Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Secretaría de Gobernación Comisión Nacional de Seguridad Servicio de Protección Federal Documento versión 1.8 Secretaría de Gobernación Comisión Nacional de Seguridad Servicio de Protección Federal Guía de Ciberseguridad para Instalaciones públicas Conceptos, líneas de acción y controles básicos recomendados para fortalecer la seguridad física de instalaciones públicas 2 de 52 El presente documento está dirigido a los titulares de las instalaciones públicas, que con el apoyo de sus áreas de tecnología y seguridad física, conforman los esquemas de seguridad integral 3 de 52 CONTENIDO Introducción 6 Visión 7 Objetivo 7 Ciberseguridad en la seguridad física de instalaciones 8 Amenazas 9 Actividad de abuso 9 Escucha clandestina o intercepción de información 11 Cortes del suministro de energía 13 Daño o pérdida de los activos de IT 13 Falla y/o funcionamiento anómalo 14 Desastres 14 Ataques físicos 15 Líneas de acción 15 Línea de acción 1.-Análisis de riesgos 15 Dispositivos del IoT 16 Otros dispositivos del ecosistema del IoT 17 Comunicaciones 17 Infraestructura 17 Plataformas y backend 18 Plataformas de toma de decisiones 19 Aplicaciones y servicios 19 Información 19 Línea de acción 2.- Procesos, personas y tecnología 20 Línea de acción 3.-Controles básicos 21 Diseño de sistemas integrales de seguridad 21 Diseño de soluciones 24 Equipo de video seguridad 26 Control de acceso 32 Drones 35 4 de 52 Equipo de cómputo 36 Comunicaciones/Red de datos 37 Bluetooth 38 Línea de acción 4.-Resiliencia 39 DLP 39 Qué hacer y a quién avisar en caso de una ciber amenaza 40 Preservación de evidencias 41 Glosario 44 Referencias 49 Agradecimientos 51 Participantes 51 5 de 52 Introducción El efecto del desarrollo en los países, desde la revolución industrial considerada como la primera etapa de la innovación, hasta la quinta etapa, dominada por la red de redes, la Internet, han marcado una tendencia en la búsqueda de prosperidad y mejora de la vida de la humanidad, sin embargo el resultado de este desarrollo se ha visto marcado desde sus inicios por una división, donde la política, las instituciones y la economía se ven impactados por grupos antagonistas con diferentes intereses que se oponen a dicho cambio o se valen del mismo para favorecer causas ajenas al bienestar social. Lo anterior se ha visto trasladado al sector de las tecnologías de información y comunicaciones, ocasionando un desarrollo imparable y desmedido en la automatización de procesos y servicios, que como consecuencia se han dejado descubiertas diferentes áreas de las infraestructuras, esta es la razón principal de ser de este documento, el cual presenta un modelo básico de ciberseguridad para instalaciones públicas, a partir del establecimiento de líneas de acción y controles en diversos rubros, que abonen al diseño, construcción y operación de sistemas integrales de seguridad. Los elementos y las diferentes áreas de la ciberseguridad pueden parecer interminables, pero todas ellas son vulnerables a una práctica delictiva común que es consumada a través del ciberespacio, potenciando así el daño que un delincuente del ciberespacio o ciberdelincuente puede provocar, de tal forma que una persona puede cometer varios ilícitos sin necesidad de moverse de su sitio y a su vez tener efectos multiplicadores adversos en las personas, instalaciones y el país. Por lo anterior, la cultura de la prevención se convierte en uno de los recursos más importantes para evitar afectaciones por la ciberdelincuencia, hoy día se han acuñado conceptos como civismo digital, donde se espera que todos los usuarios de la Internet sean más cuidadosos en su actuar dentro del ciberespacio, recordando que la experiencia en tecnología no es equivalente a la experiencia en seguridad de tecnología, por lo que la presente guía plantea un punto de referencia para apoyar la seguridad institucional. 6 de 52 Visión Fortalecer a las instituciones públicas en la implementación de sistemas integrales de seguridad, aprovechando de manera responsable la tecnología, mediante la aplicación de esquemas probados de reforzamiento de controles en materia de ciberseguridad, a fin de crear entornos confiables y seguros. Objetivo El propósito de esta guía es apoyar en habilitar controles y buenas prácticas para el fortalecimiento de la seguridad física de los inmuebles gubernamentales o instalaciones vitales del Estado Mexicano, así como también ayudar a prevenir e identificar vulnerabilidades de los sistemas electrónicos de seguridad que se encuentren operando, o que están por iniciarse en una instalación, a fin de asegurar la protección de las personas, información, procesos e infraestructura, con la finalidad de asegurar la continuidad del negocio. El presente documento se construyó basándose en los 3 principios rectores de la Estrategia Nacional de Ciberseguridad, sus ejes transversales que buscan coadyuvar con el desarrollo de los cinco objetivos de dicha estrategia. En concreto, la presente guía proporciona: ● Entendimiento general sobre las vulnerabilidades del ciberespacio ● Elementos del Internet de las Cosas (IoT), sus principales amenazas y el impacto en un sistema de seguridad integral ● Consejos para la realización del análisis de riesgos en la parte tecnológica ● Mejores prácticas para el diseño de sistemas de seguridad integral ● Información sobre qué hacer y a quién avisar ante una situación de riesgo o emergencia de ciberseguridad 7 de 52 Ciberseguridad en la seguridad física de instalaciones ¿Qué se entiende por ciberseguridad? Es la práctica de defender las computadoras, los servidores, los dispositivos móviles, los sistemas electrónicos, las redes y los datos de ataques maliciosos. La ciberseguridad se ve amenazada en 3 grupos, en primera instancia el cibercrimen, que incluye actores individuales o grupos que dirigen ataques a sistemas para obtener ganancias financieras; el ciberterrorismo, cuyo propósito es comprometer los sistemas electrónicos y causa pánico o temor en la población y la ciberguerra, que a menudo involucra el robo y recopilación de información con fines políticos. 2 Ahora entenderemos el concepto de Internet de las Cosas o IoT (Internet of Things) por sus siglas en el idioma inglés, que está íntimamente ligado con los temas que se abordarán. Primero que nada, puede identificarse al IoT con objetosfísicos o virtuales que pueden identificarse e integrarse en las redes de comunicación, por tanto tienen la capacidad de intercambiar datos a través de una red, estos objetos pueden tener funcionalidades tales como detectar movimiento y capturar imágenes, activar, almacenar y procesar datos, ejecutar aplicaciones localmente o en la nube de Internet, etc. así, estos sistemas pueden producir, recuperar o procesar datos, conectándose a la red a fin de auxiliar en actividades de monitoreo y control. En resumen, la ciberseguridad en la seguridad física es la protección del ecosistema ciber-físico, (por llamar así al entorno donde las Cosas del Internet impactan en dispositivos físicos) en donde convergen sensores, actuadores y dispositivos electrónicos, que forman parte de un ciclo continuo de detección, toma de decisiones inteligentes y protocolos de actuación. 3 4 8 de 52 De forma que la seguridad es una de las principales preocupaciones en los sistemas de seguridad electrónicos y el Internet de las Cosas, considerando su diversa naturaleza y que la mayoría de estos dispositivos se encuentran interconectados entre ellos y a la Internet, de ahí la importancia de tener una cultura de prevención del delito cibernético, pues cualquier evento malicioso en el mundo del IoT, tiene un impacto y repercusión en el mundo físico. 