#/.35,4/2!%.3%26)#)/3).&/2-4)#/3
WWWITGSCOM
q3EGURIDADINFORMÉTICA
q3OLUCIONESENREDES
q3OPORTETÏCNICO
q!SESORAMIENTO
q(OSTING
q$ISE×OWEB
q$ESARROLLODESOFTWARE
q#APACITACIØN
3 9 3 4 % - 3
Detección y evasión
tips para una inyección Distinta
MpLs,
CALIDAD Y
FACILIDAD
Pag. 13
SECURITY
&
TECHNOLOGY
I T P R O F E S S I O N A L S M A G A Z I N E
pHisHinG,
UnA
AmenAzA CReCIenTe
Pag. 8
certiFieD
etHicaL HacKer
Pag. 5
staFF
DIReCToR GeneRAL
Gustavo rodolfo sepulcri
PRoPIeTARIoS
sc it security professionals s.r.L.
CooRDInACIón eDIToRIAL
Juan Manuel Gracia
ReVISIón Y CoRReCCIón
natalia cerrella
ReDACToReS
Diego san esteban
Gustavo r. sepulcri
Juan pecantet
Mariano Giral
Federico pacheco
Hernan M. racciatti
Gabriel schwartz
Fabián calvete
Marco escobar
Héctor Jara
edson vittoriano piuzzi
santiago pla
PUbLICIDAD - SUSCRIPCIoneS
román Domínguez (K)
[email protected] [email protected]
DISeÑo GRÁFICo
ariel Glaz
ILUSTRACIón Y DISeÑo Web
alicia vera alice
Si querés colaborar con
security
& technology
, escribinos a
[email protected]
security & tecHnOLOGy it professionals Magazine cOntactO
[email protected] www.st-magazine.com
Queda prohibida la reproducción no autorizada total o parcial de los textos publicados, mapas, ilustraciones y gráficos incluidos en esta edición.
La Dirección de esta publicación no se hace responsable de las opiniones en los artículos firmados, los mismos son responsa-bilidad de sus propios autores. Las notas publicadas en este medio no reemplazan la debida instrucción por parte de perso-nas idóneas. La editorial no asume responsabilidad alguna por cualquier consecuencia, derivada de la fabricación, funcionami-ento y/o utilización de los servicios y productos que se de-scriben, analizan o publicitan.
SECURITY
&
TECHNOLOGY
I T P R O F E S S I O N A L S M A G A Z I N E
¡Estamos de celebración!
Nos enorgullece el presentarles nuestro primer número de Security & Technology, una revista dirigida a empresas y profesionales de IT, cuyo principal objetivo es con-tribuir al desarrollo de su organización así como también de los profesionales que en ella se desempeñan. Para lograr este objetivo, nuestra propuesta apunta a acercarle a Ud., contenido relacionado con diversos temas de la actualidad tecnológica; novedades en hardware, software, telecomunicaciones y todo lo referido al área IT. En tal sentido, desde estas páginas intentaremos brindarle información de utilidad respecto a la ca-pacitación de sus recursos humanos, perspectivas del mercado, estrategia, seguridad informática y otros temas que creemos serán de su interés.
Así como el panorama de la seguridad ha evolucionado durante los últimos años, la seguridad en materia tecnológica ha dejado de ser una preocupación de la tecnología misma, para convertirse en un asunto netamente relacionado con su negocio. Desde este punto de vista, dirección y gerencia han pasado a formar parte activa en los procesos, la tecnología y los asuntos de personal, que inevitablemente de una u otra forma, se encuentran íntimamente relacionados con la seguridad de la información.
Si bien es cierto que nadie puede predecir cuándo ocurrirá el próximo incidente de seguridad en su organización, el que un incidente de tales características nos alcanzara en algún momento, es un hecho que no debemos desconocer. Precisamente, teniendo en cuenta que el generar conciencia es parte fundamental de nuestro objetivo primario, es que consideramos esencial la puesta en circulación del material que hemos reunimos en este ejemplar.
El usuario de informática y la tecnología suele caer en crisis existenciales: ¿Qué hay de nuevo en el mundo IT? ¿Qué tecnología me conviene elegir para proteger mi seguridad? ¿Qué programas debería usar? ¿Cómo debo encarar un proyecto empresarial? ¿Qué es lo que viene y cuánto cuesta? Security & Technology llegó para responder a todos estos interrogantes a través de una visión analítica de los productos y servicios disponibles en el mundo de la tecnología y la informática.
Siendo el contenido profesional uno de los puntos de mayor interés entre los lectores, todas nuestras notas y entrevistas serán realizadas por un staff de especialistas, como así también invitados especiales destacados en el rubro, quienes nos brindarán su colaboración con el objeto de lograr hacer de esta su publicación un recurso más a su disposición.
Como mencionáramos en los párrafos anteriores, este es nuestro primer número y es-peramos ansiosos sus comentarios y sugerencias. Estamos deseando crecer rápidamente junto a ustedes, nuestros lectores. Crecer en cantidad de páginas, tirada editorial y muy especialmente en calidad de contenidos, especialistas y diseño. Sabemos que con vuestro aporte, pronto nos convertiremos en la referencia ineludible para todo usuario, entusiasta o fanático de la tecnología y seguridad informática, motivo por el cual hemos habilitado una dirección de correo electrónico en la cual esperamos recibir sus mensajes: [email protected]
¡Que lo disfruten y nos vemos en Septiembre!
