jueves, 30 de marzo de 2017

Hora de arremangarse: Empujando a Moodle para realizar Security Awareness

Hora de arremangarse: Empujando a Moodle para realizar Security Awareness


Recientemente un CISO me comentó que estaba analizando Moodle como plataforma para llevar adelante un plan de Concientización en Seguridad de la Información.

Como conozco Moodle por haberlo utilizado en entornos académicos y soy consciente de que los CISO requieren soluciones rápidas y eficaces debido a la gran cantidad de responsabilidades con las que cargan, sentí que algo no encajaba bien.

¿Por qué? Porque Moodle no nos va ayudar a llevar adelante un plan de concientización, sino que nosotros tendremos que ayudar a Moodle para que pueda hacerlo. Esto va a implicar tiempo y esfuerzo y no encaja con lo que un CISO necesita: soluciones en lugar de nuevos problemas.
A continuación, una enumeración de los diferentes momentos en que deberemos empujar a Moodle para que nos permita seguir adelante:

Modelo de distribución

Si bien Moodle es distribuido bajo la licencia GNU, es necesario disponer de la infraestructura, recursos humanos y tiempo necesario para poder implementarlo y mantenerlo actualizado, seguro y funcionando correctamente.

Si sumamos a esto la necesidad de realizar backups de la información que manejamos en Moodle, o bien la gran cantidad de vulnerabilidades que son encontradas y explotadas en este sistema [1] [2], vamos descubriendo que necesitamos empujar bastante a Moodle para lograr implementarlo y mantenerlo funcionando correctamente.

Contenidos de Capacitación y Concientización

Uno de los elementos más importantes a la hora de llevar adelante un plan de Concientización son los contenidos que van a recibir los usuarios.

Muchos planes de concientización fracasan por no poseer contenidos atractivos y amigables para los usuarios. La asimilación es muy baja o hasta nula por no haber diseñado los contenidos en forma pedagógica, o por utilizar traducciones de contenidos creados para otras realidades e idiosincrasias diferentes a la de los usuarios que se desea concientizar.

Moodle no brinda contenidos de Seguridad de la Información, por lo que deberemos empujarlo nuevamente, en este caso, invirtiendo recursos para generar o bien adquirir dichos contenidos y para la ardua tarea de mantenerlos actualizados.

Presentación de los contenidos

Moodle permite presentar el contenido de cada curso de diversas maneras, pero deja fuera recursos muy interesantes como la ludificación o el Game Based Learning que aumentan el grado de interés, implicación y asimilación de conocimiento de las personas a la vez que hacen más divertidas sus capacitaciones.

Si deseamos incorporar estos recursos en nuestro plan, deberemos empujar a Moodle con links a recursos externos de este tipo, los cuales deberemos desarrollar con recursos propios o contratar a terceras partes.

Calendarización

La mejor forma de llevar adelante un plan de Concientización es presentar los contenidos a los usuarios en forma paulatina, reforzando los mismos periódicamente y realizando diversos tipos de evaluación sin interferir en las tareas y el día a día de cada usuario y sin ahogarlos de un día para el otro en un mar de información.

Deberemos por lo tanto ir habilitando manualmente los diversos contenidos y evaluaciones de cada curso creado según consideremos oportuno, teniendo en cuenta las diferentes necesidades y realidades de cada área de la organización.

¿Cansado de empujar?

Método de evaluación

Tan importante como llevar adelante un plan de Concientización es poder medir sus resultados. Moodle posee diversos módulos de evaluación para poder medir el rendimiento académico de los alumnos.

En el ámbito académico tradicional esto es suficiente, pero en el ámbito de la seguridad de la información no, ya que no sólo necesitamos evaluar qué sabe un usuario sino también cuáles son sus hábitos y comportamientos.

Para obtener este conocimiento normalmente se utilizan trampas de simulación de Phishing y Ransomware, que Moodle no posee. Por lo tanto, deberemos, nuevamente, empujar a Moodle, esta vez complementándolo con alguna herramienta de simulación de trampas de seguridad informática.

Reportes Gerenciales

Moodle nos brindará reportes de acuerdo a las evaluaciones realizadas. Por lo tanto los mismos estarán relacionados con el rendimiento académico de los alumnos. Será nuestra tarea entonces empujar a Moodle y complementar esta información para así lograr indicadores útiles para la alta gerencia.

