2018 3

25no. Contenido

Magazcitum, revista periódica de Scitum S.A. de C.V. Año 9, número 2, 2018. Editor responsable: Héctor Acevedo Juárez. Número de Certificado de Reserva otorgado por el Instituto de Derechos de Autor: 04-2013-032212560400-102. Número de certificado de Licitud de Título y Contenido: 14900, Exp.: CCPRI/3/TC/10/18827. Domicilio de la Publicación: Av. Insurgentes Sur 3500, piso 2, col. Peña Pobre, C.P. 14060, México, D.F. Impreso en: Rouge & 21 S.A. de C.V. Av. Rómulo O’Farril # 520 int 5 Col. Olivar de los Padres México DF. Distribuida por Editorial Mexicana de Impresos y Revistas S.A. de C.V: Oaxaca 86-402 Col. Roma. México D.F. Magazcitum, revista especializada en temas de seguridad de la información para los profesionales del medio. Circula de manera controlada y gratuita entre los profesionales de la seguridad de la información. Tiene un tiraje de 5,000 ejemplares trimestrales. El diseño gráfico y el contenido propietario de Magazcitum son derechos reservados por Scitum S.A. de C.V. y queda prohibida la reproducción total o parcial por cualquier medio, sin la autorización por escrito de Scitum S.A. de C.V. Fotografías e ilustraciones son propiedad de Getty Images, bajo licencia, salvo donde esté indicado. Marcas registradas, logotipos y servicios mencionados son propiedad de sus respectivos dueños. La opinión de los columnistas, colaboradores y articulistas, no necesariamente refleja el punto de vista de los editores.Para cualquier asunto relacionado con esta publicación, favor de dirigirse a contacto@magazcitum.com.mx

AÑO 9, NÚMERO 2, 2018

» Editorial

» Conexiones

» Opinión

» CiberSeguridad

Héctor Acevedo Juárez

¿Estás listo para TLS 1.3?

La Matriz Digital de Venkatraman

Catasia, la campaña que amenaza a México desde 2014

Incidentes de seguridad: divulgar o no, ese es el dilema

Colaboración público-privada, una clave contra las amenazas cibernéticas

Nuevas tecnologías, nuevas amenazas, nuevos retos, nuevos controles…

Mi proveedor, mi socio

Monitoreo de seguridad con Sysmon

Visión GRC de Criptomonedas

David Iván González

Samantha Moreno Velázquez

Manolo Palao

SCILABS

Marcos A. Polanco

Fabian Descalzo

David Bernal Michelena

Milthon J. Chávez

Dirección GeneralUlises Castillo Hernández

Editor en jefeHéctor Acevedo Juárez

Consejo EditorialUlises Castillo HernándezPriscila Balcázar HernándezHéctor Acevedo JuárezElia Fernández Torres

ColaboradoresDavid Bernal MichelenaMilthon J. ChávezFabian DescalzoDavid Iván GonzálezSamantha Moreno VelázquezManolo PalaoMarcos A. PolancoSCILABS

Marketing y ProducciónSofía Méndez Aguilar

Correctora de estiloAdriana Gómez López

DiseñoSilverio Ortega Reyes

4

66

20

14

28

8

4

10

16

24

10

14

4

Bienvenidos estimados lectores a una nueva edición de Magazcitum. En esta ocasión, como podrán observar al ver el índice, vamos desde temas tradicionales de seguridad, como la explotación de las bitácoras de Windows, hasta temas nuevos como la gobernabilidad ante el fenómeno de las criptomonedas.

Como siempre, tratamos de que la experiencia y el punto de vista de nuestros colaboradores ayude a crear entornos más seguros en cada organización y en la sociedad en general, esperamos que la lectura de esta edición sea provechosa para ello.

Nuevas tecnologías, nuevas amenazas, nuevos retos, nuevos controles…

CISSP, CISA, CGEIT, ITIL y MCSEhacevedoj@scitum.com.mx

Héctor AcevedoPor favor no dejen de visitarnos en nuestro sitio Web (www.magazcitum.com.mx) pues para nosotros es relevante saber qué temas les resultan interesantes.

Como siempre, muchas gracias por su atenta lectura.

Atentamente

Héctor Acevedo JuárezEditor en jefe

6

¿Estás listo para TLS 1.3?David Iván Gonzálezdavid.alvarez@scitum.com.mx ¿Has utilizado algoritmos criptográficos últimamente? Es probable que la respuesta de la mayoría de los usuarios de Internet sea que no, pero la criptografía forma parte de nuestra vida diaria y está más cerca de lo que creemos. Un ejemplo claro de esto es nuestra cercana relación con buscadores, redes sociales, aplicaciones de banca en línea e incluso nuestros amados servicios de streaming, los cuales utilizan criptografía para su funcionamiento.

Hace ya 10 años que se publicó el RFC 5246, que dio a conocer la versión 1.2 de TLS y que anunció múltiples mejoras y robustecimiento de los algoritmos utilizados dentro del protocolo; pero el tiempo de evolucionar ha llegado nuevamente. En enero de 2018 dio inicio la fase de pruebas e implementación de TLS 1.3, el cual ha prometido mejorar la velocidad en que las sesiones son generadas y robustecer la seguridad.

Aunque no se ha mencionado una fecha estimada para la liberación oficial del protocolo, debido a las múltiples revisiones que la IETF (Internet Engineering Task Force) está realizando, se espera que en algún momento de este año sea oficial su liberación.

Si bien TLS 1.1 y TLS 1.2 no cuentan con vulnerabilidades que debieran ser resueltas de manera urgente, tampoco existe un motivo para no adoptar la nueva versión del protocolo, ya que las mejoras provistas son muy interesantes. TLS permite al administrador de cualquier sistema elegir qué algoritmos criptográficos utilizar, lo que provoca que algunos administradores involuntariamente desplieguen algoritmos considerados inseguros o vulnerables, como el caso de RC4. La nueva versión de TLS promete acercarnos un paso más a la corrección de este comportamiento, ya que algoritmos como SHA-1, RC4, DES, 3DES y MD5 saldrán de sus listas de protocolos disponibles, además del modo de cifrado CBC para el algoritmo AES (que ha mostrado múltiples fallas de implementación en diversos proveedores).

Además de lo anterior, el protocolo ha reducido en dos pasos la forma en que una conexión es acordada, proceso conocido como handshake, reduciendo de esta manera la sobrecarga existente por la generación de sesiones.

¿Quién ya lo ha adoptado?

Aunque el protocolo no ha sido oficialmente liberado, algunas organizaciones como Akamai o Google ya han comenzado a desplegar versiones de desarrollo del protocolo, ayudando así con la identificación de fallas.

2018 7

Por su parte, algunos navegadores de Internet como Google Chrome, Mozilla Firefox y Samsung Internet ya cuentan con soporte para este protocolo, mientras otros como Safari, Opera Mini o Microsoft Edge no poseen aún esta característica, aunque esto no ocasionará todavía problemas ya que el protocolo no ha sido oficialmente liberado.

El día del juicio para TLS 1.0 está cerca

El Payment Card Industry Security Standards Council (PCI-SSC, por sus siglas en inglés) ha determinado el 30 de junio de 2018 como la fecha límite a partir de la que este protocolo será considerado un mecanismo apropiado para la protección de información bancaria. Aunque esto no significa que el protocolo vaya a desaparecer de nuestro ecosistema en el corto plazo, una buena práctica de seguridad debe ser la alineación con normativas internacionales que permitan mantener los niveles de seguridad tan altos como sea posible.

Los profesionales de seguridad debemos procurar que nuestras organizaciones se mantengan al día en las diversas especialidades que existen, no solo por temas de cumplimiento, sino como parte de una cultura de responsabilidad sobre seguridad de la información que en este país cobra cada vez más auge. Para ayudarnos en la identificación oportuna de amenazas y facilitar la detección de debilidades que pudieran ser aprovechadas por un atacante, existen múltiples servicios de seguridad que se adaptan a las necesidades de cada organización.Recuerda que la pregunta no es si serás atacado, sino cuándo.

Transport Layer Security (TLS) es un protocolo criptográfico que provee confidencialidad e integridad de la

información a dos entidades que se están comunicando. Es utilizado por los

navegadores de Internet para transportar datos que requieran ser intercambiados de

manera segura a través de redes.