Año 1 · Número 1 · Agosto 2006
eDitOriaL
2ESELLERFOR)MMUNITY#ANVAS
-AS)NFORMACIN
INFO SECURITYCCOM
Immunity Canvas es una herramienta de penetrationtesting que ofrece cientos de exploits confiables, apuntado a Profesionales de la seguridad informática y Penetration Testers.
Immunity
L
os pioneros de la tecnología Intru-sion Detection dieron a conocer su estrategia de control de acceso a re-des (NAC, Network Access Control). La solución aprovecha la performance de McA-fee en administración integrada de seguridad y la aplicación de políticas a nivel de empresas, al igual que la experiencia de la empresa tanto en seguridad de sistemas como de redes.McAfee NAC, potenciado por McAfee Policy Enforcer, ofrece a las empresas de mediano y gran tamaño de cualquier parte, acceso en cualquier momento, a redes empresariales para sus empleados, invitados y contratistas, mientras protege los valiosos activos contra el riesgo de malware o configuración errónea de sistemas finales (endpoints).
Mcafee Policy enforcer ProPorciona: · Policy Enforcer permite a los clientes implementar una solución NAC completa, aprovechando las inversiones existentes en seguridad de endpoints y redes.
· Redes y endpoints más seguros: sólo los endpoints que no presentan infecciones pueden acceder a la red.
· McAfee AVERT Labs actualiza en forma continua y automática las listas recomendadas para verificación de infecciones.
· Administración de seguridad y cumplim-iento de políticas unificadas: McAfee Policy En-forcer está diseñado como un modulo de ePol-icy Orchestrator, lo que permite a los clientes implementar una solución NAC que funciona inmediatamente, aprovechando una consola única tanto para administración de la
seguri-dad como para el cumplimiento de normas. La estrategia NAC integral de McAfee tiene como objetivo ofrecer la solución NAC más completa y flexible que se adapta a cualquier entorno de un cliente. El proceso de cinco pa-sos que se describe a continuación permite la administración completa de los riesgos cuando los endpoints se conectan a la red:
· Definición de políticas: integración sin problemas de McAfee Policy Enforcer con ePolicy Orchestrator, lo que permite la ad-ministración de la seguridad y políticas de cumplimiento completamente integradas en una consola única centralizada. Control de políticas flexibles e inteligentes como políti-cas altamente detalladas y conscientes de la ubicación.
· Detección: identifica todos los endpoints que se conectan a la red sin importar la mo-dalidad de acceso a la red. Proporciona sopo-rte para acceso de endpoints con agentes, sin agentes y con agente “a pedido”.
· Evaluación: evaluación detallada de siste-mas tanto administrados como no administra-dos usando escaneo híbrido local y remoto po-tenciado por la tecnología Foundstone que es líder en la industria. Evalúa el cumplimiento de las políticas en cuanto al nivel de parches, actualizaciones de sistema operativo y apli-caciones, aplicaciones de seguridad e infec-ciones.
· Cumplimiento de normas: amplias alternati-vas de cumplimiento de políticas, que incluyen pero no se limitan a cumplimiento automático, cumplimiento por conmutador, norma 802.1x, API de VPN, DHCP, Cisco Network Admission Control, Microsoft Network Access Protection (NAP) y Trusted Network Computing (TNC). Permite el cumplimiento de políticas incluso cuando el sistema está desconectado de la red.
Permite el acceso total, parcial, en cuarentena a la red o restringe el acceso a la red según el nivel de cumplimiento.
· Reparación: opciones de reparación flexible que abarcan actualizaciones de aplicaciones de seguridad; protección contra vulnerabilidades usando IPS de hosts para protección previa a parches, al igual que implementación de parch-es. Opción controlada por el cliente mediante un solo clic y reparación automática.
McAfee, de acuerdo con el método de cumplimiento elegido, permite a los clientes implementar hoy una solución NAC en su red heterogénea existente, mientras brinda una base para futuros upgrade de la red.
¿usted dejaría que cualquiera
entre en su casa?
Igualmente, no debe dejar que cualquier computadora entre en su red. Usted necesita de una solución completa de fiscalización que
combine controles inteligentes de políticas con varios métodos de comprobación. Los controles de políticas son el cerebro de una solución
de fiscalización, permitiéndole definir y administrar centralmente su política de seguridad de TI, evaluar inteligentemente si sus
computadoras cumplen dicha política, y, finalmente, decidir cómo solucionar los problemas. Los métodos de fiscalización detectan las
computadoras luego que solicitan una conexión con la red, además de especificar el acceso a la red según el status de la evaluación y el
tipo de conexión con la red.
OPINIÓN DE CISCO
“La experiencia de mcAfee en seguri-dad, junto con la experiencia de Cisco en infraestructura de red, se integra sin problemas para brindar una solución nAC completa”, comentó Russell Rice, director de marketing de Cisco.