Digo esto ya que cuando se lleva adelante un plan de Concientización es necesario contar con métricas y reportes que permitan no sólo conocer el resultado de cada acción de concientización, sino también correlacionar dichas acciones con el cambio real de comportamiento de los usuarios. De esta forma, se podrá demostrar el grado de efectividad de las campañas realizadas, justificar la inversión realizada en concientización, identificar usuarios de riesgo, etc.

Auditoría

Moodle posee logs orientados a registrar el rendimiento académico de alumnos, descritos como logs de actividad de curso.

Si estamos interesados en satisfacer diversos estándares de seguridad y calidad, como ser ISO 27001, ISO 9001, PCI DSS, DNPDP, normativas del BCRA, etc., deberemos entonces empujar a Moodle y tomar sus logs, postprocesarlos y complementarlos para satisfacer lo exigido por cada normativa.

Conclusión

En su día a día, los CISO poseen muchas tareas y responsabilidades, por lo que necesitan estar tranquilos y lograr sus resultados con mínimo esfuerzo. Moodle, en este ámbito, no será entonces la respuesta que buscamos.

Como podemos ver, para que Moodle nos sirva como vehículo para llevar adelante un plan de Concientización en Seguridad de la Información, deberemos estar dispuestos a arremangarnos, transpirar y darle un buen empujón en cada momento que no pueda ser suficiente por sí mismo.
Leer Más

lunes, 20 de marzo de 2017

Creando una cultura segura dentro y fuera de nuestra empresa

Creando una cultura segura dentro y fuera de nuestra empresa


Es muy importante establecer políticas de seguridad e implementar distintas soluciones que nos ayuden a estar más seguros, pero de muy poco valen si no creamos y fomentamos una cultura en seguridad dentro y fuera de nuestra empresa. 

El eslabón más débil de la cadena

Seguramente habrán escuchado frases como: “La cadena se rompe por el eslabón más débil”. Dentro del ámbito de la seguridad se utiliza mucho este tipo de frases para hacer referencia al usuario, ya que podemos tener un entorno súper seguro y muchísimas herramientas de monitoreo, pero si el usuario no utiliza la tecnología en forma consciente y segura es muy probable que tengamos una brecha de seguridad. De esta manera, nuestra empresa puede ser víctima de diferentes amenazas, como por ejemplo: un Ransomware que nos secuestre nuestros propios datos y no podamos acceder a ellos sin pagar un rescate, un engaño donde se le entreguen datos sensibles a un ciberdelincuente o bien acceso físico a un intruso a un área restringida, y muchos ejemplos más.

Es por todo ello que debemos crear una cultura segura tanto dentro como fuera de nuestra empresa.

Por dónde comenzar

Una muy buena forma de comenzar es incluir un programa de concientización dentro de nuestra estrategia de seguridad y así poder alcanzar a todas y cada una de las personas que componen nuestra empresa.
Ahora Uds. se preguntaran (o no :) ) por qué hacemos tanto hincapié en “dentro y fuera de la empresa”. La respuesta es simple: a una persona se la puede entrenar para que utilice en forma segura y consciente las herramientas y recursos tecnológicos de su empresa, pero de nada sirve si no hace lo mismo con los propios. Un ejemplo de esto sería:

Un usuario obtuvo un muy buen entrenamiento dentro de su empresa, donde tomó conciencia en el uso seguro de los recursos de la misma. Ahora, se encuentra más atento y es más cuidadoso en su trabajo. Pero cuando se retira del trabajo, recibe solicitudes de amistad en Facebook, aceptándolas aún sin conocer al emisor de cada una, hace públicas fotos en las redes sociales (incluso algunas tomadas desde dentro de la empresa), descarga cualquier tipo de aplicación (oficial y no oficial) en su celular, se conecta a cuanta red inalámbrica encuentre y navega con su notebook por cualquier sitio dando aceptar a cuánto cartel se le presente. 

Si bien exageramos, muchas personas actúan de esta manera, y descuidan sus recursos personales. Esto ocurre porque el usuario ha sido instruido en el uso de herramientas de la empresa, pero no en el uso de redes sociales o dispositivos personales. Esto es una gran brecha de seguridad, ya que los ciberdelincuentes no se limitan sólo a los recursos de la empresa, sino que, si el objetivo es claro, se enfocarán en los recursos personales de cada usuario y hasta objetivos satélites como familiares o amigos de los mismos.

