Estimados
Muchos no han consultado sobre un problema en sistemas operativos MS Vista con SP1 y Ms Office 2007. El problema presentado es al cerrar cualquier aplicativo de MS Office 2007, genera un error similar al siguiente:
Este error aleatorio, se produce cuando la impresora predeterminada es de la linea HP. En el Panel de Control, Impresoras, cambien la impresora predeterminada por otra impresora o por el generador de PDF.
Con estos pasos el error desaparece del puesto de trabajo.
Saludos
Quique
Este portal está diseñado con el fin de difundir conceptos de seguridad informática y seguridad de la información. Hoy en día es necesario crear conciencia de lo que es realmente la seguridad, por ello estamos intentando con este portal, dar a conocer todas las novedades y nuevas tecnologías. Todos aquellos que quieran participar, deben hacerlo respetando las normas de Netiquette.
miércoles, 10 de diciembre de 2008
lunes, 17 de noviembre de 2008
Eventos de Noviembre y Diciembre
Estimados
Terminamos el año y para cerrarlo con todos los laureles, lo hacemos con un ciclo de Webcast en donde podremos analizar herramientas que nos permita hacer seguro nuestros entornos de IT.
La serie de Webcast y sus fechas son:
- “Descubre lo nuevo de MSAT 4.0”, día 19/11/08.
URL: http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032395040&Culture=es-AR
Se analizará las novedades de la nueva herramienta de auditoría provista por Microsoft.
-“Analiza la seguridad de tu red”, día 26/11/08.
URL: http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032395043&Culture=es-AR
Recorre tu red desde tu PC y verifica los niveles de seguridad de tu compañía.
-“Plataforma actualizada, plataforma segura”, día 02/12/08.
URL: http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032395061&Culture=es-AR
Con los detectores de código malicioso no basta, mantiene tu plataforma segura.
-“Conversa con el Auditor”, día 03/12/08.
URL: http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032395063&Culture=es-AR
Con las dudas que surgieran en las sesiones anteriores y analizando las problemáticas personales, podrás resolver tu inquietud en línea con un AUDITOR LIDER ISO/IEC 27001:2005.
Utilizando herramientas que Microsoft provee de manera gratuita, analizaremos la seguridad y cómo elevar a un nivel de madurez en seguridad adecuado de la compañía, en un ciclo de gestión de seguridad. Los eventos son gratuitos y solo debe registrarse en las URL que se adjuntan.
El evento del último día, será interactivo y los registrados podrán participar con inquietudes o dudas, con el fin de mantener un escenario seguro en la red. Es este evento los asistentes participarán más activamente.
Los espero en línea.
Enrique
Terminamos el año y para cerrarlo con todos los laureles, lo hacemos con un ciclo de Webcast en donde podremos analizar herramientas que nos permita hacer seguro nuestros entornos de IT.
La serie de Webcast y sus fechas son:
- “Descubre lo nuevo de MSAT 4.0”, día 19/11/08.
URL: http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032395040&Culture=es-AR
Se analizará las novedades de la nueva herramienta de auditoría provista por Microsoft.
-“Analiza la seguridad de tu red”, día 26/11/08.
URL: http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032395043&Culture=es-AR
Recorre tu red desde tu PC y verifica los niveles de seguridad de tu compañía.
-“Plataforma actualizada, plataforma segura”, día 02/12/08.
URL: http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032395061&Culture=es-AR
Con los detectores de código malicioso no basta, mantiene tu plataforma segura.
-“Conversa con el Auditor”, día 03/12/08.
URL: http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032395063&Culture=es-AR
Con las dudas que surgieran en las sesiones anteriores y analizando las problemáticas personales, podrás resolver tu inquietud en línea con un AUDITOR LIDER ISO/IEC 27001:2005.
Utilizando herramientas que Microsoft provee de manera gratuita, analizaremos la seguridad y cómo elevar a un nivel de madurez en seguridad adecuado de la compañía, en un ciclo de gestión de seguridad. Los eventos son gratuitos y solo debe registrarse en las URL que se adjuntan.
El evento del último día, será interactivo y los registrados podrán participar con inquietudes o dudas, con el fin de mantener un escenario seguro en la red. Es este evento los asistentes participarán más activamente.
Los espero en línea.
Enrique
miércoles, 22 de octubre de 2008
MSAT 4.0
Si señores, aca esta!!, ya salió la nueva versión de MSAT. En el material de este blog encontrarán la documentación completa de la versión anterior. Ya estamos preparando unos eventos y la guía de utilización de esta nueva versión de MSAT.
Los requierimientos para instalar la misma son:
- Sistemas operativos compatibles: Windows Server 2003 Service Pack 2; Windows Server 2008; Windows Vista; Windows XP Service Pack 2 (recuerden que no hace falta instalar la herramienta en un server).
- NET Framework Version 3.5
- Internet Explorer 6.0
- SQL Server CE 3.5
Al momento de bajarla, para asegurarse que están bajando la versión en Español, verifiquen que el ZIP diga "MSATSpanish.zip".
Para aquellos que han utilizado la versión anterior, pueden tener las dos versiones instaladas. Los cambios de la herramienta han hecho que invalidara sus evaluaciones anteriores. Le recomendamos CREAR UN NUEVO BASELINE debido a la evolución de las amenazas.
A probar esta nueva herramienta y ha seguir trabajando con las auditorias. Para aquellos que han probado la misma, nos interesa su "Feedback". Deja tus comentarios en el blog.
Esta atento a los eventos que se vienen!!... no dejes de visitar el site de Seguridad de Microsoft...
Los requierimientos para instalar la misma son:
- Sistemas operativos compatibles: Windows Server 2003 Service Pack 2; Windows Server 2008; Windows Vista; Windows XP Service Pack 2 (recuerden que no hace falta instalar la herramienta en un server).
- NET Framework Version 3.5
- Internet Explorer 6.0
- SQL Server CE 3.5
Al momento de bajarla, para asegurarse que están bajando la versión en Español, verifiquen que el ZIP diga "MSATSpanish.zip".
Para aquellos que han utilizado la versión anterior, pueden tener las dos versiones instaladas. Los cambios de la herramienta han hecho que invalidara sus evaluaciones anteriores. Le recomendamos CREAR UN NUEVO BASELINE debido a la evolución de las amenazas.
A probar esta nueva herramienta y ha seguir trabajando con las auditorias. Para aquellos que han probado la misma, nos interesa su "Feedback". Deja tus comentarios en el blog.
Esta atento a los eventos que se vienen!!... no dejes de visitar el site de Seguridad de Microsoft...
martes, 14 de octubre de 2008
Cómo saber el estado de seguridad de mis servidores?
Una vez que ejecutan el MSAT (ver articulos anteriores), unas de las preguntas que encontraremos es sobre si los servidores poseen actualizaciones al día?, si poseen antivirus?, si posee una política de actualización de los mismos?, etc.
Muchas compañías no poseen servicios centralizados de actualización de paquetes o parches, que podrían simplificarse implementando el WSUS.(próximamente publicaremos un artículo de buenas prácticas con WSUS). Para los que no tienen implementado WSUS y quieran saber el estado de seguridad de sus servidores, recomendamos ejecutar el Microsoft Baseline Security Analyzer 2.1.
El Microsoft Baseline Security Analyzer 2.1, cuya última actualización data de mayo de este año, ya reconoce dentro de las vulnerabilidades al MS Vista y Ms Windows 2008. Otro dato importante, es que soporta la plataforma x64.