“el liderazgo de mcAfee en administración de seguridad de endpoints y cumplimiento de políticas a nivel de empresas comple-menta en forma ideal nuestro liderazgo en redes empresariales para proporcionar una combinación poderosa “dos en uno” para los clientes mutuos”.
mcAfee nAC crea nuevas oportunidades para sus socios de canal, lo que les per-mite agregar valor al proporcionar servi-cios de implementación rápida de nAC que ayudan a sus clientes a implementar una solución nAC que funciona totalmente. Los socios de canal de mcAfee actúan como asesores de confianza para ayudar a implementar y administrar soluciones de seguridad, lo que proporciona servi-cios como evaluación de vulnerabilidad, planificación de políticas de seguridad y capacitación.
»Por Lic. Diego San Esteban
“Para mantener la disponibilidad y
la integridad de la infraestructura
de TI frente a un entorno de
ame-nazas que cambian rápidamente,
las empresas deben implementar
un proceso y arquitectura NAC.
Esto ayuda a evaluar la seguridad
de un sistema o usuario cuando se
conecta a la red; monitorea la
segu-ridad de los sistemas que ya están
conectados e implementa políticas
de acceso a la red y de reparación
del sistema basadas en el sistema,
el entorno de amenazas y la
identi-dad del usuario”
LawrENCE OraNS, analista de investigación de Gartner
“La mayoría de las soluciones NAC
sólo revisan para determinar si
usted cumple las políticas, pero no
verifican si ha sido infectado con
malware o programas no deseados.
La solución de control de acceso a
redes de McAfee proporciona
verifi-caciones detalladas de políticas que
le ofrecen información sobre sus
activos, aplicaciones y sus riesgos
asociados, y también hace una
re-visión para determinar primero si un
endpoint está infectado, antes de
permitirle acceder a nuestra red”
aNDré GOLD, director de seguridad de la información de Continental Airlines.
“
“
4
Security&technology| AGOSTO 06#ISCO0)8&IREWALL
YDEAGOSTO
3ECURITY
DE!GOSTOYDE3EPTIEMBRE
#%(#ERTIFIED%THICAL(ACKER
ALDESEPTIEMBRE
)SA3ERVER
YDESEPTIEMBRE
%THICAL(ACKING
ALDESEPTIEMBRE
,0)
YDEOCTUBRE
.ETWORK
YDEOCTUBRE
#ALENDARIOq
#URSOS!GOSTOY3EPTIEMBRE
-ÉSINFORMACIØN
6ICTORIA'UZMÉN6
%JECUTIVADE-ARKETINGY%DUCACIØN 'LOBAL3OLUTION#ONSULTORES3! &ONO
ceH:
certified ethical Hacker
La certificación CEH (Certified Ethical Hacker) aborda en 22 módulos todas las técnicas y herramientas de Seguridad y Hacking Etico
para certificar el examen 312-50 de EC-Council.
N
o es ninguna novedad que las computadoras en todo el mundo están siendo victimas sistemati-zadas del hacking Esta práctica no sólo se ha globalizado, sino que se está convirtiendo en una disciplina tan masiva, que los atacantes pueden comprometer un sistema entero, robar todo material valioso y luego eliminar sus huellas en cuestión de minutos.La misión de un Ethical Hacker es, entonc-es, ayudar a las organizaciones a tomar las medidas necesarias para prevenir estos ataques, atacando al sistema por sí mis-mo; siempre manteniéndose dentro de los límites que impone la legalidad. La filosofía es muy simple: atrapar a un ladrón, pen-sando como tal. A medida que la tecnología avanza y las organizaciones dependen cada vez más de ella, la seguridad de la infor-mación está alcanzando niveles críticos de supervivencia.
Si el hacking involucra creatividad y un pensamiento fuera de los marcos predeci-bles, entonces las pruebas de vulnerabilidad y auditorías de seguridad no asegurarán la tranquilidad de una organización. Para asegurar que las organizaciones cuentan con normas adecuadas de seguridad, deben adoptar una política de defensa más pro-funda. En otras palabras, deben penetrar sus propias redes y vulnerar sus medidas de seguridad para dejar expuestas sus vul-nerabilidades.
La definición de ‘Ethical Hacker’ es muy similar a la de ‘Penetration Tester’. El Ethi-cal Hacker es un individuo usualmente empleado por la organización, alguien de confianza para tomar las riendas e intentar penetrar las redes y/o sistemas
informáti-cos utilizando los mismos métodos que uti-lizan los Hackers. El Hacking es un delito en la mayoría de los países del mundo. Cuando es llevado a cabo por pedido explícito en un contrato entre un Ethical Hacker y una organización, se vuelve legal.
EH (Certified Ethical Hacker) es la certi-ficación oficial de Hacking ético (http:// www.eccouncil.org/CEH.htm). El Hacker Ético es la persona que lleva a cabo inten-tos de intrusión en redes y/o sistemas uti-lizando los mismos métodos que un Hacker. La diferencia más importante es que el Hacker Ético tiene autorización para reali-zar las pruebas sobre los sistemas que ataca. El objetivo de esta certificación es adquirir conocimientos prácticos sobre los sistemas actuales de seguridad para convertirse en un profesional del Hacking ético.