5 Amenazas Conocer los tipos de amenazas ayuda a determinar el impacto que estas pueden tener en nuestro ecosistema tecnológico de seguridad, dar cuenta de ellas es crucial para estar en posibilidad de evitarlas o mitigarlas según sea la situación, para lo cual se ha tomado la clasificación que la ENISA (European Union Agency for Network and Information Security) ha emitido en su línea base de recomendaciones para la IoT, de noviembre de 2017 sobre amenazas y su impacto. La estructura de las amenazas se presenta de la siguiente forma: CATEGORÍA ✓✓ AMENAZA o DESCRIPCIÓN ▪▪ ACTIVOS AFECTADOS Actividad de abuso ✓ Malware o Programas de software diseñados para llevar a cabo acciones no deseadas y no autorizadas en un sistema sin el consentimiento del usuario, lo que resulta en daños, corrupción o robo de información, su impacto puede ser alto ▪ Dispositivos del ecosistema del IoT ▪ Plataforma ▪ Backend 9 de 52 ✓ Exploit Kits o Código diseñado para aprovechar una vulnerabilidad con el fin de obtener acceso a un sistema. Esta amenaza es difícil de detectar y en los entornos de IoT, el impacto varía dependiendo de los activos afectados ▪ Dispositivos del ecosistema del IoT ▪ Infraestructura ✓ Ataques dirigidos o Diseñados para un objetivo específico, lanzados durante un largo período de tiempo y llevados a cabo en múltiples etapas. El objetivo principal es permanecer oculto y obtener la mayor cantidad de datos o información confidencial sea posible, si bien el impacto de esta amenaza es medio, suele llevar mucho tiempo o ser muy difícil detectarlos ▪ Infraestructura ▪ Plataforma y Backend ▪ Información ✓ DDoS o Varios sistemas que atacan un solo objetivo para saturarlo y hacer que se bloquee. Esto se puede llevar a cabo haciendo muchas conexiones, inundando un canal de comunicación o reproduciendo las mismas comunicaciones una y otra vez ▪ Dispositivos del ecosistema del IoT ▪ Plataforma & Backend ▪ Infraestructura ✓ Falsificación de dispositivos o Esta amenaza es difícil de descubrir, ya que un dispositivo falsificado no se puede distinguir fácilmente del original. Estos dispositivos generalmente tienen puertas traseras y se pueden 10 de 52 utilizar para realizar ataques en otros sistemas del entorno ▪ Dispositivos del ecosistema del IoT ▪ Infraestructura ✓ Ataques a la privacidad o Esta amenaza afecta tanto a la privacidad del usuario como a la exposición de los elementos de la red a personal no autorizado ▪ Dispositivos IoT ▪ Plataforma y Backend ▪ Información ✓ Modificación de la información o En este caso, el objetivo no es dañar los dispositivos, sino manipular la información para provocar el caos o adquirir ganancias monetarias ▪ Dispositivos de IoT ▪ Plataforma y Backend ▪ Información Escucha clandestina o intercepción de información ✓ Hombre en el medio o Escucha activo, en el que el atacante transmite mensajes de una víctima a otra, para hacerles creer que están hablando directamente entre sí ▪ Información ▪ Comunicaciones ▪ Dispositivos IoT ✓ Toma de control de comunicaciones en la IoT o Tomando el control de una sesión de comunicación existente entre dos elementos de la red, el intruso es capaz de detectar información sensible, incluidas las contraseñas. El robo de información puede llevarse a cabo usando técnicas agresivas, como forzar la desconexión o la denegación de servicio ▪ Información 11 de 52 ▪ Comunicaciones dispositivos IoT ▪ Toma de decisiones ✓ Intercepción de la información o Intercepción no autorizada y a veces, modificación de una comunicación privada, como llamadas telefónicas, mensajes instantáneos, comunicaciones por correo electrónico, etc. ▪ Información ▪ Comunicaciones ▪ Dispositivos IoT ✓ Reconocimiento de redes o Obtención de información de manera pasiva sobre la red: dispositivos conectados, protocolo utilizado, puertos abiertos, servicios en uso, etc ▪ Información ▪ Comunicaciones ▪ Dispositivos IoT ▪ Infraestructura ✓ Secuestro de sesión o Robo de la conexión de datos actuando como un equipo legítimo para robar, modificar o eliminar los datos transmitidos ▪ Información ▪ Comunicaciones ▪ Dispositivos IoT ✓ Recopilación de información o Recuperación de información interna de forma pasiva desde dispositivos conectados, protocolo utilizado, etc. ▪ Información ▪ Comunicaciones ▪ Dispositivos IoT ✓ Reproducción de mensajes 12 de 52 o Este ataque utiliza una transmisión de datos válida de forma malintencionada, enviándola o retrasándola repetidamente para manipular o bloquear el dispositivo de destino ▪ Información ▪ Dispositivos IoT ▪ Toma de decisiones Cortes del suministro de energía ✓ Caída de la red o Interrupción o falla en el suministro de la red de datos, ya sea intencional o accidental. Dependiendo del segmento de red afectado y del tiempo requerido para recuperarse ▪ Infraestructura ▪ Comunicaciones ✓ Falla en las comunicaciones de los dispositivos o Amenaza de falla o funcionamiento anómalo de dispositivos ▪ Dispositivos de IoT ✓ Falla del sistema o Amenaza de falla de los servicios o aplicaciones de software ▪ Dispositivos IoT ▪ Plataforma y Backend ✓ Pérdida de servicios de soporte o No se dispone de los serviciosde soporte necesarios para mantener el correcto funcionamiento del sistema de información ▪ Todos los activos Daño o pérdida de los activos de IT ✓ Fuga de información sensible o Sea de forma intencional o no, la información sensible es revelada a terceras partes no autorizadas para el uso de ella; la importancia de esta amenaza puede 13 de 52 variar según el tipo de información fue filtrada o compartida ▪ Dispositivos del IoT ▪ Plataforma y Backend ▪ Información Falla y/o funcionamiento anómalo ✓ Vulnerabilidad del software o La mayoría de los dispositivos del IoT son vulnerados debido al empleo débil de contraseñas o al uso de claves de acceso que vienen configuradas por default en los dispositivos, errores en la programación y / o su configuración, dejando en riesgo parte de la red y/o del dispositivo en cuestión, esta amenaza usualmente está relacionada con otras ▪ Dispositivos del ecosistema de IoT ▪ Plataforma y Backend ▪ Infraestructura ▪ Aplicaciones y servicios ✓ Fallas de terceros o Errores en un elemento activo de la red causados por la configuración incorrecta de otro elemento que tiene relación directa con él ▪ Dispositivos del ecosistema de IoT ▪ Plataforma y Backend ▪ Infraestructura ▪ Aplicaciones y servicios Desastres ✓ Desastre natural o Estos incluyen eventos tales como inundaciones, vientos fuertes, fuertes nieves, deslizamientos de tierra, entre otros desastres naturales, que podrían dañar físicamente los dispositivos. ▪ Dispositivos del ecosistema de IoT ▪ Plataforma y Backend ▪ Infraestructura 14 de 52 ✓ Desastre ambiental o Desastres en los entornos donde se habilitan los equipos del IoT, provocando como consecuencia su inoperatividad ▪ Dispositivos del ecosistema de IoT ▪ Plataforma y Backend ▪ Infraestructura Ataques físicos ✓ Modificación del dispositivo o Manipulación de un dispositivo aprovechando su mala configuración para abrir otros accesos ▪ Comunicaciones ▪ Dispositivos IoT ✓ Sabotaje o destrucción del dispositivo o Incidentes de robo, ataque con bombas, vandalismo o sabotaje ▪ Dispositivos del ecosistema de IoT ▪ Plataforma y Backend ▪ Infraestructura Líneas de acción El presente documento desarrolla un modelo básico que abona a la ciberseguridad del ecosistema tecnológico del sistema integral de seguridad, mediante el planteamiento de líneas de acción específicas que a continuación se muestran, a fin de que estas sirvan de guía y puedan ser implementadas en las instituciones públicas, independientemente del tipo de infraestructura que éstas habiliten, pues su aplicabilidad es general. Línea de acción 1.-Análisis de riesgos Un análisis de riesgos es esencial para determinar y poder enumerar las principales amenazas, vulnerabilidades, factores de riesgo y los 15 de 52 posibles escenarios de ataque que puedan afectar nuestros sistemas, dispositivos y redes, tomando en cuenta los diferentes niveles de importancia y criticidad que tengan cada uno de ellos, en función del tipo de afectación e impacto a nuestra infraestructura y continuidad del negocio. Lo anterior permitirá determinar y proponer medidas de seguridad específicas para contrarrestar el impacto y favorecer la resiliencia de dichos sistemas. Como ya se ha identificado las posibles amenazas en el punto anterior, comenzaremos por identificar y seleccionar los activos que componen nuestro ecosistema, a fin de concretar grupos de activos críticos. Dado que haremos un acercamiento a estos componentes, es importante mencionar que el tipo de protección que se le otorgue a cada dispositivo o grupo, puede variar según el uso y la aplicabilidad que posea dentro del esquema operativo, pues eso determinará la criticidad de la continuidad de los mismos. 