Recomiendo instalar esta herramienta y hacer un relevamiento de los servidores con el fin de analizar el estado de seguridad de los mismos. La herramienta, como lo venía haciendo en las versiones anteriores, nos informará sobre el estado de configuracion del IIS, SQL, cuentas locales, Auditorias y seguridad local, dentro de algunos de los chequeos.
Proximamente publicaremos un articulo en dos partes, uno con un análisis y otro con seguimientos y mejoras.
Saludos
Enrique
Muchas compañías no poseen servicios centralizados de actualización de paquetes o parches, que podrían simplificarse implementando el WSUS.(próximamente publicaremos un artículo de buenas prácticas con WSUS). Para los que no tienen implementado WSUS y quieran saber el estado de seguridad de sus servidores, recomendamos ejecutar el Microsoft Baseline Security Analyzer 2.1.
El Microsoft Baseline Security Analyzer 2.1, cuya última actualización data de mayo de este año, ya reconoce dentro de las vulnerabilidades al MS Vista y Ms Windows 2008. Otro dato importante, es que soporta la plataforma x64.
Recomiendo instalar esta herramienta y hacer un relevamiento de los servidores con el fin de analizar el estado de seguridad de los mismos. La herramienta, como lo venía haciendo en las versiones anteriores, nos informará sobre el estado de configuracion del IIS, SQL, cuentas locales, Auditorias y seguridad local, dentro de algunos de los chequeos.
Proximamente publicaremos un articulo en dos partes, uno con un análisis y otro con seguimientos y mejoras.
Saludos
Enrique
Sea su propio auditor (parte II)
Estimados
Ya está disponible en el sitio de Microsoft, el Webcast realizado en donde analizamos una empresa tipo (tipo que no piensa en seguridad), realizamos la auditoria con el MSAT, analizamos los resultados y estipulamos el plan de acción.
Luego de implementar los cambios, volvemos a ejecutar la auditoria con MSAT y descubrimos el cambio en el nivel de madurez de la seguridad de la compañía.
Recomiendo asistir a este Webcast para cerrar la parte práctica del artículo publicado en septiembre.
URL:
http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?culture=en-US&EventID=1032386576&CountryCode=US
Saludos
Quique
Ya está disponible en el sitio de Microsoft, el Webcast realizado en donde analizamos una empresa tipo (tipo que no piensa en seguridad), realizamos la auditoria con el MSAT, analizamos los resultados y estipulamos el plan de acción.
Luego de implementar los cambios, volvemos a ejecutar la auditoria con MSAT y descubrimos el cambio en el nivel de madurez de la seguridad de la compañía.
Recomiendo asistir a este Webcast para cerrar la parte práctica del artículo publicado en septiembre.
URL:
http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?culture=en-US&EventID=1032386576&CountryCode=US
Saludos
Quique
lunes, 15 de septiembre de 2008
Eventos de Seguridad Microsoft
En Microsoft la Seguridad es su principal compromiso. Incorporan permanentemente innovaciones en los productos, desarrollan nuevas herramientas de protección y elaboran guías que conducen a minimizar el impacto de los riesgos potenciales. De esta manera Héroes IT pueden ofrecer a los usuarios una experiencia más segura y confiable.
EVENTOS
16/09/08 Seguridad al extremo con Windows Server 2008.
17/09/08 Hágalo Usted mismo: Auditorias de Seguridad. Parte1
18/09/08 Manejo de datos sensitivos.
19/09/08 Hágalo Usted mismo: Auditorias de Seguridad. Parte2
24/09/08 Virtualización y seguridad: ¿Qué significa eso para mí?.
25/09/08 Windows Server 2008 Hyper-V: Mejores prácticas y Seguridad.
30/08/08 Boletín Mensual de Seguridad.
Para inscribirse hacer click aqui
Los espero en linea.
Saludos....
Quique.
EVENTOS
16/09/08 Seguridad al extremo con Windows Server 2008.
17/09/08 Hágalo Usted mismo: Auditorias de Seguridad. Parte1
18/09/08 Manejo de datos sensitivos.
19/09/08 Hágalo Usted mismo: Auditorias de Seguridad. Parte2
24/09/08 Virtualización y seguridad: ¿Qué significa eso para mí?.
25/09/08 Windows Server 2008 Hyper-V: Mejores prácticas y Seguridad.
30/08/08 Boletín Mensual de Seguridad.
Para inscribirse hacer click aqui
Los espero en linea.
Saludos....
Quique.
viernes, 15 de agosto de 2008
Sea su propio auditor (parte I)
1.Situación Actual: “Vivir en permanente riesgo”
En las compañías las actividades relacionadas a la tecnología son dinámicas y cambian día a día (nuevos puestos de trabajo, cambios en los aplicativos, aumento del tráfico de correos, implementación de nuevas soluciones, etc). En este cambio constante, también mutan las amenazas que pueden poner en riesgo los procesos de negocios de las compañías.
En la actualidad la Norma ISO/IEC 27001:2005 posee una lista de los objetivos de control deseados para que una compañía analice cuales podrían ser los puntos de seguridad a abordar. Es una herramienta útil para utilizar de guía, pero la organización deberá contar con personal que entienda de controles, el alcance de los mismos y que pueda asegurar la implementación de los mismos. Mientras tanto las amenazas acechan los recursos de IT y las organizaciones están al límite de un problema de seguridad.
Por otro lado, es muy común escuchar en las organizaciones que debido a la cantidad de trabajo, no tienen tiempo de analizar la seguridad de la compañía, que si realizan esta actividad, no saben qué hacer con los resultados, como organizarlos, a que darle prioridad, como organizarse con todos los contenidos, como auditarlos y luego que hacer ante una no-conformidad.
Por un lado no se toman acciones por que se desconocen metodologías o herramientas que permitan dar un estado eficiente y rápido, por otro lado las amenazas cada vez son mayores y crece poco a poco el nivel de riesgo en las organizaciones.
2.Iniciativa Microsoft: “Cambio de paradigma”
En el año 2002, Microsoft lanza una iniciativa a la que denominó Trustworthy Computing (http://www.microsoft.com/mscorp/twc/default.mspx), entendiendo por ello que la seguridad es un proceso de maduración y que las personas que utilicen los computadores deben sentirse seguros ante la utilización de la plataforma Microsoft. A partir del 2002 las soluciones que Microsoft lanza al mercado van cambiando, agregando una cuota importante de seguridad hasta lograr un nivel más que importante en las soluciones que hoy Microsoft ofrece al mercado.
Ahora bien, no todo pasa por las soluciones (hardware & software). Está demostrado que la mayoría de los problemas de seguridad se debe al desconocimiento de los riesgos de implementar una solución de manera predeterminada o por querer hacer más flexible el uso se baja el nivel de seguridad.
Por ello, y para ayudar a los usuarios y personal de IT de las compañías, Microsoft lanza varias iniciativas que permiten generar conciencia y ofrecen metodologías de escenarios seguros: MOF (Microsoft Operations Framework), IO (Infrastructure Optimization), guías de seguridad para productos y soluciones.
Ahora bien, ¿Cómo se puede auditar un escenario, una compañía o un proceso? ¿Qué tan segura es nuestra red? Desde el año 2004 Microsoft viene ofreciendo una herramienta gratuita que permite realizar un análisis de riesgo de la compañía.
3.MSAT 2.0: “Mi analizador de riesgo personal”
En el año 2004 Microsoft publica una herramienta denominada Self Assessment Tool (MSRSAT). Esta herramienta simple, con un mínimo cuestionario, nos daba una idea del estado de seguridad de la compañía. Las preguntas que se respondían permitían evaluar si se cumplía con requerimientos mínimos para contar con un escenario seguro.