8

Colaboración público-privada, una clave contra las amenazas cibernéticasSamantha Moreno Velázquezsamantha.moreno@scitum.com.mx La colaboración público-privada en ciberseguridad es una expresión que se menciona cada vez más en foros, congresos y presentaciones; pero lejos de ser solamente un término políticamente aceptado en el gremio tecnológico, su adopción en las organizaciones está cobrando mayor relevancia.

El acelerado crecimiento de las tecnologías de la información conlleva a que cada día existan más amenazas y vulnerabilidades en cualquier dispositivo o sistema conectado a la red, exponiendo a las organizaciones gubernamentales, comerciales y de la sociedad civil, a una cantidad innumerable de posibles amenazas. Dado este contexto, la colaboración desempeña una función primordial en virtud de que el intercambio de información permite tener visibilidad de lo que sucede en un entorno digital a nivel mundial, minimizando la repercusión masiva de un posible ataque.

En nuestro país se requiere romper la barrera del escepticismo a compartir información, ya que lejos de exponer a una empresa que ha sido víctima de un ataque, contribuye a que otras organizaciones no se vean afectadas por la misma amenaza, generando una alerta temprana que favorezca un entorno ciberseguro.

Pero, ¿qué esperarían las organizaciones recibir y ofrecer a través de un esquema de intercambio?, la información que se puede compartir sin comprometer la seguridad de los involucrados es mucha, desde perfiles de ciberactores, indicadores de compromiso, muestras de código malicioso, mejores prácticas, entre otras; incluso, el saber qué acciones han llevado a cabo otros especialistas ante una amenaza cibernética puede minimizar una cadena de posibles afectaciones masivas a nivel nacional e internacional, por lo que definitivamente la colaboración en ciberseguridad genera un panorama mucho más robusto ante la respuesta a un incidente, ya que los sectores participantes pueden saber de qué tienen que cuidarse y cómo determinadas acciones han dado resultados positivos en otros sectores.

2018 9

Un ejemplo del valor de compartir información se presentó en el caso de WannaCry, del cual se ha hablado en una gran cantidad de medios. Este ataque presentó una peculiaridad que permitió contener la infección y afectaciones en nuestro continente, puesto que cuando nosotros iniciamos las labores diarias, Europa ya había sido víctima de este agresivo ransomware, sin embargo, dentro de las actividades de defensa los especialistas europeos compartieron con el mundo los indicadores de compromiso para detener la infección. Por lo que, gracias al trabajo del continente europeo, y a la diferencia horaria, el continente americano contó con la información necesaria para contrarrestar el ataque incluso antes que este pudiese comenzar, minimizando con ello las afectaciones en América.

El reto no es minúsculo si consideramos que grandes potencias como la Unión Europea han invertido años en el tema, y fue hasta septiembre de 2017 que se propuso la creación de un centro de intercambio de información con la finalidad de garantizar la privacidad de la información antes de ser compartida con todos los actores involucrados, iniciativa que se encuentra en proceso de aprobación por parte de la Comunidad Europea.

Sin embargo, cada vez se hace más evidente que el entorno cibernético demanda que los actores de la industria, gobierno y sociedad civil, propongamos modelos y canales seguros para el intercambio de la información, a fin de fortalecer nuestro entorno y evitar ser víctimas de ataques e incidentes cibernéticos, ya que no importa el tamaño de la organización en la que colaboremos, todos manejamos información de valor que puede ser de interés para un ciberactor malintencionado.

En 2018 nuestro país se enfrenta a una situación digitalmente compleja por ser un año electoral a nivel federal, estatal y municipal, por lo que la coordinación y comunicación entre los actores será puesta a prueba y bajo escrutinio público, lo que nos invita a reflexionar sobre el beneficio común y las ventajas que representa el compartir información de amenazas cibernéticas antes de que sea muy tarde para evitar un incidente con repercusión a nivel nacional.

En resumen, la colaboración a través del intercambio de información de incidentes cibernéticos es una responsabilidad compartida en beneficio de todos, no importa qué frente nos toque cuidar o desde qué punto participemos en el esquema de la ciberseguridad.

10

mi socioFabian Descalzofabiandescalzo@yahoo.com.arCOBIT5 Foundation, Lead Auditor ISO/IEC 20000:2011, ISMS Auditor/Lead Auditor ISO/IEC 27001

La contratación de proveedores es un punto crucial en el marco de cumplimiento de cualquier compañía, si se recuerda que no solo hablamos de la simple compra de servicios o productos, sino que estamos adquiriendo recursos o procesos externos que completan nuestros procesos internos, para que estos últimos cumplan con sus objetivos de negocio. No hay que perder de vista nuestras necesidades de cumplimiento, ya que a su vez necesitamos dar respuesta a nuestras exigencias regulatorias, contractuales con clientes y a nuestro propio marco normativo.

Con esta visión debemos enmarcar el concepto de “proveedor crítico”, cuya principal propiedad para ser calificado de esta forma es estar directamente relacionado con un proceso crítico del negocio, sin importar si lo contratado es un producto o un servicio. Revisión de procesos, relevamiento de impacto en el negocio, desarrollo de planes de continuidad, son solo algunas de las herramientas que pueden ayudarnos a identificar a nuestros proveedores estableciendo cuán crítica es nuestra dependencia hacia ellos. Ahora bien, ¿esta es la forma en la cuál debiera identificarlos? Seguramente no.

En las tres prácticas mencionadas, la identificación se refiere a descubrir una propiedad de “crítico” sobre un proveedor existente que ofrece sus servicios o productos bajo consideraciones que, hasta el momento de la evaluación, no sabemos qué tan de acuerdo están con nuestras políticas internas o externas, sin mencionar los requisitos a cumplir concernientes a obligaciones internas o contractuales con clientes.

Mi proveedor,

Contratación de terceras partes, cuando dejamos de ver la letra chica del contrato

10

Indefectiblemente se debe imponer una práctica en la selección de nuestros proveedores que nos permita establecer los parámetros necesarios y acordes para una contratación respecto del proceso de negocio en el que van a participar, su porcentaje de participación y el objetivo a cumplir en ese proceso. Debido a ello es que se impone establecer una gestión completa sobre nuestros proveedores, desde su selección hasta el control de su gestión ¿Y cuáles podrían ser las entradas para sentar las bases de esta gestión? Una de ellas puede ser un proceso de revisión de proyectos en el cual sea factible identificar y medir la participación de un proveedor y así establecer las condiciones operativas y de cumplimiento con las que él mismo debería contar para ser incluido en el proceso que estamos diseñando.

Si bien en este artículo nos referirnos a aquellos proveedores asociados a la tecnología, este mecanismo no es privativo de áreas de TI o de seguridad de la información; todas las áreas de una compañía diseñan o modifican habitualmente sus procesos de negocio, incluyendo proveedores que realizan actividades delegadas o proveen productos que ayudan de una forma más eficaz y eficiente a cumplir con el objetivo de ese proceso de negocio. Lo que también habitualmente pasa es que, al momento de la evaluación, solo se revisan aspectos económicos relacionados con la contratación, dejando de lado todo tipo de riesgos operacionales y de seguridad, que en su mayor parte son los que realmente van a impactar negativamente el resultado económico, de imagen y de reputación de la compañía.

2018 11

Contratación de terceras partes, cuando dejamos de ver la letra chica del contrato

112018

Como sabemos, las áreas tecnológicas deben asegurar al negocio la disponibilidad operativa de los sistemas y la confidencialidad, integridad y disponibilidad de la información. Esto requiere que se establezcan medidas de gestión y control que aseguren la calidad de servicio mediante la evaluación, selección y seguimiento del proveedor contratado o a contratar para las áreas de TI y de seguridad de la información.

Luego de que una encuesta reveló que la mayor parte de las organizaciones cuentan con información completa de solo 15% de sus proveedores, lo que implica que no poseen información completa del 85% restante, la British Standards Institution (BSI) publicó la especificación PAS 7000:2014 de gestión del riesgo de la cadena de suministro para la precalificación del proveedor. Se debe tener en cuenta que la compañía es responsable de cualquier tipo de cumplimiento y del tratamiento que se hace de la información relacionada a contratación de servicios de terceras partes, y por ello debe velar por que cada subcontratista cumpla las regulaciones que le apliquen a la compañía (SOX, PCI, regulación bancaria, etcétera).