6 Se considera que la clasificación de dispositivos del IoT hecha por la ENISA en su línea base de recomendaciones para dispositivos del IoT, es de gran ayuda, pues permite entender en que grupo se puede clasificar cada dispositivo del ecosistema tecnológico de seguridad, a fin de ponderar adecuadamente los impactos y planes de mitigación para cada uno de los dispositivos que conforman el ecosistema. Dispositivos del IoT ✓ Hardware Son los diferentes componentes físicos (excepto sensores y accionadores) a partir de los cuales se pueden construir los dispositivos de IoT. Estos incluyen microcontroladores, microprocesadores, los puertos físicos del dispositivo, la placa base, etc. ✓ Software Abarca desde el sistema operativo del dispositivo, su firmware y los programas y aplicaciones instalados en ejecución ✓ Sensores 16 de 52 Estos son los subsistemas cuyo propósito es detectar y medir eventos en su entorno y enviar información a otros dispositivos electrónicos para ser procesados, habiendo sensores para muchos propósitos como medir la temperatura, detectar movimiento o apertura/cierre de un componente. ✓ Actuadores Se pueden describir como las unidades de salida de los dispositivos del IoT, pues ejecutan decisiones basadas en la información procesada previamente Otros dispositivos del ecosistema del IoT ✓ Interfaces de IoT Dispositivos cuyo propósito es servir como una interfaz o como un agregador entre otros dispositivos del IoT, así como también para interactuar con los dispositivos de dicho ecosistema ✓ Dispositivos para la administración del IoT Estos dispositivos son especialmente designados para la administración de otros dispositivos del mundo del IoT, redes, etc. ✓ Sistemas embebidos Se basan en una unidad de procesamiento que les permite procesar datos por su cuenta. Se incluyen los sensores y accionadores, con capacidades de conectarse a la red o alguna solución en la nube y con capacidad de ejecutar software Comunicaciones ✓ Redes Permiten la comunicación entre los diferentes nodos del ecosistema del IoT para intercambiar datos e información entre ellos, a través de un enlace de datos, existiendo diferentes tipos de redes que incluyen las redes LAN, PAN y WAN 17 de 52 ✓ Protocolos Definen el conjunto de reglas sobre el cómo se debe realizar la comunicación entre dos o más dispositivos del IoT a través de un canal determinado, existiendo diversos protocolos de comunicación alámbricos e inalámbricos Infraestructura ✓ Ruteadores Componentes de la red de datos que envían paquetes entre las diferentes redes del ecosistema IoT ✓ Gateways Nodos de red utilizados para interactuar con otra red del entorno de IoT que utiliza diferentes protocolos, las pasarelas o gateways pueden proporcionar traductoresde protocolo, aisladores de fallas, para que al final proporcionen interoperabilidad entre los sistemas ✓ Fuentes de poder Dispositivo de suministro de energía eléctrica a un dispositivo IoT y a sus componentes internos; la fuente de alimentación puede ser externa y cableada o puede venir integrada en el mismo dispositivo ✓ Activos de seguridad Este grupo comprende los activos enfocados específicamente en la seguridad de los dispositivos, las redes y la información de IoT, de manera más específica a los firewalls, firewalls de aplicación web (WAF), CASB para proteger la nube, IDS, IPS y sistemas de autenticación / autorización Plataformas y backend ✓ Web-based services 18 de 52 Estos son servicios en la World Wide Web, proporcionan una interfaz basada en web para usuarios web o aplicaciones conectadas a la Internet, que habilitan el uso del IoT para comunicaciones de persona a máquina (H2M) y para comunicaciones máquina a máquina M2M ✓ Infraestructura de nube El dorsal final (backend) de la nube se puede usar para agregar y procesar datos de los dispositivos y también proporcionar otras capacidades de cómputo tales como almacenamiento, servicios y aplicaciones Plataformas de toma de decisiones ✓ Minería de datos Se refiere al conjunto de soluciones que permiten procesar datos recopilados y transformarlos en una estructura definida para su uso posterior ✓ Procesamiento de datos Servicios que facilitan el procesamiento de los datos recopilados para obtener información útil, que se puede utilizar para aplicar reglas y lógica para la toma de decisiones y automatizar procesos Aplicaciones y servicios ✓ Análisis de datos Una vez que los datos se han recopilado y procesado, la información resultante se puede analizar y visualizar para identificar nuevos patrones y mejorar la eficiencia operativa ✓ Administración de dispositivos y redes 19 de 52 Incluye las actualizaciones de software del sistema operativo, el firmware y las aplicaciones. Engloba el seguimiento y la supervisión del comportamiento de los dispositivos y de los equipos de conectividad, así como también de recopilar y almacenar los registros de las transacciones que pueden apoyar a diagnósticos ✓ Uso de dispositivos Permite contextualizar el uso de los dispositivos en la red, así como comprender el estado en que se encuentran en el momento y cuales han sido los patrones de uso Información ✓ En reposo Información almacenada en una base de datos en el backend de la nube o en los propios dispositivos o servidores en sitio ✓ En tránsito Información enviada o intercambiada a través de la red entre dos o más elementos del IoT ✓ En Uso Información utilizada por una aplicación, servicio o elemento de IoT en general Lo anterior permitirá seguir el curso de la realización de un análisis de riesgos y así definir cómo tratar los riesgos identificados en el mismo, los pasos sugeridos para la conformación de dicho análisis son los siguientes: ✓ Definir el alcance que tendrá el estudio ✓ Efectuar la identificación de activos y agruparlos ✓ Listar las posibles amenazas ✓ Identificar las vulnerabilidades ✓ Realizar la evaluación del riesgo o Entendiendo que el riesgo es igual a la probabilidad de ocurrencia más el impacto que esto pueda provocar 20 de 52 ✓ Tratamiento del riesgo o Para el tratamiento del riesgo, se debe considerar al menos que este se puede transferir, eliminar, asumir o se deberán implantar medidas de mitigación 2.- Fuente Kasperky https://latam.kaspersky.com/resource-center/definitions/what-is-cyber-security 3.- Baseline Security Recommendations for IoT in the context of Critical Information Infrastructures 4.- https://www.itu.int/rec/T-REC-Y.2060-201206-I 5.- https://www.windriver.com/whitepapers/security-in-the-internet-of-things/wr_security-in-the-internet-of-things.pdf 6.-https://www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends/enisa-threat-landscape/etl2015/eni sa-threat-taxonomy-a-tool-for-structuring-threat-information Línea de acción 2.- Procesos, personas y tecnología Lo primero es entender y tratar los procesos para cubrir necesidades de seguridad de la organización, posteriormente las personas, involucrarlas en las soluciones de la seguridad física, esto permitirá una rápida aceptación de nuevos procesos, apoyará la mejora continua y el sostenimiento de ellos, además de generar confianza entre el personal, de esta forma la parte tecnológica habilitada para los fines que se requiera, tendrá una rápida y buena adopción, además de que podrá gozar de la protección del mismo personal previamente involucrado, pues al final se entenderá que los sistemas implementados son para su beneficio y protección, máxime si de seguridad institucional se trata. Dentro de los procesos, hemos acuñado el término de dinámica corporativa, dicho término nos permite hacer referencia a los diferentes comportamientos del personal y procesos en ciertas horas, lo cual resulta en un mecanismo eficaz para detectar patrones dentro de la seguridad física para efectuar los ajustes necesarios. El involucramiento de la alta dirección en la implementación de procesos de seguridad, es de suma importancia para que estos se implementen y se ejecuten de forma correcta, así la aplicación de las políticas y procedimientos establecidos apoyarán a la prevención dentro del marco de la ciberseguridad de los sistemas electrónicos de seguridad. Línea de acción 3.