Obviamente todo cambio tecnológico era evidente que provocaría evoluciones en esta herramienta, lanzando la nueva versión denominada MSAT, Microsoft Security Assessment Tool (Herramienta de Evaluación de la Seguridad de Microsoft), que actualmente se encuentra en la versión 3.5. A partir de la versión 2.0 del año 2005 se podía bajar de Microsoft una versión denominada Internacional, que ofrecía a los clientes la consola en diferentes idiomas incluso el español.
Una vez instalada la herramienta, se debía crear un perfil con información básica de la organización. Esto le permitiría analizar diferentes escenarios, como por ejemplo casa central, sucursal 1 y sucursal 2. La batería de encuestas se repite para cada perfil.
En la versión 2.0, la evaluación se orientaban a compañías que no superaran los 1000 empleados (recomendada para organizaciones entre 50 y 500 Pc).
La herramienta comienza con una serie de preguntas sobre el modelo de su compañía para ir creando el perfil de riesgos para la empresa (BRP) mediante la valoración del riesgo al que su organización está expuesta conforme al modelo y sector empresarial. Luego sigue con una batería de preguntas en donde se intenta hacer frente al riesgo y a vulnerabilidades específicas. Cada capa contribuye a una estrategia de defensa en profundidad. Al finalizar se generaba un reporte con los resultados en capas para determinar en qué aspectos de la organización con relación a IT estaban en riesgo. Este modelo lo podemos observar si analizamos Defensa en Profundidad (DiD – Defense in Depth), que se basa en la implantación de capas de defensa en los niveles técnicos, organizativos y operativos http://www.microsoft.com/spain/technet/security/guidance/serversecurity/avdind_0.mspx.
Para finalizar, esta versión ya incluida una alternativa de actualización a nuevas versiones del MSAT sin perder los perfiles cargados.
4.MSAT 3.5: “La evolución continúa (madurez continua…)”
Al diseñarse esta nueva versión Microsoft tuvo en cuenta una gestión de riesgo de seguridad en el entorno de IT. La herramienta, basándose en las buenas prácticas (ISO/IEC 27001:2005, ITIL, COBIT, NIST 800.x, etc.), emplea un enfoque holístico para medir el estado de seguridad basándose en la PPP (People, Products, Process – Personas, Productos o tecnología, Procesos). Los resultados al finalizar con las preguntas, nos orientarán en la mitigación de los riesgos, incluso incluyendo enlaces para obtener más información sobre algunos casos.
La evaluación contiene alrededor de 200 preguntas, que han sido divididas en 4 categorías:
•Infraestructura
•Aplicaciones
•Operaciones
•Gente o personal.
Al finalizar la carga de las preguntas, usted podrá obtener:
....Aprender de la herramienta y aplicarlo como una metodología de trabajo, ya que se recomienda usar la herramienta en diferentes estadios de madurez de la compañía.
....Un marco de defensa en profundidad con un análisis comparativo de la industria.
....Un informe detallado, continúo comparando el punto de referencia con su progreso.
....Recomendaciones comprobadas y actividades prioritarias para mejorar su seguridad.
....Microsoft estructurado y orientación de la industria(IO).
5.Usando MSAT 3.5: “Sacando el auditor que hay en mi”
Bajando e instalando la herramienta.
Si Usted desea usar esta versátil herramienta para saber cuál es el estado de seguridad de su escenario de IT, puede bajar la misma del siguiente sitio
http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=6d79df9c-c6d1-4e8f-8000-0be72b430212
Una vez que ya posee la herramienta, debe proceder a instalarla. Previamente, verifique los requerimientos básicos en la página Web (Windows 2000 Professional Edition; Windows Vista; Windows XP Professional Edition) , pero no hace falta instalar la herramienta en un servidor. Muchos preguntan si la herramienta recolecta datos de la red, a lo que la respuesta es NO!. Esta herramienta es interactiva y la única manera de que funcione es respondiendo las preguntas en la pantalla de la misma.
Usando la herramienta por primera vez
Deberá ejecutar la herramienta desde el ícono de MSAT que agregó a su menú de programas. Al aparecer la consola, lo primero que sugerimos hacer es cambiar el idioma. Para ello deberá seleccionar en la barra de menú, la opción Tools, Choose Language y seleccionar el idioma Spanish (Spain).
Para continuar, deberá presionar el botón Nuevo y le pedirá el nombre del perfil. Al presionar Aceptar, aparecerán unas pantallas en donde se le solicitará información básica de la compañía, esta pantalla se denomina Perfil de la Empresa.
De allí en más aparecerán las encuestas, en donde se pregunta sobre cómo está actualmente la compañía. Las ventanas que irán apareciendo son:
1) Perfil de la empresa
2) Perfil de riesgo para la empresa (BRP)
...Seguridad de la infraestructura (preguntas sobre los servicios que utilizan los usuarios, accesos remotos, configuraciones de red, backups, otros).
...Seguridad de las aplicaciones (preguntas de cómo está organizada el área de desarrollo de software en la compañía y que cuidados se tienen).
...Seguridad de las operaciones (como se utilizan los recursos de IT, si son vitales para la organización, como usan los datos los usuarios en la compañía, otros).
...Entorno (Perfil de la organización, cantidad de empleados, uso de recursos).
Una vez que completa los datos generales, aparecerá una solicitud de perfil nuevamente para realizar las evaluaciones. Si la empresa posee casa central y/o sucursales, es conveniente crear un perfil para cada uno de ellos, a menos que no tenga recursos como servidores o dispositivos de comunicaciones distribuidos entre los sitios.
Al crear el perfil, aparecerá una pantalla pidiéndonos el nombre del mismo. Deberá prestar atención allí, ya que puede elegir el perfil de análisis que desea realizar, uno puede ser un perfil de análisis en general (Microsoft Security assessment) o de la infraestructura (Core Infrastructure Optimization Assessment).
Listo, de ahora en más a responder a las preguntas, que en este caso elegimos como evaluación de seguridad. A medida que empieza a responder aparecerán las preguntas. Al lado de cada pregunta encontrará un ícono con la forma de ? que podrá seleccionar si no entiende lo que se esta evaluando.
Cada vez que termina con una capa, la misma aparece a la izquierda de la pantalla, bajo el nombre del perfil, de color rojo, se pondrá de color verde, indicando que esa etapa está resuelta.
Una vez finalizada la encuesta, aparecerá un informe que posee tres opciones:
• Informe resumido.
En base a lo cargado en las encuestas, indica el estado de madurez del BRP (medición del riesgo relacionado al modelo empresarial y al sector de la empresa, estos datos fueron cargados en el perfil de la compañía) y el DiDI (medición de las defensa de seguridad del PPP).
• Informe completo
Informe detallado que si Usted lo imprimen, pueden presentarlo a la gerencia indicando el estado de seguridad de la oficina a la cual evaluaron. Al final del documento posee URL para buscar información complementaria.
De cada ítem evaluado, se detalla o explica cuales son las fallas y que acciones deben tomarse.
•Informe comparativo.
Para generarlo, debe cargar desde los servidores Microsoft la información estadística e información recomendada sobre el perfil por Usted definido. La información permitirá comparar una compañía tipo con los resultados por Usted completados.
