El paradigma de la segmentación

Y os preguntareis  ¿porqué? , Pues debido a los diferentes amenazas que existen en el mundo virtual, y ya no por las vulnerabilidades, si no porque ya no hay un control sobre ese switch virtual en el sentido que si alguien consigue levantar un equipo virtual en ese host de virtualización, tenemos que el switch virtual tiene todos los puertos UP, con lo que podremos conectarnos a cualquier switch virtual y llegar donde sea. Aquí no tratamos como llegamos al host de virtualización y podemos crear equipos virtuales…que esto también es otra fiesta, que si queréis lo tratamos otro día.

Grandes Desafios a los que nos enfrentamos

Detener Movimientos laterales entre VLANS y dentro de la misma subred:

Las defensas perimetrales de toda la vida, ya no nos fiamos de ellas para mantener al "malo" de turno alejado de nuestra red, pero tampoco nos funciona para los insiders internos, si aquellos de los que hable en la charla en el Aslan de este año, ver video.

La mayoría de nosotros, profesionales con muchos años en el mundo de la seguridad IT, estamos familiarizados con los marcos de trabajo como el de Lockheed Martin Cyber Kill Chain® . (Ver fuente)

He recibido varias consultas de amigos y clientes, que qué pasa con WhatsApp a partir de este viernes.

Debido a la GDPR/RGPD, en adelante Reglamento, y los requisitos de protección de datos relacionados para las empresas descritos anteriormente en el Reglamento, el uso de WhatsApp para fines comerciales y/o fines laborales, conduce a varios problemas críticos:

• La libreta de direcciones de un usuario con todos los contactos, incluidos sus correos electrónicos y números de teléfono, se transfiere a WhatsApp y, por lo tanto, a Facebook. No se sabe muy bien dónde y con qué propósito se están transfiriendo y procesando estos datos. Una empresa que utiliza WhatsApp no ​​puede informar a los clientes ni empleados, cómo se manejan estos datos y, por lo tanto, no puede cumplir con el requisito de "derecho de acceso" del Reglamento. Además, si un cliente quiere hacer uso de su "derecho al olvido" y eliminar todos los datos relacionados con ella, esto no se puede aplicar con WhatsApp.

• Una empresa no tiene consentimiento explícito para transferir los datos personales de los clientes a WhatsApp. Por ejemplo, al utilizar WhatsApp, una empresa transmite la libreta de direcciones y, por lo tanto, los datos de contacto de los clientes a WhatsApp. Con esto incumplimos el Reglamento.

• Si bien se dice que los mensajes están encriptados de extremo a extremo, pero esto no es el problema de base aunque tenga otras ramificaciones, WhatsApp recopila metadatos de usuarios y datos personales relacionados. De esta manera, WhatsApp tiene acceso no solo a los identificadores personales (UID), sino también a los usuarios con quienes se comunican, con qué frecuencia los usuarios se conectan con contactos específicos, durante cuánto tiempo los usuarios se envían mensajes entre sí, y así sucesivamente. Esta información es perfecta para generar perfiles de usuario personales y comprender las relaciones sociales. Y si juntamos que hace poco el que era CEO de WhatsApp ha dimitido por querer bajar el nivel de cifrado, nos juntamos con una bomba de relojería. Con lo que podríamos decir que no sabes qué metadatos recopila Whatsapp, cómo los procesa y a quién o quienes se transfiere ni con que fines. En consecuencia, si una empresa utiliza WhatsApp para comunicarse con los clientes, no puede cumplir con el "derecho de acceso" o el "derecho al olvido" del Reglamento

• Al utilizar WhatsApp para fines profesionales y/o comerciales (WhatsApp for Business), una empresa transfiere datos de clientes a los EE. UU. Esto entra en conflicto con la obligación que exige el Reglamento de no transferir ni almacenar datos personales fuera de la UE. En los Estados Unidos, con sus leyes de privacidad mas laxas, no se puede garantizar una protección adecuada de los datos de los clientes.  

• Probablemente WhatsApp, no cumpla los principios de "privacidad y seguridad desde el diseño" y la "anonimización" de datos que indica el Reglamento. El simple hecho de cargar la libreta de direcciones al servicio cloud de WhatsApp, no cumple con ese principio, además de todo lo que conlleva a nivel de publicidad (Ads) de Facebook, que están bastante dirigidos, tengo la comprobación de una amiga que indicó en un chat vamos de cañas, y le salía publicidad de cerveza en facebook, un tanto sospechoso no?? Por lo tanto la "Anonimización" de datos no se aplica.