DescriPción Del curso
Este curso llevará al estudiante a un entor-no interactivo, donde se les mostrará como explorar, probar, “Hackear” y asegurar sus propios sistemas. El entorno intensivo del laboratorio da a cada estudi-ante un profundo conocimiento y experiencia práctica con los actuales sistemas esenciales de seguridad. Los estudiantes empezarán por entender como funcionan las defensas periféri-cas y posteriormente serán llevados a explorar y atacar sus propias redes. Luego los estudiantes aprenden como los intrusos escalan privilegios y que pasos se pueden tomar para asegurar un sistema. Los estu-diantes también aprenderán sobre la Detec-ción de Intrusos, CreaDetec-ción de Políticas, Ing-eniería Social, Ataques DDoS, Ataques de SQL Injection, Creación de Virus y muchas técnicas más. Cuando el estudiante termina este curso, tiene entendimiento y experi-encia en Ethical Hacking (Hackeo Ético). Este curso lo prepara para el examen 312-50 de EC-Council para la certificación de Ethi-cal Hacker.
ec-council
El Consejo Internacional de Consultores de Comercio Electrónico (EC-Council®), es miembro de una organización internac-ional de académicos, industriales y
profe-sionistas del e-Business. Entre los miem-bros se encuentran profesionales de todos niveles, de diversas áreas y de una amplia gama de industrias. Entre ellos se incluyen áreas especializadas, tales como educación, tecnología de información, salud, manufac-tura, finanzas, comunicaciones y guberna-mental.
EC-Council proporciona habilidades y cer-tificación profesional para desarrollar e in-crementar el conocimiento, las habilidades y el crecimiento profesional de sus miem-bros. EC-Council ofrece diversas opciones para aspirar a y para practicar el Comer-cio Electrónico, para adquirir habilidades identificadas como importantes estándares de la industria Web para el Comercio Elec-trónico.
EC-Council ofrece cinco tipos de certifica-ciones:
1. Certified e-Business Associate 2. Certified e-Business Professional 3. Certified e-Business Consultant 4. E++ Certified Technical Consultant.
5. Certified Ethical Hacker Establecido en USA, y con oficinas centrales en Nueva York, EC-Council cuenta con miembros y afiliados alred-edor del mundo. Con el cre-cimiento que se proyecta, de direcciones de sitios Web, de aproximadamente 10 millones a 35 millones en los últimos años, hay un gran aumento en la demanda de profesionistas capacitados.
»Por Gustavo Rodolfo Sepulcri
Chief Security Officer | CEH Security Consultants
EC-Council certificó
a IT professionals
de las siguientes
organizaciones
como CEH.
novell
Canon
Hewlett Packard
US Air Force Reserve
US embassy
Verizon
PFIzeR
HDFC bank
University of memphis
microsoft Corporation
Worldcom
Trusecure
US Department of Defense
Fedex
Dunlop
british Telecom
Cisco
Supreme Court of the Philippines
United nations
ministry of Defense, UK
nortel networks
mCI
Check Point Software
KPmG
Fleet International
Cingular Wireless
Columbia Daily Tribune
Johnson & Johnson
marriott Hotel
Tucson electric Power Company
Singapore Police Force
PriceWaterhouseCoopers
SAP
Coca-Cola Corporation
Quantum Research
US military
Ibm Global Services
UPS
American express
FbI
Citibank Corporation
boehringer Ingelheim
Wipro
United States marine Corps
Reserve bank of India
US Air Force
eDS
bell Canada
SonY
Kodak
ontario Provincial Police
Harris Corporation
Xerox
Philips electronics
U.S. Army
Schering
Accenture
bank one
SAIC
Fujitsu
Deutsche bank
La certificación CeH esta compuesta por 22 módulos, donde se desarrollan todo tipo de técnicas y prácticas como:
· Legalidad y Ética · Footprinting · Scanning · enumeracion · System Hacking · Troyanos y backdoors · Sniffers
· Denial of Service · Ingenieria Social · Session Hijacking · Hacking Web Servers
· Vulnerabilidades en aplicaciones Web · Tecnicas de Password Cracking basado en Web
· SQL Injection · Hacking Wireless · Virus y Gusanos · Seguridad Física · Linux Hacking
· evadiendo Firewalls, IDS y Honeypots · buffer overflows
· Criptografía · Penetration Testing
esta certificación es otorgada por eC-Council (www.eccouncil.org)
Para más información sobre ethical Hacking, la empresa Security Consult-ants ofrece los siguientes cursos (Ver calendario en página 15):
C E H (Certified Ethical Hacker)
Duración: 40 horas
Fecha: Agosto: Dias Jueves. Comienzo Jueves 17. Horario 19 a 22 hs.
Días sábados. Comienzo Sábado 19. Horario 9 a 13 hs. Fecha Agosto: Días Martes. Comienzo Martes 15. Horario 9 a 13 hs.
Curso Ethical Hacking
Duración: 15 horas
6
Security&technology| AGOSTO 06Hacia una verdadera
administración de los riesgos
de la información
»Por Edson Vittoriano Piuzzi
¿Por qué aDMinistrar los riesgos De la inforMación?