Por tanto, las garantías exigibles a nuestros proveedores serán las establecidas en las leyes y reglamentaciones que alcanzan a nuestra compañía, y por eso las áreas tecnológicas deben tener en cuenta lo siguiente al optar por integrar a un proveedor a sus servicios, actuales o en diseño:

a) Conocer las necesidades de aplicación para el negocio.

b) Identificar los riesgos y requerimientos de control.

c) Seleccionar recurso de TI y el estándar de evaluación asociado. o.

En relación con las responsabilidades en esta gestión, se identifican cuatro actores principales en el caso de la adquisición de servicios o productos tecnológicos:

» Áreas tecnológicas, que están a cargo de instrumentar los mecanismos necesarios para dar cumplimiento y poner en práctica las pautas de seguridad de la información en la contratación de sus proveedores y contratistas e informar a la gerencia de Compras sobre las condiciones de seguridad requeridas para cualquier tipo de producto o servicio a contratar o adquirir, con base en el marco normativo aplicable.

» Seguridad de la información, que deberá verificar que los contratos de productos y servicios informáticos cumplan con los preceptos establecidos por el marco normativo, y que los proveedores y contratistas realicen sus tareas conforme a las medidas de seguridad establecidas.

» Compras. Su responsabilidad es la de informar y exigir a los proveedores seleccionados las condiciones de seguridad requeridas para cualquier tipo de producto o servicio a contratar o adquirir.

» Áreas usuarias. Son responsables de convocar a las áreas tecnológicas y de seguridad de la información en todo proceso de compra en el que esté involucrada la información de la compañía, en cualquiera de sus formas (electrónica o física) y en los casos de la contratación de servicios tecnológicos o compra de software.

PAS 7000:2014 nos propone revisar temas del análisis de riesgos asociados a aspectos de nuestros proveedores o futuros proveedores, que habitualmente no revisamos, poniéndolos en dos ejes que aportan definiciones para una mejor selección:

» Módulos temáticos "Core": perfil de la compañía, capacidades, información financiera y de seguros, gobernanza empresarial, políticas de empleo, salud y seguridad, protección de datos, gestión ambiental y gestión de la calidad.

» Módulos temáticos "adicionales": ética empresarial, trazabilidad de la cadena de suministro, gestión de la seguridad de la cadena de suministro, gestión de la continuidad del negocio y práctica disciplinaria y abuso.

Estos dos ejes ayudan a contar con una evaluación completa para establecer los riesgos en la contratación y ver su asociación directa con el alcance de las actividades y la identificación de los niveles mínimos de prestación de servicio, tipo y condiciones en los cuales deben ser prestados.

Otros posibles riesgos, no evaluados frecuentemente, están relacionados a los cambios organizacionales en las compañías, por lo que se deben tomar medidas a reflejarse en el cuerpo principal del contrato y que están asociadas con mecanismos de notificación de cambios en el control accionario y cambios de niveles gerenciales. Este tema no es menor ya que, como saben, todo cambio organizacional de estas características puede acarrear una transformación en la misión y visión de nuestro proveedor, afectando sus procesos de negocio e impactando los procesos de los proveedores críticos que, a su vez, dejarán una huella en nuestros procesos o servicios internos. En conclusión, estos cambios organizacionales pueden ocasionar cambios en los procesos de servicios contratados que modifiquen su objetivo o, en el peor de los casos, hacerlos desaparecer.

12

Pensando en cuáles podrían ser los principales puntos a considerar en el análisis de riesgo a proveedores, los siguientes son los relevantes:

» Participación de subcontratistas en el proceso central (core) del negocio.

» Proceso de servicio inadecuado o fuera del estándar de cumplimiento de la compañía.

» Fallas en el servicio que ocasionen problemas regulatorios, daño de imagen o pérdida económica.

» Compromisos de confidencialidad, integridad o disponibilidad de la información.

» Falta de capacidad técnica y documental para la gestión del servicio.

» Dejar de prestar los servicios parcial o totalmente, o que el proveedor deje de operar en el mercado.

TI, en colaboración con el área de seguridad de la información, define planes de control y monitoreo de las actividades delegadas, los cuales se ejecutan con una periodicidad acorde al nivel de criticidad de la actividad. Los planes deben estar alineados a la política de seguridad de la información de la compañía, deben ser documentados de acuerdo con lo requerido por la regulación y hay que revisar periódicamente:

» La ejecución del proceso del servicio, documentación, recursos y gestión de terceros.

» Los contratos de servicio y su nivel de cumplimiento.

» El entorno físico y lógico de la prestación del servicio.

» La gestión de incidentes y gestión de cambios del proveedor.

» La gestión de respaldos de la información y continuidad de los servicios.

» Los niveles de satisfacción y cumplimiento respecto de los clientes internos.

La delegación de actividades en servicios tecnológicos críticos para la compañía debe incluir:

a) Los requisitos de notificación entre el cliente y el proveedor en los planes de respuesta a incidentes.

b) Los procesos y los plazos de notificación en los SLA.

c) La potencial solicitud de información, solicitud de registros y evidencias al proveedor durante una investigación, así como incluirlo en el proceso de resguardo y custodia de evidencias.

Una de las formas más prácticas para visualizar y asignar adecuadamente estos requisitos es el desarrollar una matriz de responsabilidad compartida entre el proveedor y la compañía, apoyando su confección con la intervención interdisciplinaria de diferentes sectores de la compañía, lo que permitirá mitigar riesgos robusteciendo la seguridad de nuestra compañía con base en las capacidades del proveedor, y así reducir la carga “local” de cumplimiento al compartirla con el proveedor.

Fig. 1 - Ciclo de la gestión de proveedores

· Descripción de objetivos· Lista de proveedores· Procedimiento de selección· Análisis costo - beneficio· Aplicaciones que se le dará al producto o servicio a adquirir· Observaciones y recomendaciones· Capacidad financiera· Capacidad técnica· Habilidad de gestión y recursos disponibles

· Gestión de calidad· Registro de inspecciones sobre condiciones y elementos de seguridad general

· Auditorías· Capacitación del personal· Tecnología utilizada (hardware y software)· Niveles de actualización general

· Política de manejo de cuentas y vínculo con los clientes· Instrucción, capacitación e implementación· Mantenimiento de software y equipo· Seguridad de los datos· Beneficios del sistema· Vida útil prevista para el sistema· Reputación y fiabilidad del fabricante y el proveedor de servicios

Análisis de lacontratación

Condiciones deadministración yoperación de TI

Condiciones deseguridad de la

información

Contol delservicio

Evaluacióndel proveedor

Como mencionamos antes, la delegación de la operación no implica una delegación de responsabilidad, por lo cual aquello que dejemos de operar y administrar es necesario controlarlo y auditarlo. Basados en esto, los aspectos y requisitos contractuales a tener en cuenta son:

» Contar con una cláusula de confidencialidad.

» Penalizaciones relacionadas con la divulgación total o parcial de la información confiada.

» Una cláusula de responsabilidad por la integridad de los datos ante errores de operación.

» El conocimiento y consentimiento de las políticas de seguridad de la compañía por parte del proveedor.

» En el caso de tercerización de operaciones, debe acompañarse documentación relacionada y entregarse al proveedor (normas, procedimientos, manuales, y documentación de soporte como checklist) e incluir su inventario en el contrato como “Anexo Técnico”.

» Exigir contractualmente evaluaciones de vulnerabilidad y pruebas de penetración, la existencia de una estrategia de gestión de riesgos y un plan de respuesta para la continuidad de negocio, sobre todo que incluya el proceso en el que se desarrolle el servicio o producto contratado.

» Contemplar el derecho a realizar auditorías en las instalaciones del proveedor y a sus procesos asociados al servicio contratado, por parte de la compañía o de empresas contratadas para tal fin.

» Contemplar que cualquier entidad regulatoria, nacional o internacional, pueda acceder, sin limitación, a los datos y a la documentación técnica relacionada (metodología del servicio, procedimientos internos del proveedor, etc.).