Programa de Concientización

A continuación detallamos algunas de las acciones que pueden llevar adelante para poder cubrir distintos frentes y así lograr mayor visibilidad, sustentabilidad y rendimiento del programa:

Evaluación inicial

Es muy importante comenzar evaluando el conocimiento o la percepción que los empleados poseen con respecto a la seguridad. Para esto, se deben realizar diferentes test, como por ejemplo:
  • campañas de simulación de phishing,
  • campañas de simulación de malware,
  • encuestas,
  • evaluaciones,
  • engaños telefónicos,
  • intentos de intrusión.
La información resultante nos servirá para poder realizar una comparativa de estado a medida que avanzamos con las diferentes acciones del programa de concientización.

Concientización y entrenamiento

Una vez que conocemos dónde estamos parados, debemos concientizar y entrenar a todos los usuarios. Para tener éxito en este aspecto, debemos contar con material ameno y adaptado a la cultura de los usuarios. El material debe ser presentado en forma original, divertida y simple de asimilar, combinando por ejemplo Newsletters, Game Based Learning, Presentaciones Interactivas, Videos, Infografías, Charlas y Talleres.

Evaluación del progreso

De forma similar a la evaluación inicial, se debe poner a prueba periódicamente a los usuarios para poder medir el cambio de comportamiento y la asimilación de conocimientos de cada uno de ellos.

Registros de auditoría

Ya sea para dar cumplimiento a normativas internas o externas, todas las acciones de concientización realizadas con cada uno de los usuarios, deberán ser registradas.

Volver a comenzar

Es un error pensar en la seguridad como una solución que se implementa y funciona en forma desatendida, yo diría que es todo lo contrario, cuando implementamos una solución, estamos recién comenzando. Todas y cada una de las acciones que realicemos necesitan un seguimiento, ajuste o cambio.

La tecnología está en constante evolución como así también las amenazas, nada es estático y mucho menos debemos serlo nosotros.

Conclusiones

Al finalizar mis charlas me gustar hacer una analogía, la cual comparto a continuación:

Seguramente cuando éramos niños muchos de nosotros cruzábamos la calle sin prestar atención, nos daba lo mismo cruzar por la esquina que por mitad cuadra y que el semáforo estuviera en rojo o en verde. Esto sucedía porque no teníamos conciencia sobre las amenazas existentes (ejemplo: automóviles que pudieran atropellarnos) ni tampoco sobre nuestra integridad física. Por suerte tuvimos a nuestros familiares o amigos que nos enseñaron a cruzar por la senda peatonal, esperar que el semáforo se pusiera en rojo y mirar hacia ambos lados.

Hoy en día es impensable que una persona adulta cruce caminando una calle o avenida por cualquier lugar, sin mirar y con el semáforo de los automóviles en verde. La misma no realiza un gran esfuerzo mental para poder cruzar en forma segura ya que lo hace de una manera natural, esto mismo debemos lograr para con nuestra vida digital (tanto personal como laboral) incorporando de a poco hábitos seguros y utilizando la tecnología en forma consciente hasta lograr que estas acciones se vuelvan totalmente naturales.

Emiliano Piscitelli - emiliano.piscitelli@vhgroup.net
Twitter: @emilianox
Leer Más

lunes, 13 de marzo de 2017

Ley de Protección de Datos Personales: Capacitación y Concientización como Requisito

Ley de Protección de Datos Personales: Capacitación y Concientización como Requisito


¿Usted posee bases de datos bajo su poder? ¿Sabía que alguien que presuma o tenga certeza de que sus datos personales se encuentran en su base de datos puede iniciar operaciones para consultarlos, modificarlos o eliminarlos? ¿Se encuentra usted preparado para dar cumplimento a los requisitos de la ley de habeas data y evitar sanciones legales?

Todos hemos escuchado alguna vez algo sobre la ley de protección de datos personales (Ley Argentina 25.326), pero muy pocos conocemos sus requisitos.

Sobre la ley

Esta ley, sancionada en octubre del año 2000, tiene por objeto “[...] la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional” [1] y es aplicable tanto a personas de existencia física como ideal.

Tanto la ley, como sus modificaciones y decretos reglamentarios [2], no solo establecen requisitos de registro y de protección a nivel técnico de los datos, sino que requieren la definición de políticas, procedimientos, responsabilidades y la capacitación y concientización del personal sobre la adecuada protección de los datos personales. Estos requisitos no solo se establecen, sino que también son incluídos en los formularios de inspección que se utilizan para las inspecciones.