El valor de la información es innegable para toda organización en nuestros días. Clara-mente, su uso apropiado puede establecer diferencias fundamentales en los resultados que obtendrá una determinada organiza-ción. Sin embargo, durante tantos años nos hemos empeñado en ponerla al alcance de todos que hoy el paradigma ha cambiado:
¿CóMO rESguArdAMOS ESTE ACTIvO TAN rEL-EvANTE PArA LA OrgANIzACIóN?
Impulsado por la coyuntura generada por la amenaza “hacker”, el resguardo de la infor-mación fue abordado entonces bajo un pris-ma tecnológico. Esto derivó en la aparición de infinidad de nuevos dispositivos de con-trol como firewalls, ids, AAA, etc. Lo cual, a su vez, generó la necesidad de capacitación para incorporarlos a las plataformas ya ex-istentes, pero además dejó de manifiesto la necesidad de producir un cambio cultural dentro de la organización, toda vez que por muy intrincados que sean los controles tec-nológicos, si las personas no respetan o no conocen la relevancia de los valores que pro-tegen, difícilmente les darán el tratamiento adecuado. En este punto el problema del resguardo de la información creció a magni-tudes insospechadas.
Era evidente que esto sucedería, la socie-dad digital “está en pañales” y a medida que va avanzando deja en evidencia sus benefi-cios, pero también los nuevos desafíos que supone. Ninguna organización es ajena a este proceso.
La nueva magnitud del problema sugiere la necesidad de una “cirugía mayor”. Si con-sideramos que la información es como la sangre de cualquier organización, es decir, fluye a través de ella activando y detenien-do procesos, modificandetenien-do decisiones, etc., etc. en pocas palabras generando movimien-to, pareciera ser necesaria la aplicación de recursos infinitos. Claramente, esto no es posible. Así las cosas:
¿COMO PrIOrIzAMOS dONdE “INyECTAr” rECurSOS?
Es necesario realizar un análisis de los ries-gos asociados a la información y como im-pactan en los procesos críticos del negocio, para realizar una apropiada administración de ellos.
¿Por qué es necesario conseguir el aPoyo gerencial?
Prácticamente todas las iniciativas
em-prendidas dentro de la organización deben ser atendidas por el gerente. Al menos eso es lo que declara la interminable procesión de consultores o “emprendedores internos” que desfila frente a su escritorio presentán-dole situaciones apocalípticas, fundamen-tando la viabilidad de su ocurrencia y pre-sentado alguna metodología o norma para solucionarla que no tendrá éxito alguno si no existe irrestricto compromiso gerencial. Si bien, existe algo de verdad en esta forma de abordar el tema, no es menos cierto que la principal preocupación del gerente es el negocio y su mayor interés está en trabajar en esa línea. Por tanto, es necesario mostrar como la administración de riesgos agrega valor y como contribuye a la obtención de los objetivos de negocios.
Aun demostrándolo, esta será sólo uno más
de una vasta gama de factores que deben ser observados por el gerente. No obstante, debido al carácter de “cambio cultural” que este tema supone, su apoyo debe ser completo, pero esto no significa que deba participar de innumerables reuniones, dic-tar interminables charlas o definir proced-imientos operativos. Al igual que la infor-mación que espera recibir del desarrollo de proceso, su participación debe ser precisa y clara, pero por sobretodo útil, oportuna y coherente.
Una vez conseguido este apoyo, el equipo de trabajo debe ser capaz de mostrar “en terreno” de qué manera los recursos autori-zado para administración de los riesgos, son un apoyo real a la estrategia definida por la gerencia para alcanzar sus objetivos de negocios.
¿cóMo Mostrar cohesión entre los objetivos De la aDMinistración De riesgos De inforMación y los objetivos Del negocio?
Implantando una serie de medidas asocia-das a mejorar o resguardar la seguridad de la información, midiendo su desempeño y correlacionándolo con los resultados de im-plantación de la estrategia general.
Para esto es necesario crear un sistema de gestión que permita controlar los diversos aspectos de un tema que tiene tantas aris-tas, pero…
¿COMO EvALuAr LA CALIdAd dE SISTEMA dE gESTIóN dE rIESgOS dE INfOrMACIóN?
Existen normas y buenas prácticas asociadas a la construcción de este tipo de sistemas que pueden ser utilizadas como marco de referencia. Incluso algunas de ellas, como la Norma Británica BS7799 son auditables
por entidades externas. Sin embargo, la mayor parte de los estándares internacion-ales consideran aspectos que van desde la sensibilización del personal hasta la temas de índole legal.
En este punto vale la pena plantearse la siguiente pregunta:
¿es Posible incorPorar este tiPo De sisteMas De gestión, si la organización no consiDera relevantes este tiPo De variables Para la MeDición De su DeseMPeño?
En la desesperación por implantar algo, mu-chos se han sentido tentados a convertir a la administración de riesgos de Información en un “presupuesto”, al cual cargan horas de cursos, dispositivos de prevención, con-sultorías, etc. y, por tanto, “medible” sólo en términos financieros. Frente a esta visión reducida, la reacción de las organizaciones modernas es comprender que su éxito global no depende única y exclusivamente de la habilidad de sus administradores para mane-jar presupuestos. La consecución de los ob-jetivos es la resultante de una combinación, muchas veces aleatoria, de factores tales como el compromiso de los empleados, la eficiencia de los procesos internos y la fi-delización de los clientes. Estos y otros fac-tores, dispuestos en unaintrincada red de relaciones causa-efecto configuran el esce-nario apropiado para el desarrollo exitoso de una determinada actividad.
