, el número cada vez mayor de tecnologías que utilizan la virtualización, la nube y la movilidad va a crear más ambientes difíciles y exigentes; las redes deben apoyar de manera adecuada y adaptarse a éstos ambientes exigentes

complejidades actuales de las redes hacen que sea difícil la aplicabilidad de un conjunto coherente de accesos. Por lo tanto, las políticas tradicionales dejan organizaciones vulnerables a violaciones de la seguridad y a las cuestiones regulaciones o incumplimientos. Además, las redes también deben crecer para satisfacer las necesidades de cientos o miles de nuevos dispositivos con diferentes necesidades de rendimiento y de servicios. La incapacidad para escalar hasta satisfacer estas demandas es una limitación importante de las redes estáticas tradicionales. También es comprensible que la falta de un estándar en esta área y las interfaces abiertas a menudo limitan la capacidad de la red de los operadores a personalizar la red para sus entornos individuales específicos, ya que se ven obstaculizados por el control de los vendedores de los equipos.

La Génesis del SDNEsta disociación entre las crecientes necesidades de la industria de la red para soportar los procesos de negocios, y la naturaleza estática existente de capacidades de las redes tradicionales han dado a luz al concepto de SDN. La base de SDN es el concepto de virtualización, que, en su forma más simple, permite que el software funcione por separado del hardware subyacente. La virtualización ha hecho que computación en la nube sea hoy en día una realidad. Hay varias ventajas de la virtualización.

La virtualización permite a los centros de datos provisionar de forma rápida y dinámica exacta donde se necesitan recursos de TI. Sin embargo, para mantenerse al día con la velocidad y la complejidad del procesamiento en una fracción de segundo, hay también una necesidad de la red para adaptarse cada vez más flexible y sensible de forma automática. La idea de la virtualización se puede aplicar a la red, así la separación de la función de control de tráfico desde el plano del hardware de red subyacente en una red centralizada de base entidad de control de la inteligencia que resulta en SDN. Por lo tanto, SDN es el siguiente paso natural en el proceso evolutivo de la arquitectura de red utilizada en la actualidad. La industria de las redes verá gradualmente un importante cambio de paradigma a partir de un modelo estático, centrado en el hardware a un modelo de evolución definido por software.

Plano de Datos

Plano de Datos

Plano de Control

Plano de Control

OSPF, BGP, STP, ARP

Open SDN

En Open SDN, el objetivo es separar la capa de control y la capa de datos, como también la creación de un lenguaje común para la configuración de switches de red. El ejemplo más común de SDN abierto es OpenFlow, creado por el ONF. SDN en realidad comenzó con OpenFlow, que es una interfaz de comunicaciones independiente del proveedor definido entre el control y los planos de tráfico. OpenFlow internamente proporciona una interfaz de programación de aplicaciones (API) o interfaz abierta para la creación de redes dispositivos. No importa qué sistema operativo o cual proveedor del dispositivo de red está utilizando. Con OpenFlow, hay una interfaz abierta para la gestión del dispositivo.

Típicamente las herramientas de código abierto son siempre un riesgo, ya que podría ser vulnerable. La falta de prácticas de codificación segura por principiantes y desarrolladores entusiastas pueden permitir que las vulnerabilidades aparezcan en su código que puede ser explotados en el futuro. Las organizaciones están cansadas de los problemas de seguridad cuando se trata de herramientas de código abierto. Cualquier persona podría abrir la interfaz programable del software lo que hace que sea un código vulnerable, carente de prácticas de calidad, codificación y abierto a futuras manipulaciones. OpenFlow Protocolo se considera limitado con funcionalidades incipientes y problemas de escalabilidad. La figura 3 es la arquitectura abierta de SDN. Figura 3 muestra la arquitectura de Open SDN.

SDN utilizando APIs

Las APIs son una forma alternativa de proporcionar la abstracción necesaria para SDN y proporcionar una infraestructura altamente programable. Las APIs proporcionan un canal por el cual las instrucciones se pueden enviar a un dispositivo para programarlo. Los programadores pueden leer documentación de la API para entender el dispositivo, los comandos y el código apropiados en sus aplicaciones. Como SDN ha evolucionado, las APIs se consideran norte o sur, dependiendo de la ubicación en la que funcionan en la arquitectura (figura 4). La API residente en un controlador y que es utilizada por las

y gestionar sus requerimientos en tiempo real. SDN hace mediante la introducción de una capa de abstracción que lógicamente separa los planos de control y de datos, centralizando la inteligencia de la capa de red. También abstrae la infraestructura de red subyacente desde las aplicaciones, con el objetivo de responder de forma dinámica a las cambiantes demandas de la red utilizando el procesamiento de protocolos de control de flujos de paquetes (packet-flow). Esto ayuda a la arquitectura SDN a proporcionar visualización del tráfico de las redes y la virtualización de la red. Hay varios enfoques para implementar SDN, pero este artículo se centra en los componentes y conceptos más comunes.

Arquitectura básica de SDN

Básicamente la arquitectura SDN se compone de tres capas: la capa de aplicación, la capa de control o controlador SDN y los datos físicos o capa de infraestructura (figura 2). La parte superior es la capa de aplicación, que incluye aplicaciones que ofrecen servicios, por ejemplo, la virtualización de switch de red, firewalls y balanceadores de carga. Estos se abstraen de la capa inferior, correspondiente a datos subyacentes o capa de red física.

En el medio está la capa de control o controlador SDN que corresponde a la parte más importante de la arquitectura SDN. Esta capa elimina el plano de control desde el plano físico y lo ejecuta como software integrando con los dispositivos físicos y virtuales en la red, lo que facilita la administración óptima del servicio de red.

Figura 2—Arquitectura Básica SDN


Ingenieríade Trá�co

Dirección NorteProtocolo

Virtualizaciónde Redes Virtualización

Dirección SurProtocolo

Plano de DatosPlano de Datos

Plano de Control



conmutadores, routers y otros dispositivos de red.Las APIs Southbound residen en dispositivos de red, tales como switches. Estos se utilizan por el controlador SDN para el suministro de la red, con la comunicación del Southbound de la controladora. OpenFlow es un protocolo southbound prominente. Otro ejemplo de un protocolo southbound es el Protocolo de red (NETCONF).

aplicaciones para enviar instrucciones al controlador se denominan northbound porque la comunicación se realiza al controlador norte. Ejemplos de northbound son API REST y Java APIs2. Estas API permiten al desarrollador manipular las tablas de flujo y las entradas de flujo en los dispositivos de red (por ejemplo, routers y switches) sin hablar con ellos directamente. El desarrollador de aplicaciones se abstrae del hardware y no necesita conocer los detalles y requisitos específicos de los

Figura 4—SDN basado en API


Capa Aplicaciones

Aplicaciones Aplicaciones

Capa Control

Capa Infraestructura

Control a Interfase de Plano de Datos

Dirección Norte Protocolo API

E.g., RESTful API E.g., Java API

(E.g., Open Flow)

Dispositivode Red

Dispositivode Red

Dispositivos de Red

Servicios de Red ySistema Operativo

Figura 3—SDN Abierto


Ingenieríade Trá�co

Virtualizaciónde Redes

Controlador Open�owProtocol(Dirección Sur)

Dispositivosde Red

Dispositivosde Red

Virtualización

es una pieza de software, firmware o hardware que crea y ejecuta máquinas virtuales. Una máquina host es un equipo en el que un hipervisor se está ejecutando una o más máquinas virtuales. Cada máquina virtual se llama Guest. El controlador se comunica con el switch virtual del hipervisor. Estos establecen túneles que hacen uso de la red física subyacente, pero no es necesario configurar el hardware realidad para enviar tráfico a su destino. Si la agilidad es el objetivo clave de la arquitectura de red propuesta, entonces superposición es una buena opción para implementar.

Las tecnologías de virtualización, por ejemplo, Generic Network Virtualization Encapsulation o (Geneve), Virtual Extensible LAN (VXLAN), Stateless Transport Tunneling (STT) y Network Virtualization Using Generic Routing Encapsulation (NVGRE), proporcionan esta solución mediante el uso de encapsulación de red. Big Switch Networks’ ofrece la aplicación de superposición SDN usando OpenFlow. Figura 5 representa a una arquitectura red de superposición SDN3.

SDN utilizando Overlay

La ventaja de la virtualización ha permitido la creación de arquitecturas overlay (o de superposición). Redes Overlay se ejecutan como redes virtuales separadas en la parte superior de la infraestructura de red física. Cuando el concepto de la SDN fue previsto, ya era conocido el concepto de arquitecturas de redes overlay. En SDN, se utilizan nodos de superposición en la red overlay pensado para ser conectado por enlaces virtuales o lógico, cada uno de los cuales representa un path virtual de la red virtual y el físico existente. Este es el modelo más popular, ya que es compatible con la agilidad, que es clave para Las soluciones de red.

En SDN overlay, la aplicación de superposición está construido sobre la arquitectura existente para aprovechar una red física que ya existe. Esta se adapta a las organizaciones, ya que no tienen que hacer nada más que añadir la nueva red a través de una ya existente. El overlay se ha creado usando switches virtuales dentro de hipervisores. Un hipervisor o monitor virtual de la máquina (VMM)

Figura 5—SDN Redes Superpuestas


Aplicación1

ElementoReenvío

ElementoReenvío

ElementoReenvío

ElementoReenvío

VM1 VM3

Plano de ControlCentralizado

(CCon�gue Políticas y M

onitoreo

Tradicional IPEthernet

Abierto/Dirección Norte Interfaces

PlanoD

atos

(EEjecute Acciones

HostsVM2 VM4

vSwitch vSwitch

SDN Controlador SDN ControladorGestión Control Gestión Control

Aplicación2




• Aprende más acerca, discute y colabora sobre seguridad de redes en el Centro de Conocimiento. www.isaca.org/topic-network-security

demanda para mantener o reducir los tiempos de respuesta existentes sería un desafío considerable4.

La necesidad de una mayor velocidad y las limitaciones fundamentales de visualización, tales como sobrecarga y la latencia, puede poner límites a lo que puede lograr prácticamente SDN. La adaptación de la SDN también será lenta. Esto es porque las redes se consideran la columna vertebral de cualquier infraestructura, y el cambio no es fácil. A diferencia de la adaptación de la virtualización, que era más de un cambio para el usuario final, SDN requiere una planificación detallada ya que afecta a todo ser servicio en la red. El controlador centralizado SDN también lo hace vulnerable a convertirse en un único punto de ataque y fallas.

¿Llegará SDN a Ser Popular?

Aunque SDN promete ofrecer beneficios para la industria de las redes, las grandes preguntas aparecen en relación al uso del concepto de forma productiva y si será la dirección futura de la industria de la red. Se estima un incremento de SDN en el mercado de todo el mundo de US $1 billón de dólares en el 2014 a US $8 billones de dólares en el 2018 (figura 6)5. El mercado de SDN incluye infraestructura de red, virtualización de redes, servicios profesionales, servicios de red y aplicaciones.

Conclusión

Los computadores han evolucionado a partir de una arquitectura de hardware impulsado a un módulo definido por software. En el 1970 y 1980, la

Ventajas de SDN

Hay numerosas ventajas de SDN. SDN aumenta la flexibilidad de la red a través de la gestión integral de la red y permite la rápida innovación. Pero ¿por qué las organizaciones consideran SDN, especialmente si se encuentra todavía en fase de desarrollo y no ha sido ampliamente adaptado? El modelo SDN tiene el potencial de hacer mejoras significativas a la solicitud de servicio de los tiempos de respuesta, seguridad, fiabilidad y escalabilidad. También podría reducir los costos mediante la automatización de muchos procesos que actualmente se realizan manualmente, que son intensivos, lentos y costosos de recursos debido a la utilización de hardware comercial restrictiva. SDN ofrece una red más eficiente y flexible que aumenta la velocidad de la prestación de servicios. Ofrece un ahorro de costos en hardware y también ofrece la posibilidad de probar nuevos protocolos futuramente.

SDN Limitaciones y Desafíos

Antes de pasar a las limitaciones de SDN, es importante entender el concepto principal que conduce SDN—virtualización. La virtualización implica una sobrecarga de la red y la latencia, que es un problema para las operaciones que requieren tiempos de respuesta rápidos de los sistemas sensibles (por ejemplo, los sistemas financieros o aplicaciones stock-relacionados). También es importante tener en cuenta que la red es de capacidad fija. Por otra parte, la dependencia de Internet para hacer negocios está ampliando el tráfico en un gran porcentaje, por lo tanto, la

Figura 6—Crecimiento de SDN


BILLION (USD)0.96 8

2020

2018

2016

2014

2012

2010

2008

software que mantienen una visión completa de la red. Además de reducir el capital y los costos operativos, es importante tener en cuenta que SDN representa una nueva forma de gestionar la conectividad de red (uno que se define no por los proveedores y fabricantes de equipos, sino por aquellos que utilizan la red para sus propias necesidades de negocio). SDN es inteligente y lo suficientemente flexible para priorizar el tráfico, asignar recursos de red directos a donde mejor se adaptan y más se necesitan, cambiar y evolucionar con el tiempo para satisfacer las necesidades comerciales de hoy y hacer frente a los retos del futuro challenges of the future.

Notas Finales1 Open Networking Foundation, Software-Defined

Networking: The New Norm for Networks, 13 April 2012, https://www.opennetworking.org/images/stories/downloads/sdn-resources/white-papers/wp-sdn-newnorm.pdf

2 Bombal, David; “SDN and OpenFlow Overview—Open, API and Overlay based SDN,” YouTube video, 28 October 2014, https://www.youtube.com/watch?v=l-DcbQhFAQs

3 Marschke, D.; “Is SDN Read for Prime Time or Junk Time?,” APAC CIO Outlook, www.apacciooutlook.com/ciospeaks/is-sdn-read-for-prime-time-or-junk-time-nwid-658.html

4 O’Reilly, J.; “SDN Limitations,” Information Week, 17 October 2014, www.networkcomputing.com/networking/sdn-limitations/241820465

5 Statica, “Software-defined Networking Market Size Worldwide in 2014 and 2018 (in Billion U.S. Dollars),” www.statista.com/statistics/468636/global-sdn-market-size/

industria de TI fue impulsada principalmente por los dispositivos de hardware que estaban centrado en límites en velocidad, el tamaño y la latencia de red. El avance de la tecnología y su proceso evolutivo, finalmente, la guio a una arquitectura centrada en el software, aumentando drásticamente la velocidad y la reducción de tamaño y coste, lo que resulta en una mayor eficiencia. La industria de las redes está experimentando las mismas transformaciones. El fundamento de la SDN es el concepto que beneficia a la industria de TI a través de la virtualización a través de diversas vías. En principio, SDN promete brindar una red que promueve la innovación y la versatilidad, y al mismo tiempo que reduce la complejidad, los gastos administrativos y costos no planificados.

Es importante identificar los puntos sensibles, los habilitadores y los casos de uso que podrían aplicar con SDN en una organización. Si la agilidad es la principal prioridad, lo siguiente sería que las organizaciones deban desplegar una solución SDN Overlay. Sin embargo, si hay una necesidad de fomentar el apoyo a la innovación en los tres planos, lo que correspondería sería una arquitectura basada en OpenFlow. Si la atención se centra en las APIs de programación para satisfacer mejor las necesidades específicas de una organización a través de su aplicación, sería adecuado utilizar SDN basada en API.

En general, SDN ofrece una agilidad al permitir en forma externa el control y la automatización de la red, por lo que es directamente programable. Ofrece gestión de beneficios mediante la mejora de la eficiencia operativa al hacer inteligencia de red centralizadas en los controladores basados en

www.isaca.org/Journal-Jv4



Tradicionalmente, las organizaciones aumentan su ancho de banda de red, centrándose en la compra de más hardware. Este enfoque no siempre funciona, y puede transformarse en un costoso error, en el caso de que no se utilicen completamente los recursos adicionales. Mientras la tecnología evoluciona, la historia encuentra la forma para repetirse. Desde los días de los protocolos de red de los Mainframe, tales como Systems Network Architecure (SNA), la transición fue hecha hacia la adopción del universalmente aceptado Transmission Control Protocol/Internet Protocol (TCP-IP—una transición provocada por la introducción del computador personal (PC), el cual utiliza tecnología cliente-servidor. Hoy en día, con la disruptiva y acelerado ritmo de cambio de los PC hacia los dispositivos móviles, tales como teléfonos inteligentes, que ofrecen realidad virtual y usan tecnología en la nube, parece ser que el futuro de las redes esta cada vez mas asociado a software automatizado. Alguien se puede preguntar acerca de la evolución de la red, y como una infraestructura moderna de red, tendrá que responder a las constantemente cambiantes demandas de los usuarios finales, comercio, negocios y gobierno.

El crecimiento en dispositivos conectados, que pueden estar en cualquier parte del mundo ha aumentado la complejidad y dificultad de administrarlos a estos mismos y su tráfico de red asociado. Hay un costo muy alto asociado con la reconfiguración manual de estos dispositivos para cualquier cambio requerido. Más aun, es comúnmente difícil y en ocasiones casi imposible reconfigurar la red tradicional de una manera eficiente en términos de tiempo, para así poder reaccionar a los errores humanos y o eventos maliciosos. La red definida por software (SDN), hace uso de virtualización para expandir la red de manera muy eficiente, y así, simplificar la administración de esos recursos consolidados y proveer soluciones para incrementar capacidad sin tener que asaltar un banco1.

Beneficios del SDN¿Qué es SDN? A diferencia del diseño de red tradicional, el diseño mediante SDN es un cambio de

paradigma que usa controles basados en software para simplificar la ejecución de políticas con un componente controlador centralizado. Que separa los datos y funciones de control de los dispositivos de red, tales como routers y switches, con una API (application programming interface) bien definida2.

La arquitectura SDN está separada lógicamente en tres planos: el plano de aplicación, el plano de control, el plano de datos. El plano de aplicación incorpora las aplicaciones SDN, las cuales comunican los requerimientos de red al controlador de la SDN. A su vez, el controlador basado en software de la SDN, interpreta estos requerimientos y ejecuta la política de red correspondiente en el plano de control, el cual determina como la data debe viajar entre de los dispositivos de red. El controlador SDN es el componente central o core de la arquitectura SDN, manejando todas las funciones complejas y traduciendo requerimientos, en reglas de bajo nivel especificas. Finalmente el plano de datos contiene los dispositivos de red tales como, por ejemplo, routers y switches, que ejecutan el flujo de datos, una vez que el controlador SDN autoriza el permiso. En esencia: la SDN desarma la capa de control de red y funciones de reenvío, permitiendo que el protocolo de red sea directamente programable, y que la infraestructura subyacente sea abstraída para aplicaciones y servicios de red3. Desde que la SDN utiliza un controlador centralizado con aplicaciones de software, uno de los grandes beneficios de implementar SDN es su flexibilidad. Porque el controlador SDN asume las funciones más complejas (por ejemplo, manejar la inteligencia de

Tony Wang Es el director de Williams Adley’s administración de riesgo TI. Él tiene más de 15 años de experiencia en evaluación de controles internos, sistemas de información y desarrollo de software. Antes de unirse a Williams Adley, Wang mantuvo diversos cargos de gerencia en DBO USA, Ernst & Young, y Lockheed Martin, donde él atendió a clientes de diversas industrias, con un fuerte foco en gobierno, salud, manufactura, tecnología, ONG sin fines de lucro, y servicios financieros. Sus áreas de expertise abarcan auditoria de los procesos de ingeniería, auditoria integrada financiera, aseguramiento de la información, auditoria de seguridad TI, evaluación del ciclo de vida del desarrollo de software, e integración de sistemas y evaluación. Además de responsabilidad con clientes, Wang ha invertido gran cantidad de tiempo trabajando en desarrollo de negocios, reclutamiento en campus, consejería, y desarrollo y conducción de entrenamiento para auditores ITs.


