Año 3 - N°5 | Mayo 2007   

- Entrevista

- Las Leyes

- Palabras de Ciso

- Tips para un Ciso

- Punto de Vista

- Hacking bajo la lupa

- Estadísticas

- Productos

- Capacitación

- Toolbox

- Links de Interés

- Lo Sabías?

- Hot Vulnerabilities 

- E-Fraude

- Noticias

- Bolsa de Trabajo

- Agenda & Eventos

- Carta de Lectores

- Libro de Pases

- El Chiste

Palabras de CISO

 

“No es lo que pasa, sino como reaccionas” (Parte 2)

Por Tania Cozzi

Magister en Auditoría de Sistemas

Senior Security Consultant
I-SEC Information Security Inc.

.

“No es lo que pasa, sino como reaccionas” ( Stephen Covey) Nota Anterior

 

Resultado de la Encuesta:

 

 

 

Análisis de los datos recogidos

Una vez más, el "Criterio del 80/20" parece haberse cumplido. Adicionalmente más de la mitad de las personas que participaron en este Quiz están o han sufrido uno varios momentos de stress como el que planteamos.


Para poder cuantificar los impactos de éstas dificultades deberíamos consultar a cada uno de los casos puntuales, pero me arriesgo a decir que no han sido considerados como MENORES por la Organización.


Respecto a las medidas a tomar podemos concluir que el 83% los problemas evidenciados se pueden resumir en falta de procedimientos y planificación y capacitación. Todos inconvenientes que repercuten en acciones que involucran en general una inversión de baja a moderada, no demasiados recursos, pero sí requieren de un tiempo para su desarrollo, implantación y adecuación a la cultura de cada empresa.

 

Tal vez por este motivo podamos pensar erróneamente que tenemos "todo el tiempo del mundo", cuando en realidad, ésa se ha convertido en la variable de mayor impacto en toda nuestra ecuación.

 

Medidas para Mejorar

 

De acuerdo a los inconvenientes planteados y a nuestra visión del problema les propongo las siguientes medidas paliativas, y su urgencia relativa no solamente al impacto potencial, sino a los recursos necesarios para llevarlas adelante (téngase en cuenta que cuando se menciona la palabra “recurso”, me refiero no sólo al plano monetario, sino al tiempo necesario para la implantación y la cantidad de personas –perfiles- a utilizar en cada caso).

 

Las medidas enunciadas se encuentran relacionadas con el caso presentado y podrían ser la respuesta a la pregunta que todos nos hacemos: ¿Qué debería haber hecho el responsable de SI?

  • Medidas a Corto Plazo:

    • Análisis de Logs del IDS y feedback para poder “identificar y aprender” las diversas técnicas de ataque que han sido explotadas.

    • Investigación de tipo FORENSE de las BD que han sido “accesadas” durante el problema y documentación de TODO lo relacionado con el incidente.

    • Cuantificación e impacto aproximado del incidente (si es posible en cuestiones tangibles: horas sin procesamiento, archivos modificados, archivos extraídos) y presentación del Informe a la Alta Gerencia.

    • Durante la investigación revisar los puertos abiertos y asegurarse de cerrar aquellos que puedan haber quedado en un estado no deseado luego del ataque.

  • Medidas a Mediano y Largo Plazo

    • Realización periódica y documentación de GAP Análisis (funcional y técnico, este último con mayor asiduidad que el primero debido a la velocidad de cambio).

    • Generación, implantación, seguimiento y control de un Plan de Acción de Mitigación de Riesgos (incluyendo un procedimiento específico de escalamiento de incidentes).

    • Generación de Tablero de Control con variables consideradas de mayor relevancia para la Empresa y Monitoreo constante del mismo.

    • Auditorías periódicas de Seguridad y Sistemas a los efectos de asegurar la razonabilidad de los controles de Gestión implantados por los responsables, documentación y presentación de informes a la Alta Gerencia.

Lecciones Aprendidas

 

Todos hemos pasado al menos una vez por una situación similar y probablemente cometido los mismos errores, pero no todos han aprendido.

 

Si vivimos en un ambiente laboral que se asemeja más a un cuartel de bomberos que a un CPD, entonces es hora de replantearnos la necesidad de comenzar con la implantación de medidas PREVENTIVAS que NO son GASTOS, sino por el contrario, inversiones que a corto y mediano plazo nos permitirán una reacción más acertada en situaciones de stress y riesgo potencial elevado.

 

Mi recomendación puntual aquí es simple (desde el punto de vista teórico), pero créanme cuando les digo que se trata de una de las puntas de este ovillo entretejido con un entramado cada día más complicado que es la Seguridad de la Información: Capaciten primero a los que toman las decisiones más importantes, sin SPONSORS, todo proyecto está condenado al fracaso aún antes de comenzar.

Tania Cozzi

Senior Security Consultant
I-SEC Information Security Inc.

Copyright © 2007 I-SEC. Todos los derechos reservados

Política de protección de Datos Personales