En orden a medir el aporte de cada el-emento es necesario tener claro cual será la estrategia a seguir y como será implantada dentro de la organización. Adicionalmente, la implantación mensurable de la estrategia sólo será posible si la organización ha al-canzado un nivel de “madurez” apropiado. En caso contrario será un cúmulo de bue-nas intenciones y deseos que no llegarán a cumplirse.
¿cuáles son los PrinciPales factores a consiDerar Para iMPlantar un sisteMa De aDMinistración De riesgos De inforMación?
CAPITAL HuMANO
Al margen de su nivel de automatización, las organizaciones dependen del nivel de co-hesión, compromiso y entusiasmo de los in-dividuos que la componen. Son las personas quienes “quiebran” toda lógica cuando, tra-bajando unidas, se proponen un objetivo. El marco ético, la motivación, la capacitación
y el clima laboral son factores fundamen-tales en el éxito de cualquier organización humana.
Misión y visión
¿PArA quE ESTAMOS Aquí? ¿dóNdE quErEMOS LLEgAr?
Éstas preguntas pueden parecer de Perogrul-lo, pero la falta de claridad en los objetivos globales produce la sensación de que cada uno de los integrantes de la organización tiene sus propios objetivos sin que exista nada en común. En organizaciones grandes es más difícil mantener la cohesión ya que el individuo tiende a diluirse dentro de la organización. En este punto es necesario recordar cual es la razón de negocios que aúna el accionar de todos los integrantes de la organización.
PrinciPios y valores organizacionales
¿CuALES SON LAS OrgANIzACIONES HuMANAS MáS ExITOSAS EN TérMINOS dE PErMANENCIA EN EL TIEMPO, COHESIóN gruPAL, gENErACIóN dE COMPrOMISO y CONSECuCIóN dE
ObjETIvOS?
a. Las congregaciones religiosas cuen-tan su existencia en centenares e incluso en miles de años. Las más complejas y extendidas, a través de una estructur-ada y coherente jerarquía, extienden sus redes de acción a todos los ámbitos del quehacer humano, captando nuevos ad-herentes y generando recursos para con-tinuar con su misión, la cual, por cierto, es muy clara y conocida por todos los integrantes de la organización. El com-promiso que generan es tal que los indi-viduos pasan por alto otros valores en pro del objetivo común que supone un valor superior.
b. Las instituciones armadas agrupan a sus individuos bajo el objetivo común de reguardar y servir a la patria. Para alcanzar este objetivo existe una com-pleja y coherente estructura jerárquica la cual se sustenta en un código ético. El nivel de compromiso generado en los individuos es alto.
Ambos tipos de organización tienen en común la definición de principios y valores fundamentales que cada individuo debe observar y poner en práctica. Dicho marco ético es también la “carta de presentación” de la organización frente a la sociedad.
En distinta medida, una organización
comercial busca generar en sus clientes e integrantes un nivel de compromiso que permita asegurar la consecución de los ob-jetivos de negocios. Por tanto, es necesa-rio generar compromiso en los individuos a partir de la identificación de la organ-ización y, por ende, de cada uno de ellos, con valores éticos y sociales que van más allá de los indicadores económicos. Por ejemplo, compromiso con el crecimiento del país, trabajo social, contribución a las artes, contribución a la modernización de la industria, entre otros.
La difusión supone un desafío aparte. Es necesario considerar la gran cantidad de competencia publicitaria. Para posicionar el mensaje en las conciencias es necesario “derrotar” o, al menos, igualar a competi-dores tales como la televisión, la radio, in-ternet, etc. y finalmente, emigran en busca de mejores oportunidades. Preparar a otra persona para que tome los temas que el otro dejó requerirá tiempo y recursos nue-vamente.
La organización debe resguardar sus cono-cimientos y generar nuevas prácticas que vayan constituyendo y reforzando su “Cul-tura Organizacional”.
enfoque De Procesos
La organización debe ser capaz de conocer como funciona su cadena productiva y los procesos de apoyo correspondientes. Esto permitirá situar indicadores y métricas en aquellos puntos relevantes para la implant-ación de la estrategia. De este modo la estrategia se vuelve algo “palpable”, med-ible.
El enfoque permite además: comprender donde, porque y para que es necesario re-alizar “ajustes” administrativos, insertar tecnología, crear procedimientos, etc. Esto deriva en una optimización de los recur-sos, eficiencia y permite el mejoramiento continuo.
El modelamiento de la organización a partir de sus procesos no debe ser enten-dido exclusivamente en términos de de-sarrollo de sistemas de información com-putacional, sino como una herramienta de apoyo a la gestión integral.
control De gestión integral
Tradicionalmente, el control de gestión ha puesto énfasis en el desempeño de las vari-ables financieras. Sin embargo, ese enfoque fue modificado con la aparición de modelo Balanced Score Card (BSC), según el cual es necesario conocer los principales aspectos de interés para la organización con el fin de construir el “Mapa Estratégico”. Este último es una representación gráfica de la forma en que las métricas, iniciativas y factores se relacionan de acuerdo a lo dispuesto en la estrategia. En otras palabras, es la forma en que la estrategia se aplicará dentro de la organización.