Disponibile anche in italianowww.isaca.org/currentissue

artículoartículoBeneficios y Riesgos de Seguridad de las Redes definidas por Software

de red en particular (por ejemplo, proveedores que utilizan protocolos propietarios en cuanto a consola de administración y set de comandos únicos), lo cual libera a las empresas de orientar la innovación y aumentar la interoperabilidad de la red. Como resultado esto aumentara notoriamente el retorno de la inversión. La mayor parte de la red tradicional es administrada utilizando consolas de administración con una interfaz de línea de comando, la cual requiere una gran cantidad de esfuerzo manual, de parte de los administradores de red5. En la medida de las compañías adopten la tecnología de la nube. La SDN va a ser capaz de simplificar el conjunto total del diseño de la red mediante el apalancamiento de la virtualización, para automatizar la administración de la operación de la infraestructura de red.

El riesgo de seguridad de la SDN

Muchos temas de seguridad relacionados con las arquitecturas de red tradicional, también aplican del mismo modo a la arquitectura SDN. Desafortunadamente, las nuevas características que proveen flexibilidad aumentada, programación en tiempo real y controles simplificados por medio del controlador centralizado de la SDN, esto también introduce nuevos desafíos de seguridad. De hecho, la SDN está expuesta a varias fuentes de riesgos de seguridad, que vienen heredados de la perspectiva de su diseño de arquitectura, como por ejemplo de las capas que incluyen el plano de control, el plano de aplicación, y plano de datos.

Uno de los factores de riesgo más significativos es la posibilidad de un ataque que intente comprometer el controlador del SDN a nivel del plano de control. Debido al diseño centralizado de la SDN, el controlador de la SDN se transforma en el cerebro de la arquitectura SDN. Los intrusos pueden centrar sus esfuerzos en comprometer el controlador SDN en un intento de manipular toda la red6. Si el atacante consigue ganar permisos de control, el controlador SDN comprometido puede ser utilizado para dirigir los dispositivos de red que controla, (por ejemplo, los switches) para botar o descartar todo el tráfico entrante, o bien lanzar un fuerte ataque en contra de otros objetivos, como por ejemplo enviar tráfico basura a una determinada victima con el fin de colapsar sus recursos7. Para mitigar

la red y monitorear el comportamiento de la red en tiempo real), los dispositivos de red , solo necesitan aceptar ordenes del controlador SDN. Esto elimina la necesidad de los dispositivos de red de entender como ejecutar el flujo de distribución de datos basado en diferentes protocolos de comunicación de distintos proveedores. Como resultado le entrega a los administradores de red, una gran flexibilidad de configurar, administrar, asegurar y optimizar los dispositivos de red4.

Por consiguiente, dado que el controlador SDN es el cerebro de la arquitectura SDN, es mucho más fácil modificar el software/aplicación que reconfigurar manualmente cada dispositivo de red por separado. Este beneficio mitiga la necesidad de las empresas de comprar nuevos y costosos equipos de red, para satisfacer las constantes cambiantes necesidades del negocio. Dado lo anterior, la SDN se perfila como una solución muy efectiva en cuanto a costo. De hecho la SDN fue diseñada para eliminar la dependencia de un proveedor de hardware

Un controlador centralizado provee flexibilidad, capacidad de ser programable, y un alto retorno de la inversión (ROI), con un diseño de red simplificado.

Si los atacantes comprometen el controlador de la SDN, ellos pueden intervenir las aplicaciones de la SDN para manipular incluso las aplicaciones de seguridad y así reprogramas el flujo del tráfico de red a través del controlador SDN.

En la medida que las compañías adoptan la tecnología cloud, SDN va a ser capaz de simplificar el total del diseño de la red mediante el apalancamiento con la virtualización, para así automatizar las operaciones de administración de red.



Conclusión

Virtualización de servidores, movilidad y computación en la nube, se están transformando en la nueva norma para satisfacer las cambiantes necesidades del negocio. A medida que estas tecnologías evolucionan, la arquitectura de red tradicional está empezando a quedarse corta en cumplir las crecientes demandas de red.

La arquitectura SDN provee una red virtualizada, que transforma la red actual en una plataforma flexible programable. El futuro de la tecnología de redes, va a depender cada vez en mayor grado del software, y de la SDN, al final, se va a transformar en la nueva norma para las redes. Por otra parte, es crucial y critico el riesgo de seguridad, el cual necesita ser solucionado en cuanto al controlador y las aplicaciones de la SDN, esto antes de la SDN pueda ser implementada de manera segura.

Notas Finales

1 Underdahl, B.; G. Kinghorn; Software Defined Networking for Dummies, John Wiley & Sons, USA, 2015

2 Stallings, W.; “Software-Defined Networks and OpenFlow,” The Internet Protocol Journal, vol. 16, no. 1, March 2013, p. 2-14

3 Open Networking Foundation, https://www.opennetworking.org/sdn-resources/sdn-definition

4 Open Networking Foundation, Software-Defined Networking: The New Norm for Networks, 13 April 2012, https://www.opennetworking.org/images/stories/downloads/sdn-resources/white-papers/wp-sdn-newnorm.pdf

5 Kim, H.; N. Feamster; “Improving Network Management With Software Defined Networking,” IEEE Communications Magazine, vol. 51, iss. 2, February 2013, p. 114-119

6 Open Networking Foundation, Principles and Practices for Securing Software-Defined Networks, January 2015, https://www.opennetworking.org/images/stories/downloads/sdn-resources/technical-reports/Principles_and_Practices_for_Securing_Software-Defined_Networks_applied_to_OFv1.3.4_V1.0.pdf

7 Mehiar, D.; B. Hamdaoui; M. Guizani; A. Rayes; “Software-defined Networking Security: Pros and Cons,” IEEE Communications Magazine, vol. 53, iss. 6, June 2015

8 Dabbagh, M.; B. Hamdaoui; M. Guizani; A. Rayes; “Software-Defined Networking Security: Pros and Cons,” IEEE Communications Magazine, vol. 53, iss. 6, May 2015

9 Lim, A.; “Security Risks in SDN and Other New Software Issues,” RSA Conference 2015, July 2015

este riesgo de seguridad, resulta crucial asegurar el sistema operativo que contiene el controlador de la SDN, y prevenir accesos no autorizados al controlador de la SDN. Analizando más en detalle, la capa llamada plano de control, es susceptible a un ataque del tipo (DDoS) o de denegación por ataque distribuido. Los switches de la SDN pueden causar que el controlador de la SDN resulte inundado o sobrepasado por muchas consultas, lo que pudiese potencialmente causar retrasos en las respuestas a estas consultas, o incluso que algunas consultas sean botadas. Una posible defensa en contra de un ataque de este tipo (DDoS), es implementar múltiples controladores SDN físicos, en vez de utilizar solo uno. Esto cuando conectan switches a multiples controladores SDN, uno de estos controladores puede actuar como el maestro de los switches. Cuando este controlador maestro requiere procesar alta carga de requerimientos, este puede redirigir la carga hacia otro controlador con menos carga, para que este funcione como maestro de algunos de los switches asignados originalmente a este. Esto mantiene la carga balanceada entre los controladores SDN, lo cual mitiga los ataques del tipo DDoS.

En la capa del plano de datos, los switches también son vulnerables a ataques del tipo DDoS. Un usuario malicioso puede inundar los switches con una carga de tráfico, causando que tráfico legítimo sea botado cuando la capacidad del buffer es excedida. Hay muchas maneras de contrarrestar este ataque, incluyendo una regla proactiva de cache, agregación de reglas, y disminuir el delay en la comunicación entre switch-y-controlador-SDN. También incrementando la capacidad de buffer del switch puede mitigar el riesgo de un ataque DDoS8.

Comunicando mensajes entre la capa del plano de control, y la capa del plano de datos está sujeta o es susceptible a ataques del tipo hombre-en-el-medio. El atacante puede potencialmente modificar las reglas que son enviadas desde el controlador SDN a los switches para tomar control de los switches. Una de las soluciones más efectivas para este tipo de ataques es cifrar el mensaje mediante el uso de firmas digitales, para asegurar y garantizar la integridad y autenticidad de los mensajes.

La capacidad de que sea programado en tiempo real, también abre una seria vulnerabilidad a nivel del plano de aplicación. Específicamente, si el atacante puede intervenir la aplicación de seguridad de la SDN, el puede manipular el flujo del tráfico de red a través del controlador del SDN. Si las aplicaciones de la SDN son comprometidas, toda la red lo está, del mismo modo9. Para mitigar efectivamente un riesgo de seguridad tal, es crucial que las prácticas seguras de programación sean reforzadas con una exhaustiva gestión del control de cambio y procesos de chequeos de integridad, siendo los anteriores parte del ciclo de vida del desarrollo de software.


• Aprende más acerca, discute y colabora sobre seguridad de redes y gestión del riesgo en el Centro de Conocimiento. www.isaca.org/knowledgecenter

El Internet de las Cosas (IoT) es un concepto en evolución y es descrito de varias maneras, uno de los más comunes siendo “una infraestructura de objetos, gente, sistemas y recursos de información interconectados”1. Es obvio para los practicantes, sin embargo, que IoT no es un concepto nuevo. Es un nuevo paradigma que es creado y realizado a través del uso de conceptos viejos, métodos, y herramientas que han estado presente por muchos años en el mundo de TI y computación. Algunos de estos conceptos incluyen la función remota de llamado y ejecución de código remoto.

Desde un punto de vista de seguridad, sin embargo, IoT exhibe nuevas funciones y características, como ser la necesidad de compartir tipos adicionales de datos y operaciones. En contraste con sistemas más viejos, dispositivos IoT reciben varios tipos de input desde otros dispositivos en la forma de datos y comandos remotos2,3. Dispositivos IoT (por ejemplo: Candados inteligentes o impresoras) son requeridos

para ejecutar un grupo de comandos que le son enviados por entidades remotas, cómo son los teléfonos, en la misma red o ir a buscar bibliotecas públicas que se colocan en servidores dispersos (por ejemplo: Librerías Javascript). Es común que dispositivos IoT reciban un grupo de instrucciones de máquina o comandos para actualizaciones del software que controla el dispositivo físico (por ejemplo: Firmware) o instrucciones que le digan al equipo exactamente que se necesita hacer. En términos técnicos, los dispositivos pueden utilizar métodos bien conocidos de la llamada de procedimiento remoto, método de invocación remota, carga dinámica de clases, y descarga de librerías compartidas y objetos.

Este artículo se enfoca en los requisitos de seguridad alrededor de la ejecución de código remoto, lo que significa recibir y ejecutar código/comandos desde otro sistema en la misma red. En el caso de IoT, esto se refiere a un dispositivo (la fuente de instrucciones) capaz de controlar “una cosa” conectada desde cualquier parte del mundo. Utilizada maliciosamente la ejecución de código remoto es una amenaza seria. Es buscada por los hackers: el poder controlar una máquina para hacer cualquier cosa. Piense, por ejemplo, de una persona maliciosa que pueda controlar en forma remota carros conectados, dispositivos médicos o sistemas de control de plantas de energía.

El artículo investiga requisitos de seguridad de técnicas tradicionales de ejecución de código remoto en vista de los resultados del modelado de amenazas y expone en las secciones de las regulaciones de cumplimiento de seguridad que establecen los requisitos.

Tipos y Escenarios de Ejecución de Código Remoto

Ejecución de Código Remoto es un término utilizado para diversos tipos de código compartido en el que una entidad solicita y recibe algo de código y ejecuta el código en su propio entorno. Estos son los escenarios comunes en el cual la ejecución de código remoto ocurre:

Indagar sobre los Requisitos de Seguridad del Código de Ejecución Remota para Dispositivos IoT

Farbod Hosseyndoust Foomany, Ph.D.Es un investigador de seguridad de aplicaciones de alto nivel (director técnico) en el SD Elements / Security Compass. Foomany ha participado en diversos proyectos de investigación académicos y de la industria en el área de desarrollo de software seguro, diseño seguro para las aplicaciones empresariales, procesamiento de señales y evaluación de sistemas de verificación biométrica. Foomany participa actualmente en un proyecto que tiene como objetivo investigar y formular los requisitos de seguridad de los sistemas de IO

Ehsan Foroughi, CISM, CISSPEs el vicepresidente de la división SD Elements / Security Compass. Foroughi es un experto en seguridad de aplicaciones con más de 10 años de gestión y experiencia técnica en la investigación de seguridad y una amplia gestión de productos, el desarrollo y el fondo de ingeniería inversa. Antes de unirse a la Security Compass, dirigió el servicio de suscripción de la investigación de vulnerabilidades de TELUS Security Labs (anteriormente Assurent).

Rohit Sethi Es especialista en requisitos de seguridad del software. Él ha ayudado a mejorar la seguridad del software en la mayoría de las organizaciones sensibles a la seguridad del mundo en servicios financieros, software, comercio electrónico, servicios de salud, las telecomunicaciones y otras industrias. En su puesto actual, Sethi dirige el equipo SSD Elements / Security Compass. Sethi ha aparecido como un experto en seguridad en canales de televisión como Bloomberg, CNBC, Fox News, CBC, CTV y BNN. Sethi ha hablado en numerosas conferencias de la industria




artículoartículo

resultado es pasado al dispositivo solicitante, el proceso no calificaría como RPC.

5. Comandos Operacionales de dispositivos específicos. Esto incluye comandos enviados a un dispositivo o un sistema embebido para llevar a cabo una secuencia de tareas. Un ejemplo son comandos en la forma de Idiomas de Trabajo de Impresoras HP (PJL)12. Es previsible que este tipo de protocolos propietarios y estándar surgirán y extenderse para numerosos dispositivos y aplicaciones mientras IoT madure.

6. Comandos de control específicos del dispositivo (incluyendo actualización de comandos firmware). Comandos de actualización del firmware y del sistema básico de entrada/salida son muy comunes para los dispositivos IoT, y el código puede ser recibido en el mismo canal del comando especifico del dispositivo (mencionado en el escenario 5). También existen otros estándares y comandos de control propietarios que pueden enviarse a dispositivos de acuerdo a los protocolos IoT13,14.

7. Código ejecutable embebido en archivos. Ejemplos incluyen código en la forma de Postscript, ActiveX y Macros embebidos en archivos como es Microsoft Word, Microsoft Excel, PDF y Adobe Flash. El código es transmitido como parte del archivo y es ejecutado en el destino. Este concepto es explicado bajo

1. El uso de librerías de utilidades comunes colocados en un servidor remoto (por ejemplo: Librerías JavaScript). Las funciones son extraídas desde el servidor, pero ejecutadas en el cliente (por ejemplo: El navegador)4.

2. Carga Dinámica de (compiladas) clases. Un ejemplo es la carga de clase dinámica de Java, lo cual incluye la carga de la forma binaria de una clase (desde un archivo o ubicación de la red) que ha sido previamente compilado del código fuente5.

3. Socialización del Objeto6. También conocido como clasificación, serialización de objeto incluye convertir el objeto (estructura, funciones y atributos) en un nuevo formato (por ejemplo: Un flujo de bytes) que fácilmente puede ser transmitido y almacenado. Serializacion y des-serializacion (algunas veces llamado no serializacion) es implementado en muchos lenguajes como Java7 y C#8. JavaScript Object Notation (JSON) es construido en el mismo concepto; sin embargo, la meta de JSON es primeramente transferir datos en vez de ejecutar código remoto. Nótese que, en este escenario, hay una instancia de la clase (un objeto con un grupo de propiedades) siendo transmitida. Es diferente de la carga dinámica de clase en el cual la clase (la binaria) es cargada (usualmente solo la estructura, código y constantes, y no instancia particular).

4. Llamadas a procedimientos remoto (RPC) o método de invocación remoto (RMI). Hay un sin número de protocolos RPC de métodos más viejos basados en Common Object Request Broker Architecture (CORBA)9 y Open Software Foundation (OSF) RPC a modelos más nuevos de interfaces de programación de aplicaciones Java (API) para Extensible Markup Language (XML)-basado RPC (JAX-RPC) y JAX-WS (Java API para XML-para servicios Web)10. Llamando a los servicios Web como Protocolos de Acceso de Objetos Simple (SOAP) y Transferencia de Estado Representacional (REST) servicios Web11 podrían también ser considerados un caso especial de RPC. Sin embargo, vea que si el código se ejecuta en el host (por ejemplo: Servidor) y solo el

Ejecución de Código remoto es un término general utilizado por varios tipos de código compartido en el cual una entidad solicita o recibe algún código y ejecuta el código en su propio ambiente.

la internet, los servidores de nombres de dominio traducen la dirección de los recursos a una dirección de protocolo de Internet (IP).

Una idea importante desplegada en figura 1 es que hay dos direcciones de flujo concebibles. En algunos casos, el anfitrión/dispositivo inicia la solicitud para el código remoto. En otros, el dispositivo recibe los comandos, aunque no necesariamente haya iniciado la solicitud. Por ejemplo, una impresora puede tener un canal para recibir comandos remotos para ejecutar varios trabajos.

El uso de suplantación de identidad, la manipulación de los datos, el repudio, la divulgación de información, denegación de servicio (DoS), y la elevación de la técnica de modelado de amenazas privilegio (STRIDE), las amenazas a la seguridad de la ejecución remota de código se pueden clasificar y resumir como sigue18:

• Suplantación de Identidad—Suplantación Sistema de Nombre de Dominios (DNS) puede causar solicitudes para un recurso y ser enviada a otro19. Otros tipos de ataques de hombre–en-el-medio también pueden facilitar una mala representación de código suplantado como si fuese código original. Estas amenazas son relevantes a todos los siete tipos y escenarios de ejecución de código remoto descrito en la sección previa.

• Manipulación de datos—Cualquier forma de manipulación de datos en tránsito o en reposo (por ejemplo: Manipulación de datos a través de ataques de hombre-en-el-medio) pueden caer bajo esta categoría. Una forma específica de esta vulnerabilidad ocurre cuando el código es cargado desde una ubicación compartida o accesible al mundo (por ejemplo: Universal serial bus [USB] almacenamiento conectado a una PC u ubicación con permisos de escritura en una tarjeta SD Android). Datos suplantados, si son manejados por librerías de ejecución de código remoto típicas (tales como las bibliotecas de deserialización esbozadas

el título “código móvil” en el Instituto Nacional Americano de Estándares (ANSI)/Sociedad Internacional de Automatización (ISA) 6244315 y NIST 800-5316 regulaciones de cumplimiento.