En concreto, lo arriba mencionado determina que el contrato de prestación de servicios debe suscribir como mínimo las siguientes cláusulas orientadas a la seguridad de la información:

Régimen de los datos. Es esencial que el contrato especifique que el proveedor no puede disponer de los datos ni hacer uso de estos para ningún fin que no esté expresamente autorizado por la compañía. En caso de que se trate de datos personales, también es necesario el consentimiento del titular de los datos.

Cumplimiento de legislación de protección de datos de carácter personal y sensible. El proveedor ha de asumir expresamente el papel de encargado del tratamiento de datos que la compañía decida trasladar al centro de datos e infraestructura del proveedor, con todas las obligaciones propias de tal figura, tal como se señalan en la legislación local. Además, si se almacena información de carácter personal en sistemas ubicados fuera de su país de origen, ha de asumir las obligaciones que al encargado del tratamiento de datos de carácter personal le impone la legislación local, con independencia de la jurisdicción aplicable al territorio en el que se localizan los centros de proceso de datos.

Seguridad en el acceso. El proveedor ha de garantizar que la información solo será accesible a la compañía, y a quien él determine mediante los perfiles de acceso correspondientes. En caso de que la compañía trate datos especialmente protegidos, se incluirán cláusulas que garanticen su tratamiento con las medidas de seguridad que sean exigibles.

Integridad y conservación. El proveedor debe disponer de los mecanismos de recuperación ante desastres, continuidad en el servicio y copia de seguridad necesarios para garantizar la integridad y conservación de la información.

Disponibilidad. El proveedor debe garantizar una elevada disponibilidad del servicio, así como comprometerse a organizar las paradas programadas para mantenimiento con la suficiente antelación, previo aviso a la realización de estas.

Portabilidad. El proveedor ha de obligarse, a la terminación del servicio, a entregar toda la información a la compañía en el formato que se acuerde, para que este pueda almacenarla en sus propios sistemas o bien trasladarla a los de un nuevo proveedor, en el plazo más breve posible y con total garantía de la integridad de la información.

Consecuencias para el caso de incumplimiento del proveedor. La falta de cumplimiento o el cumplimento diligente de las garantías ofrecidas a la compañía para la protección de datos por parte del proveedor, permitirá excluir la responsabilidad de la compañía.

Tengamos en cuenta que la contratación de un proveedor representa la selección de un “socio” que elegimos para apoyarnos en sus fortalezas en pos de cumplir con el objetivo de nuestros procesos, sean estos de negocio o relacionados con los servicios tecnológicos, por lo que una buena gestión sobre todo el ciclo de vida de la contratación nos asegurará los resultados esperados.

14

Catasia, la campaña que amenaza a México desde 2014SCILABSscilabs@scitum.com.mx Como hemos observado en los últimos años, el malware dirigido a México ha aumentado significativamente, un ejemplo de esto son las estadísticas de SCILabs que reflejan un incremento de más de 350% en enero de 2018 respecto del mismo mes de 2015. Desgraciadamente no solo se ha visto un aumento en la cantidad de ataques, sino en la complejidad de estos, pues ha mejorado su capacidad para evadir los mecanismos tradicionales de seguridad.

En el pasado era común observar que una amenaza que se operaba en otra parte del mundo se llegaba a identificar en México meses después, años incluso, además de que era raro que hubiese campañas de complejidad media alta dirigidas exclusivamente a nuestro país.

No obstante lo anterior, el cambio en el panorama de las amenazas nos alcanzó y ahora amenazas globales se detectan aproximadamente dos semanas después en México, aunque a veces en menor tiempo. Un ejemplo de lo anterior es Catasia, una campaña identificada por SCILabs que debe su nombre al uso de dominios .cat y .asia como servidores de comando y control. Esta amenaza ha estado activa durante los últimos cuatro años y se enfoca en comprometer a usuarios de nuestro país. Los cibercriminales detrás de esta campaña envían correos electrónicos masivos a sus víctimas, suplantando a organizaciones de alcance nacional, entre las que destacan instituciones bancarias y de gobierno.

En la mayor parte de los eventos identificados de Catasia, el correo electrónico de suplantación de identidad tiene un documento de Word adjunto (o un vínculo hacia un documento de este tipo) con código macro para descargar y ejecutar un malware adicional, el cual genera persistencia en el equipo comprometido para asegurar su ejecución cada que el dispositivo se reinicia.

2018 15

A pesar de los cambios realizados por el atacante, las tácticas, técnicas y procedimientos identificadas por SCILabs se mantuvieron, lo cual permitió agrupar los eventos e identificarlos como parte de una misma campaña. A partir de las características obtenidas, se determinó que la campaña inició en 2014 y comenzó suplantando a una organización de Colombia; posteriormente todos los ataques registrados fueron en México.

Las acciones realizadas por Catasia incluyen fraude bancario, espionaje, acceso al correo electrónico de los equipos infectados, uso de los equipos para ejecutar ataques de fuerza bruta hacia otros equipos en Internet y descarga de malware adicional, entre otras. Catasia destaca de otras amenazas de seguridad debido a que está enfocada exclusivamente en México, y también por el largo tiempo que ha permanecido activa, para ello ha empleado técnicas de evasión de detección, además de que el atacante “clein” ha empleado métodos más complejos para ofuscar los artefactos maliciosos.

A lo largo de los cuatro años de existencia de la campaña, SCILabs ha documentado cada cambio en las tácticas, técnicas y procedimientos utilizados por esta amenaza, agrupándolos en cuatros fases observadas:

» Periodo 1: mayo de 2014 a febrero de 2015

» Periodo 2: septiembre de 2015 a febrero de 2016

» Periodo 3: abril de 2016 a julio de 2017

» Periodo 4: agosto de 2017 al momento presente.

»

Lo anterior nos muestra que México no pasa desapercibido para los atacantes y que, dado que las amenazas no se mantienen estáticas sino evolucionan continuamente, lo mismo tiene que suceder con el monitoreo de estas. Ya no es suficiente con esperar a que aparezca una alerta para investigarla, es necesario contar con tecnología y un equipo humano que sea capaz de diseñar modelos de detección que permitan identificar anomalías basadas en el comportamiento de la organización, además de contextualizar la evolución de las amenazas y estar preparados para responder ante ellas. La evolución constante en las prácticas de seguridad adoptadas por la organización es lo que puede marcar la diferencia en detectar una amenaza en minutos u horas y no en meses o años.

16

David Bernal Michelena david.bernal@scitum.com.mx GCFE, GCFA y ACE

Todos sabemos que es fundamental implementar medidas de seguridad para reducir la probabilidad de que un atacante comprometa algún activo de la organización; sin embargo, a pesar de su importancia, la prevención no es suficiente ya que nunca se puede eliminar el riesgo al cien por ciento y, por lo tanto, es esencial tener la capacidad de detectar y responder a un incidente de seguridad lo antes posible.Una de las medidas necesarias de detección y respuesta es la auditoría de procesos, la cual consiste en generar un registro de los procesos que se ejecutan en una computadora, así como de las propiedades de dichos procesos, como la ruta completa, el identificador de proceso (PID), el identificador de proceso padre (PPID), los valores hash del programa, la línea de comando completa, etcétera. Esta información resulta muy valiosa en caso de que se requiera realizar una investigación de seguridad en las computadoras para determinar qué acciones ocurrieron en ese equipo en un periodo determinado. Existen algunas soluciones de endpoint conocidas como EDR (endpoint detection and response), que proporcionan capacidades de respuesta y detección de incidentes, las cuales pueden auditar la ejecución de procesos, las conexiones de red, así como muchas otras funciones como la gestión desde una consola centralizada, aislar de la red a un equipo sospechoso o, incluso, volcar y analizar la memoria RAM de un equipo. Estas soluciones son muy útiles y recomendables, sin embargo, el hecho de no contar con una de estas tecnologías no es una excusa para no auditar al menos los procesos, ya que hay varias herramientas disponibles de forma gratuita que si bien no poseen todas las capacidades de un EDR, al menos llevan un registro de los procesos, el cual puede ser analizado posteriormente en caso de ser necesario.

con SysmonMonitoreo de seguridad

16

Dependiendo del nivel de madurez de una organización, es posible combinar la auditoría de seguridad de Sysmon con otras tecnologías de seguridad como SIEM, a fin de pasar de investigaciones post-mortem a protección en tiempo real. Las fases de madurez en auditoría de procesos se listan a continuación:

Fase 0. Esta es desgraciadamente la fase más común y es cuando en la organización no se ha habilitado ningún registro de auditoría de procesos.