-Controles básicos A continuación se proporciona una lista de recomendaciones, medidas de seguridad y controles básicos, cuyo objetivo es minimizar 21 de 52 https://latam.kaspersky.com/resource-center/definitions/what-is-cyber-security las amenazas, vulnerabilidades y mitigar los riesgos que pueden afectar al entorno del IoT y los sistemas electrónicos de seguridad. El presente documento abarca un universo heterogéneo de dispositivos y tecnologías, por lo que los siguientes apartados cubren de manera general una gama amplia de consideraciones tanto de diseño de aplicaciones como de seguridad y ciberseguridad. Diseño de sistemas integrales de seguridad Políticas de seguridad Estas deberán apuntar de manera general a la seguridad de la información y encargarse puntualmente al menos del cuidado y manejo de la misma, se sugiere que dicten las pautas para el buen uso de los sistemas, desarrollando una cultura de seguridad en torno a su uso y manejo Considerar los siguientes objetivos de los atacantes como los indispensables para iniciar el diseño de un sistema integral de seguridad: ✓ Detección de vulnerabilidades✓ Penetración de defensas ✓ Evitar la detección ✓ Colusión, Robo y sabotaje ✓ Escape Es importante crear un comité de seguridad de la información, que será el responsable de aprobar dichas políticas, así como difundirlas y velar por que todos los usuarios las conozcan y las apliquen Se recomienda que todos los sistemas sujetos a las políticas desarrolladas deban realizar un análisis de riesgos, evaluando las amenazas y riesgos a los cuales están expuestos, repitiendo el mismo: ✓ Al menos una vez al año ✓ Cuando cambien los servicios prestados ✓ Cuando ocurra un incidente grave ✓ Cuando se reporten vulnerabilidades graves 22 de 52 Se hace la invitación a que se realice un comité que pueda armonizar los diferentes análisis de riesgos, a fin de que se establezcan valores de referencia para los diferentes tipos de información y servicios manejados Dentro de las políticas de seguridad y uso responsable de los sistemas, se recomienda que los administradores de estos sistemas reciban formación para el manejo seguro de los mismos con carácter de obligatorio antes de asumir alguna responsabilidad También se debe asegurar la existencia de canales de comunicación que permitan el correcto reporte de incidentes que los mismos usuarios comuniquen, a fin de otorgar un puntual seguimiento para su resolución categorizando cada uno de ellos Cuando la institución utilice servicios de terceros o ceda información a terceros, se les debe hacer partícipe de la política de seguridad que involucre esos servicios o información 7 Un sistema integrado relaciona procesos, personas y al final como un componente de fortalecimiento la tecnología como un medio, permitiendo que: ✓ Se tenga una rápida respuesta ante incidentes ✓ Alerta a las policías y autoridades ✓ Favorece la prevención del acceso no autorizado y las entradas encubiertas ✓ Detecta faltas a los procedimientos y normas ✓ Provee retardo ✓ Permite evaluar alertas de manera correcta 7.-https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacional-de-seguridad/508-ccn-stic-805-politica-de-seguridad-d e-la-informacion/file.html Las políticas de seguridad están escritas en un nivel muy amplio, estas deben ser complementadas con documentos más precisos que ayuden a llevar a cabo lo propuesto, para apalancar lo anterior se tienen otros mecanismos que reciben diferentes nombres: 8 23 de 52 ✓ Normas de seguridad Las normas son de carácter obligatorio e indican el uso correcto y las responsabilidades de los usuarios, indican el uso de aspectos concretos del sistema ✓ Guías de seguridad Estas deben de tener un carácter formativo, buscar ayudar a los usuarios a aplicar correctamente las medidas de seguridad, mostrando razonamientos generales donde no haya un procedimiento paso a paso y a detalle ✓ Procedimientos de seguridad Los procedimientos de seguridad dirigidos a la operatividad, deberán abordar tareas específicas indicando lo que hay que hacer 8.-NIST SP 800-100, An Introduction to Computer Security: The NIST Handbook, October 1995 Diseño de soluciones Se deberá considerar que dentro de todo el diseño de un sistema integral de seguridad, este se tiene que hacer con un enfoque objetivo y holístico, que permee a todos los niveles del diseño y desarrollo, integrando la seguridad en la implementación del modelo. Se sugiere tener una visión que permita encapsular los componentes de una solución, es decir, que la arquitectura pueda llevarse a cabo por compartimientos para cubrirla en caso de posibles ataques. En relación a las redes de comunicaciones, se sugiere separar físicamente la red de comunicaciones de la solución, de la red de comunicaciones de los usuarios, en caso de necesitar tener puentes de comunicaciones entre las redes independientes que sean muy necesarios para el esquema particular de cada institución, este se sugiere hacerse como una DMZ y dar permisos de entrada y salida específicos a cada aplicación y /o computadora, pudiendo revisar y registrar el tipo de tráfico 24 de 52 de las transacciones, así como restringir cualquier tipo de comunicación maliciosa. Antes de hacer la implementación de alguna solución de seguridad, es importante realizar de manera conjunta con los fabricantes, pruebas de concepto y un análisis de comportamiento y/o tráfico, a fin de ratificar que lo que se requiere en la solución, es lo que se entrega de parte de la solución o servicio del proveedor. Si se considera alguna clase de acceso remoto en la solución de seguridad integral a habilitar, se debe asegurar que este sea a través de un servicio al menos de vpn ipsec, para asegurar por medio de políticas de seguridad que solo el quipo conectado podrá ver solo los dispositivos necesarios. Aconsejamos realizar pruebas de penetración controladas a la red de datos del ecosistema y a los elementos que se tienen conectados a la red de la solución. Antes de conectar a Internet alguno de los elementos de la solución integral de seguridad, se sugiere primero revisar la necesidad de hacerlo antes de efectuar dicha tarea y en caso de que se necesario conectar la solución a internet, deberá asegurarse que sea por los canales y medios adecuados. Establezca y mantenga procedimientos de administración de activos y controles de configuración para redes clave y sistemas de información. Realice evaluaciones de impacto a la privacidad antes de habilitar alguna solución. Cuando en el diseño se piense en el ahorro de energía, este no debe comprometer la seguridad del modelo. Las instituciones deben asegurarse de que proveedores sean responsables de sus soluciones y rindan reportes de las mismas, en caso de incidente en la seguridad de la organización, la misma debe estar preparada con la respuesta, esto es tener su rol de responsables que evalúan y responden ante situaciones de riesgo o emergencia. 