Modelado de Amenazas de Ejecución de Código Remoto

La figura 1 muestra un simple diagrama de flujo de datos recomendado por el Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP) método de modelo de amenazas de aplicaciones17. El diagrama muestra los elementos comunes de los escenarios descritos. La fuente del código remoto es de una ubicación compartida (por ejemplo: lugares con permisos de escritura en los dispositivos Android cuando se utiliza la carga dinámica de clases). Un proceso o dispositivo (por ejemplo: Un dispositivo IoT embebido) eventualmente será el anfitrión y ejecutará el código remoto. Para determinar el lugar del código remoto y recuperar los datos, se utiliza un servicio de resolución de ubicación. Por ejemplo, en caso de archivos en ubicaciones compartidas, el sistema operativo puede manejar las solicitudes y enviarlos al recurso correcto. Para el acceso a

Figura 1—Diagrama de Formas Típicas de Ejecución de Código Remoto

Source: Farbod H. Foomany, Ehsan Foroughi and Rohit Sethi. Reprinted with permission.

Resolución deUbicación

a través de DNS, OS u Otros Métodos

Código Remoto

Contenedorde Código Respuesta

Procesoo

Dispositivo

Comando externo paraEjecutar Instrucciones Remotas

Ubicación RemotaO Compartida Dispositivo o Limite de Procesos

Solicitar Código Remoto



No separa la actualización de su canal firmware del canal dedicado a su trabajo normal), hay un riesgo de usar permisos de un canal para efectuar actividades no autorizadas (escenarios 5 y 6)21. Librerías de terceros también pueden ser una vulnerabilidad.

• Repudio—Cualquier otra vulnerabilidad puede crear una oportunidad para repudio.

La figura 2 muestra amenazas bajo varias categorías y también muestra sus relaciones con la triada de seguridad de confidencialidad, integridad y disponibilidad. Basado en todas las amenazas identificadas y vulnerabilidades, este articulo provee ocho reglas de ejecución de código remoto que mitigan estas áreas de riesgo de seguridad.

Un Enfoque Prescriptivo para Asegurar la Ejecución Remota de Código

Esta sección delinea un grupo de requisitos de seguridad que mitigan el riesgo y amenaza relacionado con dispositivos IoT de baja complejidad.

1. Encriptar campos, ofuscar clases y utilizar canales encriptados. Este requisito se deriva del objetivo de la confidencialidad y la posibilidad de divulgación de información. Hay varias

en el escenario 3 descritas antes) sin medidas de protección adicionales, pueden conducir a la ejecución de código malicioso similar a los reportados para librerías comunes Apache.20

• Divulgación de Información—Cualquier dato confidencial que son transmitidos como parte de un objeto (por ejemplo: Propiedades de un objeto serializado C# que constituye un registro de la salud de una persona) son vulnerables a divulgación no autorizada (especialmente para escenarios 3 y 4). Algunos de los pasos de serialización/deserialización o RPC se delegan a las bibliotecas que no utilice los canales encriptados. Desarrolladores puede que desconozcan los mecanismos subyacentes utilizados por esas librerías (por ejemplo: Si una librería en particular utiliza un canal encriptado para procedimientos de llamado remoto).

• Negación de Servicio—La disponibilidad de un sistema que ejecuta código remoto puede ser amenazado por código malicioso. Una forma de ataque simple puede involucrar la creación de una carga enorme y enviándolas al sistema como código. Esto puede ocurrir en todos los siete escenarios. Aunque el sistema efectué verificación de integridad, un volumen grande de datos puede afectar la operativa normal del sistema y eventualmente ocasionar una negación de servicio. Amenazas adicionales a la disponibilidad son dependientes excesivamente en un recurso remoto y carente de procedimientos a prueba de fallas cuando ese recurso no está disponible. Otra gran vulnerabilidad emerge del uso de librerías de terceros que no cuentan con protección contra DoS..

• Elevación de Privilegios—Hay un sin número de situaciones en la cual la ejecución remota de código inseguro puede conducir a la elevación de los privilegios. Por ejemplo, aplicaciones Android pueden cargar dinámicamente clases Java (escenario 2). La aplicación que cargue las clases le pasa todos los permios a la clase que los está ejecutando. La clase cargada recibe los permisos y privilegios de la aplicación ya que el código está ejecutando en un nuevo ambiente. Otro ejemplo es si un dispositivo no discrimina entre varios canales del cual recibe comandos (por ejemplo:

Figura 2—Amenazas de Seguridad de Ejecución de Código Remoto


Suplantación de Identidad

Manipulación de Datos(Integridad)

Divulgación de Información(Confidencialidad)

Elevación de Privilegios

Negación de Servicio(Disponibilidad)

• Falsificación de la fuente del Código• Falsificación de la dirección de la Red

• Modificar el código en transito (man-in-the middle)• Modificar el código en reposo (world-writeable locations)

• Campos confidenciales en objetos/clases serializadas• Canales no encriptados utilizados por librerías de terceros

• Grandes volúmenes de datos falsos (código u objetos)• Exceso de confianza en recursos remotos

• Ejecución de código malicioso en ambiente anfitrión• Falta de distinción entre tipos de código

2. Revise el tamaño de la carga. Antes de cualquier cosa—aun antes de verificar la firma del código—verifique el tamaño de la carga y evite lidiar con grandes trozos de datos que son enviado como parte de un ataque DoS.

3. Firme el código o utilice métodos de autentificación específicos del protocolo. Firmar el código y evitar ejecutar cualquier código no firmado es la medida más importante de seguridad. Al utilizar canales no encriptados (por ejemplo: TLS), valide el certificado y cadena de confianza. Código firmado no es obviamente código seguro, pero una firma, como mínimo, manifiesta la integridad del código24.

4. No ejecute cualquier parte del código antes de verificar su tamaño y firma. Ningún método constructor o de sobrescritos deben ser ejecutados por el código, o cualquier librería de terceros antes de que se llevan a cabo todos los controles de seguridad. Por ejemplo, una librería contiene un conjunto de clases que maneja objetos serializados. El conjunto de clase no debiese recibir los inputs externos antes de verificar tamaño/firma. Tampoco debiese ejecutar cualquier parte de las clases (por ejemplo: Constructores o reemplazo de métodos de lectura Objetos) antes que el objeto es validado.

5. Sandbox el proceso de ejecución remota de código y la memoria. No permita que el código se ejecute en una memoria compartida o espacio de almacenaje al cual otros procesos tienen acceso y viceversa (especialmente los comandos de actualización). Sandboxing (acceso directo al almacenaje y memoria de otras aplicaciones) no protege contra cualquiera de las vulnerabilidades mencionadas hasta ahora. Sin embargo, ya que la falta de sandboxing puede anular otras medidas de seguridad (como ser la verificación de firmas), sanboxing contribuye para reforzar otros mecanismos de defensa. En el caso de una actualización del BIOS, por ejemplo, investigadores han demostrado que un desbordamiento de buffer puede permitir la

maneras para mantener la confidencialidad de los datos transmitidos como parte de objetos o procedimientos por:

• Encriptando campos individuales (por ejemplo: Propiedades de los objetos). Gestión de llaves seguras y distribución, especialmente para dispositivos autónomos, es una importante acción en este caso.

• Oscurecer y ofuscar código y objetos. Los binarios de clases compiladas son fáciles de realizar ingeniería inversa. Utilizando decompiladores, hackers pueden obtener el código original y cualesquier constantes en el código. Ofuscar no es una panacea, pero le agrega un nivel de defensa, por ejemplo: No debiese tratarse como una medida única de seguridad. Más información sobre esto puede encontrarse en documentos relacionados con el proyecto OWASP en ingeniería inversa de código22.

• Comunicarse a través de una canal encriptado (por ejemplo: Secure Sockets Layer [SSL]/Transport layer Security [TLS] channels). Es importante mantener un ojo en los estudios sobre vulnerabilidades SSL/TLS y aplicar el resultado de esos estudios. Hay varias guías en el tipo de canales encriptados a utilizar y que evitar23. Por ejemplo. SSL v2.0 y 3.0 no son seguros, y librerías SSL necesita constantes actualizaciones debido a varias vulnerabilidades que son regularmente descubiertas (por ejemplo: Heartblled, Explotar contra Navegador SSL/TLS [BEAST], Factoring RSA export Keys [FREAK] y Compression Ratio Info-leak Made Easy [CRIME] vector de ataque). Un dispositivo IoT sin capacidad de actualización se tornará inseguro en un tiempo corto. Implementar SSL/TLS en dispositivo de baja complejidad es un reto que puede causar dependencia en soluciones a o b mencionadas anteriormente en vez de encriptar todo el flujo de datos, que es requerido por SSL/TLS.


• Aprende más acerca, discute y colabora sobre tendencias de seguridad en el Centro de Conocimiento. www.isaca.org/topic-security-trends



Las vulnerabilidades descritas en este artículo están entre las principales 25 vulnerabilidades listadas en el Common Weakness Enumeration (CWE)/SANS: descargar código sin una verificación de integridad (CWE-494) e inclusión de funcionabilidad de una esfera de control no confiable (CWE-829)28.

La guía final de la Autoridad de la Banca Europea relacionada a la seguridad en pagos a través de la internet, afirma que software entregado a través de la internet necesita ser digitalmente firmado por el proveedor del servicio de pago29. En la Declaración de Divulgación para la seguridad de los dispositivos Médicos (MDS2), los fabricantes requieren declarar si el dispositivo protege la integridad de transmisión (TXIG) y si hay mecanismos para asegurar que el código instalado o actualización está autorizado por el fabricante (15-2)30.

Conclusión

Enviar código remoto en varias formas a “cosas” y preguntándole por instrucciones por esas cosas, especialmente para actualizaciones de dispositivos y firmware, es común y se tornara una práctica más común en el eco sistema de IoT. Debido a que dispositivos IoT tienen interacción con el mundo físico y en muchos casos, esas interacciones son remotamente controlables (ya sea en un termostato o en el sistema de prevención de colisión de un vehículo conectado), las consecuencias de evitar los controles de seguridad son inmensos. La ejecución no segura de código remoto puede evitar los controles de seguridad y pueden causar daños

ejecución una porción no firmada del paquete de actualización25.

6. Separe los canales de transferencia de código. Asegúrese que los datos en canales ordinarios de transferencia de datos (por ejemplo: Comandos operacionales de una impresora) no puedan ser utilizados para la ejecución de código remoto malicioso. Restricciones de comandos de actualización (por ejemplo: Requisitos de firmas) debiesen ser diferentes del de los comandos comunes.

7. Verificar que las librerías de Terceros cumplan con los requisitos previos. No alimentar datos de los usuarios a las librerías a menos que todas las verificaciones se han llevado a cabo. Por ejemplo, si la librería es utilizada antes de verificar el tamaño, una organización puede hacerse vulnerable a ataques DoS.

8. Evitar el exceso de dependencia de los recursos remotos y tener un plan a prueba de fallas. Desarrolle un plan alterno para las situaciones en que los recursos remotos no estén disponibles. Si continuar con el proceso se hace casi imposible debido a la no disponibilidad de esos recursos, diseñe un plan a prueba de fallas.

.La figura 3 despliega una mejor práctica para la serialización de objetos, en el cual el objeto transmitido es sellado (encriptado), luego firmado y transferido. En el lado del receptor, el objeto primeramente es verificado por su tamaño, luego su firma es verificada y finalmente des-encriptado.

Relación con las Principales Normas de Cumplimiento de Seguridad

ANSI/ISA 62443, bajo los requisitos de seguridad (SR) 2.4 (código móvil), instruye a sistemas de control a reforzar restricciones de uso en tecnologías de código móvil que incluyen: prevención de ejecución de código móvil, requiriendo autentificación/autorización propia para el origen del código, restringir la transferencia de código móvil y monitoreo del uso de código móvil26.

NIST 800-53r4 en la sección de protección del sistema y comunicaciones (SC-18, código móvil), recomienda la ejecución de código remoto en un ambiente confinado. En la sección de integridad del sistema e información, SI-7 (15), el estándar estipula la firma y verificación del código.

Figura 3—Un Procedimiento Seguro de Tres Partes de la Serialización de Objetos


CODIGO/OBJETOSELLADO

Código/ObjetoFirmado

Tamaño FirmaDes-

encriptar

Librería de Terceros?

15 ANSI/ISA, Security for Industrial Automation and Control Systems Part 3-3: System Security Requirements and Security Levels, USA, 2013

16 National Institute of Standards and Technology, Security and Privacy Controls for Federal Information Systems and Organizations, NIST Special Publication 800-53r4, USA, 2013

17 Open Web Application Security Project (OWASP), “Application Threat Modeling,” https://www.owasp.org/index.php/Application_Threat_Modeling

18 Shostack, A.; Threat Modeling: Designing for Security, John Wiley & Sons, USA, 2014

19 Shinder, D. L.; M. Cross; Scene of the Cybercrime, Syngress, USA, 2008

20 The Apache Software Foundation Blog, “Apache Commons Statement to Widespread Java Object De-serialisation Vulnerability,” 10 November 2015, https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread

21 Cui, A.; M. Costello; S. Stolfo; “When Firmware Modifications Attack: A Case Study of Embedded Exploitation,” Presented at the NDSS symposium, 2013

22 See OWASP’s Reverse Engineering and Code Modification Prevention Project, https://www.owasp.org/index.php/OWASP_Reverse_Engineering_and_Code_Modification_Prevention_Project.

23 Ristic, I.; “SSL/TLS Deployment Best Practices,” 2013, https://www.ssllabs.com/downloads/SSL_TLS_Deployment_Best_Practices.pdf

24 Op cit, Cui 25 Wojtczuk, R.; A. Tereshkin; “Attacking Intel

BIOS,” BlackHat, Las Vegas, Nevada, USA, 30 July 2009

26 Op cit, ANSI/ISA 27 Op cit, NIST 28 Common Weakness Enumeration, “2011 CWE/

SANS Top 25 Most Dangerous Software Errors,” 2011, http://cwe.mitre.org/top25/

29 European Banking Authority, Final guidelines on the security of internet payments, 19 December 2014, https://www.eba.europa.eu/documents/10180/934179/EBA-GL-2014-12+(Guidelines+on+the+security+of+internet+payments)_Rev1

30 HIMSS/NEMA, Manufacturer Disclosure Statement for Medical Device Security, 2013, www.nema.org/Standards/Pages/Manufacturer-Disclosure-Statement-for-Medical-Device-Security.aspx

físicos a consumidores de productos IoT. Por lo tanto, todas las medidas de seguridad y secciones relevantes del cumplimiento de regulaciones deben considerarse antes de tratar de diseñar la seguridad para soluciones IoT.

Notas Finales

1 ISO/IEC, SWG 5 agreed on this definition of IoT in 2014: “An infrastructure of interconnected objects, people, systems and information resources together with intelligent services to allow them to process information of the physical and the virtual world and react.” ISO/IEC JTC 1, “Internet of Things (IoT) Preliminary Report,” 2014

2 Athreya, A. P.; B. DeBruhl; P. Tague; “Designing for Self-configuration and Self-adaptation in the Internet of Things,” 9th IEEE International Conference on Collaborative Computing: Networking, Applications and Worksharing, CollaborateCom, 2013

3 Klauck, R.; M. Kirsche; “Chatty Things—Making the Internet of Things Readily Usable for the Masses With XMPP,” 8th IEEE International Conference on Collaborative Computing: Networking, Applications and Worksharing, CollaborateCom, 2012

4 Flanagan, D.; JavaScript: The Definitive Guide: Activate Your Web Pages, O’Reilly Media Inc., USA, 2011

5 Gosling, J. et al.; “The Java Language Specification–Java SE 8 Edition,” Oracle America, 2014

6 Deitel, P.; H. M. Deitel; Java for Programmers, Second Edition, Prentice Hall Professional, USA, 2011

7 Ibid. 8 Hericko, M. et al.; “Object Serialization Analysis

and Comparison in Java and .NET,” ACM Sigplan Notices, vol. 38, iss. 8, August 2003, p. 44-54

9 Ben-Natan, R.; Corba, A Guide to Common Object Request Broker Architecture, McGraw-Hill Inc., USA, 1995

10 Fisher, M. et al.; Java EE and .NET Interoperability: Integration Strategies, Patterns, and Best Practices, Prentice Hall Professional, USA, 2006

11 Richardson, L.; S. Ruby; RESTful Web Services, O’Reilly Media Inc., USA, 2007

12 Hewlett-Packard, Printer Job Language Technical Reference Manual, 2003, www.hp.com

13 Op cit, Athreya 14 Op cit, Klauck



Compartir, colaborar y tener acceso desde cualquier lugar son las características destacadas de las modernas aplicaciones en la nube. Sin embargo, la seguridad en la nube enfrenta desafíos de escalabilidad. En otras industrias como en “La nube” que están enfrentando estos mismos problemas de escalabilidad, las técnicas de Ciencias de los Datos han demostrado ser muy exitosas. Los ejemplos incluyen, búsqueda en la web, las finanzas de alta velocidad, procesamiento de alto volumen de imágenes y videos, e incluso sistemas de defensa a gran escala. Recientemente, las técnicas de la ciencia de los datos han sido también adoptadas cada vez más en los computadores locales y las aplicaciones de seguridad de red. No hay duda de que la Ciencia de los Datos puede ser usada como una tecnología fundamental para asegurar y fortalecer las aplicaciones en la nube mediante la implementación de algoritmos que puedan detectar amenazas a través de la minería de datos a gran escala.

Usando la Ciencia de los Datos, es posible identificar y extraer información crítica desde una variedad de datos estructurados o no estructurados usando técnicas tales como minería de datos, aprendizaje automático, estadística y procesamiento de lenguaje natural. La información extraída puede ser utilizada para realizar análisis y hacerse una idea del entorno seleccionado desde el cual los datos son recuperados. La figura 1 destaca las diferentes técnicas que son usadas como bloques de construcción de algoritmos de Ciencia de los Datos.

La piedra angular de la seguridad es la visibilidad. Para la seguridad efectiva de las aplicaciones en la nube, visibilidad significa comprender:

• ¿Qué aplicaciones en la nube son utilizadas por los empleados?

• ¿Qué acciones son tomadas por los empleados?

• ¿Qué información es creada por los empleados y distribuida utilizando las aplicaciones (APPs)?