6.Bibliografía
Para mayor información visite
Acceder al MSAT 3.5 INTERNATIONAL
http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=6d79df9c-c6d1-4e8f-8000-0be72b430212
MSAT en inglés.
http://technet.microsoft.com/es-ar/security/cc185712(en-us).aspx
Microsoft IO
http://www.microsoftio.com/
Defense in Depth
http://www.microsoft.com/technet/security/guidance/serversecurity/avdind_0.mspx
Guías de Seguridad
http://www.microsoft.com/spain/technet/security/guidance/default.mspx
Guías de seguridad recomendadas (español)
http://www.microsoft.com/latam/technet/seguridad/guias/recomendadas.mspx
Enrique Dutra
MVP Windows Security
En las compañías las actividades relacionadas a la tecnología son dinámicas y cambian día a día (nuevos puestos de trabajo, cambios en los aplicativos, aumento del tráfico de correos, implementación de nuevas soluciones, etc). En este cambio constante, también mutan las amenazas que pueden poner en riesgo los procesos de negocios de las compañías.
En la actualidad la Norma ISO/IEC 27001:2005 posee una lista de los objetivos de control deseados para que una compañía analice cuales podrían ser los puntos de seguridad a abordar. Es una herramienta útil para utilizar de guía, pero la organización deberá contar con personal que entienda de controles, el alcance de los mismos y que pueda asegurar la implementación de los mismos. Mientras tanto las amenazas acechan los recursos de IT y las organizaciones están al límite de un problema de seguridad.
Por otro lado, es muy común escuchar en las organizaciones que debido a la cantidad de trabajo, no tienen tiempo de analizar la seguridad de la compañía, que si realizan esta actividad, no saben qué hacer con los resultados, como organizarlos, a que darle prioridad, como organizarse con todos los contenidos, como auditarlos y luego que hacer ante una no-conformidad.
Por un lado no se toman acciones por que se desconocen metodologías o herramientas que permitan dar un estado eficiente y rápido, por otro lado las amenazas cada vez son mayores y crece poco a poco el nivel de riesgo en las organizaciones.
2.Iniciativa Microsoft: “Cambio de paradigma”
En el año 2002, Microsoft lanza una iniciativa a la que denominó Trustworthy Computing (http://www.microsoft.com/mscorp/twc/default.mspx), entendiendo por ello que la seguridad es un proceso de maduración y que las personas que utilicen los computadores deben sentirse seguros ante la utilización de la plataforma Microsoft. A partir del 2002 las soluciones que Microsoft lanza al mercado van cambiando, agregando una cuota importante de seguridad hasta lograr un nivel más que importante en las soluciones que hoy Microsoft ofrece al mercado.
Ahora bien, no todo pasa por las soluciones (hardware & software). Está demostrado que la mayoría de los problemas de seguridad se debe al desconocimiento de los riesgos de implementar una solución de manera predeterminada o por querer hacer más flexible el uso se baja el nivel de seguridad.
Por ello, y para ayudar a los usuarios y personal de IT de las compañías, Microsoft lanza varias iniciativas que permiten generar conciencia y ofrecen metodologías de escenarios seguros: MOF (Microsoft Operations Framework), IO (Infrastructure Optimization), guías de seguridad para productos y soluciones.
Ahora bien, ¿Cómo se puede auditar un escenario, una compañía o un proceso? ¿Qué tan segura es nuestra red? Desde el año 2004 Microsoft viene ofreciendo una herramienta gratuita que permite realizar un análisis de riesgo de la compañía.
3.MSAT 2.0: “Mi analizador de riesgo personal”
En el año 2004 Microsoft publica una herramienta denominada Self Assessment Tool (MSRSAT). Esta herramienta simple, con un mínimo cuestionario, nos daba una idea del estado de seguridad de la compañía. Las preguntas que se respondían permitían evaluar si se cumplía con requerimientos mínimos para contar con un escenario seguro.
Obviamente todo cambio tecnológico era evidente que provocaría evoluciones en esta herramienta, lanzando la nueva versión denominada MSAT, Microsoft Security Assessment Tool (Herramienta de Evaluación de la Seguridad de Microsoft), que actualmente se encuentra en la versión 3.5. A partir de la versión 2.0 del año 2005 se podía bajar de Microsoft una versión denominada Internacional, que ofrecía a los clientes la consola en diferentes idiomas incluso el español.
Una vez instalada la herramienta, se debía crear un perfil con información básica de la organización. Esto le permitiría analizar diferentes escenarios, como por ejemplo casa central, sucursal 1 y sucursal 2. La batería de encuestas se repite para cada perfil.
En la versión 2.0, la evaluación se orientaban a compañías que no superaran los 1000 empleados (recomendada para organizaciones entre 50 y 500 Pc).
La herramienta comienza con una serie de preguntas sobre el modelo de su compañía para ir creando el perfil de riesgos para la empresa (BRP) mediante la valoración del riesgo al que su organización está expuesta conforme al modelo y sector empresarial. Luego sigue con una batería de preguntas en donde se intenta hacer frente al riesgo y a vulnerabilidades específicas. Cada capa contribuye a una estrategia de defensa en profundidad. Al finalizar se generaba un reporte con los resultados en capas para determinar en qué aspectos de la organización con relación a IT estaban en riesgo. Este modelo lo podemos observar si analizamos Defensa en Profundidad (DiD – Defense in Depth), que se basa en la implantación de capas de defensa en los niveles técnicos, organizativos y operativos http://www.microsoft.com/spain/technet/security/guidance/serversecurity/avdind_0.mspx.
Para finalizar, esta versión ya incluida una alternativa de actualización a nuevas versiones del MSAT sin perder los perfiles cargados.
4.MSAT 3.5: “La evolución continúa (madurez continua…)”
Al diseñarse esta nueva versión Microsoft tuvo en cuenta una gestión de riesgo de seguridad en el entorno de IT. La herramienta, basándose en las buenas prácticas (ISO/IEC 27001:2005, ITIL, COBIT, NIST 800.x, etc.), emplea un enfoque holístico para medir el estado de seguridad basándose en la PPP (People, Products, Process – Personas, Productos o tecnología, Procesos). Los resultados al finalizar con las preguntas, nos orientarán en la mitigación de los riesgos, incluso incluyendo enlaces para obtener más información sobre algunos casos.
La evaluación contiene alrededor de 200 preguntas, que han sido divididas en 4 categorías:
•Infraestructura
•Aplicaciones
•Operaciones
•Gente o personal.
Al finalizar la carga de las preguntas, usted podrá obtener:
....Aprender de la herramienta y aplicarlo como una metodología de trabajo, ya que se recomienda usar la herramienta en diferentes estadios de madurez de la compañía.
....Un marco de defensa en profundidad con un análisis comparativo de la industria.
....Un informe detallado, continúo comparando el punto de referencia con su progreso.
....Recomendaciones comprobadas y actividades prioritarias para mejorar su seguridad.
....Microsoft estructurado y orientación de la industria(IO).
5.Usando MSAT 3.5: “Sacando el auditor que hay en mi”
Bajando e instalando la herramienta.
Si Usted desea usar esta versátil herramienta para saber cuál es el estado de seguridad de su escenario de IT, puede bajar la misma del siguiente sitio
http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=6d79df9c-c6d1-4e8f-8000-0be72b430212
Una vez que ya posee la herramienta, debe proceder a instalarla. Previamente, verifique los requerimientos básicos en la página Web (Windows 2000 Professional Edition; Windows Vista; Windows XP Professional Edition) , pero no hace falta instalar la herramienta en un servidor. Muchos preguntan si la herramienta recolecta datos de la red, a lo que la respuesta es NO!. Esta herramienta es interactiva y la única manera de que funcione es respondiendo las preguntas en la pantalla de la misma.
Usando la herramienta por primera vez
Deberá ejecutar la herramienta desde el ícono de MSAT que agregó a su menú de programas. Al aparecer la consola, lo primero que sugerimos hacer es cambiar el idioma. Para ello deberá seleccionar en la barra de menú, la opción Tools, Choose Language y seleccionar el idioma Spanish (Spain).
