Consultorías

Una estrella más en el firmamento digital

Guido Rosales 20/08/2021

Ya son cinco años que estamos inmersos en varios proyectos de Banca digital con diferentes Entidades de Intermediación financiera.

Esta semana celebramos la puesta en el firmamento del ciberespacio de uno más de los proyectos donde estuvimos involucrados varios meses. Y también esperamos subir una más en el me de SEPTIEMBRE

LOS PROYECTOS DE BANCA DIGITAL EN BOLIVIA

Los proyectos de Banca digital pueden desarrollarse básicamente en 3 modalidades:

Todo en casa, vale decir la infraestructura, software, procesos y demás.
Un esquema mixto, la infraestructura tuya, pero las aplicaciones de proveedores externos
La modalidad SaaS con casi todo en la nube.

Las 2 primeras modalidades son mas tradicionales, pero en la opción 3, el rol de la NUBE juega un papel determinante. Esta modalidad desde el punto de vista regulatorio esta comprendida en el RGSI de ASFI como COMPUTO EN LA NUBE y esta sujeto a varios controles en pro de la NO OBJECION del ente regulador.

LOS PROYECTOS AL ESTILO YANAPTI

Si bien el RGSI establece de alguna manera los requisitos para solicitar la NO OBJECIÓN, deja también a libertad del regulado la posibilidad de establecer los escenarios del proyecto, adoptar metodologías, gestionar la factibilidad, los riesgos y establecer las condiciones y caracteristicas bajo las que pretende brindar el servicio al socio, cliente y/o consumidor financiero.

Y es precisamente en ese contexto que Yanapti viene apoyando a diferentes instituciones desde agosto del año 2016 cuando comenzamos con el Banco Pyme de la Comunidad en Cochabamba. Siguió La Cooperativa San Martín en Santa Cruz, La promotora EFV en Cochabamba, La Primera en la ciudad de La Paz y tenemos precisamente esta semana, la grata satisfacción de ver como un proyecto más sube al ciberespacio con la Cooperativa Madre y Maestra de la ciudad de Tarija. Al final hemos cubierto el eje troncal y ahora ya hemos diversificado contando actualmente con 4 proyectos en marcha, con diferente nivel de avance que esperamos todos estén en el ciberespacio hasta finales del 2021.

Esperamos tener una cooperativa más en el mes de Septiembre. y ojala hasta fin de año minimo 2 mas.

Decimos al estilo Yanapti por cuanto tenemos un sesgo muy bien definido hacia la CIBERSEGURIDAD lo cual le ha dado un enfoque en este sentido a todos los proyectos en los que hemos y estamos participando.

Nuestros servicios comprenden diferentes fases, desde el tramite de NO OBJECION, la puesta en producción y el soporte post implementación. Tenemos varios años monitoreando servicios de Banca digital todos los días. Estos no están entre nuestras estrellas por cuanto no participamos en la salida, pero abastecemos de monitoreo en tiempo real a varios.

LA TEORÍA DE GESTION DE PROYECTOS

En los citados proyectos venimos alineandonos a PMBOK, al final utilizamos esta metodología desde el año 2000 y sin duda hemos desarrollado una visión mas práctica que teórica.

Decimos alineados por cuanto el marco regulatorio no establece algo exigible, por tanto se aplica la mejor opción a la necesidad de la situación.

En términos temporales son proyectos con 18 meses en promedio, pero por diferentes factores entre tecnología, conocimiento y experiencia en entornos de CLOUD COMPUTING. Esperamos romper el récord y tener un proyecto en 6 meses. Veremos como pinta.

Pero sin duda se está generando un equilibrio en la regulación, al principio los proyectos tenían mas incertidumbre pero la regulación entendía este extremo, ahora cuando los servicios en la nube se hacen mas maduros, tambien es logico que la regulación se haga mas puntual y exigente.

En términos de Calidad del producto final también ha sufrido una fase de madurez, quizá la pandemia ha colaborado como catalizador de los procesos, pero también el cibercrimen y su incremento por la misma pandemia está comenzando a jugar en contra.

En términos de Riesgos son varias las aristas a considerar, pero los aspectos legales aun son muy ambiguos cuando queremos legislar el ciberespacio con reglas del mundo físico.

DIVERSIFICANDO EN LA NUBE

Algo muy util para nosotros ha sido lograr la Transformación digital impulsados por el cambio de sede, migrar de La Paz a Santa Cruz nos obligo a desmaterializar nuestra infraestructura y llevarla a la nube, precisamente en ese contexto nace YOBLAKA que básicamente significa Yanapti en la OBLAKA o nube en el idioma ruso.