Una vez que la visibilidad es alcanzada, la detección de amenazas de programas maliciosos (malwares) y amenazas internas (insiders), sigue la protección de los activos contando con sistemas de seguridad que interactúan con aplicaciones en la nube, lo que facilita la alerta, prevención automática y políticas de remediación. La Ciencia de los Datos juega un papel importante en la consecución de esa visibilidad. Una vez que la visibilidad es lograda, existe el desafío de detectar las amenazas. Para las aplicaciones en la nube, el desafío es la detección de actividades anormales (inusuales) de los usuarios, los intentos de hacking u otras amenazas que podrían potencialmente exponer o destruir información almacenada sobre un servicio en la nube. Para ello se requiere un nivel significativo de visibilidad que pueda capturar ambas, tanto las acciones del usuario como los recursos que ellos accedan. Por ejemplo, ¿Esta una cuenta de usuario siendo usada para cargar un número inusualmente grande de archivos cifrados (por ejemplo, ransomware)? ¿Está un usuario viendo una cantidad inusualmente grande de información específica (por ejemplo, contactos de ventas) al

Aditya K. Sood, Ph.D.Es el director de seguridad y amenazas en la nube en Elastica, Blue Coat systems. Sus intereses de investigación son: Análisis y Automatización de Software maliciosos (malware), seguridad de aplicaciones, diseño de software de seguridad y cibercrimen. Autor del libro: “Targeted Cyber Attacks”, él ha sido también autor de varios otros artículos para IEEE, Elsevier, CrossTalk, ISACA®, Virus Bulletin and Usenix. Sood ha aparecido en varios medios de comunicación incluyendo: The Associated Press, Fox News, The Guardian, Business Insider and the Canadian Broadcasting Corporation. También ha sido un activo relator en conferencias en la industria talkes como: Black Hat, DEFCON, Hack In The Box, RSA, Virus Bulletin and OWASP

Michael Rinehart, Ph.D.Es un científico en Jefe en Elastica, Blue Coat Systems, lidera el diseño y desarrollo de varias tecnologías de Ciencia de los Datos. El ha implementado “Aprendizaje Automático” y Ciencia de los Datos para numerosos dominios incluyendo: seguridad en internet, cuidados de salud, electrónica de potencia, automotriz y mercadeo. Antes de ingresar a Elastica, el lideró la investigación y desarrollo de aprendizaje automático basado en comunicaciones inalámbricas con interferencia tecnológica en: BAE Systems


artículoartículoLa Ciencia de los Datos como una herramienta para la Seguridad en la NubeVisibilidad de Generación en la Nube, Detección y Protección

La piedra angular de la seguridad es la visibilidad.

• Asegurar que un usuario no puede accidentalmente exponer el contenido de un archivo que contiene problemas de cumplimiento o regulaciones asociados

• Prevenir y remediar exposiciones de datos

• Detectar y proteger contra un miembro interno malicioso, un atacante o programas maliciosos (malwares) que se hacen pasar por un miembro interno

La respuesta es sí; la Ciencia de los Datos puede hacer frente a todos los problemas mencionados. Este artículo debate sobre los beneficios para la seguridad de la nube desde la capacidad de la Ciencia de los Datos, de proveer consistente y ampliamente visibilidad al uso de aplicaciones dentro de la nube, detección interpretable de nuevas y dinámicas amenazas en la nube, así como la detección precisa de contenido sensitivo sobre un servicio en la nube.

Logrando Visibilidad

La visibilidad en tiempo real dentro de las aplicaciones en la nube y la protección relacionada requiere del análisis del tráfico HTTP para determinar:

• La cuenta de usuario que accede al servicio

• Las acciones llevadas a cabo por el usuario

• Los recursos (por ejemplo, archivos) accedidos o modificados

Esta información puede ser extraída por medio de firmas para analizar el tráfico HTTP, resultando en un evento de registro como “John Doe compartió el documento ‘passwords.txt’ con una dirección de correo electrónico externa”. Tenga en cuenta la necesidad de analizar las transacciones HTTPS para obtener visibilidad dentro del tráfico de red. El tráfico HTTPS puede ser analizado mediante la implementación de un proxy transparente que descifra el tráfico de entrada y simultáneamente permite que el tráfico HTTPS alcance su destino. Por ejemplo, HAProxy2, un proxy de código abierto y balanceador de carga, puede ser usado conjuntamente con tproxy3, un Protocolo de Control de Transmisión (Transmission Control Protocol - TCP) para construir un completo proxy de enrutamiento, configurable, para una solución de proxy transparente para descifrar tráfico HTTPS traffic4.

La visibilidad en la seguridad de una red tradicional se consigue normalmente mediante firmas estáticas. Sin embargo, una aplicación en la nube cambia sus patrones de tráfico de red frecuentemente (a menudo

que él/ella normalmente no tienen acceso? Fijar los umbrales de uso (por ejemplo, límites de carga de subida de datos), puede identificar correctamente el comportamiento más aberrante, pero es probable que resulte en alertas de falsos positivos costosas o un número significativo de no detecciones. Las soluciones de seguridad tradicionales no están diseñadas específicamente para aplicaciones en la nube; la protección que ellas garantizan sobre los sistemas de instalaciones locales no se traduce de manera efectiva a la nube. Como los proveedores de servicios continúan simplificando estas características, la amenaza de extracción de datos (intencional o accidental) aumenta, por lo que la prevención de pérdida de datos (Data Loss Prevention —DLP) una característica esencial de cualquier solución de seguridad en la nube. Por ejemplo, un sistema avanzado DLP sobre sistemas locales no entiende la semántica de enlaces, porque este quizás no reconoce que un enlace enviado a través de correo electrónico está asociada con un archivo que rompe el cumplimiento con la norma de la Industria de Pago de Tarjetas (Payment Card Industry – PCI)1. La causa puede ser tan simple como que el sistema DLP no reconoce que debe seguir el enlace o que este simplemente no puede acceder al documento o interpretar el tráfico desde el sitio.

La pregunta es si la Ciencia de los Datos puede ser usada como un mecanismo para:

Figura 1—Técnicas de la Ciencia de Datos

Source: A. Sood and M. Rinehart. Reprinted with permission.

Minería de Datos

AprendizajeAutomático

Procesamiento Natural

del Lenguaje

ReconocimientoPatrones

Visualización

Análisis Predictivo

Probabilidady

Estadística

AnálisisContextual

Ciencia de DatosIngeniería

Modelamiento de Datos

InteligenciaArtificial



a gran escala y de ese modo extraer información significativa de los datos. La Ciencia de los Datos se puede utilizar como una herramienta para detectar los problemas de seguridad que residen en la nube porque la inteligencia puede ser adquirida sobre múltiples frentes como sigue:

• Correlación—Mapeo de grandes conjuntos de datos bajo un cubo de análisis de seguridad específico ayuda a determinar la correlación necesaria para entender la postura completa de un ataque. Además, cuando los datos desde múltiples sitios son correlacionados, los ataques pueden ser anatomizados a un nivel granular.

• Visibilidad—La minería de grandes datos significa un gran cuadro de visibilidad. Cuando se extraen grandes conjuntos de datos, se hace más fácil obtener visibilidad dentro de los ataques, que en última instancia se traduce en la obtención de más inteligencia.

• Línea Base—Cuando grandes volúmenes de datos son extraídos usando características específicas relacionadas con un ataque, esto ayuda a generar líneas base que pueden ser usadas para medir la intensidad o amplificación de un ataque en un entorno dado.

• Contexto—La minería de grandes datos puede proporcionar más inteligencia adaptativa, incluyendo conocimiento contextual y situacional de un ataque específico en el ambiente

Un ejemplo simple es como sigue:

• El comportamiento del usuario (A) es modelado usando la Ciencia de los Datos y una máquina de aprendizaje para generar líneas base.

• El usuario (A) no ha compartido ningún archivo externamente a través de la nube durante los últimos dos o tres meses, pero recientemente compartió un archivo.

• El comportamiento del usuario (A) levanta una alerta de anomalía con relación a desviación de la línea de base generada (probabilidad) calculada anteriormente.

a la frecuencia de una carrera de software, es decir, cada par de semanas), esto representa un esfuerzo de desarrollo para la implementación de firmas manuales. Y si asegurar una aplicación a medida que evoluciona es un desafío, asegurar cientos o miles simultáneamente, sobre todo a medida que surgen, es mucho más difícil. Esto requiere enfoques para la generación de firmas que se adapten lo más rápidamente a la evolución de las aplicaciones, al mismo tiempo que la ampliación de la variedad de aplicaciones disponibles para los usuarios.

Las firmas suelen ser construidas a mano, un proceso que consume tiempo, que se hace aún más difícil para las aplicaciones en la nube que poseen máquinas de codificación de información crítica tales como nombres de archivo. Esto es problemático porque como las aplicaciones en la nube cambian sus patrones de tráfico, las firmas se rompen y es costoso reconstruirlas. Agregando a esto el desafío que es el gran número de aplicaciones disponibles para los usuarios que requieren firmas individuales. Las consecuencias para la seguridad son claras: es frecuente la falta de visibilidad sobre cómo se utilizan las aplicaciones y, en consecuencia, una incapacidad para identificar las amenazas en el tráfico en la nube.

Los métodos de la Ciencia de los Datos (Por ejemplo, aprendizaje automático, minería de datos y análisis de contexto), sin embargo, pueden ser escalados para enfrentar este desafío aprendiendo automáticamente firmas para alcanzar una proporción de cero falsos positivos en una fracción del tiempo requerido para la construcción manual de firmas.

Como las firmas se rompen, las técnicas de la Ciencias de los Datos pueden operar dentro de un bucle de retroalimentación para reparar automáticamente las firmas, recuperando la visibilidad en un corto tiempo. Esto significa que los equipos de seguridad de la información pueden esperar confiada y consistentemente disponer de una visibilidad profunda de los eventos del usuario a través de un gran número de aplicaciones en la nube.

Detección de amenazas dinámicasLas amenazas a las aplicaciones en la nube provenientes de un actuante malicioso interno, atacantes y usuarios ingenuos están aumentando a un ritmo rápido. Las aplicaciones en la nube están siendo usadas ahora para alojar y distribuir malware, establecer canales de comunicación para la extracción de datos, activar actos de destrucción de datos, exponer la información crítica y secuestrar cuentas. Los algoritmos específicos de ciencias de los datos están en una posición fuerte para proporcionar detección de amenazas de alta calidad cuando la visibilidad es a la vez rica y significativa. Están diseñados para manejar análisis de datos


de datos (DLP), que escanean (en tiempo real) los correos electrónicos y archivos almacenados en los servidores5. Tales sistemas pueden respaldarse efectivamente en expresiones regulares, palabras clave y las extensiones de archivo para identificar la información sensible. Hay una serie de soluciones tradicionales DLP proporcionadas por empresas tales como Symantec6, Fortinet7, McAfee8, Checkpoint9, Websense10, EMC11 y TrendMicro12 que utilizan técnicas estándar para abordar la fuga de datos. Los datos almacenados en la nube, sin embargo, son diferentes a los datos almacenados en los servidores locales ya que los empleados usan la nube para una variedad mucho más amplia de actividades. Por ejemplo, un servicio de intercambio de archivos puede contener una gran cantidad de fragmentos de información (contraseñas o texto desde la Internet); archivos, tales como correos electrónicos, recibos y registros de red; archivos multimedia; borradores o documentos sensibles que no han sido etiquetados; y documentos oficiales, tales como las formas de los empleados y las facturas de los clientes.

El potencial de “ruido” en la nube es mucho mayor que el de los sistemas locales, y tal ruido aumenta la tasa de alertas de falsos positivos costosas. Las técnicas de la Ciencia de los Datos pueden abordar este desafío mediante el aprovechamiento de una mayor información desde los documentos cuando son evaluados. Por ejemplo, la búsqueda de un número de nueve dígitos en un formulario de salud es más probable que constituya (PII) que, por ejemplo, un número de nueve dígitos que figura en un registro de la red o en el texto sin formato de un correo electrónico. Mediante el uso de contexto, los algoritmos de la Ciencias de los Datos mantienen alta sensibilidad con más bajas tasas de falsos positivos.

La Ciencia de los datos amplía aún más la gama de documentos sensibles identificables por un sistema DLP, y lo hace reduciendo al mismo tiempo los esfuerzos de administración. Por ejemplo, la Ciencia de los Datos puede detectar los documentos de diseño y finanzas sin etiquetar usando la estructura de los documentos y el procesamiento del lenguaje natural. Utiliza técnicas de las Ciencias de los Datos para ofrecer la detección más amplia y efectiva del código fuente sin depender de combinaciones muy específicas con palabras clave que reducen la sensibilidad global.

Finalmente, existe el desafío que supone para los sistemas DLP por el gran tamaño y la gama de contenidos almacenados en la nube. Antes de la nube, muchos archivos de usuario residían

• Componentes de seguridad adicionales son ejecutados para analizar la anomalía generada por una amenaza potencial. Por ejemplo, la inspección profunda de contenido (Deep Content Inspection - DCI) disecciona la anomalía para detectar si algún dato sensible relacionado con el cumplimiento, tales como información de identificación personal (Personally Identifiable Information - PII), o información de salud protegida (Protected Health Information - PHI), se filtró a través del documento.

• Una puntuación de riesgo es calculada y la amenaza es detectada en consecuencia.

Los algoritmos de la Ciencias de los Datos también pueden significativamente integrar múltiples fuentes de información para proporcionar una imagen más completa del riesgo estimado de un usuario en una organización. Tales algoritmos automáticamente escalan horizontalmente como el número de señales de entrada (usuarios, aplicaciones, acciones, sitios y dispositivos) aumentan.

La visibilidad significativa que registra las acciones de usuario permite la detección de amenazas significativas. Por ejemplo, una alerta tal como “John Doe vio un número anormalmente alto de contactos relacionados a la fuerza de ventas” quizás sea muy importante para el equipo de seguridad de la información si descubren que John Doe no está en venta.Los algoritmos de la Ciencias de los Datos reducen la carga sobre el equipo de seguridad de la información desarrollando políticas que pueden detectar un comportamiento aberrante, mientras que logran bajar las tasas de falsos positivos. Esto se debe a que son capaces de escalar hacia el desarrollo de modelos de comportamiento a nivel de usuario a través de aplicaciones, acciones e incluso categorías de información (por ejemplo, archivos, carpetas, documentos, blogs) con alta fidelidad.

Construcción de Soluciones para la Prevención de Pérdida de Datos en la Generación de la Nube

En seguridad tradicional, la extracción de datos es abordada por sistemas de prevención de pérdida

El potencial de ‘ruido’ en la nube es mucho mayor que la de los sistemas locales, y tal ruido incrementa la tasa de alertas falsos-positivos costosas.

ciencia de los datos es una herramienta que ayuda a los actuales expertos en escalar en las prácticas de seguridad y tecnologías para el tamaño y velocidad de las aplicaciones en la nube.

En concreto, esta lidera la mejora de la visibilidad a través de las acciones del usuario en aplicaciones en la nube, la interpretación de la detección de las amenazas potenciales, así como también la detección profunda y amplia de contenido sensible.Estas ventajas reducen la carga de los equipos de seguridad de la información mediante la reducción de las alertas de falsos positivos y sin sacrificar la sensibilidad a las amenazas, y facilitan aún más el uso seguro de las políticas de prevención y remediación automática.

Notas Finales

1 SANS Institute, Data Loss Prevention, USA, 2008, www.sans.org/reading-room/whitepapers/dlp/data-loss-prevention-32883

2 HAProxy, www.haproxy.org 3 GitHub, github.com/benoitc/tproxy 4 Turnbull, M.; “Configure HAProxy With TPROXY

Kernel For Full Transparent Proxy,” loadbalancer.org, 11 February 2009, www.loadbalancer.org/blog/configure-haproxy-with-tproxy-kernel-for-full-transparent-proxy

5 Elastica, The 7 Deadly Sins of Traditional Cloud Data Loss Prevention (DLP) in the New World of Shadow IT, 2014, https://www.elastica.net/ebook-7sins-dlp/

6 Symantec, “Data Loss Prevention,” 2015, www.symantec.com/products/information-protection/data-loss-prevention

7 Fortinet, “Data Leak Prevention (DLP),” Inside FortiOS, 2013, http://docs.fortinet.com/uploaded/files/1118/inside-fortios-dlp-50.pdf

8 McAfee, “McAfee Total Protection for Data Loss Prevention,” www.mcafee.com/us/products/total-protection-for-data-loss-prevention.aspx

9 Check Point, “Data Loss Prevention Software Blade,” www.checkpoint.com/products/dlp-software-blade

10 Websense, “Websense Data Security Suite,” 2013, www.websense.com/assets/datasheets/datasheet-data-security-suite-en.pdf

11 RSA, “Data Loss Prevention Suite,” www.emc2.bz/support/rsa/eops/dlp.htm

12 Trend Micro, “Integrated Data Loss Prevention (DLP),” www.trendmicro.com/us/enterprise/data-protection/data-loss-prevention

13 Elastica, “Cloud Data Loss Prevention (Cloud DLP),” www.elastica.net/data-loss-prevention

localmente, mientras que los archivos más importantes de la empresa eran compartidos o respaldados. Sin embargo, la conveniencia de la nube, trae como resultado que los empleados la utilizan para almacenar muchos tipos de archivos que antes se almacenaban localmente, incluyendo correos electrónicos, recibos, archivos de contraseñas, certificados, archivos descargados y los registros de eventos.

El volumen total de “ruido” resulta en una fuente mucho mayor de posibles falsos positivos. Para ser de valor para un equipo de seguridad de la información, la nube DLP debe mantener y mejorar su capacidad de detectar el contenido sensible sin aumentar la tasa de falsos positivos13. La aplicación automática de Políticas de Prevención y remediación

Los beneficios de la Ciencia de los Datos de una visibilidad y precisión mejorada proporcionan nuevas oportunidades para los equipos de seguridad de la información para definir las políticas automáticas para proteger el contenido de sus aplicaciones en la nube. La visibilidad en tiempo-real puede ser usada para bloquear ciertas acciones de las aplicaciones en la nube. Cuando se combina con la detección de amenazas avanzadas, las cuentas de usuario alertadas pueden ser automáticamente restringidas hasta que sean liberadas por el equipo de seguridad de la información. Finalmente, la recuperación rápida puede tener lugar, si un usuario tuviera que compartir un archivo sensible, el sistema puede automáticamente dejar de compartirlo. Aparte de las políticas, el registro de eventos granular proporciona al equipo de seguridad de la información un mayor potencial para el análisis de las causas raíces, las cuales pueden ayudar a descubrir nuevas amenazas que se encuentran presente en la red. Conclusión

Una combinación de bloqueo de puertos y aplicaciones ha sido exitosa en la mitigación de una variedad de ataques de red en casos donde las aplicaciones empresariales son implementadas localmente. Pero a medida que las empresas se mueven a la nube, estos mecanismos se vuelven menos eficaces. En la actualidad existe una necesidad de proteger de forma proactiva las aplicaciones empresariales en la nube a un nivel de granularidad que detecte y bloquee las acciones maliciosas al tiempo que facilite la productividad. La


• Aprende más acerca, discute y colabora sobre computación en la nube en el Centro de Conocimiento. www.isaca.org/topic-cloud-computing


La seguridad de la información es un campo que continua creciendo y madurando. En la medida que la tecnología avanza, siempre habrá crecimiento en nuevas técnicas de seguridad y soluciones para ayudar a proteger los datos ante variados ataques. El control de acceso a la red NAC (Network Access Control-NAC), es la técnica para la administración de la red y su seguridad que hace cumplir la política, el cumplimiento y la gestión del control de acceso a una red. También monitoriza y controla la actividad una vez que los dispositivos y/o las personas están en la red.