Un cuadro de mando construido a partir de BSC constituye una poderosa herramien-ta para medir el desempeño de la estrategia en un instante de tiempo determinado.
La versión más tradicional de este modelo emplea cuatro perspectivas para describir una organización: la financiera, de clientes, de procesos internos y de conocimientos. La definición de elementos asociados a cada una de estas perspectivas y su posterior correlación permiten establecer el nivel de “impacto” que puede tener un indicador o iniciativa sobre otro u otros.
conclusión
La Administración de Riesgos de Informa-ción es una funInforma-ción necesaria en las organ-izaciones modernas. Sus objetivos pueden y deben apoyar los objetivos de negocios en el mediano plazo. Sin embargo, esto no será “visible” en una organización que no considere relevante, para la evaluación de su gestión, aspectos relacionados con la mejora continua de sus procesos internos, la administración de su conocimiento y las necesidades de sus clientes.
Las normas, buenas prácticas y modelos, deben ser entendidas como herramientas al servicios de una transformación or-ganizacional, bajo ningún punto de vista como un fin en sí mismas. La meta no es cumplir una determinada norma, la meta es crecer como organización para ofrecer un mejor servicio a nuestros clientes y mejorar la calidad de vida de todos y cada uno de nosotros.
$ESARROLLOE)MPLEMENTACIØNDE%COMMERCE
/PTIMIZACIØNDE3ITIOS%XISTENTES
!DMINISTRACIØNY-ANTENIMIENTODE3ITIOS7EB
!DMINISTRACIØNDE3ERVICIOSDE7EBHOSTING
0OSICIONAMIENTOEN"USCADORESY0ROMOCIØN/NLINE
3ERVICIOY3OPORTE4ÏCNICO2EMOTOY/NSITE
WWWANSWERCONSULTORESCOM
»Por Héctor Jara
E
l término phishing, en informática, denota un uso de la ingeniería so-cial para intentar adquirir infor-mación confidencial, por ejemplo contraseñas, cuentas bancarias, datos de tarjetas, etc. Todo esto obviamente en forma fraudulenta. El accionar del phisher (así es como se suele llamar a los estafadores que utilizan esta técnica) es simple, se hace pasar por una persona o entidad de confi-anza por medio de un contacto electrónico (por ejemplo correo electrónico, mensajería instantánea, páginas web, etc), imitando casi a la perfección el formato, lenguaje e imagen de entidades bancarias, financieras, etc. En todos los casos, la comunicación simula ser oficial, por ejemplo el website de un banco, y suele pedir algún tipo de logueo o informa-ción relevante, alegando motivos diversos. Por ejemplo problemas técnicos, cambio de políticas, posible fraude, etc.algo De historia nunca viene Mal En un lenguaje más coloquial, el término phishing deriva de la palabra inglesa “fish-ing” (pesca) haciendo referencia en este caso al hecho de “pescar” contraseñas e informa-ción bancaria de distintos usuarios. Otra posible definición del término phishing es la contracción de “password harvesting fish-ing” (cosecha y pesca de constraseñas), pero esto muy probablemente es una acrónimo posterior a la concepción del término.
La primera mención del término phishing data de enero de 1996 en un grupo de noti-cias de hackers, aunque el término apareció tempranamente en la edición impresa del boletín de noticias “2600 Magazine”. Luego fue adoptado por crackers que intentaban “pescar” cuentas de miembros de América OnLine. El término ph es comúnmente uti-lizado por hackers para sustituir la f, como raíz de la antigua forma de hacking conocida como “phone phreaking”.
Pero, ¿cóMo funciona el Phishing? Como mencionaba anteriormente, el phish-er envía una comunicación electrónica que suele tener un link a páginas web oficiales en apariencia de las entidades citadas, pero que en realidad conducen a falsas páginas web, que emulan a la perfección el sitio
original del banco o empresa, con el obje-tivo de “pescar” los datos ingresados por los usuarios.
Del lado del usuario, dado que el puede ver “la página web del banco” y tiene confi-anza absoluta en él, desconociendo a lo que se está enfrentando en realidad, ingresa sus datos con total normalidad.
