24/04/2024

seguridad

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024

Está orientada a realizar el diagnóstico del nivel de madurez de los procesos del CLIENTE en aspectos relacionados con seguridad de la información y la identificación de riesgos, para la implementación de un Sistema de Gestión de Seguridad de la Información basado en la estándar ISO 27001:2022.

Considerando que existen diferentes variables se ha diseñado una metodologia PROPIA denominada NETHO. 

Metodologia NETHO


EVALUACIÓN DE LA MADUREZ NORMATIVA

Etapa orientada a la revisión de políticas, normas y procedimientos vigentes o planificados formalmente. En esta fase de evaluación se consideran documentos aprobados formalmente o documentos en proyecto.

Se toma en cuenta los siguientes puntos:

  • Gestión de Riesgos
  • Política de Seguridad
  • Gestión de Activos
  • Estructura de control interno y/o Auditoría interna

EVALUACIÓN DE LA MADUREZ ESTRATEGICA

Etapa orientada a la revisión de la filosofía de dirección a nivel de Comités de Negocio, planes estratégicos y decisiones de inversión donde se considere tanto el valor agregado la seguridad y mitigación del RIESGO EN SEGURIDAD

EVALUACIÓN DE LA MADUREZ TECNOLÓGICA

En esta fase se determina la capacidad del negocio para cumplir sus políticas y los lineamientos de seguridad. El resultado determina la correspondencia entre los recursos tecnológicos y las exigencias de tanto de seguridad como de ciber seguridad. Se evalúan recursos de software, hardware, infraestructura y facilidades. Se evalúan por ejemplo aspectos técnicos de Data Center respecto a la seguridad.

Se revisan las pruebas de seguridad que el negocio haya realizado para cotejar contra su estrategia:

En esta fase también podemos incluir un Análisis de Vulnerabilidades Técnicas o Ethical hacking tanto interno como externo, en caja gris y caja negra.

EVALUACIÓN DE LA MADUREZ HUMANA

En esta fase se plantea realizar apreciaciones del nivel de conocimientos, experiencia y habilidades presentes en el recurso humano responsable por la administración de TI y de seguridad.

Se evalúan antecedentes documentales y se realizan entrevistas formales y conversaciones abiertas para emitir opinión.

En esta fase se realizan pruebas de ingeniería social al segmento de usuarios definidos para tal efecto. Se puede tomar de manera indiscriminada a todos los perfiles encontrados tanto en RRSS como en internet.

Se busca determinar la madurez entre el recurso humano, la tecnología y los procesos vigentes

EVALUACIÓN DE LA MADUREZ OPERATIVA

Sesiones de entrevistas, recorridos virtuales y observación para determinar la brecha tanto de manera general como especifica al proceso(s) elegido(s).

En esta fase se revisa el cumplimiento de las políticas, normas y procedimientos a nivel de registros generados en cada etapa. Se hacen pruebas de recorrido en los procesos de seguridad, por ejemplo, gestión de accesos, respaldos, manejo de información impresa y otros.

Detalles del evento

  • Fechas: del 25 al 28 de marzo
  • Horarios: De 19:30 a 21:30
  • Costo: 1500 Bs
    • Inscripcion temprana antes del 4 de marzo 1200 Bs
    • Clientes de Yanapti: 1200 Bs
    • Grupos de 3 o mas personas a 1200 Bs cada uno

Facilitador:

rusia moveit

El ha afectado a varias agencias estatales y federales de EEUU

Guido Rosales 23/06/2023

MOVEit hack afirma Calpers y Genworth como millones de víctimas más afectadas

El número de víctimas del hackeo de MOVEit aumentó en varios millones el jueves después de que el fondo de pensiones más grande de EE. UU., Calpers, y la aseguradora Genworth Financial dijeron que la información personal de sus miembros y clientes se había visto comprometida.

Ambos dijeron que un proveedor externo, PBI Research Services, se vio afectado por un robo de datos, lo que proporcionó una ruta para que los piratas robaran datos de Calpers y Genworth. No se pudo contactar a PBI para hacer comentarios.
Calpers dijo que el 6 de junio de 2023, PBI les informó sobre una "vulnerabilidad" en su software MOVEit Transfer que permitía a los piratas informáticos descargar "nuestros datos" sin especificar cuántas personas se vieron afectadas. Los informes de noticias dijeron que se tomó información de más de 700,000 miembros y jubilados de Calpers.