Requisitos de Capacitación y Concientización

Para empezar, el personal de la empresa que maneja o está en contacto con datos personales debe saber distinguir Datos Personales y Datos Sensibles, ya que ambos requieren tratamiento, pero los datos sensibles requieren aún más controles (dado que la revelación no controlada de su contenido puede dar origen a un trato discriminatorio sobre el titular de los datos).

Asimismo debe conocer cuáles son los derechos y obligaciones de los distintos actores involucrados: Responsable de Archivo, Titular de los datos, Usuario de Datos, y debe ser concientizado sobre las consecuencias del incumplimiento de los requisitos y obligaciones establecidos por la ley 25326. Debe conocer también cómo deben tratarse los datos en relación a su exactitud, actualización y supresión, y el deber de confidencialidad al que se encuentran obligados aún después de haber finalizado su relación con el titular de los datos. El personal debe ser consciente de las medidas de protección a adoptar para impedir amenazas de software malicioso que puedan afectar archivos con datos de carácter personal. Éstos son algunos de los aspectos destacables de la normativa, sobre los cuales la empresa debe focalizar a nivel de capacitación y concientización general.

Por último, una vez definidas las políticas, procedimientos y documentos de seguridad de datos personales de la empresa, deben ser comunicados, y se debe capacitar y concientizar sobre los mismos. Dentro de los puntos clave encontramos los relacionados al registro y gestión de incidentes de seguridad, control de acceso (físico y lógico), auditorías, backup y pruebas de restauración, gestión y destrucción de soportes, transmisión de datos, mecanismos de acceso y rectificación, actualización o supresión de datos a solicitud del titular de los mismos, entre otros.

Conclusiones

La ley de protección de datos personales vigente considera, como en cualquier esquema o norma de seguridad de la información, que podemos disponer de las mejores prácticas a nivel técnico, pero si el personal no está correctamente capacitado y concientizado, tendremos altas chances de que en la práctica nuestra empresa siga teniendo problemas en aspectos relacionados a la seguridad (en este caso de los datos personales).

Teniendo en cuenta que la ley argentina está vigente, y que las inspecciones se están realizando [3] [4], es importante que las empresas conozcan la misma, sus implicancias y comiencen a trabajar sobre sus requisitos. ¿Está su empresa preparada para el desafío?

Referencias

  1. http://servicios.infoleg.gob.ar/infolegInternet/anexos/60000-64999/64790/norma.htm
  2. www.jus.gob.ar/datos-personales/normativa.aspx
  3. www.jus.gob.ar/datos-personales/buscador.aspx?q=inspecciones
  4. www.jus.gob.ar/datos-personales/comunicados/2016/12/16/control-a-bases-de-datos-en-todo-el-pais.asp


Ing. Alejandra Giménez
CEO & Consultant of Iniciactiva (www.iniciActiva.com.ar)
Information Systems Engineer
Specialties: Information Security, ISMS, ISO/IEC 27001, QMS, ISO 9001.
Leer Más

viernes, 3 de marzo de 2017

Estadísticas alarmantes dan a conocer la epidemia mundial de Ransomware

Estadísticas alarmantes dan a conocer la epidemia mundial de Ransomware


Decir que los ataques de Ransomware en los últimos tiempos han sido más que alarmantes es poco. Para tener una idea clara del asombroso tamaño y alcance del problema global del Ransomware, consideremos las siguientes estadísticas [1]

Ataques dirigidos a mayor cantidad y variedad de dispositivos

No sólo aumentó la frecuencia general de los ataques de Ransomware, sino también la cantidad de dispositivos infectados y su calidad. Actualmente, entre 30.000 y 35.000 dispositivos son infectados cada mes, aunque el número alcanzó un máximo de 56.000 dispositivos en marzo del año pasado, según BestSecuritySearch, y esto incluye también los productos de Apple [2]. Una gran variedad de dispositivos inteligentes está empezando a ser víctima de ataques Ransomware, por ejemplo durante la época de Navidad del 2016 se dio a conocer el primer caso documentado de un Smart TV LG con sistema operativo Android infectado con este software malicioso [3]. Y por si eso no basta, en el último mes, se detectaron más de 1.100 ransomwares en Android [4].