25 de 52 Tener claridad sobre la duración o vida útil y soporte en parches de seguridad de los productos a implementar. Es importante vincular a los usuarios en el diseño de una solución integral de seguridad, para que ellos también velen por el respeto a los procesos y el buen manejo de los activos implementados Será deseable capacitar al personal sobre las buenas prácticas que promuevan la privacidad y la seguridad El sistema integrado deberá ser fácil de operar para el responsable de la seguridad institucional, considerando los siguientes puntos: 11 ✓ Debe contener información esencial y bien localizada ✓ Teneruna interacción eficiente con el sistema ✓ El sistema debe apoyar al operador para llevar a cabo de forma correcta las tareas Equipo de video seguridad Compuesto principalmente por sensores de video y en algunos casos con audio, existen muchas variables o áreas especializadas para la video vigilancia, partiendo de su tecnología que puede ser analógica o digital para redes de datos, para uso local o en múltiples sitios, considerando cámaras fijas, móviles, vestibles, encubiertas y para todo tipo de entorno, es importante saber para que las vamos a usar y como las vamos a proteger. De igual forma al este apartado integraremos junto a las cámaras los VMSs, toda vez que este binomio es el más usado en la actualidad al momento de implementar video cámaras por IP. Antes de revisar el tipo de infraestructura que en materia de video seguridad se refiere, es importante saber el propósito de cada uno de los dispositivos de video seguridad a implementar, esto 26 de 52 hace referencia a que cada uno de estos tenga una misión específica y que mitigue alguna vulnerabilidad descrita en el análisis de riesgos realizado previamente. Se recomienda que cada cámara tenga una contraseña diferente para su administración y se modifique la que tiene por default utilizando contraseñas fuertes como se señaló en el punto anterior. Asegurarse que el video de las cámaras se encuentre cifrado en su tránsito del dispositivo de video seguridad hacia el almacenamiento o VMS. Con respecto a la visualización del video en tiempo real desde móviles, considere primero si es necesario realizar esta práctica antes de habilitar dicha funcionalidad, toda vez que esto representa un riesgo mayor. Sugerimos que la red de comunicaciones sea de una categoría suficiente para que el transporte de datos sea eficiente y de igual manera independiente a la red de comunicaciones de los usuarios a fin de evitar saturaciones en el uso del ancho de banda de la misma. Cuidar que al momento de implementar un servicio de video seguridad, este cuente con el soporte por el fabricante y no esté en su fin de vida o soporte. Respecto al cableado que se instala para interconectar un dispositivo de video seguridad ya sea con un equipo de conectividad para las cámaras IP y con un DVR, para el caso de equipo análogo, se sugiere que las canalizaciones se efectúen de tal forma que no haya fácil acceso hacia las tuberías y así proteger mejor la infraestructura de comunicaciones. Es importante que cuando se instalen cámaras en la intemperie se considere la canalización, cableado y conectores apropiados para resistir las inclemencias del tiempo y asegurar la operación del equipo de video seguridad. Unas de las amenazas más comunes en los sistemas de video son: 12 27 de 52 ✓ Sabotaje, manipulación y vandalismos de los dispositivos de video seguridad ✓ Negación de servicio (DoS) ✓ Filtrado de video ✓ Robo y distribución del video robado utilizado para observar patrones operacionales de las áreas de alto riesgo ✓ Ubicación de los VIPS Las vulnerabilidades posibles de las cámaras son: ✓ Defectos y fallas en el código propietario o código abierto ✓ Que los equipos compartan el video con otros dispositivos en la nube ✓ Falta de claridad en las instrucciones sobre su tipo de conectividad y servicios que terceros pueden acceder ✓ Carcasas del producto débil o endebles ✓ Cuentas cuyos mínimos privilegios son insuficientes y es necesario tener la cuenta de administrador o root para su manipulación común ✓ Falta de literatura como manuales del dispositivo, soporte técnico o apoyo en caso de fallas o dudas 12.-Cibersecurity Video System Overview from AXIS Las cámaras tienen tres propósitos principales, obtener información visual de algo que está ocurriendo, obtener información visual de algo que ocurrió y disuadir actividades no deseadas, bajo este contexto cada dispositivo puede cumplir una función específica según sus características Se recomienda que las cámaras permitan confirmar una alerta de seguridad producida por otro sensor, lo anterior se refiere que solo se revise en tiempo real una cámara si es necesario Por lo anterior se debe entender que la información visual en tiempo real es el medio ideal para realizar una evaluación de una alerta de riesgo o emergencia donde se pueda determinar cómo verdadera o falsa, también se pueda tener la primera evaluación de la situación 28 de 52 Se recomienda que para el diseño del sistema, una vez concretado el análisis de riesgos previamente, se establezcan los siguientes conceptos a desarrollar: ✓ Establecer el propósito del sistema de video seguridad ✓ Definir el propósito de cada cámara ✓ Definir áreas de cobertura por cada cámara ✓ Seleccionar el tipo de cámara según su misión, considerando o Sensibilidad o Resolución o Características físicas ✓ Seleccionar el tipo de lente o Formato de la cámara o Distancia del objeto(s) o Campo de visión ✓ Selección del método de transmisión de señales de video al VMS ✓ Planificar el área de control Lo antes mencionado deberá ser parte del esquema de seguridad integral del inmueble La definición del propósito de cada cámara deberá ir por escrito, por ejemplo: La cámara del patio deberá poder identificar el rostro de las personas que ingresen a esta área De igual forma se tiene que registrar el tipo de identificación que realizará la cámara, esta puede ser de un sujeto, acción o de la escena La identificación de un sujeto, la imagen deberá proporcionar detalle de la escena a fin de que no haya duda de quién es el que aparece dentro del cuadro de los fotogramas, lo anterior deberá ser definido por el ángulo de la cámara y el sujeto a identificar deberá al menos abarcar el 10% de la imagen Identificar una acción permite ver qué fue lo que pasó o aconteció en el área de cobertura de la imagen de la cámara, será importante tener en cuenta la iluminación, el 29 de 52 ángulo, la resolución de la imagen y los fps que componen la imagen La identificación de una escena puede ayudar a dar respuesta rápida a la reacción operativa, toda vez que en ella se puede entender el comportamiento del entorno y lo que sucede en él, también es esta se deben cuidar aspectos de iluminación, ángulo y fps que componen la escena La selección en el tipo de cámara como se ha mencionado anteriormente, se realiza de acuerdo al tipo de área de cobertura y su misión específica, La sensibilidad, resolución ycaracterísticas son los factores a tomar en cuenta para su implementación, ✓ Sensibilidad, recomendamos atender los valores de cantidad mínima de iluminación que requiere para capturar una imagen, siendo la medida en Lux y de esto dependen: o Tipo de iluminación ▪ Natural / artificial ▪ Visible / IR ▪ Fija o variable o Óptica de la lente o Apertura del lente (iris) o Reflectancia de la luz o Para las cámaras térmicas, existen varios aspectos de acuerdo a su sensibilidad ▪ Visión en niebla o total oscuridad ▪ Aplicaciones industriales y de control ▪ Detección y clasificación ▪ Detección de temperatura (Termográficas) ✓ Resolución, nos permite distinguir detalles finos en una imagen, es decir que es el número de pixeles que forman una imagen, o CIF, es el formato de intercambio común, por sus siglas en inglés(Common Intermidiate format) y su resolución es de 352x240 pixeles o Video analógico es de 4CIF = 704x480 pixeles o D1 720 X 480 o VGA 640 x 480 o HD 1280 x 720 o 0.9 Megapixeles o 1080 Full HD 1920 x 1080 es igual 2.1 Megapixeles MP 30 de 52 o 2 MP es igual 1600 x 1200 o 1.3 MP equivale a 1280 x 1024 o 4K es 3960 x 2160 (4 veces Full HD) o También se debe tomar en cuenta la relación de aspecto o relación dimensional de la imagen ▪ 4:3 ▪ 16:9 ▪ 5:4 Por lo anterior, se debe tomar en cuenta que a mayor tamaño de imagen se va a requerir mayor almacenamiento y mayor ancho de banda en la red de datos. ✓ Dentro de la resolución hay que tomar revisar los algoritmos de compresión de video, siendo estos los más comunes, o MPEG o MPEG-4 o H.263 o H.264 Por lo anterior, se