No ha sido ni es fácil, pero hemos vivido la transición de pasar a esquemas sobre todo de SaaS antes que PaaS o Iaas y consideramos que nos mantendremos por ahi un tiempo más.

Aun lamentamos que el monopolio y posición dominante de los proveedores de servicios de nube como amazon, azure y google sigue acrecentando la brecha respecto a proveedores locales por ejemplo.

Tanto los niveles de disponibilidad como de confidencialidad aun mantienen una brecha muy amplia.

Vamos por 4 estrellas más este año y sin duda mínimo un par más antes de terminar el año!!

CrYptografia en TeamViewer

Guido Rosales 09/11/2020

Sin duda es uno de los productos para conexión remota y soporte técnico mas utilizado. Sin embargo en los muchos años de Auditoria y evaluación no hemos visto casi nunca la respectiva consideración de seguridad FORMAL, antes de adoptar como parte de la linea base de productos y utilitarios del negocio.

Recomendamos elaborar el respectivo análisis de Riesgos antes de asimilar alguna herramienta. Lamentablemente cuando no se controla el acceso y uso de estas facilidades un funcionario interno podría levantar una conexión de este tipo y dejarla abierta para conectarse al negocio de forma irrestricta.

Cifrado de datos y programas

TeamViewer incluye cifrado basado en el intercambio de claves privadas y públicas RSA 4096 y cifrado de sesión AES (256 bits). Esta tecnología se basa en las mismas normas que https/SSL y cumple con las normas actuales de seguridad. El intercambio de claves también garantiza una protección de datos completa de cliente a cliente. Esto significa que ni siquiera nuestros servidores de enrutamiento pueden leer el flujo de datos. Todos los archivos de programa están protegidos por la tecnología de firma de código DigiCert. Esto le permite comprobar el origen de los ejecutables que ha recibido.

Cada cliente de TeamViewer ya ha implementado la clave pública del clúster maestro y, por lo tanto, puede cifrar
mensajes al clúster maestro y verifique los mensajes firmados por él. La PKI (infraestructura de clave pública)
previene eficazmente los "ataques man-in-the-middle". A pesar del cifrado, la contraseña nunca se envía directamente,
pero solo a través de un procedimiento de desafío-respuesta, y solo se guarda en la computadora local.
Durante la autenticación, la contraseña nunca se transfiere directamente porque la contraseña remota segura
Se utiliza el protocolo (SRP). Solo se almacena un verificador de contraseñas en la computadora local.

Fuente: https://static.teamviewer.com/resources/2017/07/TeamViewer-Security-Statement-en.pdf

Protección de fuerza bruta

Los clientes potenciales que preguntan sobre la seguridad de TeamViewer preguntan regularmente sobre el cifrado.
Comprensiblemente, el riesgo de que un tercero pueda controlar la conexión o que TeamViewer acceda a los datos
está siendo aprovechado es el más temido. Sin embargo, la realidad es que los ataques bastante primitivos suelen ser los más peligrosos.
En el contexto de la seguridad informática, un ataque de fuerza bruta es un método de prueba y error para adivinar una contraseña que está protegiendo un recurso. Con la creciente potencia informática de las computadoras estándar, el tiempo necesario para adivinar contraseñas largas se ha reducido cada vez más.

Como defensa contra ataques de fuerza bruta, TeamViewer aumenta exponencialmente la latencia entre intentos de conexión. Por lo tanto, se necesitan hasta 17 horas para 24 intentos. La latencia solo se restablece después
ingresando correctamente la contraseña correcta.
TeamViewer no solo cuenta con un mecanismo para proteger a sus clientes de los ataques de una computadora, sino también desde varias computadoras, conocidas como ataques de botnet, que intentan acceder a una TeamViewer-ID.

Autenticación de dos factores

TeamViewer ayuda a las empresas a cumplir los requisitos de las normas HIPAA y PCI. La autenticación de dos factores añade una capa de seguridad adicional para proteger las cuentas frente a un acceso no autorizado. Con la autenticación de dos factores, se necesita un código generado en un dispositivo móvil, además de un nombre de usuario y contraseña para iniciar sesión en una cuenta de TeamViewer. El código se genera a través del algoritmo para contraseñas de un solo uso basadas en la hora actual (TOTP).