A través de los años, NAC ha crecido y muchas compañías, tales como Cisco, Trustwave y Bradford Networks, han desarrollado soluciones para ayudar con su evolución. Sin embargo, no todas las organizaciones creen que NAC ha evolucionado para adaptarse a sus necesidades. Mientras NAC es una parte importante de la seguridad de la información y puede ayudar con las violaciones de los datos, ¿está verdaderamente listo para ser utilizado en todas las empresas o necesita ser desarrollado dentro de una solución técnica más usable antes de ser utilizado en todas partes?

Razones para implementar NAC

Las empresas tienen muchas razones para considerar la implementación de NAC. Cuando se trata de control de acceso, ellas necesitan tener un rango amplio de opciones. Pero tal vez la pregunta pertinente es si o no las empresas están incluso dispuesta a utilizar los controles de acceso a la red (NACs). Los NACs puede ser costosos de implementar, pero el costo no debiese ser una excusa para ignorar el hecho que las amenazas están con frecuencia intentando comprometer los sistemas de la Empresa.

Una de las razones más importantes para implementar NAC, son las amenazas asociadas a BYOD (bring your own device-BYOD)1. Con cada vez más empleados trayendo sus dispositivos al trabajo y utilizándolos para propósitos de trabajo, NAC se ha vuelto más necesario. Existen muchas variedades de

dispositivos móviles; algunos de los mejores sistemas operativos son iOS de Apple, Android y Windows. Hay cientos de combinaciones que tienen que ver con el tipo de dispositivo (por ejemplo Smartphone, laptop y tablet) y modelo. Cada uno de estos dispositivos inteligentes ahora vienen con una enorme selección de aplicaciones las cuales pueden ser descargadas a ellos2. Hay muchas amenazas posibles, especialmente desde que los dispositivos personales típicamente no tienen soluciones de nivel empresarial para antivirus/antimalware o soluciones de administración de dispositivos móviles (Mobile Device Management-MDM) instalados.

La mayor parte de las soluciones técnicas NAC son capaces de soportar la mayoría de los sistemas operativos que están en el mercado hoy en día. Estas soluciones pueden automáticamente detectar los dispositivos mientras estos se conectan a la red y luego asegurarse que ellos no están comprometiendo la seguridad ya establecida. NAC es muy útil cuando se trata de proteger la integridad de la red, pero también puede ayudar con permitir o denegar el acceso a la red. Directorio Activo (Active Directory) es la mejor opción de implementación para permitir y denegar acceso a la red.

Control de acceso a la red—¿Ha evolucionado lo suficiente para las empresas?

Trevor J. Dildy, CCNAEs un miembro del equipo de tecnología en las aulas de la Universidad de Carolina del Este (EE.UU.). El equipo es responsable de la investigación de lo último en hardware y software de tecnología de última generación para las aulas de la ECU. Él es un ex miembro del equipo de seguridad de TI en Vidant Salud, ayudando con las necesidades de gestión de acceso para el sistema de salud.


NAC es muy útil cuando se trata de proteger la integridad de la red, pero también puede ayudar con permitir o denegar el acceso a la red.



artículoartículo

y asegura que el acceso provisto es seguro. Esto es una característica valiosa para cualquiera que esté buscando implementar un sistema NAC.

Otra característica corresponde a que tanto la auditoría como los reportes están habilitados. Esto permite la trazabilidad de quien está en la red así como de asegurar que nadie intenta obtener acceso no autorizado a partes restringidas de la red a las cuales no debiesen tener acceso. Las características que los sistemas NAC de Cisco ofrecen son muy beneficiosas a la mayor parte de las organizaciones que están dispuestas a implementar sistemas NAC.

Hay otras compañías que ofrecen productos NAC que pueden ayudar a las organizaciones a mantener el acceso limitado solo a quienes realmente lo necesitan o basado en el trabajo que necesitan realizar cada día. Trustwave NAC, ofrecido por líder global en servicios de seguridad Trustwave, puede ser desplegado de forma transparente sin un agente. Como la mayoría de los productos NAC, puede ser integrado con “Active Directory”, de modo de determinar con mayor facilidad quienes tienen acceso.

De acuerdo con Trustwave, su solución NAC tiene detección y restricción automática de dispositivos que no estén en cumplimiento, así como una completa protección para todos los puntos finales administrados y no administrados. Esta es una afirmación audaz en lo que refiere a productos NAC7. También, Trustwave afirma que puede analizar cada paquete de cada dispositivo. Mientras es posible analizar muchos paquetes, es difícil afirmar que hay una manera para analizar cada paquete que viene a través del NAC.

Existen algunas opciones al implementar el producto de Trustwave, así como se muestra en la figura 1. Al igual que la solución NAC de Cisco, Trustwave ofrece soporte integrado para BYOD. La integración con BYOD de Trustwave ayudará con la identificación de dispositivos, autenticación, categorización y mitigación de amenazas. Trustwave

Proveer acceso a la red basado en roles es otra razón para moverse a un escenario NAC.3 Como los profesionales de TI saben, tener que manejar una gran cantidad de permisos de acceso a recursos compartidos en una organización muy grande puede ser una tarea difícil. Una solución de producto NAC puede hacer un poco más llevadero el gestionar todos los permisos que son requeridos para las carpetas compartidas de red así como otros grupos del “active directory”.

Una tercera razón para implementar NAC en una organización, es reducir el riesgo de amenazas persistentes avanzadas APTs (advanced persistent threats-APTs)4. NAC no provee ningún tipo de solución para detectar y detener APTs, pero puede detener la fuente atacante obteniendo el origen del acceso a la red5. Esto significa que si una cuenta de usuario está causando un ataque, el NAC puede evitar que esa cuenta siga causando más daño si el sistema NAC detecta acciones maliciosas.

Cuando es implementado correctamente, NAC puede ayudar a una organización a sentirse en control de su red y de los dispositivos conectados a ella, especialmente con la gran cantidad y tipos de dispositivos que están siendo usados.

Productos NAC

Los productos NAC Cisco TrustSec, del líder mundial de la industria TI Cisco, simplifica la provisión de acceso a la red. Cisco TrustSec está embebido en la infraestructura Cisco que muchas organizaciones ya utilizan6. Esta solución viene con un firewall; la porción NAC viene como un componente separado. Esto permite una administración más fácil de las políticas de seguridad y ayuda a la organización a gestionar los accesos a la red.

La solución NAC de Cisco, ayuda reconociendo a los usuarios que están en la red, así como a los dispositivos y roles. Otra característica de la solución Cisco NAC es que provee acceso a visitas


• Aprende más acerca, discute y colabora sobre control de acceso y seguridad de redes en el Centro de Conocimiento. www.isaca.org/knowledgecenter

la mayoría de los routers, switches y firewalls que están en el mercado hoy en día. Así como el NAC de Trustwave, CounterACT no utiliza agente, lo cual significa que puede identificar, clasificar, autentificar y controlar el acceso a la red para dispositivos, sean estos administrados o no.

CounterACT no es disruptiva; esto significa que puede ser desplegado por fases. Esto permitirá a los usuarios continuar trabajando sin tener que preocuparse sobre perder el acceso a archivos críticos. Una característica útil de CounterACT es la habilidad de decidir que ocurre a los dispositivos que coinciden con ciertos parámetros definidos. Al administrar esos parámetros, existen tres niveles de control posible: alertar y remediar, limitar el acceso, y mover y deshabilitar9. Cuando se refiere a alertar y remediar, el sistema alerta cuando detecta un incidente y activa otros sistemas de administración de puntos finales para remediar el asunto. Limitar el acceso despliega un firewall virtual en torno al dispositivo seleccionado y toma acciones para restringir completamente su acceso a la red o lo pone en una red de visitas. La opción más estricta corresponde a mover y deshabilitar, la cual mueve el dispositivo a una VLAN de cuarentena y bloquea el acceso del dispositivo a la red10. Dado que la solución de ForeScout es una de las más rápidas y fáciles de configurar, implementar e integrar, puede ser considerada como una de las mejores soluciones que puede ser implementada en una red.

Cuando se trata de elegir productos NAC, las empresas debiesen escoger la solución que mejor se ajusta a sus necesidades. Adicionalmente a considerar todos los costos, es mejor no elegir una solución que está diseñada para una red más pequeña.

Ventajas y desventajas de implementar NAC

Hay tanto argumentos a favor como en contra de la implementación de NAC. Algunos argumentos irresistibles muestran que NAC debiese ser instalado en las múltiples redes de una organización, de modo que esas redes puedan tener una protección apropiada contra amenazas inminentes. Uno de los beneficios es que impedirá a actores maliciosos el poder conectarse a la infraestructura de red de la organización. Con empleados y usuarios trayendo sus propios dispositivos al lugar de trabajo, es fácil para ellos traer cables para conectarse a uno de los puertos Ethernet desocupados e intentar ganar acceso a la red. NAC ayudará a prevenir que

ayuda a las organizaciones a realizar sus decisiones sobre BYOD a través de proveer una comparación lado a lado de sus diferentes opciones. Las soluciones que ofrece son NAC empresarial, un NAC administrado y un NAC conecta y usa (Plug and Play). Cada una de las soluciones tiene sus propios beneficios. La opción Plug-and-Play es un módulo adicional que viene con el servicio administrado de Trustwave unified threat management (UTM). El NAC administrado es similar al NAC empresarial, pero a un costo reducido y que no requiere un gasto mayor. El NAC empresarial provee todas las funciones y características y cuesta más que las otras dos opciones.

Trustwave ofrece numerosos beneficios, pero también presenta algunas grandes afirmaciones las cuales deberían ser revisadas minuciosamente. Los productos NAC de Trustwave, parecen ser muy buenos en lo que hacen, y protegerán la red de la organización sin necesidad de preocuparse de tener agentes.

Tecnologías ForeScout es un proveedor global de monitoreo continuo y soluciones de mitigación. La solución NAC de ForeScout es CounterACT. Esta solución permite a la organización tener visibilidad en tiempo real de personas, dispositivos, sistemas operativos y aplicaciones conectadas a la red. La solución CounterACT es diferente de algunas soluciones dado que no interrumpirá las actividades diarias de los usuarios; se asegurará que las operaciones no sean interrumpidas mientras provee a los usuarios de controles automáticos que ayudarán a preservar la experiencia de usuario8. CounterACT es diferente de algunas soluciones en el Mercado dado que es una solución de “llave en mano”. Todos los componentes de la solución CounterACT están contenidos en una sola máquina virtual o física. Esto significa que su implementación es rápida y fácil. CounterACT también trabaja con


Figura 1—Opciones en la implementación de Trustwave

TS-25 TS-150 X2500

• Protege hasta 100 puntos finales

• Provee hasta 64 redes locales de área virtual (Vlans)

• Puede ser instaladas en un computador de escritorio

• Opción de incluir un kit para instalar en un Rack

• Protege hasta 1.000 puntos finales

• Provee hasta 128 Vlanss• Necesita ser instalado en

un Rack (1RU)

• Protege hasta 2.500 puntos finales

• Provee hasta 128 Vlans• Necesita ser instalado en

un Rack (1RU)

Source: Trevor J. Dildy. Reprinted with permission.


Otra falla: El exceso de información a veces puede sobrecargar un NAC12. Con un NAC, una organización puede establecer sus propias políticas para cada usuario. Esto podría dar lugar a una gran cantidad de políticas, que con el tiempo produciría una gran cantidad de información innecesaria en el momento o causar que NAC genere alertas falsas.

Otra falla de NAC es que la red sólo puede controlar lo que ve13. Con algunas de las soluciones NAC permitiendo a los usuarios acceder a los servidores permitidos, esto causa un enorme agujero en la configuración de NAC. Si cualquier persona puede tener acceso a los servidores, el servidor puede llegar a ser lo que se llama un “punto de partida” que permitirá a los usuarios transitar por la red y acceder a otros objetos de red o recursos.14 Es fácil acceder a la red cuando se falsifica la dirección MAC de un host. Cuando la MAC es falsificada, le permitirá al usuario atacante ingresar a la red. Las amenazas significativas pueden venir desde el interior o el exterior, porque hay poca o ninguna seguridad física. Sin una seguridad física adecuada, es fácil para cualquiera el acceder a la NAC y perjudicar su funcionamiento. Si no hay un escenario de conmutación por error, es muy probable que la organización vaya a provocar una situación de denegación de servicio (DoS) para sí misma—el mismo tipo de amenaza que la organización está tratando de evitar.

NAC también son difíciles de administrar con un gran número de puertos del commutador (switch), porque es difícil asegurarse de que los puertos del switch están configurados correctamente todo el tiempo. Esto puede ser perjudicial para la red. Es muy importante asegurarse de que, incluso cuando hay muchos puertos, todos ellos están configurados correctamente.

Conclusión

Toda la investigación necesaria debe ser completado para determinar exactamente lo que la red necesita para ser lo más segura posible. Después que la investigación sobre el producto adecuado ha sido llevada a cabo, los pros y los

esto ocurra porque los dispositivos que intenten conectarse a la red no estarán en la lista de dispositivos aprobados o no han sido registrados como dispositivos confiables dentro de NAC.

Otro beneficio de NAC es que hay registros de auditoría que permiten saber si las puertas Ethernet vacías están encendidas o apagadas. Esto puede ayudar a la organización a determinar si hay algunas puertas Ethernet que debiesen ser apagadas para que nadie, erróneamente se conecte a ellas. NAC también debiese permitir la detección de dispositivos que estén conectados a la infraestructura de red y que no debiesen estarlo.

NAC se integra bien con otras soluciones. NAC que no están destinados a ser soluciones independientes; ellos se suponen que deben trabajar en conjunto con firewalls y otras soluciones de seguridad para ayudar a mejorar las medidas generales de seguridad de la organización. NAC son necesarios para ayudar a la organización a ser más segura en lo que respecta a quien tiene acceso y quien debiese no tenerlo. Esto también ayuda a minimizar el número de brechas en la red.

Puede ser difícil encontrar el producto NAC apropiado que mejor se ajuste a la infraestructura de red de la Empresa. NAC han recorrido un largo camino desde donde solían estar, pero esto no significa que todas las empresas están listas para implementarlas en su red. Como la mayoría de las soluciones de software, NAC tiene algunos beneficios y algunos inconvenientes. Es importante tener en cuenta las desventajas al decidir sobre una solución NAC.

Se ha dicho que los controles de seguridad de punto final funcionan sólo cuando menos se necesitan11. Lo que esto significa es que los NAC tienden a funcionar bien cuando se utilizan para controlar laptops y PC de escritorio, pero no tan bien cuando son necesarios para supervisar otros dispositivos/usuarios dentro de la empresa. Otro inconveniente es que, en general, los NACs siempre se preparan para luchar la última guerra, no se preparan para la próxima. Los NACs se enfocan en las amenazas de las semanas anteriores. Si bien esto es beneficioso, no es lo que necesita ocurrir cuando se trata de amenazas de seguridad avanzadas. NACs necesita ser capaz de concentrarse en las amenazas del mañana, además de las amenazas de la semana pasada.

El retorno de la inversión (ROI) en los NACs es una gran incógnita. Aunque podría ser crucial tener NAC en la red, es posible que no entregue el ROI esperado. Poner una NAC en su lugar no es barato; es muy costoso y podría llegar a no valer la pena para algunas organizaciones.

NAC tiene que ser capaz decentrarse en las amenazas del mañana Además de las amenazas de la semana pasada.


4 Ibid. 5 Boscolo, C.; “How to Implement Network Access

Control,” ComputerWeekly.com, November 2008, www.computerweekly.com/opinion/How-to-implement-network-access-control.

6 Network Admission Control, Cisco, www.cisco.com/c/en/us/solutions/enterprise-networks/network-admission-control/index.html

7 Trustwave Network Access Control, www.trustwave.com/Products/Network-Security-and-Access-Control/Network-Access-Control/

8 Network Access Control (NAC), ForeScout, www.forescout.com/solutions/network-access-control/

9 Snyder, J.; NAC Deployment: A Five Step Methodology, Opus One, February 2007, www.opus1.com/nac/vendorwhitepapers/opusone_nacdeployment.pdf

10 Ibid. 11 Snyder, J.; “The Pros and Cons of NAC,”

NetworkWorld, 12 June 2006, www.networkworld.com/article/2304152/lan-wan/the-pros-and-cons-of-nac.html

12 Ibid. 13 Ibid. 14 Ibid.

contras pueden ser medidos y así tomar la decisión de si el costo de la NAC es aceptable para la organización. Cisco, Trustwave y ForeScout tienen soluciones NAC que pueden ser beneficiosas a cualquier red; sin embargo, la plena realización de los beneficios depende de que la solución se ajuste a la infraestructura de red actualmente instalada. NACs ayudará a limitar el acceso a los dispositivos y los accesos dados a los usuarios. El acceso es determinado en base a roles de trabajo de los usuarios, lo cual ayuda a garantizar que su acceso a la red de almacenamiento se alinea con lo que necesitan para completar su trabajo, no lo que creen que necesitan. NAC no es un requisito, pero puede ahorrar el daño a la reputación de la organización, honorarios legales y de trabajo adicional requerido después de experimentar una brecha de seguridad.

Notas Finales

1 Shapland, R.; “Three Reasons to Deploy Network Access Control Products,” TechTarget, 7 April 2015, http://searchsecurity.techtarget.com/feature/Three-reasons-to-deploy-network-access-control-products

2 Ibid. 3 Ibid.

MEMBER GET A MEMBER

Get Members. Get Rewarded.REACH OUT AND HELP FRIENDS, COLLEAGUES AND OTHER PROFESSIONALS BECOME ISACA® MEMBERS.

THEY GET THE BENEFITS OF ISACA MEMBERSHIP. YOU GET REWARDED.

MEMBER GET A MEMBER 2016 PROGRAM STARTS ON 1 AUGUST. THE MORE MEMBERS YOU RECRUIT, THE MORE VALUABLE THE REWARDS.When ISACA grows, members benefit. More recruits mean more connections, more opportunities to network—and now, more valuable rewards!

Be sure to go to www.isaca.org/GetMembers after August 1 to learn full details of this year's program.

* Rules and restrictions apply. Full rules will be available after 1 August 2016. © 2016 ISACA. All Rights Reserved.



Los dispositivos de computación móviles (ej., laptops, tablets y teléfonos inteligentes) pueden causar serios daños a las organizaciones y a los dueños de los dispositivos, sus amigos y familias, porque los dispositivos móviles son menos seguros que los desktops y laptops. El reporte de Verizon del 2015 Data Breach Investigations Report1 define que hay decenas de millones de dispositivos móviles. Y, de acuerdo a Statista2, habrán 4.77 billones de usuarios de teléfonos móviles en el 2017 y 1.15 billones de tablets en uso en el 2016.3 A medida que el número de dispositivos de computación móvil aumente, también lo harán los problemas de seguridad móviles. Ya existen muchas y nuevas amenazas relacionados con los dispositivos móviles.

Este artículo discute los actores, amenazas, vulnerabilidades y riesgos asociados con dispositivos computacionales móviles y pone de manifiesto la omnipresencia de los problemas y los temas de seguridad y privacidad.

Actores

Los actores (también conocidos como vectores de amenazas) incluyen el dispositivo mismo, la aplicación (apps) en el dispositivo, sitios Web comprometidos, conexiones inalámbricas de datos, otros usuarios y organizaciones, la organización a la cual el usuario del dispositivo pertenece, y los proveedores de servicio.