Para continuar, deberá presionar el botón Nuevo y le pedirá el nombre del perfil. Al presionar Aceptar, aparecerán unas pantallas en donde se le solicitará información básica de la compañía, esta pantalla se denomina Perfil de la Empresa.
De allí en más aparecerán las encuestas, en donde se pregunta sobre cómo está actualmente la compañía. Las ventanas que irán apareciendo son:
1) Perfil de la empresa
2) Perfil de riesgo para la empresa (BRP)
...Seguridad de la infraestructura (preguntas sobre los servicios que utilizan los usuarios, accesos remotos, configuraciones de red, backups, otros).
...Seguridad de las aplicaciones (preguntas de cómo está organizada el área de desarrollo de software en la compañía y que cuidados se tienen).
...Seguridad de las operaciones (como se utilizan los recursos de IT, si son vitales para la organización, como usan los datos los usuarios en la compañía, otros).
...Entorno (Perfil de la organización, cantidad de empleados, uso de recursos).
Una vez que completa los datos generales, aparecerá una solicitud de perfil nuevamente para realizar las evaluaciones. Si la empresa posee casa central y/o sucursales, es conveniente crear un perfil para cada uno de ellos, a menos que no tenga recursos como servidores o dispositivos de comunicaciones distribuidos entre los sitios.
Al crear el perfil, aparecerá una pantalla pidiéndonos el nombre del mismo. Deberá prestar atención allí, ya que puede elegir el perfil de análisis que desea realizar, uno puede ser un perfil de análisis en general (Microsoft Security assessment) o de la infraestructura (Core Infrastructure Optimization Assessment).
Listo, de ahora en más a responder a las preguntas, que en este caso elegimos como evaluación de seguridad. A medida que empieza a responder aparecerán las preguntas. Al lado de cada pregunta encontrará un ícono con la forma de ? que podrá seleccionar si no entiende lo que se esta evaluando.
Cada vez que termina con una capa, la misma aparece a la izquierda de la pantalla, bajo el nombre del perfil, de color rojo, se pondrá de color verde, indicando que esa etapa está resuelta.
Una vez finalizada la encuesta, aparecerá un informe que posee tres opciones:
• Informe resumido.
En base a lo cargado en las encuestas, indica el estado de madurez del BRP (medición del riesgo relacionado al modelo empresarial y al sector de la empresa, estos datos fueron cargados en el perfil de la compañía) y el DiDI (medición de las defensa de seguridad del PPP).
• Informe completo
Informe detallado que si Usted lo imprimen, pueden presentarlo a la gerencia indicando el estado de seguridad de la oficina a la cual evaluaron. Al final del documento posee URL para buscar información complementaria.
De cada ítem evaluado, se detalla o explica cuales son las fallas y que acciones deben tomarse.
•Informe comparativo.
Para generarlo, debe cargar desde los servidores Microsoft la información estadística e información recomendada sobre el perfil por Usted definido. La información permitirá comparar una compañía tipo con los resultados por Usted completados.
6.Bibliografía
Para mayor información visite
Acceder al MSAT 3.5 INTERNATIONAL
http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=6d79df9c-c6d1-4e8f-8000-0be72b430212
MSAT en inglés.
http://technet.microsoft.com/es-ar/security/cc185712(en-us).aspx
Microsoft IO
http://www.microsoftio.com/
Defense in Depth
http://www.microsoft.com/technet/security/guidance/serversecurity/avdind_0.mspx
Guías de Seguridad
http://www.microsoft.com/spain/technet/security/guidance/default.mspx
Guías de seguridad recomendadas (español)
http://www.microsoft.com/latam/technet/seguridad/guias/recomendadas.mspx
Enrique Dutra
MVP Windows Security
viernes, 18 de abril de 2008
Gestión de Riesgo en Procesos de Negocios
La presencia de amenazas que comprometen el sistema deben ser analizadas y a su vez evaluadas las probabilidades de que una amenaza aproveche esas vulnerabilidades.
Como supo definir Gene Spafford, el único sistema que está seguro es el que se encuentra debidamente apagado y dentro de una caja ignifuga.
Seguramente al leer esta introducción surgen algunas dudas que aclaramos a continuación:
• Activo: Como en los aspectos contables existe el activo y el pasivo, la información ahora posee un valor importante y por eso se lo considera un activo. Si un alumno posee el trabajo fi nal de grado y no posee un backup o resguardo en otro dispositivo, ese activo corre un serio riesgo de sufrir algún daño irrecuperable.
• Amenaza: todo aquello que pueda provocar un daño a nuestro activo. Por ejemplo, si un virus corrompe el ordenador en donde el alumno tiene su trabajo final, no podrá acceder al momento de presentarlo y tal vez lo pierda.
• Vulnerabilidad: Son las inseguridades que posee el activo tanto por problemas tecnológicos, como problemas de procedimientos. Está demostrado que la gran mayoría de pérdidas de activos son por falta de procedimientos o desconocimiento. El alumno no ha realizado copias de su trabajo en otros medios.
• Riesgo: es la probabilidad que una amenaza aproveche una vulnerabilidad. Siguiendo el caso del ejemplo, supongamos que el equipo no posee una descarga a tierra y en una noche tormentosa el equipo sufra una descarga y se queme el disco.
La problemática actual
Los análisis de riesgo, test de vulnerabilidad o test de penetración son prácticas muy frecuentes como herramientas de evaluación para analizar el estado de seguridad de una infraestructura. Los consultores que utilizan COBIT evalúan las redes con un listado conteniendo ítems que deben ser verificados entendiendo que un escenario tiene o no tiene políticas, normas, procedimientos e implementaciones de seguridad, cumplen o no cumplen y de esa manera surge el informe final. En la NORMA ISO/IEC 27001:2005 los especialistas que encaran el proceso de análisis, revelan todos los recursos y servicios de la compañía haciendo un análisis de las vulnerabilidades de seguridad de la compañía y en base a esto verifican cual es la brecha para lograr la normalización.
Debido a esto, podemos observar dos tipos de sondeos:
Técnica pura: instalar herramientas de intrusión en la red y atacar cuanto dispositivo se encuentra conectado a la misma. No hay una metodología clara, no se analiza el riesgo que puede llevar un ataque desmedido y por último se obtiene un informe con gran cantidad de información que no se sabe como ordenar y por dónde empezar.
Política pura: se analiza si la compañía posee implementada políticas, normas, procedimientos y a que estándar se alinea (ISO, BS, ITIL, COBIT, etc). Si cumple o no con las leyes locales y en base a eso, se genera un informe cuyo resultado final es la implementación de una cantidad de políticas y normas sin los pasos adecuados en donde se termina acosando al usuario de la red para que las cumpla.
Análisis versus gestión
La seguridad aun no ha sido un factor de maduración en muchas compañías y menos aún en los usuarios hogareños. Para evaluar que tan seguro es un escenario, se llevan a la práctica pruebas similares a las que realiza un intruso (más conocidos como hackers, pero recuerde que debe denominárselos según el tipo de intrusión o ataque que realiza). En muchas compañías cuando sufren un problema de seguridad o ante una auditoría externa, la misma encara el análisis de seguridad de la infraestructura. Luego de este análisis se genera el informe correspondiente y un plan de implementación de medidas para subsanar las vulnerabilidades encontradas. ¿Cómo sabrá el gerente de sistemas si las implementaciones fueron acordes a lo estipulado?Cómo sabrá el jefe de tecnología si fueron adecuadas las medidas para mitigar los riesgos? Es allí en donde surgen una gran cantidad de dudas.