sugiere revisar cada escenario y configurar el mejor perfil para el caso específico de aplicación, de igual forma se recomienda que cada configuración final se documente. Es importante seleccionar VMS que mantengan también un monitoreo constante de los dispositivos conectados y que genere alertamientos cada vez que cada dispositivo se encuentre desconectado. Para los casos donde es importante la evidencia y esta debe ser compartida sin ningún tipo de compresión o modificación de la fuente original, se recomienda revisar con el implementador que el VMS tenga la capacidad de entrega de los videos grabados con las características antes mencionadas. Análisis de video 31 de 52 El análisis de video en tiempo real es una característica que permite la vigilancia proactiva, pudiendo esta ser una característica de la cámara o de un servidor donde se estén procesando las imágenes provenientes de las cámaras. Es importante señalar que cualquier analítico empleado en alguna instalación deba ser configurado para que pueda entregar algún tipo de alertamiento al responsable de la instalación previa una doble verificación del evento por medio de otro tipo de sensor, ya sea de movimiento, apertura o cercas inteligentes por ejemplo, pues al final esto dará mayor certeza de que no se están teniendo alertamiento falsos. La analítica de video es posible gracias al procesamiento intensivo de imágenes que facilita la detección de patrones de comportamiento en los pixeles de una imagen, es decir, podemos distinguir tamaños, direcciones y como ya lo mencionamos, patrones que nos permiten supervisar áreas, así con ciertos criterios nos puedan alertar de situaciones que se consideren de riesgo o emergencia. Algunas de estas funcionalidades son: ✓ Detección de un objeto abandonado ✓ Detección de la dirección de un objeto ✓ Objeto removido ✓ Cruce de una línea ✓ Conteo de personas ✓ Reconocimiento de placas ✓ Clasificación de objetos ✓ Detección de movimiento Las funcionalidades antes mencionadas nos permite mejorar la seguridad, toda vez que no se necesita a una persona viendo un monitor esperando a que pase algo, sino que de manera proactiva el análisis de video permitirá notificar cuando se esté perpetrando un evento de riesgo o emergencia, para ser atendido de manera más eficiente, volviendo los tradicionales sistemas de circuito cerrado de televisión CCTV en plataformas de detección y alertas inteligentes. 32 de 52 La analítica de video también apoya en la búsqueda eficiente de escenas específicas en el video almacenado, teniendo tiempos cortos en la recuperación del mismo. Recomendamos que para habilitar cualquier solución integral de seguridad se debe considerar, las distancias desde la cámara al concentrador de imágenes, así como anchos de banda y procesamiento de datos, toda vez que dependiendo de estos factores, es que vamos a decidir qué tipo de analítico que se va a emplear, ya sea que directamente las cámaras hagan el procesamiento del análisis de video o se implemente un servidor para el mismo fin. Control de acceso Permitir el ingreso y egreso de personal y material autorizado evita, detecta y retrasa la entrada de: ✓ Personas no autorizadas ✓ Armas ✓ Explosivos ✓ Diferentes tipos de contrabando Y a la salida: ✓ Material no autorizado ✓ Bienes de la organización ✓ Información Dentro del control de acceso existen diferentes límites o tipos de áreas restringidas, estas son: ✓ La protección de personas y bienes ✓ Protección de la información ✓ Evitar daños a equipos, procesos o áreas ✓ Aislar procesos y operaciones 33 de 52 Comprendiendo lo anterior, se podrá entender que la implementación de sistemas electrónicos para el control de acceso es la parte medular del buen funcionamiento y administración dichos sistemas, por lo que también se son susceptibles a fallas e intromisiones con carácter malicioso, por lo que se sugiere lo siguiente: 9 La institución debe planear antes de implementar un sistema de control de acceso considerando tres puntos: políticas, modelos y mecanismos de control de acceso. Las políticas de control de acceso son requisitos de alto nivel que indican cómo se debe gestionar los accesos y quién puede acceder a la información y en qué clase de circunstancias. Los modelos de seguridad generalmente se escriben para describir las propiedades de seguridad de un sistema de control de acceso y los mecanismos indican como la infraestructura asegura los requerimientos de control de acceso. 10 Se debe contar con procedimientos para las altas, bajas y cambios del control de acceso, así como bitácoras que puedan indicar al menos la hora, fecha, usuario y equipo donde se hicieron dichos cambios. Toda vez que son necesarios los accesos a la red, al sistema operativo, a las aplicaciones y a la información, se deberá tener registros y bitácoras de acceso. La totalidad de accesos no autorizados deben ser evitados y se deben minimizaral máximo las probabilidades de que eso suceda, apoyándose en los resultados del análisis de riesgos. Lo anterior se debe controlar mediante registro de usuarios, gestión de privilegios, autenticación mediante usuarios y contraseñas. Se debe cambiar las credenciales que están por default en la aplicación, esto es, cambiar las contraseñas de los usuarios maestros como Admin, admin, root, administrador, Administrator, etc. Se recomienda que las contraseñas de todos los usuarios del sistema sean al menos de 7 caracteres, se deben usar 34 de 52 combinaciones de letras mayúsculas y minúsculas, números y símbolos o caracteres especiales. Posteriormente a la implementación de un sistema de control de acceso, se deberá realizar una inspección de posibles puertos abiertos o protocolos o servicios iniciados en la instalación, como por ejemplo un servicio TFTP escuchando conexiones entrantes propias solo de la configuración, se recomienda cerrar estos. Los usuarios deben asegurar que el equipo desatendido por una persona tenga la protección adecuada, esto puede ser a través de la activación automática de un protector de pantalla después de cierto tiempo de inactividad. Evitar dejar notas y papeles auto adheribles en los monitores con información relativa a los usuarios y a la administración del sistema. Para la parte que se refiere a los sistemas, es recomendable que la arquitectura de red de la solución se maneje independiente de la red de datos de los usuarios. Ante todo lo antes visto, es importante mencionar que los sistemas de seguridad física deben cumplir con las premisas de disuadir, detectar, demorar y denegar, siendo esta la base conceptual para realizar las funciones de controlar accesos, observar, detectar eventos y responder ante ellos Cuando observamos, nos referimos a que los sistemas sean los encargados de alertarnos sobre situaciones de riesgo o emergencia y que a su vez la plataforma implementada sea la que notifique a los operadores y estos apoyen a la reacción, así se responderá ante estos eventos de manera inmediata y en el momento que sucedan los hechos, lo anterior permitirá reforzar la seguridad institucional 9.-SO /IEC 27002 10.- https://csrc.nist.gov/Projects/Access-Control-Policy-and-Implementation-Guides 11.