El software MOVEit es ampliamente utilizado por organizaciones de todo el mundo para compartir datos confidenciales.

Genworth Financial fue el más afectado, diciendo que se violó la información personal de casi 2,5 millones a 2,7 millones de sus clientes.

"Se accedió ilegalmente a la información personal de un número significativo de asegurados u otros clientes de sus negocios de seguros de vida", dijo Genworth.

Desde los departamentos del gobierno de EE. UU. hasta el regulador de telecomunicaciones del Reino Unido y el gigante energético Shell, ha surgido una variedad de víctimas desde que Progress Software, con sede en Burlington, Massachusetts, encontró la falla de seguridad en su producto MOVEit Transfer el mes pasado.
La aseguradora dijo que está trabajando para garantizar que se brinden "servicios de protección" a las personas afectadas, según un documento regulatorio.

Los datos tomados de Calpers incluyeron el nombre y apellido de los miembros, la fecha de nacimiento y el número de seguro social. Atiende a más de 2 millones de afiliados en su sistema de retiro.

El hackeo de MOVEit ha afectado a varias agencias estatales y federales. La semana pasada, el Departamento de Energía de EE. UU. recibió solicitudes de rescate de la extorsión vinculada a Rusia.

group Cl0p tanto en su instalación de desechos nucleares como en su instalación de educación científica que recientemente fueron atacadas en una campaña global de piratería.

Los datos se vieron comprometidos en las dos entidades del DOE después de que los piratas informáticos violaron sus sistemas a través de una falla de seguridad en MOVEit Transfer.

El amplio impacto del hack muestra cómo incluso las agencias federales más preocupadas por la seguridad están luchando para defenderse de los ataques de ransomware. Las pandillas de ransomware suelen buscar herramientas tan utilizadas.

diferencias

Diferencia entre evaluación de vulnerabilidades y pruebas de penetración.

Guido Rosales 10/04/2023

En Bolivia desde el año 2013 las Entidades reguladas por ASFI deben efectuar un Analisis de Vulnerabilidades Tecncias, como dice el RGSI - Reglamento de Gestion de Seguridad de la Informacion.

El problema se da cuando se interpreta este reglamento segun el conocimiento de las personas y los recursos presupuestados como 2 factores mas relevantes.

Con el paso del tiempo este AVT se ha convertido en un informe de Analisis automatizado de vulnerabilidades traducido al español. Inclusive en muchos casos a las entidades reguladas no les gusta un trabajo minusiosamente realizado por cuanto o desnuda debilidades que han estado presentes tiempo atras, o supone modificaciones a su infraestructura actual, aplicaciones o controles que no tienen planificado hacerlo.

Lamentablemente tambien el TOPTEN de OWASP ha sido tomado como el UNICO referente para estos trabajos. Es decir estamos evaluando la seguridad con la misma vara por ya casi 10 años. Los terminos de referencia no varian, no hay innovacion tanto del cliente y consecuentemente del proveedor. Mucho radica en el presupuesto. 

Entonces, recomendamos a ASFI establecer lineamientos mas claros para lograr mayor beneficio de esta inversion que se hace.

Que dice el RGSI de ASFI?

Pruebas de intrusión (Pen test): Son pruebas controladas que permiten identificar posibles debilidades de los recursos tecnológicos de la Entidad Supervisada, que un intruso podría llegar a explotar para obtener el control de sus sistemas de información, redes de computadoras, aplicaciones web, bases de datos, servidores y/o dispositivos de red. Las pruebas de intrusión pueden ser realizadas a través de la intranet, desde Internet, accesos remotos o cualquier otro medio.

Las pruebas de intrusión se clasifican, dependiendo del origen del ataque, en:
1. Externas, cuando se busca identificar las posibles vulnerabilidades que se encontrarían
ante una acción maliciosa externa;
2. Internas, cuando se busca identificar las vulnerabilidades ante acciones que se
produzcan dentro de la propia Entidad Supervisada.