Amenazas Dispositivos de Computación Móvil

Dispositivos móviles recientemente adquiridos pueden estar configurados de forma insegura. Los dispositivos pueden contener el sistema operativo original vulnerable (OS) que no ha sido actualizado para eliminar vulnerabilidades conocidas. Si un dispositivo no requiere algún tipo de control de acceso como ser un número de identificación personal (PIN) o huella digital, está propenso al uso no autorizado por cualquiera que tenga acceso a él. Hay muchos tipos de software malicioso (Malware) que puede dar a personas con malas intenciones la habilidad de obtener datos sensibles almacenados

en un dispositivo. El proteger los datos puede ser un problema mayor si uno comete el error de cargar información sensible de la organización en él. Los usuarios necesitan estar conscientes de que ellos son responsables de proteger el dispositivo, previniendo manipulación física, ajustando las características específicas de seguridad, y evitar las cadenas de suministros que proporcionan dispositivos móviles comprometidos o inseguros.

Si el dispositivo móvil tiene acoplado un lector de tarjetas de crédito, este, también, puede ser comprometido usando la técnica de skimming.4

Un teléfono inteligente puede efectuar vigilancia utilizando su audio, cámara y capacidades de posicionamiento global (Global Positioning System – GPS), como también el grabar registro de llamadas, información de contactos y mensajes SMS (Short Message Service). Dispositivos computacionales móviles pueden ocasionar problemas financieros por que, si se ven comprometidos, pueden enviar mensajes SMS Premium, robar números de autenticación de transacciones, permitir extorsiones por medio de ransomware y efectuar llamadas costosas sin el conocimiento del dueño del dispositivo. Un dispositivo puede también ser secuestrado y convertido en un bot de servicio de negación de servicio distribuido (DDoS), causando que a las organizaciones les sea mas difícil para detectar y prevenir los intentos como DDoS.

Amenazas basadas en aplicaciones incluyen malware, spyware, aplicaciones vulnerables, aplicaciones comprometidas y filtración de datos/información debido a prácticas pobres de programación. Los tipos de ataques de aplicaciones incluyen:

• Inhabilitar o esquivar/burlar configuraciones de seguridad

• Desbloquear o modificar las funciones del dispositivo

• Aplicaciones obtenidas(gratis o compradas), pero que contienen código malicioso

Larry G. Wlosinski, CISA, CISM, CRISC, CAP, CBCP, CCSP, CDP, CISSP, ITIL v3 Es asociado senior en Veris Group LLC y tiene más de 16 años de experiencia en Seguridad TI. Wlosinski ha sido un relator en una variedad de temas de Seguridad TI en conferencias del Gobierno de USA y profesionales como reuniones, y además ha escrito numerosos artículos para revistas y periódicos para profesionales.


artículoartículoAmenazas Dispositivos de Computación Móviles, Vulnerabilidades y Factores de Riesgo son Ubicuas

Amenazas basadas en usuarios incluyen: ingeniería social, distribución de información clasificada ya sea en forma inadvertida (o intencional), robo y/o mal uso del dispositivo y servicios de aplicaciones, y personas internas maliciosas que roban dispositivos para su propio uso o para alguien más.

Ingeniería Social puede lograrse por:

Phishing—Enmascararse como una entidad confiable

Vishing—Engañar a la víctima para que llame a un número de teléfono y revele información sensitiva

Smishing—Engañar a alguien vía mensajes para bajar malware a su dispositivo móvil

Vulnerar Cuentas de Medios Sociales—Utilización maliciosa de nombres cortos de sitios Web (para describir un ejemplo)

La infraestructura de la red de su propia organización puede ser una amenaza. Utilizada maliciosamente, una red inalámbrica pueden representar una amenaza como ser:

• Proveer un medio de acceso no autorizado

• Permitir o promover la instalación de malware

• Permitir la pérdida de integridad de datos del sistema y bases de datos asociadas

• Distribución de aplicaciones comprometidas

• Actuar como fuente de codificación insegura

• Permitiendo escuchas, interceptación de datos, colección de voz/datos, descargas drive-by, rastreo (vía GPS) y seguimiento de la conducta

Un proveedor de servicio de Internet (ISP) puede también ser una amenaza a individuos y organizaciones. El proveedor de servicio de Internet (ISP) recoge y almacena ubicación del dispositivo; información sobre el dueño del dispositivo; conducta de uso de la aplicación; información sobre ruteo de correo electrónico; información sobre compra de música, películas, programas de TV, aplicaciones y libros; y reportes internos sensitivos. Toda esta información puede ser almacenada en la nube por años.

Otra información que puede ser mantenida en la nube por un largo tiempo incluye: fotos y videos; información de contacto personal; calendario de

Ejemplos de las capacidades del malware incluyen:

• Escuchas a llamadas telefónicas a medida que suceden

• Lectura secreta de texto SMS, captura registro de llamadas y Correos Electrónicos

• Escuchar los sonidos de los alrededores (dispositivo es usado como un micrófono remoto oculto)

• Visualizar la ubicación GPS del teléfono

• Hacer reenvío de todo correo electrónico a otro Inbox

• Control remoto de todas las funciones del teléfono vía SMS

• Aceptar o rechazar comunicaciones basadas en una lista predeterminada

• Evadir detección durante su operación

Un sitio Web comprometido puede ser un peligro para la información de todos. Puede ser la fuente de estafas por medio de phishing, descargas de malware (drive-by), y vulnerabilidades del navegador. Hotspots gratis de Wi-Fi pueden ofrecerles a los criminales los medios para obtener accesos bancarios e información de cuentas financieras. Estos sitios pueden ser utilizados para obtener datos personales sobre los dueños de los dispositivos, sus familias y amigos, y los lugares en que trabajan. Vulnerabilidades a evitar incluyen mantener las conexiones Wi-Fi habilitadas todo el tiempo, el no utilizar o desactivar el cortafuego del dispositivo, el navegar por sitios web no encriptados, no actualizar el software de seguridad y el no asegurar su Wi-Fi de la casa.

Comunicación de datos a través de una red personal o de la compañía también puede ser un medio de comunicación insegura. Los problemas de comunicación incluyen, video, audio, y datos que pueden ser obtenidos a través del aire debido a una red insegura. Hay un sin número de tipos de vulnerabilidades de la red incluyendo Wi-Fi sniffing, manipulación de los datos en tránsito, exposición de datos a través de emisión de radio frecuencia (RF), conexión a un servicio no confiable, bloqueo o inundación de la señal, y monitoreo de una geo ubicación/GPS. Todas estas amenazas deben ser evitadas.


• Lea Security Mobile Devices Using COBIT® 5 for Information Security. www.isaca.org/securing-mobile-devices

• Aprende más acerca, discute y colabora sobre computación móvil en el Centro de Conocimiento. www.isaca.org/topic-mobile-computing



En esta era de la tecnología inalámbrica, muchos roles (ej., doctores, personal de soporte médico, personal de inventario de minoristas y mayoristas, personal de soporte de registro) dependen de dispositivos computacionales móviles para capturar y transmitir datas mas eficientemente. Los usuarios de estos dispositivos dependen de estos para su productividad y medios de vida. En muchos casos, la información es sensitiva para la organización y, si esta relacionada con empleados o clientes, puede ser personal y relacionada con la privacidad (ej., información personal identificable [PII]).

Si en la organización de uno no cuenta con un programa de encriptación inalámbrica (ej., red privada virtual [VPN]) implementada, entonces los dispositivos móviles podrán interactuar con correo de los dispositivos personales y obtener correspondencia sensitiva. La falta de una comunicación encriptada puede permitir que software malicioso (malware) pueda acceder a la red y propagar troyanos y virus a través de la organización. Mas serio es el hecho que puede permitir la intrusión en la empresa, que luego puede comprometer a la organización completa. Recuerde que una conexión VPN requiere autenticación—un control protector crítico—para permitir el acceso a la red.

Vulnerabilidades de Aplicaciones

Otros componentes vulnerables del ambiente de dispositivos computacionales móviles son las aplicaciones cargadas en estos. Cada aplicación puede contener una vulnerabilidad que es susceptible a ser explotada. Las aplicaciones en los dispositivos móviles pueden tener una variedad de vulnerabilidades incluyendo:

eventos; recordatorios y notas; configuración de los dispositivos; datos de aplicaciones; Adobe PDFs; libros añadidos a lista de compra; historial de llamadas; pantalla y organización de aplicaciones; mensajes de texto y correo electrónico; tonos de llamadas; configuración de sistemas de seguridad del hogar (datos de HomeKit5); información médica personal (Datos HealthKit6); y buzón de voz.

Vulnerabilidades

Vulnerabilidades en dispositivos computacionales móviles existen en los mismos dispositivos, en las conexiones inalámbricas, en las prácticas personales del usuario, periféricos de la infraestructura e inalámbrica de la organización (ej. Impresoras, teclados, mouse), los cuales contienen software, un sistema operativo (OS) y un dispositivo de almacenaje de datos.

Si no están aseguradas con encriptación, las redes inalámbricas usualmente pasan información sensitiva al descubierto la cual puede dañar a individuos y/o organizaciones. Datos sensitivos liberados sin querer no solo pueden afectar la reputación de la organización y la vida de los afectados, pero también pueden ser causa de una acción legal. Comunicaciones inalámbricas puede acarrear e instalar software mal intencionado (malware) en cualquier dispositivo computacional configurado para recibirlo. Este software mal intencionado (malware) puede causar corrupción de datos, filtración de datos, y la indisponibilidad de servicios y funcionalidades. La privacidad personal también puede verse afectada si el audio (ej., Bluetooth) y comunicación de video/fotos (ej., dispositivo de cámara) son interceptados y utilizados en intenciones maliciosas. La protección inalámbrica provista por una organización solo trabaja si un usuario esta en el perímetro de la red de la organización donde existen controles de seguridad.

Una organización sin encriptación, informaciones de clientes y empleados almacenada en el dispositivo computacional puede ser puesta a disposición de otros sin querer y si alguien intercepta esta mientras esta en tránsito o si el dispositivo es robado (y controles de acceso no están instalados). No es difícil interceptar tráfico de comunicaciones inalámbricas porque existen herramientas gratuitas disponibles en la internet para ayudar a los hackers a hacer esto.

Si no esta asegurada por encriptación, redes inalámbricas usualmente pasan informaciones sensibles al descubierto que pueden hacerle daño a individuos y/o organizaciones.


sensitivas de las aplicaciones (ej., contactos, información del calendario, tareas del usuario, recordatorios personales, fotografías, acceso Bluetooth)

Riesgo

Los factores de riesgo más comunes que aplican al uso de dispositivos móviles son: virus computacionales, gusanos u otro software malicioso especifico para dispositivos computacionales personales; robo de datos sensitivos; exposición de información critica a través de sniffers inalámbricos; intrusos inalámbricos capturando correos electrónicos, direcciones de correo electrónico y datos adjuntos (si los resguardos de seguridad son insuficientes); pérdida, robo o daño del dispositivo; uso del dispositivo como un proxy para establecer una conexión virtual desde el atacante a una red interna; pérdida/fuga de datos debido a lo pequeño y portabilidad; habilitación de fraude por acceso remoto o copiado masivo de datos sensitivos; spam causando interrupción y subiendo los costos de servicio si el objetivo son los dispositivos móviles; y mensajes SMS malformados causando que los dispositivos se bloqueen.

Conclusión

Cada día, los vectores de ataque a los dispositivos móviles están constantemente sometidos a cambios dinámicos, y es difícil representar un juego completo de estas amenazas y vulnerabilidades. Con el desarrollo de dispositivos de computación móvil que pueden llevarse en el bolsillo o en un bolsón la responsabilidad de proteger esos dispositivos y los datos almacenados esta en ellos. Estando consiente es el primer paso en la lucha para proteger los datos.

ReferenciasLookout, “What Is a Mobile Device Threat?,” https://www.lookout.com/resources/know-your-mobile/what-is-a-mobile-threat

Mobile App Security Guide, infographic, http://autosend.io/mobile-app-security-guide/

Wysopal, C.; “Mobile App Top 10 List,” Veracode, 13 December 2010, www.veracode.com/blog/2010/12/mobile-app-top-10-list

• Configuración incorrecta de permisos que permiten acceso a funciones controladas como ser la cámara o GPS

• Protocolos de comunicaciones internas expuestas que pasan mensajes internamente dentro del dispositivo a si mismo o a otras aplicaciones

• Funcionalidades potencialmente peligrosas que acceden los recursos o las informaciones personales del usuario a través de las llamadas de datos interna del programa o instrucciones codificadas

• Colusión de aplicaciones, donde dos o más aplicaciones se pasan informaciones para aumentar las capacidades de una o ambas aplicaciones

• Ofuscación, donde la funcionabilidad o capacidades de proceso están escondidas u oscurecidas del usuario

• Uso excesivo del consumo de aplicaciones corriendo continuamente en segundo plano, las que drenan la batería, por lo tanto reduciendo la disponibilidad del sistema

• Vulnerabilidades tradicionales del software como ser insuficiente edición de datos ingresados, explotación y pobres prácticas de programación del lenguaje de consultas estructurado (SQL)

• Debilidades de privacidad en las configuraciones que permiten el acceso a las informaciones

Milligan, P. M.; D. Hutcheson; “Business Risks and Security Assessment for Mobile Devices,” ISACA® Journal, vol. 1, 2008

Absolute, US Mobile Device Security Survey Report 2015, https://www.absolute.com/en/resources/whitepapers/mobile-device-security-survey-report-us

Notas Finales

1 Verizon, 2015 Data Breach Investigations Report, 15 April 2015, www.verizonenterprise.com/DBIR/2015/

2 Statista, “Number of Mobile Phone Users Worldwide From 2013 to 2019 (in Billions),” 2016, www.statista.com/statistics/274774/forecast-of-mobile-phone-users-worldwide/

3 Statista, “Number of Tablet Users Worldwide From 2013 to 2019 (in Billions),” 2016, www.statista.com/statistics/377977/tablet- users-worldwide-forecast/

4 Skimming is the capturing of credit card information using a card reader that records and stores the user’s card information.

5 Apple, HomeKit, www.apple.com/ios/homekit/?cid=wwa-us-kwm-features

6 HealthKit, https://www.healthkit.com/

European Union Agency for Network and Information Security, “Top 10 Smartphone Risks,” https://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-applications/smartphone-security-1/top-ten-risks?_ga=1.234877470.1254580284.1439215552

Quirolgico, S.; J. Voas; T. Karygiannis; C. Michael; K. Scarfone; Vetting the Security of Mobile Applications, Special Publication 800-163, National Institute of Standards and Technology (NIST) USA, 2015, http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-163.pdf

Althuser, J.; “7 Ways Hackers Can Use Wi-Fi Against You,” CSO, 9 November 2015, www.csoonline.com/article/3003220/mobile-security/7-ways-hackers-can-use-wi-fi-against-you.html

Apperian, “Mobile App Security,” https://www.apperian.com/mobile-application-management/mobile-app-security/

ISACA, Securing Mobile Devices, USA, 2010, www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Securing-Mobile-Devices-Using-COBIT-5-for-Information-Security.aspx

This one-of-a-kind event will give you the opportunity to network directly with industry representatives who are seeking exceptional candidates like you! Whether you are looking for a career move locally or are willing to relocate, the ISACA Online Career Fair breaks through geographic barriers and gives you an edge over candidates applying through traditional methods. Sign up today to stay in the loop with participating employers and opportunities.

Registration is FREE for job seekers by visiting http://resource.boxwoodtech.com/isaca-career-fair

CONNECT WITH EMPLOYERS–ALL FROMTHE COMFORT OF YOUR DESKTOP, TABLET OR MOBILE DEVICE.

ISACA’s first ever

ONLINE CAREER FAIR

September 15, 2016 12:00 – 3:00 pm EST



La adopción de la nube continúa creciendo a un paso rápido, transformando los negocios a lo largo del globo. De hecho, la nube es la forma usual de operar el negocio para la mayoría de las organizaciones, con algunas de ellas utilizándola para ejecutar procesos críticos. En Julio de 2015, el reporte Mirada Profunda a la Innovación de ISACA®1 menciona la computación en la nube como una de las tendencias líderes en los negocios guiando las estrategias de negocios. Apareció en tercer lugar de las diez tecnologías emergentes más destacadas, que más probablemente entreguen un valor significativo al negocio muy por sobre los costos. El análisis de gran cantidad de datos (big data) y las tecnologías móviles, aparecieron en primer y segundo lugar, respectivamente. Una publicación diferente, realizada por la Corporación Internacional de Datos (IDC) pronostica el crecimiento del uso mundial de la nube pública a 19.4 por ciento, en los próximos cinco años, casi doblando los US $70 billones de dólares del 2015 en más de US $141 billones en el 2019. Esto es casi seis veces el crecimiento del gasto empresarial en TI como un todo2.

Mientras la nube promete beneficios significativos, incluyendo flexibilidad financiera mejorada, agilidad mejorada y acceso a tecnologías líderes, algunas organizaciones están aún resistiéndose, mayormente cautelosas de perder el control sobre información de alto valor. Estas preocupaciones sobre los riesgos son válidas y, si no son consideradas y gestionadas adecuadamente, pueden resultar en impactos dañinos para el negocio, incluyendo el daño a la experiencia del cliente, fuga de información sensible o daño a la marca.

Este artículo provee algunas recomendaciones prácticas para abordar tres áreas clave de riesgo asociadas con la adopción de la nube:

1. Iniciativas en la nube no alineadas con las estrategias del negocio

2. Pérdida de control sobre información de alto valor

3. Excesiva dependencia de los proveedores de servicios en la nube

Este no es un set completo ni definitivo de áreas de riesgo que los negocios pueden enfrentar cuando adoptan la computación en la nube. Muchos marcos de trabajo, muchos notablemente procedentes de la Alianza de Seguridad en la Nube (CSA), ISACA, y el Instituto Nacional de Estándares y Tecnología

de Estados Unidos (NIST), proveen más guías comprensibles sobre la gestión del riesgo en la nube.

Alineando los Proyectos en la Nube con la Estrategia de Negocios

Las empresas entregan valor a los accionistas asumiendo riesgos, pero fallan cuando el riesgo no es claramente entendido y efectivamente gestionado. A menudo, los proyectos en la nube son guiados por TI y centrados en la tecnología. Para entregar valor al negocio y minimizar la exposición al riesgo, estas iniciativas deben estar completamente alineadas a las estrategias de negocios. Acuerdos activos y supervisión por parte de la junta o comités relevantes en la gestión de riesgos son pre-requisitos esenciales para el éxito de programas en la nube.

En su publicación de Junio de 2012, Gestión de Riesgo Empresarial para la Computación en la Nube3, el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) enfatizó que la gestión del riesgo en la nube comienza en el más alto nivel de la organización. El documento declaraba “La computación en la nube debería ser considerada en las actividades superiores de gobierno y visto como un tema que permite la discusión y requerimientos por parte de la junta de una organización”. La junta debe determinar qué servicios de la nube son apropiados para el negocio, basado en las metas de la empresa, su apetito y tolerancia al riesgo. Pero este no es siempre el caso.