A partir de este momento el phisher ya dis-pone de los datos confidenciales del usuario. Con ellos potencialmente puede:
• Realizar compras por internet con el néme-ro de tarjeta y fecha de expiración de una tarjeta de crédito
• Realizar transferencias bancarias, obvia-mente no autorizadas por la víctima
• Retirar dinero en efectivo de los cajeros automáticos habiendo previamente clonado laÇ/las tarjetas
• Y una larga lista de etcéteras.
algunas técnicas básicas De Phishing Dado que la imaginación del hombre no tiene límites, en este caso particular aplicada a ac-tividades fraudulentas, existen muchas for-mas de plasmar en la realidad lo mencionado en párrafos anteriores. En la mayoría de los métodos, además de las “ideas originales” de los phishers se utilizan conceptos técnicos de scripting o coding. Veamos algunos ejem-plos de ello:
• Si recibimos un mail con un enlace a un banco, si paramos el puntero del mouse so-bre el link, nos va a indicar el URL donde nos llevará el enlace. Una técnica consiste en hacer que dicho URL esté “mal escrito” o utilizar subdominios del tipo:
http://www.banco.com.juancito.com
donde podemos ver que en realidad banco. com es un subdominio de juancito.com • Otro ejemplo para mentir enlaces es uti-lizar direcciones que contengan el carácter arroba (@, si, como la revista). El efecto que se logra con esto es pedir un usuario y contraseña. Supongamos que tenemos el siguiente enlace:
http://[email protected]. com
y un usuario desatento llamado Juan, quien recibe un email aparentemente proveniente del banco y conteniendo el enlace mencio-nado.
Juan probablemente crea que se conectará a la página del banco, cuando en realidad
se conectará a members.tripod.com solic-itándole usuario y contraseña. Como nuestro querido juan creé que se conectará al banco, ingresará sus datos (seguramente usuario: juan y pass: juan) y el inescrupuloso phisher los “pescará”.
Afortunadamente para Juan y para otros usuarios desatentos, a partir de mozilla 4 y del Internet Explorer 5, este método ya no está permitido.
• Otro método de phishing consiste en uti-lizar comandos de Javascripts que alteren la barra de direcciones. Esto se logra colocando una imagen del la URL de la entidad legitima en la barra de direcciones o bien cerrando la barra de direcciones original y abriendo una que emule la legítima.
• En este método el atacante utiliza el códi-go de la entidad o empresa (en el ejemplo de juan, sería banco) por la cual se hace pasar. En este caso, dirigen al usuario para que in-icie su correpondiente sesión en la página real de la entidad (en nuestro caso http:// www.banco.com), donde la URL y los certifi-cados de seguridad parecen correctos. Este método se denomina Cross Site Script-ing y los usuarios reciben un mensaje donde se manifiesta la “necesidad” de verificar sus cuentas junto con un enlace que simula ser la página real, pero en realidad el enlace está modificado. Este es un ataque bastante complejo y si no se tienen lo conocimientos necesarios es bastante difícil de detectar. • Otro problema con las URL ha sido encon-trado en el manejo de Nombre de dominio internacionalizado (IDN) en los navegadores, esto puede permitir que direcciones que re-sulten idénticas a la vista puedan conducir a diferentes sitios, posiblemente páginas web con malas intenciones. A pesar de la publi-cidad que se ha dado acerca de este defecto, conocido como IDN spoofing o ataques homó-grafos, ningún ataque conocido de phishing ha tomado ventaja sobre esto.
Daños causaDos Por este tiPo De frauDe Los daños causados por el phishing van desde perder acceso al correo electrónico o mensajero instantáneo a manos del phisher hasta sumas de dinero exorbitantes. La faci-lidad con la que usuarios confiados brindan información confidencial a los phishers hace que esta metodología esté en auge. Con la información obtenida los phishers pueden usar esta información propia de los usuarios para crear cuentas falsas en nombre de estos,
gastar el dinero de sus cuentas bancarias, e incluso apropiarse de sus cuentas de correo, etc.
A título ilustrativo, se estima que entre el periodo de mayo de 2004 e igual mes de 2005, en Estados Unidos alrededor de 1,2 millones de usuarios tuvieron algún tipo de pérdidas debido al phishing. En dinero esto equivale a aproximadamente U$D 929 mil-lones. En forma paralela, las empresas per-dieron cerca de U$D 2.000 millones mientras sus clientes eran víctimas.
anti-Phishing
Como respuesta natural tanto de los usuarios como de las empresas, existen varias técni-cas diferentes para combatir el phishing, incluyendo la legislación y el desarrollo de tecnologías orientadas a combatirlo. A con-tinuación numeramos algunas:
rESPuESTA SOCIAL
Es evidente que el eslabón mas débil de la cadena son los usuarios (que raro, no?). Por lo que una estrategia fundamental para combatir el phishing es concientizar a los usuarios sobre como reaccionar ante posibles ataques de phishing. Veamos un ejemplo de esto:
Si un usuario es contactado indicando la necesidad de verificar datos, cuentas, etc, un comportamiento adecuado por parte del usuario sería contactarse el mismo con la empresa que en teoría está mandando el e-mail, o bien el mismo ingresar en la barra de direcciones la dirección web que el conoce que es segura.
rESPuESTAS TéCNICAS
A esta altura ya existen varios softwares anti-phishing. Usualmente se integran al navegador y trabaja identificando posibles contenidos de phishing en las páginas web o e-mails.
A un nivel corporativo, existen empresas que se dedican a dar monitoreo continuo y análisis de contenidos a otras empresas sus-ceptibles de ser atacadas (bancos, entidades financieras, empresas de e-commerce, etc).
Por otro lado, el Anti-Phishing Working Group, industria y asociación que aplica la ley contra las prácticas de phishing, sostiene que las técnicas de phishing, al utilizar como componente principal la ingeniería social, van a quedar obsoletas en poco tiempo si