 

Artículo 8° - (Análisis de vulnerabilidades técnicas) La Entidad Supervisada es responsable de implementar una gestión de vulnerabilidades técnicas, a cuyo efecto debe contar con políticas y procedimientos formales que le permitan identificar su exposición a las mismas y adoptar las acciones preventivas y/o correctivas que correspondan, considerando los siguientes aspectos:

a. La evaluación de vulnerabilidades técnicas debe efectuarse por lo menos una (1) vez por año y ante un cambio en la infraestructura tecnológica. La ejecución de pruebas de seguridad debe considerar la realización de pruebas de intrusión controladas internas, externas o ambas de acuerdo con los resultados del análisis y evaluación de riesgos en seguridad de la información, efectuado por la Entidad Supervisada;

b. El conjunto de políticas y procedimientos referido a la gestión de vulnerabilidades técnicas debe ser revisado y actualizado (si corresponde), por lo menos una (1) vez al año;

c. La Entidad Supervisada debe exigir a la(s) empresa(s) y/o persona(s) que le preste(n) servicios de evaluación de seguridad de la información, la respectiva documentación que acredite la experiencia necesaria para realizar este tipo de trabajos, adicionalmente debe(n) garantizar que el personal que realice las pruebas de intrusión controladas sea certificado y firme un acuerdo de confidencialidad conforme se establece en el Artículo 4° de la presente Sección;

d. El análisis de vulnerabilidades técnicas puede ser realizado por personal externo, interno o ambos, conforme con los resultados del análisis y evaluación de riesgos en seguridad de la información, efectuado por la Entidad Supervisada. Al efecto, el personal interno asignado para esta tarea debe ser ajeno al (las) área(s) de tecnologías y sistemas de información.

Evaluación de vulnerabilidades VS pruebas de penetración.

La evaluación de vulnerabilidades y las pruebas de penetración son dos técnicas comunes utilizadas en la seguridad de la información para evaluar la seguridad de los sistemas y aplicaciones. Ambas técnicas tienen como objetivo identificar y remediar las vulnerabilidades que puedan ser explotadas por atacantes malintencionados, sin embargo, hay algunas diferencias importantes entre ellas.

La evaluación de vulnerabilidades es un proceso automatizado o manual que consiste en escanear los sistemas y aplicaciones para identificar posibles vulnerabilidades de seguridad. Este proceso se centra en la identificación de vulnerabilidades comunes y conocidas, así como en la evaluación de la efectividad de las medidas de seguridad existentes. El resultado de una evaluación de vulnerabilidades es un informe que enumera las vulnerabilidades identificadas junto con una calificación de la gravedad de cada una y recomendaciones sobre cómo abordarlas.

Por otro lado, las pruebas de penetración son una técnica más avanzada que implica la simulación de un ataque real para identificar las vulnerabilidades que podrían ser explotadas por un atacante. Durante una prueba de penetración, un equipo de expertos en seguridad informática realiza una serie de pruebas manuales y automatizadas para identificar las vulnerabilidades y explotarlas de forma segura, sin dañar el sistema o la aplicación. El resultado de una prueba de penetración es un informe que detalla las vulnerabilidades identificadas junto con información sobre cómo se identificaron y cómo se pueden remediar.

En resumen, la evaluación de vulnerabilidades se centra en identificar las vulnerabilidades comunes y conocidas, mientras que las pruebas de penetración van más allá al simular un ataque real para identificar vulnerabilidades que pueden no haber sido detectadas por la evaluación de vulnerabilidades y evaluar la efectividad de las medidas de seguridad existentes.

Cual es mas caro?

En términos de intensidad, el test de penetración es más riguroso y exhaustivo que el análisis de vulnerabilidades, ya que implica la simulación de un ataque real y la identificación de posibles vectores de ataque. Por lo tanto, se podría decir que el test de penetración es más completo y riguroso que el análisis de vulnerabilidades. Sin embargo, ambos son importantes y deben ser realizados como parte de una evaluación completa de la seguridad de un sistema o red.

Entonces un test de penetracion tiende a costar mas.

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023