Fase 1. En esta fase la habilitación de la auditoría de procesos es local en cada equipo. Esto se puede realizar con Sysmon, la auditoría de procesos de Microsoft o, bien, con una solución de terceros. Se caracteriza por generar el registro de manera local, pero conlleva la desventaja de que, en caso de que el atacante logre los privilegios suficientes, elimine las bitácoras. Adicionalmente, la información no puede ser explotada en tiempo real, sino que solo se almacena y queda disponible para una investigación post-mortem, siempre que el ataque no elimine la información.

Fase 2. La información es enviada a un repositorio central, de forma que si un atacante logra privilegios de administrador en el equipo vulnerado, no pueda eliminar el registro de procesos, ya que este se encuentra en otro equipo de la red en el que el atacante no tiene autorización. En esta fase, el repositorio se ocupa únicamente para almacenamiento, pero no para procesamiento y análisis en tiempo real.

Fase 3. La información de procesos del servidor central se analiza en tiempo real, contra un conjunto de reglas de seguridad, en busca de anomalías, y se generan las alertas correspondientes. Esto es posible implementarlo al enviar la bitácora de eventos de Sysmon a un SIEM y configurar las reglas de alertamiento correspondientes.

2018 17

David Bernal Michelena david.bernal@scitum.com.mx GCFE, GCFA y ACE

17

Monitoreo de seguridad

2018

Como se dijo, a pesar de que varias tecnologías EDR proporcionan un mecanismo robusto de auditoría de procesos, muchas organizaciones no cuentan con dichas herramientas, sin embargo, esto no es pretexto para no habilitar al menos el monitoreo de procesos en la fase 1.

Una de las herramientas gratuitas para auditar procesos es Sysmon, desarrollada por Mark Russinovich y Thomas Garnier de Microsoft, y forma parte de la suite de herramientas SysInternals y crea una bitácora (log) de auditoría de los procesos de Windows.

En este artículo veremos cómo usar Sysmon para la auditoría de procesos y otros eventos del sistema. Además de auditar procesos del sistema, esta herramienta es capaz de auditar también conexiones de red generadas en el equipo y otras propiedades útiles como valores hash, línea de comandos e información del proceso padre que generó cada proceso.

La herramienta Sysmon permite implementar una configuración de auditoría personalizada que se puede hacer muy granular y específica para cada ambiente a proteger, sin embargo, inicialmente es posible que no contemos con la información necesaria para implementar esta política, por lo que como fase 1 se ocupará una configuración genérica.

Instalación

Primero hay que descargar Sysmon desde

A continuación, se explican los parámetros de instalación utilizados:

a) -n Registra conexiones de red

b) -h Registra los valores hash SHA256, md5, sha1 e imphash

Sysmon no solo puede auditar la creación de procesos, sino también eventos adicionales como conexiones de red, creación de archivos y ciertos tipos de inyección de código, entre otros. Una de las ventajas de Sysmon es que el archivo de eventos generado no va a superar el tamaño definido para este tipo de archivo y, en caso de que se generen muchos eventos, simplemente se va a reemplazar la información antigua con la más reciente. Si se desea incrementar el tamaño de la bitácora (log) de eventos de Sysmon a, por ejemplo, 200 MB, se ejecuta el siguiente comando:

wevtutil sl Microsoft-Windows-Sysmon/Operational /ms:209715200

Sysmon se habilita automáticamente después de instalarse: instala un driver, crea un servicio y genera la bitácora de auditoría, disponible en el visor de eventos del sistema operativo Windows al cual se puede acceder desde la ruta: Registros de aplicaciones y servicios, Microsoft, Windows, Sysmon, Operational.

Al abrir un registro de la bitácora se observan todos los atributos. Como ejemplo, a continuación se muestra el registro generado al ejecutar notepad.exe:

https://download.sysinternals.com/files/Sysmon.zip, después hay que decidir las opciones de instalación. Se recomienda, como mínimo, auditar los procesos, conexiones de red y registrar los hashes md5, sha1, sha256 e imphash. Para ello hay que ejecutar el siguiente comando:

Sysmon.exe -i -n -h sha256,md5,sha1,imphash

18

En este caso, se instaló Sysmon con una configuración genérica, pero para crear una auditoría personalizada para cada organización se recomienda revisar los eventos registrados por Sysmon durante cierto tiempo (por ejemplo una semana), para después identificar los procesos creados como resultado de la actividad normal del sistema operativo o de los aplicativos base de la organización. Este proceso de puesta a punto requiere un conocimiento profundo del sistema operativo y del ambiente a proteger, con el propósito de deshabilitar la auditoría de los procesos que corresponden a actividad válida y definir condiciones específicas de auditoría. Así mismo, es necesario revisar este archivo periódicamente para aplicar mejoras y ajustarlo a medida que el ambiente de la organización cambie. En la segunda parte de este artículo mostraremos cómo crear un archivo personalizado de auditoría de Sysmon.

C

M

Y

CM

MY

CY

CMY

K

Desinstalación

En caso de que por algún motivo se desee desinstalar Sysmon, basta ejecutarlo con el parámetro -u. Esto elimina el servicio del sistema y la entrada Sysmon del log de eventos, pero deja el archivo con la bitácora de eventos en la carpeta C:\Windows\System32\winevt\Logs. Esto es útil ya que en caso de que se desee reinstalar o actualizar, la información registrada anteriormente seguirá disponible.

C:\Windows\Sysmon64.exe -u

Cambio de configuración de Sysmon

Si se desea cambiar un parámetro de configuración como, por ejemplo, dejar de registrar conexiones de red, simplemente se debe ejecutar el mismo comando, pero sustituyendo la bandera -i con la bandera -c y las nuevas opciones de configuración. En el siguiente ejemplo se muestra cómo deshabilitar las conexiones de red:

Sysmon64.exe -c -h sha256,md5,sha1,imphash

https://blogs.technet.microsoft.com/motiba/2016/10/18/sysinternals-sysmon-unleashed/

Referencias:https://technet.microsoft.com/en-us/sysinternals/sysmon

2018 19

C

M

Y

CM

MY

CY

CMY

K

20

La Matriz Digital de Venkatraman

Manolo PalaoCISA, CRISC, CGEIT mpalao@ittrendsinstitute.org

AntecedentesEl Prof. Venkatraman1 es una autoridad en informática y en estrategia. Lleva más de un tercio de siglo investigando, publicando e impartiendo docencia sobre ambas materias y su estrecha relación. Es el coautor2 del concepto de ‘alineamiento TI-negocio’ que tanto ha dado de qué hablar en la profesión.

Ha enseñado en MIT, en el INSEAD, en la London Business School y ahora lo hace en la Universidad de Boston, donde —además de sus cursos tradicionales— ha iniciado en 2018 la impartición de dos cursos mooc (massive open online course), en la plataforma edX: el primero, excelente, gratuito, ya terminado (de deseable reedición) — Digital Transformation Strategy; el segundo, de pago, en curso — Digital Leadership.

20

En sus cursos el Prof. Venkatraman utiliza ampliamente su libro de 2017 Matriz Digital3, el cual comentaré brevemente en este escrito4. Dicho libro es una joya teórica y práctica que, en sus 278 páginas, presenta un ‘modelo de mercado’ (iba a escribir ‘modelo de mercado TI’, pero ¿queda algún mercado en el que no quepa la TI?).

Un ‘modelo de mercado’, aparentemente muy sencillo, que el autor ha sabido decantar en una matriz de 3x3: tres actores en el mercado que pueden seguir tres tipos de estrategia de digitalización:

MatrizDigital

Estrategias / Fases

Acto

res

Gigantesdigitales

Experimentaciónmarginal

Colisión enel núcleo

Reinvenciónradical

Tradicionalesen el sector

Emprendedorestecnológicos

1.1 1.2 1.32.1 2.2 2.33.1 3.2 3.3

2018 21212018

Los 3 grupos de actores son:

» Los tradicionales en el sector (p. ej. General Motors).

» Los gigantes digitales (Alphabet, Amazon, Apple, Facebook, IBM, Microsoft, Samsung y quizá otros).

» Los emprendedores tecnológicos (p. ej. Tesla Motors, Uber)5.