La Autoridad Prudencial y Regulatoria Australiana (APRA), en un documento sobre información en la nube publicado en Julio de 20154, elevó una preocupación de que la emisión de reportes a través de la nube por parte de entidades reguladas a las juntas de directores (BoDs) se enfocaban principalmente en los beneficios, mientras fallaban en proveer una visibilidad adecuada de riesgo asociado. Una gestión efectiva de riesgos en la nube requiere que la junta desafíe qué tan adecuadas son las medidas ante el riesgo frente al apetito y la estrategia de negocios. Para lograr esto, se debe proveer la información pertinente, incluyendo:

• Propuesta de valor en la nube, trazabilidad hacia la estrategia de negocios y como serán medidos los beneficios

Gestionando el Riesgo de la NubeConsideraciones más Importantes para Líderes del Negocio

Phil Zongo Es un consultor de ciberseguridad con base en Sydney, Australia. Él tiene más de 10 años de experiencia en consultoría de riesgos tecnológicos y gobierno trabajando con firmas de consultoría de gestión líderes y grandes instituciones financieras. Recientemente lideró una iniciativa de evaluación de riesgos para un programa complejo multimillonario de transformación en la nube.


• Multitenencia—La capacidad computacional, almacenamiento y redes se comparten entre muchos clientes de la nube. Mientras que este modelo permite a los proveedores de la nube alcanzar economías de escala y costos de servicio más bajos, hay un riesgo creciente de que una vulnerabilidad o error en la configuración pueda generar un compromiso de seguridad que afecte a muchos clientes.

• Responsabilidades compartidas—La migración de aplicaciones de negocio a la nube crea un modelo de responsabilidades compartidas entre los clientes de la nube y los proveedores de servicios. Los clientes le transfieren algunas responsabilidades clave al proveedor de servicios, por ejemplo, acceso físico y gestión de infraestructura.

La Agencia de la Unión Europea para Redes y Seguridad de la Información (ENISA) establece que las concentraciones masivas de recursos y datos en la nube presentan un objetivo más atractivo para los criminales cibernéticos6. Más aún, violaciones a la seguridad de la nube implican una cobertura mediática más amplia, lo que amplifica el impacto de estos incidentes. La cobertura mediática extensiva de la violación de la Nube de Apple en el 2014, que expuso fotografías de celebridades, enfatiza este punto.

Hay tres controles críticos de seguridad para proteger la información de alto valor en la nube: clasificación de la información, encriptación y gestión de accesos privilegiados.

Identificar Activos de Información de Alto ValorLa clasificación de datos es un paso vital hacia la construcción de un ambiente de control efectivo para la seguridad en la nube. Los dueños de la información deben ser convocados para evaluar y clasificar los activos de información basado en los riesgos del negocio. Esto elimina el gasto innecesario en seguridad, en la medida en que más recursos son invertidos en proteger las “joyas de la corona”.

La criticidad de datos difiere de una organización a otra, dependiendo del sector de la industria a la que pertenecen o los objetos corporativos. Las compañías aseguradoras, por ejemplo, pueden estar preocupadas por la privacidad de la información de salud de sus clientes, mientras las firmas enfocadas a la alta tecnología pueden estar preocupadas por la seguridad de sus planes de desarrollo de productos.

La información que puede ser de alto valor para criminales cibernéticos también debe ser considerada. En Septiembre de 2014, un artículo de Reuters declaró que la información médica

• Riesgo en los negocios a un alto nivel y estrategias de tratamiento, por ejemplo: seguridad de los datos, leyes de privacidad, ubicación de los datos, resiliencia del negocio, cumplimiento regulatorio

• Modelo de despliegue de la nube propuesto: público, privado o híbrido e implicaciones de riesgo asociado

• Modelo de entrega de servicios en la nube planeado: Software como Servicio (SaaS), Plataforma como Servicio (PaaS) o Infraestructura como Servicio (IaaS), e implicaciones de riesgo asociado

• Criterio de selección del proveedor de servicios, incluyendo viabilidad financiera, estabilidad operacional y capacidades de ciberseguridad

• Escenarios realistas de disrupción de negocios y planes de recuperación

• Acuerdos de nivel de servicios (SLAs), respuesta a incidentes y gobierno operacional

• Aseguramiento de terceros, pruebas de penetración, evaluación de vulnerabilidades y cláusulas de auditabilidad

Las iniciativas en torno a la nube deben comenzar identificando problemas de negocios y objetivos estratégicos y luego construir soluciones para atender necesidades específicas del negocio. Comunicación continua clara del valor de la nube y el enfoque de la gestión de riesgos es crítica para la aceptación por el negocio a los programas basados en la nube y logrando su éxito máximo.

Protegiendo Información de Alto Valor

Gestionar el riesgo cibernético sin restringir la innovación y agilidad en el negocio es una imperativa crítica del negocio. Aunque los proveedores de la nube continúan haciendo grandes inversiones en sus capacidades de seguridad, la preocupación por la seguridad de los datos y el cumplimiento regulatorio permanece como una de las barreras de la adopción de la nube. En el 2015, la Unidad de Inteligencia Economista, en colaboración con IBM, condujo un estudio global de madurez en la nube. El resultado de esta investigación multi-fase, que reflejo las perspectivas de 784 interesados (incluyendo miembros de juntas, Directores Ejecutivos (CEOs), Directores Financieros (CFO), Directores de la Información (CIOs), y otros ejecutivos de nivel C) globalmente, reveló que la seguridad de los datos como la influencia negativa de más alto nivel ante la adopción de la nube en los últimos tres años, demostrando que algunos ejecutivos de negocios aún no están convencidos acerca de la seguridad en la nube. Estas preocupaciones aumentan más adelante por nuevos riesgos presentados por la nube pública, en particular5:


artículoartículo


Encriptar Datos Sensibles De acuerdo con la publicación sobre encriptación en la nube de Septiembre de 2012, de la CSA, Guía de Implementación de SecaaS, Categoría 89, la encriptación y la protección de las llaves de encriptación se encuentran entre los controles más efectivos de protección de datos. La información de alto valor debe ser encriptada al ser mantenida en la nube para minimizar el riesgo de divulgación no autorizada. Una gestión robusta de las llaves es esencial porque la pérdida de las llaves de encriptación puede resultar en pérdida de datos. Las siguientes recomendaciones deben ser consideradas al implementar el cifrado en la nube:

• Implementar controles ajustados para proteger las llaves criptográficas, incluyendo una política de gestión del ciclo de vida de las llaves. NIST Publicación Especial 800-5710 partes 1, 2 y 3 proveen guías más detalladas para la gestión de las llaves de cifrado.

• Asegurar que el servicio de encriptación de la nube incluye la recuperación de desastres y capacidades de recuperación para minimizar el impacto al negocio si las llaves se pierden.

• Definir responsabilidades para gestionar las llaves de encriptación. Mantener la gestión de llaves internamente, para mitigar fugas externas del proveedor de servicios o compromiso malicioso por los usuarios privilegiados del proveedor de servicios.

• Probar para confirmar que la encriptación de bases de datos no tendrá un impacto adverso en el rendimiento de las aplicaciones.

• Implementar controles para purgar los datos una vez eliminados del almacenamiento en la nube.

hoy es 10 veces más valiosa que los números de tarjetas de crédito a la venta en el mercado negro, y está siendo atacada cada vez más por criminales cibernéticos7. Otra información de alto valor que está siendo atacada por los criminales cibernéticos incluye planes de negocios, modelos de asignación de precios, acuerdos de cooperación, correos electrónicos a ejecutivos de negocios y registros financieros personales.

Como se ilustra en la figura 1, clasificar la información permite a los líderes del negocio tomar decisiones informadas en relación con cuánto riesgo quieren asumir al momento de buscar la innovación. Por ejemplo, una organización puede no tener apetito para mantener información altamente confidencial en sistemas de nube pública, pero si puede tener el apetito de utilizar sistemas de nube pública para mantener información pública.

Información de Alto Valor Aislada Una vez que los datos han sido clasificados, las empresas reguladas pueden considerar utilizar una nube privada para aislar las aplicaciones de alto valor. Las nubes privadas, donde un negocio es dueño y administra su propio entorno virtual, ofrece una oportunidad para darse cuenta de los beneficios de la nube junto con eliminar la multitenencia y las preocupaciones de responsabilidad compartida. Previamente, algunas organizaciones evitaban las nubes privadas debido a los altos costos de montaje. El Estado del Mercado 2016—Reporte de Nube Empresarial de Verizon, reveló que el costo de la nube privada está disminuyendo, proveyendo a las organizaciones ambientes más seguros, costo-efectivos para mantener sistemas de alto valor8.

Figura 1—Clasificación de la Información para la Adopción de la Nube (Ejemplo Ilustrativo)

Source: Phil Zongo. Reprinted with permission.

Impacto de negocios severo (por ejemplo, daño reputacional de largo plazo, demandas de accionistas,

Impacto de negocios muy bajo, ya que la información va destinada al consumo público

Impacto de negocios bajo (por ejemplo, productividad reducida, moral reducida de los empleados)

Secretos de negociación, propiedad intelectual, registros médicos, datos de tarjeta de crédito o débito, registros de transacciones bancarias, contraseñas

Desarrollo de software y herramientas de prueba, sistemas de administración interna, reportes de auditoría

Políticas internas, procedimientos operacionales y estándares

Publicaciones de investigación y anuncios públicos

Impacto de negocios moderado (por ejemplo, pérdida de clientes o empleados, posible escrutinio regulatorio)

Restringido

Uso Interno

Público

No tiene apetito Tiene apetito limitado Tiene apetito

Apet

ito p

or e

l Uso

de

la N

ube

Públ

ica

Impactos Potenciales Fuga de Datos Ejemplos


• Retener credenciales de cuentas de superusuario para cuentas que otorguen acceso total a todos los recursos de la nube.

• Regularmente rotar las contraseñas para las cuentas de servicio, utilizando una solución automatizada de gestión de contraseñas.

Un gran número de proveedores de servicio tienen guías específicas sobre cómo pueden implementarse estos controles al interior de sus ambientes. Por ejemplo, el Blog de Seguridad de los Servicios Web de Amazon (AWS)12 provee una guía detallada para gestionar las cuentas privilegiadas al interior de AWS.

Minimizando la Dependencia de los Proveedores de Servicio en la Nubes

Mejorar la disponibilidad de servicios sigue siendo el principal catalizador para la adopción de la nube. Las soluciones en la nube bien diseñadas pueden aumentar significativamente la resiliencia del negocio en la misma medida en que los proveedores de servicios continúan mejorando la resiliencia de las plataformas a través de la clusterización, replicación y la oferta de alta disponibilidad.

A pesar de estas mejoras, aún ocurren apagones que impactan a variadas ubicaciones de servicios en la nube. Si no se planifica adecuadamente, estos eventos pueden resultar en disrupciones mayores en la operación y en la cadena de suministros.

La buena noticia es que ahora están disponibles estadísticas confiables para evaluar la confiabilidad de los servicios en la nube en distintos proveedores. Por ejemplo, Cloud Harmony, una firma de terceros que monitorean a los proveedores de servicios en la nube, provee una comparación independiente de los servicios en la nube basado en su disponibilidad de servicios.

Las siguientes recomendaciones ayudarán a los negocios a mitigar estos eventos poco probables pero de alto impacto:

• Revisar el plan de continuidad del negocio del proveedor de servicios en la nube, para determinar si cumplen con los objetivos de recuperación de la organización.

• Utilizar múltiples proveedores de servicios en la nube para reducir el riesgo de encadenamiento al proveedor.

• Implementar alta disponibilidad en la arquitectura de la nube para minimizar la interrupción de servicios.

• Complementar la arquitectura resiliente con respaldos regulares y procedimientos de restauración, y almacenar los datos de respaldo

• Complementar el cifrado de datos con protecciones de integridad como las firmas digitales para mantener la autenticidad de los datos.

Desplegar Controles Fuertes Sobre el Acceso de Altos PrivilegiosGestionar los accesos privilegiados es crítico para asegurar datos en la nube. Las cuentas privilegiadas permanecen como un vector ideal de ataque para los criminales cibernéticos porque ellos proveen acceso ilimitado a aplicaciones y datos de alto valor. Una publicación de CSA, de Febrero de 2016, Los Doce Traicioneros: Principales Amenazas de la Computación en la Nube en 201611, identificó el secuestro de cuentas, usualmente con credenciales robadas, como una de las amenazas principales de la computación en la nube. La naturaleza dinámica de la computación en la nube amplifica el riesgo existente de usuarios privilegiados de variadas maneras, incluyendo:

• Algunos roles de acceso a la nube son de riesgo extremadamente alto y tienen el potencial para detener ambientes completos en la nube.

• El modelo de responsabilidades compartidas implica que los administradores de servicios en la nube pueden tener acceso privilegiado a la infraestructura, aplicaciones o bases de datos de una organización, dependiendo del modelo de entrega de servicios. Esto aumenta la superficie de ataque.

• La provisión rápida y sin ataduras de nuevos servidores virtuales rápidamente introduce nuevas cuentas privilegiadas a un ambiente. Estas cuentas a menudo son creadas con contraseñas por omisión, que son un objetivo fácil para que los criminales cibernéticos exploten.

• Los administradores de la nube pueden proveer nuevas instancias de servidores virtuales con el clic de un botón. SI la autorización relevante es eludida, eso puede resultar en gastos no planificados, debilitando el caso de negocios de la nube de una organización

Los siguientes controles en personas, procesos y tecnología pueden ayudar a disminuir esta exposición:

• Confirmar la efectividad de los controles de accesos privilegiados de un proveedor de servicios en la nube específicamente contratando un supervisor de los administradores de sistemas.

• Implementar contraseñas fuertes y automatizar la provisión de políticas de seguridad.

• Forzar la autenticación de dos factores y la regla de dos personas sobre actividades de alto impacto.

• Generar registros de auditoría y monitorear el acceso a las cuentas privilegiadas, incluyendo la ejecución de comandos de alto impacto.


• Aprende más acerca, discute y colabora sobre computación en la nube en el Centro de Conocimiento. www.isaca.org/knowledgecenter


2 IDC, “Worldwide Public Cloud Services Spending Forecast to Double by 2019, According to IDC,” USA, 21 January 2016, www.idc.com/getdoc.jsp?containerId=prUS40960516

3 Chan, W.; E. Leung; H. Pili; Enterprise Risk Management for Cloud Computing, Committee of Sponsoring Organizations of the Treadway Commission, June 2012, www.coso.org/documents/Cloud%20Computing%20Thought%20Paper.pdf

4 Australian Prudential Regulation Authority, Outsourcing Involving Shared Computing Services (Including Cloud), 6 July 2015, www.apra.gov.au/AboutAPRA/Documents/Information-Paper-Outsourcing-Involving-Shared-Computing-Services.pdf

5 The Economist Intelligence Unit, Mapping the Cloud Maturity Curve, IBM, 2015 http://public.dhe.ibm.com/common/ssi/ecm/ku/en/kul12355usen/KUL12355USEN.PDF

6 ENISA, Cloud Computing—Benefits, Risks and Recommendations for Information Security, Greece, December 2012, https://resilience.enisa.europa.eu/cloud-security-and-resilience/publications/cloud-computing-benefits-risks-and-recommendations-for-information-security

7 Humer, C.; J. Finkel; ‘Your Medical Record Is Worth More to Hackers Than Your Credit Card’, Reuters, 24 September 2014, www.reuters.com/article/us-cybersecurity-hospitals-idUSKCN0HJ21I20140924

8 Verizon, State of the Market: Enterprise Cloud 2016, 2016, www.verizonenterprise.com/enterprise-cloud-report/

9 Cloud Security Alliance, SecaaS Implementation Guidance, Category 8: Encryption, September 2012, https://downloads.cloudsecurityalliance.org/initiatives/secaas/SecaaS_Cat_8_Encryption_Implementation_Guidance.pdf

10 National Institute of Standards and Technology, Special Publication 800-57, USA, http://csrc.nist.gov/publications/PubsSPs.html#SP 800

11 Cloud Security Alliance, The Treacherous Twelve—Cloud Computing Top Threats in 2016, USA, 2016, https://downloads.cloudsecurityalliance.org/assets/research/top-threats/Treacherous-12_Cloud-Computing_Top-Threats.pdf

12 Amazon Web Services, AWS Official Blog, http://aws.amazon.com/blogs/aws/

fuera de las dependencias del proveedor de la nube.

• Actualizar y probar el plan de gestión de crisis de la organización.

• Simular la recuperación de diferentes escenarios de desastre, incluyendo la recuperación de aplicaciones individuales, ambientes virtuales y el proveedor de servicios en la nube completo.

De vez en cuando, las organizaciones dan por terminado acuerdos de externalización de funciones —los acuerdos en la nube no son una excepción. Factores como fallar en cumplir los requerimientos de desempeño, fallas de seguridad, o quiebra pueden llevar a la terminación de contratos. Para mantener la continuidad del negocio y facilitar transiciones más suaves, las organizaciones deben formular estrategias de salida o planes de contingencia para migrar registros críticos a una solución alternativa, en la nube o fuera de ella.

Conclusión

Cuando se planifica, implementa y gobierna correctamente, la nube puede ser un gran catalizador para la mejora de los procesos y un gran conductor de la transformación de los negocios. Los proveedores de servicios en la nube trabajan incansablemente para mejorar sus capacidades de seguridad y resiliencia. En realidad, los sistemas in situ pueden no ser más seguros que la nube. El riesgo de seguridad y confiabilidad puede no superar la pérdida de la oportunidad de transformar una organización con el uso estratégico de la nube. Las iniciativas en la nube se construyen sobre la estrategia empresarial, acoplado con procesos robustos de gestión de riesgos, tienen el potencial de acelerar la innovación en los negocios, transformar la experiencia del cliente y mejorar la ventaja competitiva.

Agradecimientos

El autor quisiera agradecer a Gina Francis, Innocent Ndoda, Kathleen Lo, Andrew Strong y Joe Chidwala por los valiosos comentarios que ayudaron a mejorar este artículo.

Notas Finales

1 ISACA, Innovation Insights: Top Digital Trends That Affect Strategy, USA, 2015, www.isaca.org/Knowledge-Center/Research/Pages/isaca-innovation-insights.aspx

2016GRCUna co laborac ión I IA e ISACA

Aug. 22 – 24, 2016 | Fort Lauderdale, Fla., USA

Gane hasta 18 CPE Credits. Registrese hoy www.isaca.org/2016GRCIIA-jv4 .

Hay muchas razones para participar en el GRC 2016.

A continuación hay cinco de las principales ventajas que puede recibir.

1.

2. Seleccione de las 48 sesiones de pensamiento inspirador para personalizar sus necesidades de aprendizaje.

3. Obtenga y comparta ideas inovativas para resolver sus problemas de negocio actual y futuros.

4. Crea su red global de colegas. La persona sentándose a su lado puede ser la clave para su próximo gran avance de negocios.

