Transcribo una conversación (ficticia sólo en parte) con un usuario de Internet normal y corriente, preocupado por la seguridad y que se ha interesado por los últimos incidentes con certificados falsos. Quiere saber qué postura adoptar. Con actitud desenfadada, pretendo concienciar sobre la enorme distancia que separa SSL/TLS del usuario común, y cómo está “socialmente roto”.

(más…)

GESTIÓN DEL RIESGO

Introducción

“Las organizaciones, no importa cual sea su actividad y tamaño, afrontan una serie de riesgos que pueden afectar a la consecución de sus objetivos.”

Todas las actividades de una organización están sometidas de forma permanente a una serie de amenazas, lo cual las hace altamente vulnerables, comprometiendo su estabilidad. Accidentes operacionales, enfermedades, incendios u otras catástrofes naturales, son una muestra de este panorama, sin olvidar las amenazas propias de su negocio.

Tradicionalmente, las organizaciones han tratado estos riesgos mediantes estrategias de reacción y soluciones puntuales. No obstante, la experiencia ha demostrado que los elementos que conforman los riesgos y los factores que determinan el impacto de sus consecuencias sobre un sistema, son los mismos que intervienen para todos los riesgos en una organización. Por ello, la tendencia moderna es utilizar un enfoque integral de manejo de los mismos conocido como “Enterprise Risk Management” (ERM), con el fin de evaluar, administrar y comunicar estos riesgos de una manera integral, basados en los objetivos estratégicos de la organización.

(más…)

Los motivos para implementar este laboratorio (el primero de su género en Bolivia), surge a través de la necesidad que se tiene en el país y la región de exigir al máximo las pruebas de Ethical Hacking como un servicio preventivo de seguridad dedicado a la protección de sitios web transaccionales y de la información contenida en sistemas informáticos dentro las empresas -sobre todo entidades financieras, que son el blanco preferido de los script kiddies y por tanto las que más requieren de este tipo de servicios.

Sin duda un Test de penetración o Ethical Hacking, proporciona al negocio un panorama más claro y real que el de una auditoria de sistemas tradicional respecto a la seguridad informática en que se encuentra. Obviamente porque son diferentes servicios/tareas, de distinto objetivo y alcance. Pero que en su momento eran parte de una sola prueba integral (mal llamados simulacros), más bien guerras avisadas que no mataban soldados.

En años recientes las empresas no solo requieren pruebas de Ethical Hacking a su red, sino pruebas de penetración dirigidas y especificas a sus sistemas web transaccionales, donde las consultas y operaciones en línea vía internet pueden arriesgar la seguridad del negocio y de sus clientes. Por tanto implementar un par de firewalls/IDS y realizar tres mil configuraciones de red no aseguran la protección de estos servicios mientras no hayan sido probados/atacados al límite por personas experimentadas en técnicas y herramientas de hacking.

El error más común de las unidades de TI es creer que la seguridad pasa por la administración de redes y comunicaciones: configuración de firewalls, routers y demás aparatos de comunicación comerciales que publicitan el tema de “seguridad” como bandera de venta, sin embargo simplemente realizan filtrados a nivel de OSI (7 capas).

Cuando la mayoría de los ataques REALES son capa 8 y capa 9. (Capa de código y Capa usuaria). Los logs de estos ataques no son registrados por equipos de red.

En este sentido el laboratorio está conformado por: Servidores rackeables tanto de prueba como de ataque, simulando ambientes reales de empresa. Firewalls IDS/IPS tipo empresa (marca/modelo/configuración), realizando filtrado de paquetes, web filter, NAT, etc.
Tecnología de acceso seguro – AAA (Radius). Limite se seguridad a usuarios por políticas de grupo de dominio, antivirus.

Segmentación de red y mecanismos de cifrado de comunicación. Software de hacking gratuito. Software de hacking desarrollado en Cosim.

Plataformas Software para simulación de ataques. Amplificadores y bloqueadores de señal inalámbrica. Una red de computadores personales para DDoS y botnets., Otros…

A esto se suma el recurso humano conformado por un equipo de pen testers certificados en Ethical Hacking (CEH) y programación Web que trabajaron en la implementación y hardenning de este laboratorio.

Mismo que es utilizado para pruebas e investigación en materia de hacking.

Seguiremos trabajando en pro del hacking, su avance y desarrollo en Bolivia.

Cosim TI empresa boliviana líder en la seguridad de la información, inaugura en su decimo segundo año de aniversario, el primer laboratorio de HACKING en el país, el cual cuenta con un completo arsenal de herramientas tanto de tipo software y hardware destinados a las pruebas que realizan.

Felicidades Cosim TI!!

12 años protegiendo la seguridad de tu información.

Nuevos profesionales ASIC que aprobaron el examen de Certificacion, otorgado por la empresa Cosim TI (www.cosimti.com)

[Show as slideshow]

[View with PicLens]