La NORMA ISO/IEC 27001:2005 y ciertos niveles de maduración como ITIL, PMI, CMMI, hacen referencia a la gestión de un proceso de madurez.¿Por qué no se implementan estos niveles de gestión en las compañías? Muchas veces por una cuestión de que la seguridad no es un asunto importante en la compañía y por ello,no se desea perder el tiempo en la burocratización de los procesos de negocios.
La gestión permite en todos los procesos, evaluar si las decisiones fueron las acertadas y a su vez indica donde hay que realizar ajustes para lograr los objetivos deseados.
Un proceso de Gestión de Riesgo va a permitir a la compañía entender cuál es su situación a nivel de seguridad actual, le va a permitir una toma de decisiones adecuada para mitigar los riesgos, podrá evaluar qué medidas se implementan a largo y corto plazo y luego podrá evaluar si las decisiones fueron las correctas.
En base a este último punto, se vuelve a empezar con el análisis y pasar por las etapas nuevamente permitiendo a la compañía madurar en cuanto a seguridad de la información se refiere.
Proceso de Gestión de Riesgo clásico
Podemos definir entonces, que Gestión de Riesgo es un proceso que involucra 4 estadios:
• Situación actual: Un análisis de la situación de seguridad de la compañía para entender cómo se están tratando los activos,que niveles de seguridad existen, que leyes se están cumpliendo y cuáles no. Es lo que denominamos La FOTO.
En esta etapa, suele llevarse a la práctica los clásicos test de vulnerabilidad o test de penetración. Los mismos deben ser rigurosos y muy bien planificados, ya que muchas veces, hay profesionales con el afán de demostrar todos sus conocimientos de intrusión provocan caídas de servicios que ponen en riesgo a la compañía a nivel funcional.
• Definir pasos a seguir: En base a un informe detallado de la situación actual, un comité formado por los responsables de sistemas,RRHH, legales y la gerencia, deberán definir cuáles son los pasos a seguir para atacar el riesgo.
• Implementación: en base a las decisiones tomadas, se implementan las normas, procedimientos,actualizaciones y ajustes que sean requeridos y que fueron aprobados por el comité. La misma debe ser rigurosamente planificada, ya que hay puntos que deben ser tenidos en cuenta para no impactar en los procesos de negocios.
• Monitorear: Analizar el éxito de la implementaciones llevadas a cabo, verificar qué desvíos surgieron y planificar un nuevo análisis en un periodo acorde en la compañía.
Este proceso puede alinearse al año calendario o fiscal y realizarse una vez al año. Obviamente que los responsables de seguridad de la compañía deberán recomendar qué implementaciones deben llevarse a cabo de manera urgente, ya que no pueden esperar un año fiscal para implementarlos. Esto dependerá del negocio y del nivel de madurez alcanzado por el mismo.
Defensa en profundidad
El concepto de Defensa en profundidad permite un diseño, análisis e implementación de la seguridad atacando diferentes capas de la infraestructura. Así como tenemos las 7 capas del modelo OSI (Open System Interconnection – Sistema de interconexión abierto) sugerido por ISO en el año 1977 y que hoy es el estándar de comunicación, el modelo de Defensa en Profundidad provee capas para enfocar el análisis y la prevención. Este modelo fue pensado originalmente por National Security Agency cerca de 1977.
Podemos organizar la Infraestructura de la compañía en las siguientes capas:
• CAPA FISICA
• CAPA DE RED
• CAPA DE EQUIPOS
• CAPA DE PLICACIÓN
• CAPA DE DATOS
En base a la distribución de las capas, se organizan los activos de las compañías en cada una de las capas y se analizan los problemas de seguridad.
Proceso de Gestión de Riesgo en Procesos de Negocio
Basados en el clásico Proceso de Gestión de Riesgo y en el modelo de DoD (Defense of Depth - Defensa en Profundidad), tomamos lo mejor de ambos y armamos un nuevo modelo, denominado Proceso de Gestión de Riesgo en Procesos de Negocio.
Este proceso consta de un análisis pormenorizado de los procesos críticos de negocio de la compañía. Para ello se recomienda realizar las siguientes tareas:
• Reunirse con la gerencia de la compañía o un referente con el fin de obtener cuales son los procesos críticos de negocio. Se recuerda que son aquellos procesos que si son interrumpidos,pueden provocar pérdidas en todos los aspectos (confianza
ante terceros, productividad, negocios, dinero, etc.).
• Reunirse con personas responsables de los procesos críticos de negocio y obtener toda la mayor información posible del proceso. Algunos de los datos relevantes son: hora reloj en el que el proceso puede estar fuera de línea, cantidad de minutos u horas de interrupción permitidas por el negocio, responsables del monitoreo del proceso, relación del proceso con otros dentro de la misma compañía y externos, recursos tecnológicos que participan en el proceso, como para mencionar los más relevantes.
• Armar un esquema de análisis de riesgo para los procesos, ordenando los recursos tecnológicos según el modelo de DoD.
• Confeccionar las planillas de análisis de riesgo, ordenándolas por proceso.
• Encarar la Gestión de Riesgo como se refi ere en el punto 4, pero sólo haciendo foco en los activosque participan en el proceso de negocio de la compañía.
• Ordenar los resultados según las capas del DoD.
• Realizar un tablero de control,ordenado por proceso y por capa del modelo de DoD.
En cada conexión del tablero pondremos el nivel de riesgo observado en cada proceso de negocio. Se puede identificar los riesgos, como lo hace el semáforo: ROJO(riesgo alto), AMARILLO (riesgo medio) y VERDE (riesgo bajo).
En base a estos resultados, tendremos los estados de riesgo de los procesos críticos de negocio y en qué capa del modelo de DoD se encuentra el riesgo. Es más simple para corregir, prever o asumir los riesgos, a diferencia del modelo de gestión de riesgo convencional.
A su vez, la gestión le permitirá observar en las diferentes etapas, cómo fueron cambiando los estados de riesgo en cada una de ellas y de esa manera se tiene el estado real de riesgo y no una percepción.
A diferencia del modelo clásico de gestión de riesgo, este enfoque permite obtener un estado real de los activos que forman parte de los procesos de negocio, llevar a cabo tareas correctivas y planificar a futuro las mejoras. Si se tienen en cuenta estándares como ITIL, estos resultados permiten mejorar la entrega de soporte (Service Support)y la entrega de servicios (Service Delivery).
Factores críticos de éxito
El modelo es simple, pero para lograr el éxito en su implementación, requiere:
• Apoyo explicito de la gerencia.
• Conocer los procesos críticos de negocio de la compañía y qué activos intervienen en los mismos.
• Conocer el modelo de Gestión de Riesgo.
• Entender el modelo de DoD, para colocar adecuadamente los activos en cada capa.
• Realizar el proceso completo de gestión y no la iniciativa de la Foto.
• Implementar los cambios sugeridos que permitan mitigar los riesgos.
Conclusiones
Este modelo que hemos llevado a la práctica hace más de 4 años, ha permitido reducir los tiempos de mitigación de riesgo, enfocando las actividades en los procesos críticos de los negocios. No quiere decir que el resto de los activos deban ser ignorados, simplemente permite definir prioridades y atacarlas con el fin de mitigar los riesgos de la compañía.
Como las buenas prácticas en su mayoría sugieren, los resultados de este modelo serán entornos más seguros,disponibilidad de los activos, y reducción de costos.
Enrique Dutra - MVP Windows Security
Este artículo ha sido publicado en el nro 33 de la revista Hakin9.