- DAS primera generación Drones Algunos inmuebles emplean el uso de drones para realizar inspecciones aéreas de los inmuebles, por lo que esta práctica 35 de 52 https://csrc.nist.gov/Projects/Access-Control-Policy-and-Implementation-Guides requiere de ciertos cuidados para no lastimar a las personas e infraestructuras. Antes de volar una aeronave no tripulada o dron, será necesario conocer las regulaciones de cada estado o localidad respecto al tipo de aeronave, su tamaño, peso y altitud permitidas, así como las zonas donde pueda operar. Una recomendación es que no se vuele la aeronave más allá de 122 metros de altura o 400 pies. Se recomienda inspeccionar la aeronave antes de iniciar cada vuelo, así como que la sujeción de los elementos móviles se encuentren debidamente colocados y sujetados. Procurar tener una línea de vista con la aeronave todo el tiempo que esta se encuentre en operación No se recomienda volar ningún tipo de aeronaves no tripuladas cerca de aeropuertos, pistas de despegue o aterrizaje, así como rutas aéreas. Por ningún motivo se recomienda operar drones cerca de estadios o lugares concurridos No se recomienda volar aeronaves que su peso exceda los 24 kilogramos o 55 libras. Operar cualquier aeronave de forma imprudente o con descuido, puede poner en riesgo la vida de personas u otras aeronaves, se recomienda que el operador de la nave se encuentre bien capacitado en la operación de la aeronave. Equipo de cómputo Para todo el equipo de cómputo empleado en la administración y control de los sistemas de seguridad se recomienda que al menos lo siguiente: ✓ Los equipos de cómputo empleados para administrar los sistemas de seguridad deberán al menos tener todos los 36 de 52 parches de seguridad y actualizados al momento de su entrega ✓ Utilizar el equipo de cómputo adecuado y con especificaciones particulares según sea su propósito del mismo, a fin de que los recursos de dicho equipo sean suficientes para su operación ✓ No introducir o usar computadoras personales en los procesos y redes de comunicaciones de los sistemas de seguridad, a fin de evitar fuga de información, propagación de alguna clase de malware y poner en riesgo la operación ✓ Se aplique el hardening de cómputo a los equipos que se encuentran administrando o monitoreando los sistemas electrónicos de seguridad, a fin de que solo tengan los recursos de software y permisos suficientes para la operación a la cual han sido destinados, de esta forma los equipos de cómputo permanecerán menos vulnerables ✓ La instalación de hardware y software bajo licenciamiento sea autorizado por el responsable de cómputo de los sistemas de seguridad de manera conjunta con el responsable de seguridad física, a fin de tener previo una junta de control de cambios y revisar la viabilidad y el impacto que dicho cambio pueda tener en los sistemas de seguridad ✓ Se cuente con políticas del registro de las configuraciones del perfil de comunicaciones de los equipos de cómputo así como el registro de los puertos que se encuentran abiertos y expuestos en la red de comunicaciones ✓ Se cuente con un equipo de soporte técnico y mantenimiento especializado, toda vez que los equipos que administran la seguridad física contiene programas e información importante y de vital importancia para la continuidad del negocio, mismos que se deben encargar de los programas de mantenimiento periódico del ecosistema de los sistemas de seguridad ✓ Evitar instalar programas descargados de Internet debe ser una de las premisas en las políticas de seguridad de los sistemas de seguridad, así como un bloqueo de cualquier descarga de la Internet ✓ Evitar realizar conexiones remotas de administración o mantenimiento a los equipos y sistemas de seguridad de la institución, a fin de evitar dejar conexiones abiertas 37 de 52 ✓ Elaborar un proceso de baja de usuarios, respaldo de información y eliminación efectiva de los derechos de acceso y privilegios, en los sistemas de seguridad ✓ De lo anterior se sugiere que el borrado no afecte los registros o logs que se produjeron en el sistema por el usuarioen cuestión Comunicaciones/Red de datos ✓ Reconocer y tipificar los diferentes servicios a los que la red de comunicaciones se encuentre dando servicio ✓ Listar y llevar el control mediante un registro en bitácora de todo el equipo conectado a la red ✓ Asegurar que la red se encuentre segmentada Segmentar la red por subredes y evitar que los servicios de seguridad electrónica convivan con la red de usuarios comunes ✓ Habilitar servicios de seguridad en la red de tal forma que todas las conexiones a los segmentos de red de las soluciones de seguridad electrónicas se encuentren aislados y controlados ✓ Habilitar un firewall para controlar las conexiones hacia Internet y de Internet hacia adentro ✓ Restringir las conexiones por medio de la MAC address ✓ Realizar análisis de comportamiento de la red de los sistemas de seguridad a fin de detectar posibles vulnerabilidades ✓ Asumir que en todo momento existe una vulnerabilidad en la red de datos es importante, lo anterior nos ayudará a mantener una actitud diferente frente a los procesos de la organización, es decir, seremos capaces de identificar si algún comportamiento es inusual y buscaremos el mayor estado de seguridad posible para el esquema operativo ✓ Para las redes inalámbricas se recomienda al menos modificar los parámetros de fábrica y configurar contraseñas más seguras y protocolos de cifrado más fuertes Bluetooth La configuración de seguridad para Bluetooth deberá considerar al menos los siguientes aspectos: 38 de 52 ✓ Deshabilitar la capacidad Bluetooth del dispositivo cuando no se estén utilizando comunicaciones basadas en Bluetooth, sólo deberá ser habilitada expresamente por el usuario para establecer una conexión ✓ Para dispositivos que no permitan esta opción, por ejemplo, unos auriculares, se deberá apagar o desconectar el dispositivo cuando no se utilice ✓ Los dispositivos Bluetooth deberán estar por defecto en modo no visible o undiscoverable y sólo cambiar su configuración a modo visible o discoverable cuando sea necesario para conectarse con otros dispositivos ✓ Aunque es posible descubrir dispositivos no visibles mediante el uso de un sniffer Bluetooth o técnicas de fuerza bruta sobre la dirección del dispositivo BD_ADDR, los dispositivos no visibles mitigan la utilización de un gran número de herramientas y técnicas de ataque a través de Bluetooth ✓ Cuando sea posible en el dispositivo debe ser configurado de tal forma que cualquier solicitud de conexión Bluetooth entrante, deba ser mostrada al usuario para que éste autorice antes de conectarse ✓ El nombre del dispositivo no debe ser descriptivo o alusivo a su función, este no debe revelar ninguna característica relacionada con el dispositivo, el usuario, la organización o su función del mismo, a fin de mitigar cualquier ataque dirigido o ser foco de revisión de vulnerabilidades por terceras personas ✓ El nivel de potencia de los dispositivos deberá estar ajustado al mínimo necesario, de tal forma que las transmisiones Bluetooth permanezcan dentro del círculo de seguridad de la organización, por tanto evitar equipos que tengan una antena adicional de alta ganancia ✓ Se recomienda configurar contraseñas de acceso fuertes en los dispositivos Bluetooth portátiles, lo anterior ayuda a prevenir accesos no autorizados en caso de que el dispositivo se pierda o sea robado ✓ Instalar software de antivirus en los dispositivos Bluetooth donde esto sea posible por ejemplo equipo de cómputo de escritorio, esto ayuda a prevenir que malware se introduzca en las redes y otros dispositivos Bluetooth. https://www.ccn-cert.cni.es/guias/guias-series-ccn-stic/800-guia-esquema-nacional-de-seguridad.html ver marzo 2018 39 de 52 https://www.ccn-cert.cni.es/guias/guias-series-ccn-stic/800-guia-esquema-nacional-de-seguridad.html Línea de acción 4.