Transferencia de archivos y protección de acceso invisible para sesiones de soporte técnico

Además del ID de asociado, TeamViewer genera una contraseña de sesión que cambia cada vez que se inicia el software para proporcionar más seguridad frente a accesos no autorizados a un sistema remoto. Las funciones de seguridad como la transferencia de archivos requieren una confirmación manual adicional del interlocutor remoto. Además, tampoco es posible controlar un ordenador de forma invisible. Por razones de privacidad de los datos, el usuario ha de poder detectar si alguien accede al equipo.

Comprobación de dispositivos de confianza y proceso de confirmación

La medida de dispositivos de confianza de TeamViewer ofrece a nuestros clientes una protección aún mayor y ayuda a impedir que cualquier otra persona acceda a la cuenta. Con esta característica se garantiza que, siempre que una cuenta de TeamViewer intente iniciar sesión en un dispositivo determinado por primera vez, nosotros le vamos a solicitar que confirme que el nuevo dispositivo es un dispositivo de confianza antes de iniciar la sesión. Una notificación en la aplicación solicita la aprobación al dispositivo a través de un enlace enviado a la dirección de correo electrónico de la cuenta.

Restablecimiento de contraseña forzado debido a actividad inusual

El sistema comprueba continuamente si una cuenta de TeamViewer presenta un comportamiento inusual (p. ej. acceso desde una ubicación nueva) que pueda indicar que se ha comprometido su seguridad. En ese caso, para salvaguardar la integridad de los datos, las cuentas de TeamViewer se marcan para efectuar un restablecimiento de contraseña forzado. Después se envía un correo electrónico desde TeamViewer con instrucciones para restablecer su contraseña.

IBM: Costo de las brechas 2019

Guido Rosales 29/07/2020

El Informe del costo de una violación de datos de este año explora varias nuevas vías para comprender las causas y consecuencias de las violaciones de datos. Por el primera vez, el informe de este año detalla la "larga cola" de la violacion de datos, lo que demuestra que los costos de una violación de datos se puede sentir por años después del incidente. El informe también examina las características organizacionales y de seguridad eso puede afectar el costo de una violación de datos, que incluye:la complejidad de los entornos de seguridad; Operacional entornos tecnológicos (OT); pruebas exhaustivas de planes de respuesta a incidentes; y el proceso de cerca coordinar operaciones de desarrollo, seguridad y TI funciones (DevSecOps).

El ciclo de vida de una violación de datos es bastante extenso

El tiempo entre cuando ocurrió un incidente de violación de datos y cuando finalmente se contuvo la violación (también conocida a medida que el ciclo de vida de la brecha) creció notablemente entre 2018 y 2019. El tiempo promedio para identificar una violación en 2019 fue 206 días y el tiempo promedio para contener una violación fue de 73 días, para un total de 279 días. Esto representa
un aumento del 4.9 por ciento durante el ciclo de vida de incumplimiento de 2018 de 266 días. Sin embargo, cuanto más rápido puede ser una violación de datos identificados y contenidos, menor será el costo. Infracciones con un ciclo de vida de menos de 200 días en promedio $ 1.22 millones menos costoso que las infracciones con un ciclo de vida de más de 200 días ($ 3.34 millones vs. $ 4.56 millones
respectivamente), una diferencia del 37 por ciento

El informe puede ser obtenido del sitio oficial de IBM.

Sin duda presente muchos elementos que pueden ser tomados en cuenta para el analisis de las estrategias de seguridad.

Si bien se dice "no news, good news", podemos estar durmiendo sobre una bomba de tiempo. Demasiada calma en la superficie, puede estar escondiendo todo el flujo de datos y activos que ocurren por debajo del nivel de licitud en el negocio.

Muchos casos se dan bajo la modalidad de robo hormiga, tanto de afuera hacia dentro o desde adentro que puede ser mucho peor.

Los mejores robos no son los que salen en los periódicos, al contrario, son los que perduran en el tiempo sin ser descubiertos.

Causas principales de las brechas

El factor humano sigue siendo uno de los motivos mas llamativos. Pero veamoslo desde el error sistemático y no la conducta individual del usuario o la persona.

COSTO referencial

Quizá los costo en su valor absoluto no nos sirva mucho, pero la proporción de estos prorrateada debe llamar nuestra atención. Se puede invertir en detectar, o simplemente vivir felices en la ignorancia.

Vivir sin saber, no significa que no este ocurriendo