Alarmante incremento en los ataques

Los ataques de Ransomware han estado aumentando constantemente desde inicios del 2016. El año pasado, el mundo dió testimonio de un incremento del 500% de incidentes de Ransomware, según la firma de seguridad cibernética Kaspersky Lab. La GRID de SonicWall detectó un incremento de 3,8 millones de ataques de Ransomware en 2015 a 638 millones en 2016. El año pasado los ataques de Ransomware se dispararon de 282.000 a 30 millones en un solo mes. Parte de ese aumento se debe al hecho de que aparecieron nuevas y múltiples formas de Ransomware y malware que infectan dispositivos. Además, el aumento de RaaS (Ransomware as a Service [5]) hizo que el Ransomware fuera mucho más fácil de obtener y utilizar. Otros factores que posiblemente han impulsado este crecimiento son: el fácil acceso al mercado clandestino, el bajo coste de llevar a cabo un ataque de Ransomware, la facilidad de su distribución y el bajo riesgo de ser capturado o castigado. A saber, CryptoWall y CryptoLocker ya no son los únicos Ransomware que hay que vigilar, hoy podemos afirmar con seguridad que los ciberdelincuentes están explorando todas las formas posibles de difundir sus virus informáticos de encriptación de archivos. En un solo período de tres meses durante el 2016, un total de 75 nuevas variantes de Ransomware fueron descubiertas en “estado salvaje”, de acuerdo con la firma de seguridad Ciphertechs. Los archivos adjuntos infectados que se envían por correo electrónico siguen siendo un método popular de entrega de Ransomware, pero los exploits que aprovechan vulnerabilidades en software también están en aumento y constituyen otra forma de infección.

Las demandas de rescate aumentan bruscamente

Las sumas de rescate solicitadas por los ciberdelincuentes que utilizan Ransomware para hacerse de los archivos de las víctimas va en aumento. Según la firma de detección de malware Barkly, mientras que un rescate típico solía ser un par de cientos de dólares, en estos días es habitual hacer frente a un rescate más cercano a 600 o 700 dólares. En los primeros tres meses de 2016, Barkly informaba que las víctimas de rescate habían pagado a los cibercriminales unos 209 millones de dólares, aunque las estimaciones del FBI son aún más altas. Además, existe una nueva generación de Ransomware como el Spora [6], que se diferencia por una fuerte encriptación de archivos fuera de línea y traer varias innovaciones al modelo tradicional de pago de rescate como un sistema que les permite pedir diferentes rescates para diferentes tipos de víctimas.

Los ataques empresariales van en aumento

El Ransomware es una gran amenaza para individuos y empresas. Alrededor de la mitad de las empresas experimentaron algún tipo de incidente relacionado con pedido de rescate, según un estudio de la investigación Osterman 2016. Un artículo de The Guardian [7] comenta que la firma de software antimalware Malwarebytes confirma estas cifras y brinda también algunos detalles.

Entonces, ¿qué pueden hacer las empresas para protegerse del Ransomware? 

Un buen comienzo sería poner en práctica los siguientes consejos:
  • Asegúrese de hacer una copia de seguridad de sus datos antes de que sea demasiado tarde. Los números muestran claramente que ninguno de nosotros es inmune a esta amenaza.
  • Capacite a sus empleados acerca del uso adecuado del correo electrónico y navegación Web: Cómo identificar enlaces, sitios y archivos adjuntos maliciosos.
  • Mantenga actualizado su software antivirus y firewall. Mientras que las herramientas de software de seguridad como estas no son infalibles, pueden ayudarle a detener algunas formas de Ransomware antes de que hagan algún daño.
  • Implemente soluciones perimetrales basadas en inteligencia artificial o UTM para incrementar la seguridad. Estas soluciones incluyen diversos tipos de herramientas, en general integradas, como ser filtros de contenidos, anti-spam, ATP (Advanced Threat Protection), entre otras que pueden resultar efectivas contra Ransomware, otro software malicioso y amenazas día cero.

Referencias 

  1. https://fightransomware.com/news/startling-statistics-shed-light-worldwide-ransomware-epidemic/
  2. http://www.welivesecurity.com/2017/02/22/new-crypto-ransomware-hits-macos/
  3. https://www.bleepingcomputer.com/news/security/android-ransomware-infects-lg-smart-tv/
  4. http://unaaldia.hispasec.com/2017/02/mas-de-1100-ransomwares-en-android-en.html
  5. https://blogs.technet.microsoft.com/mmpc/2016/12/21/no-slowdown-in-cerber-ransomware-activity-as-2016-draws-to-a-close/
  6. http://blog.emsisoft.com/2017/01/10/from-darknet-with-love-meet-spora-ransomware/
  7. https://www.theguardian.com/technology/2016/aug/03/ransomware-threat-on-the-rise-as-40-of-businesses-attacked
Leer Más