La flecha roja de dos puntas esquematiza el importante papel que en el mundo de la estrategia digital juega la coopetición o coopetencia: “la colaboración oportunista entre diferentes actores económicos que son además competidores. El término coopetición es una mezcla o una fusión entre dos palabras: competición (concurrencia) y cooperación”6.

La coopetición tiene una forma característica actual de realizarse digitalmente mediante las plataformas ‘ecosistema’7, 8. Los gigantes digitales promueven sus propios ecosistemas; un caso arquetípico en la industria es el de General Electric con su ecosistema Predix.

Los tres tipos de agentes9 (y todas sus combinaciones —dinámicas en el tiempo— de coopetición) pueden seguir y razonablemente deben seguir 3 posibles estrategias (o etapas progresivas):

» Experimentación marginal

» Colisión en el núcleo

» Reinvención radicall

La flecha verde indica que las tres posibles estrategias —si el ejercicio estratégico se desarrolla plenamente— son un ‘ciclo de vida’ que culmina —si se tiene éxito— en la reinvención radical.

La fase de reinvención no es un destino estático sino un estadio de un proceso recursivo en el que se persigue optimizar los tres indicadores de: escala (scale, cantidad), ámbito (scope, diversidad) y rapidez (speed, velocidad) que caracterizan la empresa digital vs. la tradicional [MD, Cap. 1].

El proceso conducente al éxito (supervivencia) consiste en que la empresa ofrezca al mercado (destacando en esos tres indicadores) unos productos/servicios “que hagan que la gente quiera hacer negocios con ella” [MD, p. 101].

Naturalmente, a lo largo de la progresión habrá una gran siniestralidad empresarial, dependiendo de las posibilidades y habilidades de cada empresa para influir en esos tres indicadores, y dependiendo del éxito relativo de los competidores.

MatrizDigital

Estrategias / Fases

Acto

res

Gigantesdigitales

ExperimentaciónMarginal

Colisión enel núcleo

ReinvenciónRadical

Tradicionalesen el sector

EmprendedoreTecnoógicos

1.1 1.2 1.32.1 2.2 2.33.1 3.2 3.3

MatrizDigital

Estrategias / Fases

Gigantesdigitales

ExperimentaciónMarginal

Colisión enel núcleo

ReinvenciónRadical

1.1 1.2 1.34 - 5 años 1.5 - 2 años 1.5 - 3 años

22

Pero hay incluso un riesgo mayor y es el de que no se inicie la travesía, por caer en una de cuatro “trampas del éxito” (no exclusivas de la digitalización), conducentes a la ceguera e inmovilidad [MD, pp. 9-13]:

» La trampa de sentirnos competentes en lo nuestro: mantenemos nuestro actual modelo de negocio porque, por el momento, funciona. Ejemplos de difuntos: BlackBerry y Nokia, frente a Apple.

» La trampa del ecosistema: mantener los productos/servicios y la cadena logística tradicionales. Ejemplo de fracaso: Microsoft en móviles.

» La trampa del talento: mantener el parque de habilidades que nos funciona, sin prever el que necesitaremos. Ejemplo de fracaso: Motorola —que inventó el móvil— y no supo ocupar una plaza en los smartphones. Ejemplos de estrategia preventiva: GM (un fabricante de automóviles, contratando, en 2012, 1 500 informáticos), o GE (un fabricante de equipos), con una plantilla, en 2011, de más de 5 000 informáticos).

» La trampa de las métricas: por caer en el tradicional error de medir lo que es fácil, en lugar de lo que es importante. Por ejemplo, las empresas automovilísticas enfatizando el número de unidades producidas en lugar de la cuota de mercado en el ‘supersector’ del ‘transporte de personas’, no simplemente en sus propios automóviles.

1Prof. N. Venkat Venkatraman, profesor ‘David J. McGrath Jr.’ de Gestión en la Escuela de Negocios Questrom de la Universidad de Boston, donde enseña conjuntamente en el departamento de Sistemas de Información y en el de Estrategia e Innovación. Es uno de los autores más citados en temas de gestión, según Google Scholar. Y en 2008 se le consideró como el 22º académico de gestión más citado en los 25 años previos.

2Henderson, J. C. and N. Venkat Venkatraman (1993). Strategic Alignment: Leveraging Information Technology for Transforming Organizations, IBM Systems Journal, 32 (1), 4-16.

3The Digital Matrix: New Rules for Business Transformation Through Technology.4Usaré la notación [MD, x] para citar partes (x) del libro.5 Los ejemplos de Tradicionales y Emprendedores los he tomado para el sector del automóvil, por ser un sector sobre el que hay amplia información no especializada. Venkatraman aporta, a lo largo de todo el libro, una infinidad de buenos ejemplos de otros muy variados sectores, aunque predominan los del automóvil, sector en el que es una autoridad y del que se ha ocupado al menos desde 1993. El documento de 30 pp. The Digital Matrix in the Automotive Sector que Venkatraman incluye en su curso Digital Transformation Strategy es un estudio completo y documentado de las estrategias digitales del sector, bajo la óptica de la Matriz Digital.

6Ejemplos de coopetición son: la banca tradicional cooperando (a veces mediante inversión o adquisición) con Emprendedores: “Santander Innoventures invierte en Roostify, una ‘startup’ de hipotecas en el móvil”; “Para Carretero [responsable de M&A Digital en BBVA], el debate sobre si los nuevos actores fintech son amigos o enemigos de la banca no existe”; “DIA distribuye a través de Amazon”.

7Un ‘ecosistema digital’, según Gartner, es “un grupo interdependiente de empresas, personas o cosas que comparten plataformas digitales normalizadas con un propósito de beneficio mutuo (como ganancia económica, innovación o interés común). Los ecosistemas digitales le permiten a uno interactuar con clientes, socios, industrias adyacentes e incluso competidores”. “Los ecosistemas son el futuro de lo digital”.

8Ver también, por ejemplo: Ramírez de Alba, R. (26 septiembre, 2017). Economía compartida. La revolución de las plataformas tecnológicas.9Clasificación que —a propósito de estrategia– se me antoja más acertada que la clásica ABC de Gartner: A, empresas técnicas agresivas que buscan ventajas competitivas de las TI; B, empresas más corrientes que usan TI para productividad; y C, empresas más conservadoras y con aversión al riesgo, que persiguen el control de costes de TI.

10Quizá una de las más importantes es: Porter, M. E. y Heppelmann, J. E. (November 2014). “How Smart, Connected Products Are Transforming Competition”, Harvard Business Review.

Ligas en artículo:

Venkatram

edX

Predix

Modelo de las 4 fuerzas

En conclusión

Me atrevo a afirmar que, desde el seminal modelo de ‘las 5 fuerzas’ (1979) de Michael Porter y las innumerables secuelas de su autoría10 y de otros, no se ha publicado nada compacto (en forma de libro) que facilite el entendimiento y el ejercicio de la estrategia digital mejor que el libro Matriz Digital.

Sólo me queda recomendar al lector un estudio más detallado de estos temas absolutamente cruciales en la ‘revolución digital’.

3The Digital Matrix

51993

5Digital Transformation Strategy

6Santander Innoventures

6Para Carretero...

6DIA Distribuye a través de Amazon

8Economía Compartida...

10How Smart connected products

Ligas en referencias:

24

Visión GRC de criptomonedasMilthon J. ChávezCISA, CISM, CIFI, CGEIT, CRISC e ISO27000LAmilthon@usa.net mch@mch.com.ve

24

Los usos, temas y perspectivas pueden ser muchas; para no quedarnos en lo general abordaremos la aplicación más publicitada de blockchain: las criptomonedas, aunque en el mediano plazo podrían no ser las más trascendentes.

La salida de las criptomonedas a la escena pública motiva y pone en evidencia el interés de corporaciones privadas y hasta públicas en la actividad de minería, Exchange y trading en el universo cripto. La conducción de esas actividades, su gestión y gobierno con visión integral es un tema que hemos atendido y modelado con criterios de eficiencia y eficacia. En esta oportunidad consideramos importante abordar el tema desde la perspectiva GRC2 de las criptomonedas.

Gobierno corporativo: en el debido camino, el punto G

Es un requisito primario de toda estrategia de generación o reserva de valor en este tipo de instrumento digital, pues el nivel de virtualización como nueva forma de dinero es mayor y distinta a los modos virtuales desarrollados hasta ahora.