Como supo definir Gene Spafford, el único sistema que está seguro es el que se encuentra debidamente apagado y dentro de una caja ignifuga.
Seguramente al leer esta introducción surgen algunas dudas que aclaramos a continuación:
• Activo: Como en los aspectos contables existe el activo y el pasivo, la información ahora posee un valor importante y por eso se lo considera un activo. Si un alumno posee el trabajo fi nal de grado y no posee un backup o resguardo en otro dispositivo, ese activo corre un serio riesgo de sufrir algún daño irrecuperable.
• Amenaza: todo aquello que pueda provocar un daño a nuestro activo. Por ejemplo, si un virus corrompe el ordenador en donde el alumno tiene su trabajo final, no podrá acceder al momento de presentarlo y tal vez lo pierda.
• Vulnerabilidad: Son las inseguridades que posee el activo tanto por problemas tecnológicos, como problemas de procedimientos. Está demostrado que la gran mayoría de pérdidas de activos son por falta de procedimientos o desconocimiento. El alumno no ha realizado copias de su trabajo en otros medios.
• Riesgo: es la probabilidad que una amenaza aproveche una vulnerabilidad. Siguiendo el caso del ejemplo, supongamos que el equipo no posee una descarga a tierra y en una noche tormentosa el equipo sufra una descarga y se queme el disco.
La problemática actual
Los análisis de riesgo, test de vulnerabilidad o test de penetración son prácticas muy frecuentes como herramientas de evaluación para analizar el estado de seguridad de una infraestructura. Los consultores que utilizan COBIT evalúan las redes con un listado conteniendo ítems que deben ser verificados entendiendo que un escenario tiene o no tiene políticas, normas, procedimientos e implementaciones de seguridad, cumplen o no cumplen y de esa manera surge el informe final. En la NORMA ISO/IEC 27001:2005 los especialistas que encaran el proceso de análisis, revelan todos los recursos y servicios de la compañía haciendo un análisis de las vulnerabilidades de seguridad de la compañía y en base a esto verifican cual es la brecha para lograr la normalización.
Debido a esto, podemos observar dos tipos de sondeos:
Técnica pura: instalar herramientas de intrusión en la red y atacar cuanto dispositivo se encuentra conectado a la misma. No hay una metodología clara, no se analiza el riesgo que puede llevar un ataque desmedido y por último se obtiene un informe con gran cantidad de información que no se sabe como ordenar y por dónde empezar.
Política pura: se analiza si la compañía posee implementada políticas, normas, procedimientos y a que estándar se alinea (ISO, BS, ITIL, COBIT, etc). Si cumple o no con las leyes locales y en base a eso, se genera un informe cuyo resultado final es la implementación de una cantidad de políticas y normas sin los pasos adecuados en donde se termina acosando al usuario de la red para que las cumpla.
Análisis versus gestión
La seguridad aun no ha sido un factor de maduración en muchas compañías y menos aún en los usuarios hogareños. Para evaluar que tan seguro es un escenario, se llevan a la práctica pruebas similares a las que realiza un intruso (más conocidos como hackers, pero recuerde que debe denominárselos según el tipo de intrusión o ataque que realiza). En muchas compañías cuando sufren un problema de seguridad o ante una auditoría externa, la misma encara el análisis de seguridad de la infraestructura. Luego de este análisis se genera el informe correspondiente y un plan de implementación de medidas para subsanar las vulnerabilidades encontradas. ¿Cómo sabrá el gerente de sistemas si las implementaciones fueron acordes a lo estipulado?Cómo sabrá el jefe de tecnología si fueron adecuadas las medidas para mitigar los riesgos? Es allí en donde surgen una gran cantidad de dudas.
La NORMA ISO/IEC 27001:2005 y ciertos niveles de maduración como ITIL, PMI, CMMI, hacen referencia a la gestión de un proceso de madurez.¿Por qué no se implementan estos niveles de gestión en las compañías? Muchas veces por una cuestión de que la seguridad no es un asunto importante en la compañía y por ello,no se desea perder el tiempo en la burocratización de los procesos de negocios.
La gestión permite en todos los procesos, evaluar si las decisiones fueron las acertadas y a su vez indica donde hay que realizar ajustes para lograr los objetivos deseados.
Un proceso de Gestión de Riesgo va a permitir a la compañía entender cuál es su situación a nivel de seguridad actual, le va a permitir una toma de decisiones adecuada para mitigar los riesgos, podrá evaluar qué medidas se implementan a largo y corto plazo y luego podrá evaluar si las decisiones fueron las correctas.
En base a este último punto, se vuelve a empezar con el análisis y pasar por las etapas nuevamente permitiendo a la compañía madurar en cuanto a seguridad de la información se refiere.
Proceso de Gestión de Riesgo clásico
Podemos definir entonces, que Gestión de Riesgo es un proceso que involucra 4 estadios:
• Situación actual: Un análisis de la situación de seguridad de la compañía para entender cómo se están tratando los activos,que niveles de seguridad existen, que leyes se están cumpliendo y cuáles no. Es lo que denominamos La FOTO.
En esta etapa, suele llevarse a la práctica los clásicos test de vulnerabilidad o test de penetración. Los mismos deben ser rigurosos y muy bien planificados, ya que muchas veces, hay profesionales con el afán de demostrar todos sus conocimientos de intrusión provocan caídas de servicios que ponen en riesgo a la compañía a nivel funcional.
• Definir pasos a seguir: En base a un informe detallado de la situación actual, un comité formado por los responsables de sistemas,RRHH, legales y la gerencia, deberán definir cuáles son los pasos a seguir para atacar el riesgo.
• Implementación: en base a las decisiones tomadas, se implementan las normas, procedimientos,actualizaciones y ajustes que sean requeridos y que fueron aprobados por el comité. La misma debe ser rigurosamente planificada, ya que hay puntos que deben ser tenidos en cuenta para no impactar en los procesos de negocios.
• Monitorear: Analizar el éxito de la implementaciones llevadas a cabo, verificar qué desvíos surgieron y planificar un nuevo análisis en un periodo acorde en la compañía.
Este proceso puede alinearse al año calendario o fiscal y realizarse una vez al año. Obviamente que los responsables de seguridad de la compañía deberán recomendar qué implementaciones deben llevarse a cabo de manera urgente, ya que no pueden esperar un año fiscal para implementarlos. Esto dependerá del negocio y del nivel de madurez alcanzado por el mismo.
Defensa en profundidad
El concepto de Defensa en profundidad permite un diseño, análisis e implementación de la seguridad atacando diferentes capas de la infraestructura. Así como tenemos las 7 capas del modelo OSI (Open System Interconnection – Sistema de interconexión abierto) sugerido por ISO en el año 1977 y que hoy es el estándar de comunicación, el modelo de Defensa en Profundidad provee capas para enfocar el análisis y la prevención. Este modelo fue pensado originalmente por National Security Agency cerca de 1977.
Podemos organizar la Infraestructura de la compañía en las siguientes capas:
• CAPA FISICA
• CAPA DE RED
• CAPA DE EQUIPOS
• CAPA DE PLICACIÓN
• CAPA DE DATOS
En base a la distribución de las capas, se organizan los activos de las compañías en cada una de las capas y se analizan los problemas de seguridad.
Proceso de Gestión de Riesgo en Procesos de Negocio
Basados en el clásico Proceso de Gestión de Riesgo y en el modelo de DoD (Defense of Depth - Defensa en Profundidad), tomamos lo mejor de ambos y armamos un nuevo modelo, denominado Proceso de Gestión de Riesgo en Procesos de Negocio.