5. Gane hasta 18 CPE horas, mas 7.5 si participa de los talleres pre-conferencia.

5 PRINCIPALES BENEFICIOS Cuando usted Asista al GRC 2016

Las anteriores dos co nferenciade GRC se agotaronGuarde su asiento pronto!


by Myles Mellorwww.themecrosswords.com puzzlepalabras cruzadas

ACROSS

1 Type of encryption, 2 words

7 Information security position, abbr.

10 Cry of feigned innocence

12 Berners-Lee invention

13 Information unit, for short

14 In IT, a reviewer of systems and processes

15 It is usually found on a pad

16 Strategy formers

17 Memo start

18 Highest degree

20 Forestall, as in a cyberattack

22 Suggestions, e.g.

25 ___ behind the ears

26 Part of a system

28 Affirmatives

29 Standard

31 Stares conspicuously

32 Critical point that when reached, may require changes of operation

37 Word that goes with learning

40 Revolution surfaces

42 Investigate, with into

43 Groups within groups

44 Connection between things that are in a series

DOWN

1 Research institute monitoring information security, privacy and data protection

2 Communicating with, 2 words

3 Total amount

4 On the cutting edge

5 Communication medium used by hackers to penetrate computers and systems

6 U in a text messsage

8 World where physical objects are electronically linked, abbr.

9 Evil monsters

11 Cybercrime target

16 For each one

17 They control activities

19 Driveway material

21 Fine tune

23 Access codes

24 Tries out

27 Have responsibility for

29 Initial phases of a project

30 Speed

33 Steal

34 Illegally obtained

35 __-res file

36 Noise

37 Security exam

38 Roman 6

39 Urge, with on

41 Germany’s internet domain name

Answers on page 58

CPEquizPrepared bySally Chan,CGEIT, ACIS, CMA, CPA,

Take the quiz online

#167 Based on Volume 2, 2016—Project Management Methodologies and Associated RiskValue: 1 Hour of CISA/CISM/CGEIT Continuing Professional Education (CPE) Credit

quizVERDADERO O FALSO

ARTICULO DE ROSS

1 Un verdadero gestor de riesgos debe tener en cuenta todos los aspectos de las amenazas de ataques cibernéticos representan a una organización e idear métodos para transferir y controlar los riesgos, aceptando el resto de una manera informada.

2 Sobre la base de los productos disponibles en el mercado para hacer frente a la seguridad cibernética, el interés en la recuperación es muy superior a las de prevención y detección.

ARTICULO DE MORAN

3 Es responsabilidad de la gestión de riesgos ágil para abordar las preocupaciones tales como el reconocimiento de las amenazas y oportunidades dentro de un proyecto, la identificación y priorización de las estrategias de respuesta a los riesgos correspondientes, y la capacidad de juzgar si es o no se está gestionando el riesgo.

4 Una diferencia clave entre la gestión tradicional y ágil el riesgo del proyecto es que la propiedad de riesgo se determina por los miembros del equipo del proyecto de una manera similar a la asignación de las historias de usuario y tareas relacionadas.

5 Durante la evaluación de riesgos, las puntuaciones asignadas para medir el riesgo inherente no se pueden utilizar para construir un gráfico de quema de riesgo, que no da seguimiento a las actividades generales de gestión de riesgos.

ARTICULO DE EE

6 A pesar de una menor cantidad de documentación, ágil en realidad puede crear una mayor transparencia en las incertidumbres que pueden no ser visibles de otro modo durante el inicio de un proyecto.

7 Escenarios ágiles no pueden obligar a las partes interesadas para aclarar exactamente lo que necesitan y no pueden ayudar a mitigar el riesgo de chapado en oro, que es la adición de características que no agregan valor. Por lo tanto, los auditores no pueden participar pronto en el proceso de desarrollo de software mediante la búsqueda de la documentación completa por adelantado.

8 Un precepto clave detrás de la aparición de pensamiento de diseño como un medio para la resolución de problemas es el énfasis en la colaboración para lograr el diseño de productos sostenibles.

9 Ágil y Scrum pretenden estar incompleta. Se ocupan de la gestión de riesgos, la estrategia de producto y otras áreas que componen la gran cantidad de actividades para permitir y sostener el lanzamiento del producto.

ARTICULO DE MANI

10 El análisis de valor en la implementación de Lean implica evaluar cada paso del proceso a través de los ojos del cliente y determinar si el paso es de valor añadido actividad de habilitación de valor, o no añaden valor.

11 El modelo Kano ayuda en la visualización de trabajo, la reducción de residuos mediante la limitación de los trabajos en curso y la maximización de valor para el cliente a través de un proceso conocido como flujo de valor.

12 Muchas organizaciones empresariales de TI mundial han experimentado un incremento del 30-50 por ciento en la productividad de TI y reduce el tiempo de entrega de nuevas aplicaciones y funcionalidades/funciones en un 20-40 por ciento a través de la aplicación de técnicas Lean como el análisis de la cadena de valor.

ARTICULO DE SHUBHAMANGALA

13 El costo de una violación de datos depende de dos factores: la criticidad y la correspondiente solicitud de sensibilidad de los datos accede a la aplicación.

14 Las vulnerabilidades son la razón fundamental de ataques a la seguridad. Ellos representan el mayor riesgo para la seguridad de las aplicaciones.

15 El incumplimiento de las organizaciones cuesta, en promedio, 1,25 veces más que el cumplimiento de las normas de cumplimiento. Debido a que este coste es marginal, conocer el grado en que la aplicación es compatible es opcional.


Get Noticed!

For more information, contact [email protected]

Advertise in the ISACA® Journal

Answers: Crossword by Myles Mellor See page 56 for the puzzle.

Nombre

Dirección

CISA, CISM, CGEIT or CRISC #

PLEASE PRINT OR TYPE

ARTICULO DE ROSS

1.

2.

ARTICULO DE MORAN

3.

4. 5.

ARTICULO DE EE

6. 7.

8. 9.

ARTICULO DE MANI

10.

11.

12.

ARTICULO DE SHUBHAMANGALA

13. 14.

15.

VERDADERO O FALSO

FORMULARIO DE RESPUESTASBasado en Volume 2, 2016

CPEquiz#167

Journal

Please confirm with other designation-granting professional bodies for their CPE qualification acceptance criteria. Quizzes may be submitted for grading only by current Journal subscribers. An electronic version of the quiz is available at www.isaca.org/cpequiz; it is graded online and is available to all interested parties. If choosing to submit using this print copy, please email, fax or mail your answers for grading. Return your answers and contact information by email to [email protected] or by fax to +1.847.253.1443. If you prefer to mail your quiz, in the US, send your CPE Quiz along with a stamped, self-addressed envelope, to ISACA International Headquarters, 3701 Algonquin Rd., #1010, Rolling Meadows, IL 60008 USA. Outside the US, ISACA will pay the postage to return your graded quiz. You need only to include an envelope with your address. You will be responsible for submitting your credit hours at year-end for CPE credits. A passing score of 75 percent will earn one hour of CISA, CISM, CGEIT or CRISC CPE credit.

Guías y Estándares

Cumplimiento Miembro de ISACA y Portador de una Certificación

Aseguramiento y las habilidades necesarias para efectuar este tipo de compromisos requiere estándares que se apliquen específicamente a las auditorias SI y aseguramiento. El desarrollo y diseminación de las auditorias de SI y estándares de aseguramiento son una piedra angular de la contribución profesional de ISACA® con la comunidad de auditoria.

Auditorias SI y estándares de aseguramiento define los requisitos mandatorios para la auditoria SI. Ellos reportan e informan:

• Profesionales de Auditoria SI y aseguramiento del nivel mínimo aceptable del desempeño requerido para cumplir con las responsabilidades establecidas en el Código de Ética de Profesionales de ISACA.

• Gerentes y otras partes interesadas de las expectativas de la profesión relacionado con el trabajo de los practicantes.

• Poseedores de la designación de “Certified Information Systems Auditor® (CISA®) de requisitos. Si fallan en cumplir con estos estándares puede resultar en una investigación de la conducta del poseedor de CISA por la Junta de Directores de ISACA o comité apropiado y finalmente en una acción disciplinaria.

ITAFTM, 3rd Edition (www.isaca.org/itaf) provee un marco de referencia para múltiples niveles de guías:

Auditoria SI y Estándares de AseguramientoLos estándares han sido divididos en tres categorías:

• Estándares Generales (series 1000) – Son los principios guía bajo el cual la profesión de aseguramiento de SI opera. Aplica a la conducta de todas las asignaciones y hace frente con la auditoria SI y la ética del profesional de aseguramiento, independencia, objetividad y al debido cuidado como al conocimiento, competencia y habilidad.

• Estándar de Desempeño (series 1200) – Hace frente a la conducta de la asignación, como ser planear y supervisar, determinación del alcance, riesgo y materialidad, movilización de los recursos, supervisión y la gestión de asignación, auditoria y evidencia de aseguramiento, y el ejercicio de su juicio profesional y debido cuidado.

• Estándares de Reportar (series 1400) – Abordar los tipos de reportes, medios de comunicación y la información comunicada.

Por favor tomar nota que las nuevas guías son efectivas a partir del 1 de septiembre del 2014.

General1001 – Estatuto de Auditoria1002 – Independencia Organizacional1003 – Independencia Profesional1004 – Expectación Razonable1005 – Debido Cuidado Profesional1006 – Competencia1007 – Afirmaciones1008 – Criterio

Desempeño1201 – Planificación de Trabajo1202 – Evaluación de Riesgo en Planeación1203 – Desempeño y Supervisión1204 – Materialidad1205 – Evidencia1206 – Utilizando el Trabajo de otros Expertos1207 – Actos irregulares e ilegales

Reportes1401 – Reportando1402 – Seguimiento Actividades

IS Audit and Assurance Guidelines Las guías están diseñadas para apoyar directamente los estándares y ayudar a los practicantes lograr su alineación con los estándares. Estas siguen la misma categorización al igual que los estándares (también divididos en tres categorías):

• Guías Generales (series 2000)

• Guías de Desempeño (series 2200)

• Guías de Reportes (series 2400)

Por favor tomar nota que las nuevas guías son efectivas a partir del 1 de septiembre del 2014.

General2001 – Estatuto de Auditoria2002 – Independencia Organizacional2003 – Independencia Profesional2004 – Expectación Razonable2005 – Debido Cuidado Profesional2006 – Competencia2007 – Afirmaciones

2008 – Criterio

Desempeño2201 – Planificación de Trabajo2202 – Evaluación de Riesgo en Planeación2203 – Desempeño y Supervisión2204 – Materialidad2205 – Evidencia2206 – Utilizando el Trabajo de otros Expertos2207 – Actos irregulares e ilegales2208 - Muestreo

Reporrtes2401 – Reportando2402 – Seguimiento Actividades

Herramientas y técnicas de Auditoria SI y AseguramientoEstos documentos proveen de una guía adicional para los profesionales de auditoria SI y aseguramiento y consiste, entre otras cosas, de white papers, programas de Auditoria SI/Aseguramiento, libros de referencia y la familia de productos COBIT® 5. Herramientas y técnicas están listadas bajo www.isaca.org/itaf.

Un glosario sobre términos utilizados en ITAF lo puede encontrar en línea en www.isaca.org/glossary

Previamente de emitir cualquier nuevo Estándar o Guía, un borrador es emitido internacionalmente para consulta del público general.Comentarios también pueden ser enviados a la atención del Director de Privacidad y Practicas de Aseguramiento por correo ([email protected]) fax (+1.847.253.1443) o correo postal (ISACA International Headquartes, 3701, Algonquin Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).

Links a actuales y expuestos Estándares, Guías y Herramientas y Técnicas de ISACA están posteadas en www.isaca.org/standards.

Disclaimer: ISACA has designed this guidance as the minimum level of Disclaimer: ISACA ha designado esta guía como el nivel mínimo de desempeño aceptable requerido para cumplir con las responsabilidades de profesionales expuestas en el Código de Ética Profesional de ISACA. ISACA no garantiza que los usos de estos productos aseguraran un resultado exitoso. La orientación no debe ser considerada inclusive de cualquier procedimiento y pruebas propias o exclusivos de otros productos y pruebas que son razonablemente dirigidos para obtener los mismos resultados. Para determinar la conveniencia de cualquier procedimiento o prueba específica, los profesionales de control deben aplicar su propio juicio profesional a las circunstancias específicas de control presentados por los sistemas particulares o ambientes de SI.

herramientas y técnicas


Editor

Jennifer [email protected]

Assistant Editorial Manager

Maurita Jasper

Contributing Editors

Sally Chan, CGEIT, CPA, CMAEd Gelbstein, Ph.D.Kamal Khan, CISA, CISSP, CITP, MBCSVasant Raval, DBA, CISASteven J. Ross, CISA, CBCP, CISSPB. Ganapathi Subramaniam, CISA, CIA,

CISSP, SSCP, CCNA, CCSA, BS 7799 LA

Smita Totade, Ph.D., CISA, CISM, CGEIT, CRISC

Advertising

[email protected]

Media Relations

[email protected]

Editorial Reviewers

Matt Altman, CISA, CISM, CGEIT, CRISCSanjiv Agarwala, CISA, CISM, CGEIT,

CISSP, ITIL, MBCICheolin Bae, CISA, CCIEBrian Barnier, CGEIT, CRISCPascal A. Bizarro, CISAJerome Capirossi, CISAJoyce Chua, CISA, CISM, PMP, ITILv3Ashwin K. Chaudary, CISA, CISM, CGEIT,

CRISCBurhan Cimen, CISA, COBIT Foundation,

ISO 27001 LA, ITIL, PRINCE2Ian Cooke, CISA, CGEIT, CRISC, COBIT

Foundation, CFE, CPTS, DipFM, ITIL Foundation, Six Sigma Green Belt

Ken Doughty, CISA, CRISC, CBCPNikesh L. Dubey, CISA, CISM,

CRISC, CISSPRoss Dworman, CISM, GSLCRobert FindlayJohn FlowersJack Freund, CISA, CISM, CRISC,

CIPP, CISSP, PMPSailesh Gadia, CISARobin Generous, CISA, CPAAnuj Goel, Ph.D., CISA, CGEIT,

CRISC, CISSPTushar Gokhale, CISA, CISM, CISSP,

ISO 27001 LA

Tanja GrivicicManish Gupta, Ph.D., CISA, CISM,

CRISC, CISSPMike Hansen, CISA, CFEJeffrey Hare, CISA, CPA, CIASherry G. HollandJocelyn Howard, CISA, CISMP, CISSPFrancisco Igual, CISA, CGEIT, CISSPJennifer Inserro, CISA, CISSPKhawaja Faisal Javed, CISA, CRISC, CBCP,

ISMS LAMohammed Khan, CISA, CRISC, CIPMFarzan Kolini GIACMichael Krausz, ISO 27001Abbas Kudrati, CISA, CISM, CGEIT, CEH,

CHFI, EDRP, ISMSShruti Kulkarni, CISA, CRISC, CCSK, ITILBhanu KumarHiu Sing (Vincent) Lam, CISA, CPIT(BA),

ITIL, PMPEdward A. Lane, CISA, CCP, PMPRomulo Lomparte, CISA, CISM, CGEIT,

CRISC, CRMA, ISO 27002, IRCAJuan Macias, CISA, CRISCLarry Marks, CISA, CGEIT, CRISCNorman MarksTamer Marzouk, CISAKrysten McCabe, CISABrian McLaughlin, CISA, CISM, CRISC,

CIA, CISSP, CPABrian McSweeneyIrina Medvinskaya, CISM, FINRA, Series 99David Earl Mills, CISA, CGEIT, CRISC,

MCSERobert Moeller, CISA, CISSP, CPA, CSQERamu Muthiah, CISM, CRVPM, GSLC,

ITIL, PMPEzekiel Demetrio J. Navarro, CPAJonathan Neel, CISAAnas Olateju Oyewole, CISA, CISM, CRISC,

CISSP, CSOE, ITILPak Lok Poon, Ph.D., CISA, CSQA, MIEEEJohn Pouey, CISA, CISM, CRISC, CIASteve Primost, CISMParvathi Ramesh, CISA, CAAntonio Ramos Garcia, CISA, CISM, CRISC,

CDPP, ITILRon Roy, CISA, CRPLouisa Saunier, CISSP, PMP, Six Sigma

Green BeltDaniel Schindler, CISA, CIANrupak D. Shah, CISM, CCSK, CEH,

ECSA ITILShaharyak ShaikhSandeep SharmaCatherine Stevens, ITILJohannes Tekle, CISA, CFSA, CIARobert W. Theriot Jr., CISA, CRISCNancy Thompson, CISA, CISM,

CGEIT, PMPSmita Totade, Ph.D., CISA, CISM,

CGEIT, CRISC

Ilija Vadjon, CISASadir Vanderloot Sr., CISA, CISM, CCNA,

CCSA, NCSAAnthony Wallis, CISA, CRISC, CBCP, CIAKevin Wegryn, PMP, Security+, PFMPTashi WilliamsonEllis Wong, CISA, CRISC, CFE, CISSP

ISACA Board of Directors (2015–2016)

ChairChristos Dimitriadis, Ph.D., CISA,

CISM, CRISC, ISO 20000 LA

Vice-chairTheresa Grafenstine, CISA, CGEIT, CRISC,

CGAP, CGMA, CIA, CPA

DirectorRosemary Amato, CISA, CMA, CPA

DirectorGarry Barnes, CISA, CISM, CGEIT,

CRISC, MAICD

DirectorRob Clyde, CISM

DirectorLeonard Ong, CISA, CISM, CGEIT,

CRISC, COBIT 5 Implementer and Assessor (Singapore), CFE, CFP, CGFA, CIPM, CIPT, CISSP ISSMP-ISSAA, CITBCM, CPP, CSSLP, GCIA, GCIH, GSNA, PMP

DirectorAndre Pitkowski, CGEIT, CRISC,

COBIT 5 Foundation, CRMA, ISO 27kLA, ISO 31kLA

DirectorEdward Schwartz, CISA, CISM, CAP,

CISSP, ISSEP, NSA-IAM, PMP, SSCP

DirectorZubin Chagpar, CISA, CISM, PMP

DirectorRaghu Iyer, CISA, CRISC

DirectorJo Stewart-Rattray, CISA, CISM,

CGEIT, CRISC

Past ChairRobert E Stroud, CGEIT, CRISC

Past ChairTony Hayes, CGEIT, AFCHSE, CHE, FACS,

FCPA, FIIA

Past ChairGreg Grocholski, CISA

Director and Chief Executive OfficerMatthew S. Loeb, CGEIT, CAE

ISACA® Journal, formerly Information Systems Control Journal, is published by the Information Systems Audit and Control Association® (ISACA®), a nonprofit organization created for the public in 1969. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors, employers or the editors of the Journal. ISACA Journal does not attest to the originality of authors’ content.

© 2016 ISACA. All rights reserved.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC) (www.copyright.com), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1944-1967), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.

ISSN 1944-1967

Subscription Rates: US:one year (6 issues) $75.00

All international orders: one year (6 issues) $90.00.

Remittance must be made in US funds.

advertisers/ web sitesCapella University capella.edu/ISACA 3

Chiron Technology Services chirontech.com Back Cover

Saint Leo University SaintLeo.edu Inside Back Cover

Society of Corporate Compliance & Ethics corporatecompliance.org/academies 1

leaders and supporters