Sobre la tecnología de cadena de bloques (blockchain) se dice mucho y falta mucho por decir, genera pasiones pues diversos actores asumen roles que van desde fanáticos dogmáticos que consideran herejía cualquier análisis, hasta detractores iracundos que formulan advertencias cuasi apocalípticas. Entre estos extremos hay quienes muestran pública indiferencia, pero tras bastidores invierten y desarrollan infraestructuras sobre esta tecnología emergente, así como otros que dicen apoyar, pero no están dispuestos a cambiar paradigmas. Con mesurado pragmatismo sostenemos tres premisas sobre las que hay acuerdo generalizado:

» El blockchain es una de las tecnologías disruptivas sobre la que se sustentan varias áreas de la naciente economía digital.

» Uno de los beneficios que sirven de bandera a blockchain es la capacidad de proteger la integridad (vía cifrado) de los datos y las transacciones.

» Es la apuesta más fuerte, en el escenario actual, para deconstruir intermediación, o lo que es igual, alcanzar la desintermediación1 en las transacciones electrónicas, especialmente financieras. Un requisito pendiente para la Economía Digital desde hace más de treinta años (varias vidas en “años TIC").

2018 25252018

Los usos, temas y perspectivas pueden ser muchas; para no quedarnos en lo general abordaremos la aplicación más publicitada de blockchain: las criptomonedas, aunque en el mediano plazo podrían no ser las más trascendentes.

La salida de las criptomonedas a la escena pública motiva y pone en evidencia el interés de corporaciones privadas y hasta públicas en la actividad de minería, Exchange y trading en el universo cripto. La conducción de esas actividades, su gestión y gobierno con visión integral es un tema que hemos atendido y modelado con criterios de eficiencia y eficacia. En esta oportunidad consideramos importante abordar el tema desde la perspectiva GRC2 de las criptomonedas.

Gobierno corporativo: en el debido camino, el punto G

Es un requisito primario de toda estrategia de generación o reserva de valor en este tipo de instrumento digital, pues el nivel de virtualización como nueva forma de dinero es mayor y distinta a los modos virtuales desarrollados hasta ahora.

Para los pioneros de la minería, la gobernabilidad venía implícita en el “ojo en vigilia” del minero en autogestión o en “gerencia de contacto”, y puede aún tener vigencia en esa condición.Pero cuando el dueño de “granjas” de minado no es al mismo tiempo operación y tesorería, es necesario construir marcos de gobernabilidad que permitan confirmar que los beneficios se generan de la forma debida y se resguardan por vías seguras en el repositorio acordado. Las criptomonedas son nuevas, pero su uso como reserva de valor y los distintos procesos que ya mencionamos obligan a construir marcos de gobernabilidad. La rápida obsolescencia de los equipos, regulaciones en construcción, necesidad de evaluar continuamente las estrategias y la alta variabilidad del valor, entre otros factores, así lo demandan, pues de lo contrario la inversión y rentabilidad pueden pasar de lo virtual a “esfumarse”, convirtiendo sueños en pesadillas o en amargo despertar.

El optimismo implícito en la visión innovadora al adoptar una tecnología disruptiva no elimina la necesidad de gobierno sobre la organización.

Optimizando el riesgo, punto R

En el mundo de las criptomonedas encontramos un verdadero arcoíris de opciones que van desde los ciber-riesgos, – los tradicionales y los novedosos– hasta la administración, pasando por los riesgos financieros, frente a los cuales los pilares de las normativas fundamentadas en las mejores prácticas, crujen ante la presión que imponen los nuevos paradigmas que emergen de estas tecnologías disruptivas.

Solo abordando el ciberriesgo podemos mencionar, a manera de ejemplo, el derivado de la incertidumbre que emana de la novedad del objeto, aunque la estructura tecnológica tiene la fortaleza de la criptografía asimétrica (por ahora) no jerarquizada y fortalecida en la red P2P. Los modos de implementación y los límites de la red distribuida de la cadena de bloques (blockchain) agregan vulnerabilidades en las redes acotadas y retardos, no siempre transparentes, en las más grandes o abiertas. Ambas situaciones pueden generar vulnerabilidades en la integridad funcional. Los fraudes, los robos y estafas ya ostentan varios récords delictivos. En el universo de la cadena de bloques y especialmente en el mundo de las criptomonedas, interdependencia del riesgo y resiliencia no son opciones exquisitas sino enfoques indispensables.

La visión holística, en 360º (y en 3D), es indispensable para todo especialista del riesgo. En cualquier contexto es una condición valiosa para toda organización, para aprovechar la transición a la economía digital. La exasperación es atípica en un auténtico gestor del riesgo y sería un gran peligro para su entorno, convirtiendo a tal especialista en una barrera para aprovechar las oportunidades con eficiencia, que emanan en cualquier cambio de paradigma o revolución.

26

Cumplimiento: buenas prácticas y reglas claras, punto C

Actualmente la adopción de normas y regulaciones es un mar de tempestades en el que se enfrentan corrientes diversas. Por un lado, la desintermediación enarbola su bandera en la economía digital y encuentra en las criptomonedas una oportunidad inédita que trae consigo la esperanza de distintos niveles de anonimato, chocando de manera frontal con los controles tradicionales, y no siempre exitosos, (manipulados y manipulables) del mundo financiero en el cual el anonimato es obsceno y la intermediación es el modelo de negocio.

Por otra parte, el mundo financiero luce como fortalezas las arquitecturas nacionales, internacionales y supranacionales de normativas, reglamentaciones, leyes y convenios orientados a la transparencia basada en trazabilidad. Esas arquitecturas han permeado desde las mejores prácticas operacionales hasta las grandes plataformas tecnológicas (SWIFT o MAESTRO, por ejemplo), pero en las criptomonedas convergen estos dos mundos: dinero y digitalización, y para más o menos la mitad de la humanidad, la economía digital es una realidad directa (indirecta para los otros tres mil millones de personas) y es necesario revolucionar la estructura regulatoria.

Como todo mar turbulento, este también tiene corrientes menos visibles (“mar de fondo”) pero fuertes, que representan el rol de los gobiernos nacionales ante riesgos que van desde la seguridad pública, comercio ilícito, control ciudadano, legitimación y regulación de flujos de capitales y control fiscal, entre otros. Mientras algunos actores se inclinan a la regulación en términos convencionales, otros abogan por la renovación de paradigmas frente a las nuevas tecnologías. Ambos extremos deben encontrar acuerdo para no retardar el crecimiento de la nueva economía. Por ejemplo, este conflicto está candente en el caso de la normativa europea de protección de datos, GDPR3.

En consecuencia, la tarea no se reduce al grado de cumplimiento sino a la creación de un modelo de cumplimiento emergente, en armonía con lo tecnológico y que satisfaga a las sociedades y a sus reguladores naturales o de facto.

Para la construcción

La operación, gestión y gobierno del ecosistema blockchain y específicamente de criptomonedas es, en esencia, transdisciplinario. Abordarlo solo como tema tecnológico es un error estratégico, con trágicas consecuencias en costos, expectativas y tiempos. Construir un marco de gobierno renovado, afrontar el riesgo de forma integral y gestionar el movedizo territorio del cumplimiento sigue siendo una sana visión para navegar la nueva era tecnológica.

Las criptomonedas son, casi todas4, una forma de dinero fiduciario, es decir basado en confianza. Por otra parte, un armónico nivel GRC genera confianza, de manera que el vínculo es directo y afortunado.

1Tapscott., Don, Economic Digital(1983) , Blockchain Revolution(2016) 2GRC: (Gobierno, Riesgo y Cumplimiento)3General Data Protection Regulation, norma de la UE que afecta a toda organización que trate datos de los ciudadanos europeos.4La excepción son los criptoactivos, que son criptomonedas con algún tipo de garantía o respaldo de valor.