Este proceso consta de un análisis pormenorizado de los procesos críticos de negocio de la compañía. Para ello se recomienda realizar las siguientes tareas:
• Reunirse con la gerencia de la compañía o un referente con el fin de obtener cuales son los procesos críticos de negocio. Se recuerda que son aquellos procesos que si son interrumpidos,pueden provocar pérdidas en todos los aspectos (confianza
ante terceros, productividad, negocios, dinero, etc.).
• Reunirse con personas responsables de los procesos críticos de negocio y obtener toda la mayor información posible del proceso. Algunos de los datos relevantes son: hora reloj en el que el proceso puede estar fuera de línea, cantidad de minutos u horas de interrupción permitidas por el negocio, responsables del monitoreo del proceso, relación del proceso con otros dentro de la misma compañía y externos, recursos tecnológicos que participan en el proceso, como para mencionar los más relevantes.
• Armar un esquema de análisis de riesgo para los procesos, ordenando los recursos tecnológicos según el modelo de DoD.
• Confeccionar las planillas de análisis de riesgo, ordenándolas por proceso.
• Encarar la Gestión de Riesgo como se refi ere en el punto 4, pero sólo haciendo foco en los activosque participan en el proceso de negocio de la compañía.
• Ordenar los resultados según las capas del DoD.
• Realizar un tablero de control,ordenado por proceso y por capa del modelo de DoD.
En cada conexión del tablero pondremos el nivel de riesgo observado en cada proceso de negocio. Se puede identificar los riesgos, como lo hace el semáforo: ROJO(riesgo alto), AMARILLO (riesgo medio) y VERDE (riesgo bajo).
En base a estos resultados, tendremos los estados de riesgo de los procesos críticos de negocio y en qué capa del modelo de DoD se encuentra el riesgo. Es más simple para corregir, prever o asumir los riesgos, a diferencia del modelo de gestión de riesgo convencional.
A su vez, la gestión le permitirá observar en las diferentes etapas, cómo fueron cambiando los estados de riesgo en cada una de ellas y de esa manera se tiene el estado real de riesgo y no una percepción.
A diferencia del modelo clásico de gestión de riesgo, este enfoque permite obtener un estado real de los activos que forman parte de los procesos de negocio, llevar a cabo tareas correctivas y planificar a futuro las mejoras. Si se tienen en cuenta estándares como ITIL, estos resultados permiten mejorar la entrega de soporte (Service Support)y la entrega de servicios (Service Delivery).
Factores críticos de éxito
El modelo es simple, pero para lograr el éxito en su implementación, requiere:
• Apoyo explicito de la gerencia.
• Conocer los procesos críticos de negocio de la compañía y qué activos intervienen en los mismos.
• Conocer el modelo de Gestión de Riesgo.
• Entender el modelo de DoD, para colocar adecuadamente los activos en cada capa.
• Realizar el proceso completo de gestión y no la iniciativa de la Foto.
• Implementar los cambios sugeridos que permitan mitigar los riesgos.
Conclusiones
Este modelo que hemos llevado a la práctica hace más de 4 años, ha permitido reducir los tiempos de mitigación de riesgo, enfocando las actividades en los procesos críticos de los negocios. No quiere decir que el resto de los activos deban ser ignorados, simplemente permite definir prioridades y atacarlas con el fin de mitigar los riesgos de la compañía.
Como las buenas prácticas en su mayoría sugieren, los resultados de este modelo serán entornos más seguros,disponibilidad de los activos, y reducción de costos.
Enrique Dutra - MVP Windows Security
Este artículo ha sido publicado en el nro 33 de la revista Hakin9.
jueves, 10 de abril de 2008
LIGA DE HEROES DE IT
miércoles, 26 de marzo de 2008
Se viene Windows 2008. Prendete!!
Amigos:
Veníte y conoce las nuevas caracteristicas de este poderoso S.O. Se realizarán demostraciones prácticas de las nuevas características de MS Windows 2008.
En particular:
- Politicas de backup potentes con la nueva herramienta de resguardo.
- Uso de Power Shell.
- Administrando Ms Windows 2008 Core.
Fecha: 03/04/2008
Hora: 06:00 p.m.
Lugar: Aula Magna UTN Facultad Regional CORDOBA
Dirección: Maestro M. Lopez esq. Cruz Roja Argentina - Ciudad Universitaria
Saludos
Quique
Fuente: Microsoft
lunes, 17 de marzo de 2008
Preparate !!!!
Se un Heroe, preparate para una misión dificil.
“El 12 de marzo iniciará la batalla contra REVIAN, una organización de cyberhackers. Serás desafiado en una secuencia de 6 misiones y deberás derrotarlo. Para poder participar en cada una de ellas, deberás contar con el código de acceso a otra dimensión.”
Saludos
Quique
Volvemos al ruedo!!
Estimados
Sepan disculpar la breve ausencia por estos pagos, no he tomado vacaciones y estuvimos reemplazando gente interna de la compañía. A partir de ahora iremos publicando las novedades en el blog.
Aquellos que quieran participar o requieran algún tipo d ematerial, por favor, avisar.
A su vez, no dejen de visitar http://groups.msn.com/TechNetArgInterior y participar alli, ya que hay premios para aquellos que participen activamente.
Saludos
Quique
Sepan disculpar la breve ausencia por estos pagos, no he tomado vacaciones y estuvimos reemplazando gente interna de la compañía. A partir de ahora iremos publicando las novedades en el blog.
Aquellos que quieran participar o requieran algún tipo d ematerial, por favor, avisar.
A su vez, no dejen de visitar http://groups.msn.com/TechNetArgInterior y participar alli, ya que hay premios para aquellos que participen activamente.
Saludos
Quique
viernes, 18 de enero de 2008
MVP Windows Security 2008
Amigos
El 1 de enero llego al buzón de mi correo electrónico un mail que me alegro el principio de año notablemente. El mismo comenzaba..."Enhorabuena. Estamos encantados de concederle el Reconocimiento como MVP de Microsoft® 2008.."
Por tercer año consecutivo me han concedido el reconocimiento como MVP por colaborar con las comunidades difundiendo conocimientos de tecnologia y hacerlas llegar de alguna manera a todos Uds.
Esperemos que este año me pueda brindar con Uds. como lo hago siempre, ya que es un año movidito a nivel de novedades de tecnologia.
Comparto este reconocimiento con todos aquellos que difunden sus conocimientos sobre tecnologia y hace el mundo mas simple.
Los invito nuevamente a entrar al portal de http://groups.msn.com/TechNetArgInterior en donde muchos expertos de IT comparten sus vivencias.
Feliz año para todos y muchos éxitos.
Saludos
Enrique
El 1 de enero llego al buzón de mi correo electrónico un mail que me alegro el principio de año notablemente. El mismo comenzaba..."Enhorabuena. Estamos encantados de concederle el Reconocimiento como MVP de Microsoft® 2008.."
Por tercer año consecutivo me han concedido el reconocimiento como MVP por colaborar con las comunidades difundiendo conocimientos de tecnologia y hacerlas llegar de alguna manera a todos Uds.
Esperemos que este año me pueda brindar con Uds. como lo hago siempre, ya que es un año movidito a nivel de novedades de tecnologia.
Comparto este reconocimiento con todos aquellos que difunden sus conocimientos sobre tecnologia y hace el mundo mas simple.
Los invito nuevamente a entrar al portal de http://groups.msn.com/TechNetArgInterior en donde muchos expertos de IT comparten sus vivencias.
Feliz año para todos y muchos éxitos.
Saludos
Enrique
Suscribirse a:
Entradas (Atom)