-Resiliencia Es la capacidad de recuperarse ante una situación adversa; tecnológicamente se refiere a reponerse frente a un ataque. Uno de los factores más importantes de la seguridad es la prevención, tener una cultura de seguridad previene, pero prepararse ante un evento que afecte la infraestructura crítica de una instalación asegura la continuidad del negocio Lo anterior puede ser posible mediante la preparación de sistemas alternos, respaldos o sistemas especializados para la recuperación de la operación y sus datos Primero se debe tener una visión donde se considere que todo dispositivo conectado a la red de datos del inmueble, es un dispositivo que se tiene que monitorear y respaldar, para los dispositivos del Internet de las Cosas debemos estar seguros de contar con un respaldo del firmware del mismo, así como los parches de seguridad requeridos por el dispositivo resguardados, así como bitácora que permita dar cuenta de la sucesión en las instalaciones de dichas actualizaciones y / o parches de seguridad DLP En la actualidad existen una variedad de sistemas de prevención de pérdida de datos o DLP (Data Loss Prevention) por sus siglas en inglés, recomendamos que primero se tenga una debida planeación para acordar que tipo de información se tiene que respaldar de todo el sistema electrónico de seguridad y posteriormente elegir la herramienta que se apegue a la necesidad específica para la prevención de pérdida de datos Se recomienda tener rigurosamente un software antimalware que es de vital importancia para prevenir infecciones en computadoras y dispositivos móviles, también es aconsejable el respaldo de datos en medios físicos y respaldos en línea, que ofrecen facilidad de acceso y recuperación de datos Como todo sistema en una organización, recomendamos trabajar primero en las definiciones del cuidado y preservación de la información de los diferentes sistemas, integrar a las 40 de 52 personas que estén involucradas con los diferentes procesos de los sistemas electrónicos de seguridad y posteriormente decidir que se necesita para solventar las necesidades que de ahí surjan Qué hacer y a quién avisar en caso de una ciber amenaza La Policía Federal de México cuenta con la Unidad de Ciberseguridad, adscrita a la División Científica. A través de esta área especializada, la Institución realiza acciones de prevención e investigación de conductas ilícitas a través de medios informáticos, monitorea la red pública de Internet para identificar conductas constitutivas de delito, efectuando actividades de ciber-investigaciones, así como de ciberseguridad en la reducción, mitigación de riesgos deamenazas y ataques cibernéticos. De igual forma, implementa programas de desarrollo científico y tecnológico en materia cibernética. El CERT-MX opera áreas especializadas en temas de prevención e investigación de este tipo de ilícitos y es la única autoridad acreditada a nivel federal para realizar intercambio de información con policías cibernéticas nacionales y organismos policiales internacionales, con el objetivo de identificar y atender posibles ataques en agravio de infraestructuras informáticas gubernamentales en contra de la ciudadanía. La Policía Federal forma parte de la comunidad del Forum for Incident Response and Security Teams (FIRST), un foro global donde convergen y colaboran equipos de respuesta a incidentes cibernéticos. Ello permite generar y fortalecer líneas de investigación que en colaboración con las policías cibernéticas de otras naciones, logre la identificación y ubicación de probables responsables de ataques cibernéticos, en colaboración con la Procuraduría General de la República. La Oficina del Comisionado Nacional de Seguridad exhorta a los usuarios a reportar cualquier sospecha de fraude o ataque cibernético al número telefónico 088, que opera las 24 horas del día, los 365 días del año, así como a realizar denuncias a través de la cuenta de Twitter @CEAC_CNS, el correo 41 de 52 ceac@cns.gob.mx y la aplicación PF Móvil, disponible para todas las plataformas de telefonía celular. 12 12.- https://www.gob.mx/policiafederal/articulos/centro-nacional-de-respuesta-a-incidentes-ciberneticos-de-la-policia-federal?idiom =es Preservación de evidencias Un incidente de seguridad como se define 13 en la RFC282, es un evento relevante en los sistemas, el cual contraviene las políticas de seguridad, la recolección correcta de la evidencia de un evento de esta naturaleza, es mucho más útil para aprehender al o los atacantes, además de otorgar muchas probabilidades de ser admisible en un caso legal Existen varias metodologías y buenas prácticas, se mencionarán algunas basadas en la RFC3227 14 donde en ella se pueden apreciar detalladamente cada una de ellas, mencionamos algunas de ellas No cambiar el estado del dispositivo, donde básicamente si el dispositivo se encuentra encendido, este no debe ser apagado, ya que se podrían perder todos los datos volátiles, por ejemplo algunos procesos activos y todo lo que está cargado en la memoria RAM, si el equipo comprometido está conectado a la red, se recomienda desconectarlo físicamente de su conexión o bloquearlo desde su conmutador físico o inalámbrico En caso de que el equipo se encuentre apagado, este debe permanecer de esta forma, toda vez que al iniciarse el sistema podría sobrescribir la información útil o también podría contener un código malicioso que se pudiera ejecutar de forma automática al inicio Recopilar evidencias siguiendo un orden que va de mayor a menor volatilidad, toda vez que los datos volátiles ofrecen mucha información por ejemplo malware que está únicamente en la memoria y otros metadatos alojados en 42 de 52 cache y que estos pueden ser de mucha ayuda para entender el vector de ataque No confiar en la información proporcionada por los programas del sistema, porque estos pudieron ser comprometidos por código malicioso con la finalidad de entorpecer la investigación de los analistas forenses, lo anterior es uno de los principales motivos por el cual se aconseja capturar la información mediante programas desde un medio protegido No ejecutar aplicaciones que modifiquen la fecha y hora de acceso de los archivos del sistema, es importante saber que unas de las técnicas de análisis forenses más potentes para entender el paso a paso de los incidentes es la revisión por tiempos, pues se realiza una línea temporal sobre la modificación, el acceso y el cambio de cada archivo, esto a su vez se correlaciona con diferentes logs del sistema y puede ayudar a identificar el cómo de muchos hechos, recordando que también una acción de cambio de hora o fecha puede afectar a los metadatos de los archivos Si no está seguro de lo que está haciendo, mejor no realice ninguna acción, ¿qué hacer después de que sabes que ha ocurrido una intrusión, restablecer el sistema y los procesos o comenzar un análisis forense?18 Es importante saber que si se reestablecen los procesos es muy probable que se destruyan todas las evidencias, permitiendo así una nueva oportunidad para que los atacantes puedan invadir el sistema de nuevo, otro punto de vista es que si este evento generó un impacto en el negocio, es muy probable que esté usted obligado a restablecer los sistemas cuanto antes, lo cual es una encrucijada en sí, por eso sugerimos que se tenga un plan de contingencias para ayudar a resolver este tipo de eventos Al final lo que se busca es Identificar, fijar y preservar la evidencia para que esta sea posible entregarla mediante una cadena de custodia y pueda ser una prueba ante un procedimiento judicial Entendiendo que la cadena de custodia busca evitar suplantaciones, modificaciones, alteraciones, adulteraciones o 43 de 52 simplemente la destrucción de los medios digitales, pues es común que mediante el borrado o la denegación de un servicio no se pueda tener acceso a ellos 15 16 17 13.-https://www.ietf.org/rfc/rfc2828.txt 14.- https://tools.ietf.org/html/rfc3227 15 .- http://ojs.tdea.edu.co%2Findex.php%2Fcuadernoactiva%2Farticle%2Fdownload%2F45%2F42%2F0&usg=AOvVaw1wE0i2uT330Zpb7 BBsB_4i 16.- https://www.oas.org/juridico/english/cyb_pan_manual.pdf 17.- http://www.inacipe.gob.mx/stories/publicaciones/descargas_gratuitas/ProtocolosdeCadenadeCustodia.pdf 18.- https://www.welivesecurity.com/la-es/2016/02/15/consejos-evidencia-digital-analisis-forense/ Conclusión Todo ecosistema tiende a evolucionar, el tecnológico para la seguridad no será la excepción, conforme se presenten avances en materia de inteligencia artificial y mayores posibilidades de interconexión entre dispositivos, más grandes serán los retos de ciberseguridad, por tal motivo la invitación a generar una cultura de seguridad siempre será el mejor instrumento para asegurar los sistemas encargados de velar por nuestra seguridad. Un buen equipo no garantiza el éxito, pero un mal equipo si garantiza el fracaso 44 de 52 https://tools.ietf.org/html/rfc3227 https://www.oas.org/juridico/english/cyb_pan_manual.pdf http://www.inacipe.gob.mx/stories/publicaciones/descargas_gratuitas/ProtocolosdeCadenadeCustodia.pdf
Compartir