28

Incidentes de seguridad: divulgar o no, ese es el dilemaMarcos A. Polanco ITIL, CISSP, CISA y CISMmpolanco@scitum.com.mxEl 30 de marzo de 2018 recibí un correo del Chief Digital Officer de MyFitnessPal, servicio al que me había suscrito hace algunos años, en el que me notificaban que un mes antes habían sufrido un acceso no autorizado a datos de cuentas de usuarios. La información afectada incluía nombres de usuarios, correos y los hashes de las contraseñas. Asimismo, me hacían saber que habían tomado acciones inmediatas para determinar la naturaleza y alcance del problema, y que estaban trabajando con firmas líderes en el ámbito de la seguridad para que los asistieran en la atención al incidente. Finalmente comentaban que el evento ya había sido notificado a las autoridades, con quienes estaban trabajando de forma coordinada, y me daban una serie de recomendaciones a llevar a cabo.

En noviembre de 2017 Uber reconoció públicamente que un año antes había sido víctima de un hackeo que había involucrado al menos 25 millones de nombres de usuarios y sus correos, 22 millones de números de dispositivos móviles y 600 mil licencias de conductores. Esta situación la ocultó a las autoridades, pues estaba bajo investigación por otro incidente producido en 2014. Uber también dio a conocer que había realizado el pago de la módica cantidad de cien mil dólares a un “investigador” para destruir la información a la que había tenido acceso a través del hackeo, y el pago lo realizó utilizando un mecanismo llamado “bug bounty” (programa de incentivos que algunas empresas ofrecen abiertamente a aquellos que logren descubrir una vulnerabilidad en un sistema o aplicación y lo reporten a la empresa con el fin de mejorar la seguridad).

Yo soy usuario de ambos servicios. En el primer caso me hizo sentir que aun cuando había un problema y cierta información había sido comprometida, estaban tomando con seriedad el asunto y lo estaban abordando de manera frontal y abierta ante los usuarios. En el segundo caso, no supe si mis datos podrían haber estado en los afectados, no tuve noticias de algún comunicado y, desde mi punto de vista, claramente hubo un manejo inadecuado e inoportuno de la situación.

El incremento en la sofisticación y número de ciberataques obliga a las organizaciones a estar preparadas para los peores escenarios. Las estrategias de seguridad han adoptado un enfoque de proteger, detectar y responder, pues se sabe que no es cuestión de si nos atacarán o no, es cuestión de cuándo sucederá y de si estaremos listos para responder adecuadamente.

En este contexto resulta indispensable crear las capacidades organizacionales para el manejo de incidentes de seguridad de la información y para el manejo de cibercrisis.

2018 29

Dentro de estas competencias a desarrollar, un tema central a discutir es la estrategia de comunicación y divulgación, es decir, cuándo sí se deberá notificar la situación, cómo, y cuándo no.

Los tres objetivos principales que se deberán perseguir con la definición de una estrategia de comunicación y divulgación son:

1) Limitar el daño reputacional y recuperar la confianza de las partes interesadas (clientes, accionistas, aliados, empleados y entidades regulatorias).

2) Resolver y manejar el incidente de la mejor forma, ya que una estrategia de divulgación oportuna puede ayudar a mejorar la efectividad y oportunidad de las actividades de respuesta.

3) Cumplir con los requerimientos legales.

En general podemos identificar dos fuentes de detección de incidentes: la primera es la interna, que se da a través del monitoreo continuo de seguridad; la segunda es la externa, cuando el incidente se identifica por terceras partes, como por ejemplo un cliente, un aliado o algún organismo encargado de la aplicación de la ley.

Cuando la detección es interna, se puede presentar el dilema de si se debe o no divulgar, excepto cuando exista la obligación o requerimiento legal para sí hacerlo (ahí no debería haber dilema), como puede ser el caso de la Ley Federal de Protección de Datos Personales en Posesión de Particulares o la normativa europea GDPR (General Data Protection Regulation), por mencionar un par de ejemplos.

Cuando el incidente es identificado por una fuente externa, resulta muy difícil “esconderlo”, y entonces, además de atender el incidente en la parte operativa y técnica, se debe ejecutar un plan de comunicación y divulgación.

Ante la decisión o necesidad de notificar un incidente, es vital controlar el flujo de información asociada con él para asegurar que la información correcta es comunicada en el momento correcto por la persona correcta a la audiencia correcta.

No tener establecido, documentado y probado el proceso de comunicación puede provocar que las consecuencias sean aún mayores. Una buena comunicación ayuda a rápidamente involucrar a la gente adecuada, tanto interna como externa, así como a tomar mejores y más rápidas decisiones.

El plan de divulgación deberá considerar, al menos: ¿qué notificar (contenido)?, ¿cómo notificar (medios y métodos)?, ¿cuándo notificar? y ¿a quién notificar (clientes, proveedores, aliados, accionistas, entidades regulatorias, proveedores de servicios de respuesta a incidentes, prensa, público en general)?

La naturaleza del incidente y el impacto potencial definen el tipo de comunicación que se requiere; algunos otros aspectos a tomar en cuenta son la sensibilidad de la información comprometida o afectada; número de usuarios, clientes, áreas y procesos afectados; número de dispositivos y servidores afectados y la causa del incidente (error humano, brecha de seguridad, etc.).

A continuación, muestro una tabla ejemplo de qué y a quién notificar1:

Comunicación internaAudiencia Qué se les debe notificar

Alta dirección

Activos que fueron impactados por el incidente.Cuál es el plan de respuesta.Cuáles son los resultados esperados.Cuándo volverá a la normalidad la operación.

Áreas de negocio afectadas Cuándo volverá a la normalidad la operación.

Empleados Qué deberán hacer los empleados.Cuánto tiempo se estima que durará la situación.

Comunicación externaAudiencia Qué notificar

Prensa Es mejor si se puede evitar, pero si es necesario se deberá dar un comunicado sobre el incidente y su impacto.

Clientes Avisar si el cliente fue potencialmente impactado por el incidenteAvisar si sus datos personales fueron robados.

Proveedores

Avisar si el proveedor fue potencialmente impactado por el incidente.Avisar si podría ser un proveedor el objetivo primario del ciberataque.

Proveedor de servicios para respuesta a incidentes

Detalles técnicos para recibir asistencia en la atención del incidente.

Entidades regulatoriasAvisar si se trató de una brecha de seguridad.Qué tipo de datos se vieron involucrados.Detalles técnicos que sean requeridos.

Policía/Otras autoridades Si se quiere levantar una denuncia habrá que dar todos los detalles necesarios.

30

Fuentes:1 Cyber Security Incident Management Guide, Centre for Cyber Security, Belguim.2 Cyber Crisis Management: A decision-support framework for disclosing security incident information. Olga Kulikova, Ronald Heil, Jan van den Berg, Wolter Pieters

Otras referencias:The Cyber Risk Handbook, creating and measuring effective cybersecurity capabilities. Domenic AntonucciCyber Security Incident Reponse Guide, CRESTCyber Incident Response, Are business Leader ready?, The Economist Intelligence Unit

En el siguiente diagrama se presenta una línea de tiempo de notificación propuesta en el artículo Cyber Crisis Management2, en la que se puede observar que, conforme va evolucionando el ciclo de vida del incidente, los aspectos a comunicar tanto de forma interna como externa van variando.

Conclusiones

Hoy existen casos en los que se debe notificar si se es víctima de un incidente de seguridad, pero ¿es suficiente?, ¿debería existir una obligación de notificar cualquier incidente de seguridad?, para el caso de México, ¿se discutirá esto en las mesas de trabajo en las que se está conformando la Estrategia Nacional de Ciberseguridad?

Independientemente de las respuestas a las preguntas anteriores, yo considero que las organizaciones deben contar con procesos formales y sólidos de manejo de incidentes y cibercrisis e incluir en ellos una estrategia de comunicación y divulgación que responda claramente qué se deberá notificar, a quién, cuándo y cómo.

4. Management3. Initial Response

2. Risk Assessment 5. Resolution

1. Warning

Event ofinterest

received

Incidentlifecycle

IncidentDisclosure

ExternalDisclosure

Step 4Step 3Step 1 Step 2

Incidentresolved

Incidentresolution

notifications

Post-Incidentlearning

notifications

Post-Incidentlearning

notifications

Incidentescalation

de-escalation

Incidentdetails/prioritiesassessed

Incidentimpactassessed

Notifications toadditionalemployees

New waveof internalnotifications

Externalstakeholdersdetermined

1stround ofnotifications

Incidentstatus

updates

Incidentresolution

notfications

IRTformation

Incidentconfirmed

research scope

6. Recoveryand learning