• Si un cliente o empresa, quiere transferir todos sus datos a otro servicio, esto no es posible con WhatsApp, con lo que ya se está incumpliendo otro Requisito del Reglamento, de esta manera se hace inviable la "portabilidad" de datos de un sitio a otro, que como indica el Reglamento, es de obligado cumplimiento.

Y entonces que hacemos? Está claro que WhatsApp, y seguramente otras herramientas públicas de mensajería, no cumplen con los requisitos del Reglamento, y en estos casos debería usarse una herramienta "profesional", a ser posible que resida en Europa (si pensáis en Rusia, creo que tampoco lo cumple), que garantice el cumplimento del Reglamento y podamos hacer cumplir el Reglamento ante cualquier requerimiento de un usuario o cliente.

¿Qué pensáis vosotros?

Es un post abierto a opiniones, y en este post solo muestro mi opinión aplicando mi conocimiento.

El título de este post viene a colación por la ponencia que realizará nuestro CTO en Aslan mañana miércoles, que versará justamente en eso, como detectar y prevenir a los Insiders. 

Para ello os esperamos en la 25ª edición del congreso.

Si deseas acudir, puedes registrarte aquí:

http://bit.ly/2IIdlYm

Con la participación de HillStone Networks, Redborder, FlexVPC y Authcomm Systems.

Uno de los puntos que pasamos muy por encima en el anterior artículo (http://bit.ly/CFLKD01), es la adecuación de los entornos IaaS a la GDPR o RGPD, en adelante Reglamento.

Es un punto con varios puntos de vista o criterios de aplicación, y desde aquí solo doy mi punto de vista.

En lo referente a la seguridad de los servicios IaaS que existen, uno de las premisas es tratarlo como un infraestructura “al uso”, con sus peculiaridades obviamente, pero no debemos olvidar que un servidor virtual no deja de ser igual que otro servidor físico.

Lo principal diferencia de estos entornos es la plataforma en la que se ejecuta, y aunque el proveedor proteja el acceso a su infraestructura con un firewall, WAF, DDoS, no exime al que usa el servicio de dar seguridad a su infraestructura, sobre todo si va a albergar datos sensibles, con lo que la aplicación de PCI-DSS, el Reglamento, o cualquier otra regulación que afecte a datos sensibles, y sean personales o de transacciones bancarias, ya que finalmente será el responsable total de cualquier incidente de seguridad que sufra su infraestructura, esté donde esté.

Hay varias formas de cubrir la seguridad de estas infraestructuras, pero lo podemos resumir en 3 puntos principalmente:

1. Acceso a la infraestructura mediante acceso público.
   
2. Seguridad Perimetral
   
3. Seguridad Interna
   

Acceso a la Infraestructura

Cuando se accede a la infraestructura desde cualquier ubicación y no se realiza mediante la conexión que tiene el “tenant” directa (VPN de Azure por ejemplo), es importante saber quién y cómo se conecta, y obviamente tener una auditoria de todo lo que afecte a la infraestructura, acceso al panel de control etc. etc.

Para ello, la única opción viable para cubrirlo es con un CASB, en nuestro caso SkyHigh.

Seguridad Perimetral

Una vez que tenemos bajo control esta parte, nos queda la parte “tradicional”, es decir la seguridad perimetral, adaptado a infraestructuras como servicio.

Para ello para proteger el acceso desde el exterior o desde las comunicaciones punto a punto, desde Cefiros aconsejamos usar Cloud Edge, el NGFW de HillStone adaptado al mundo IaaS.

Con ello obtendremos la capacidad “tradicional” de filtrar las diferentes redes, los accesos, IPS/IDS, etc, garantizando de esta manera la seguridad de los accesos.

Cloud Edge se caracteriza por ser de los pocos productos que se pueden ejecutar en cualquier plataforma Iaas (Google, Amazon, Azure, Huawey, etc) y está disponible en todas las “Tiendas” de los proveedores de servicio.

Que quiere decir esto, que independientemente donde se dé el servicio, por capacidad operacional o por necesidades de la compañía, se puede cubrir este punto, ya que no todos los fabricantes de seguridad están disponibles en todas las ubicaciones.

Otro punto a su favor, en “nubes privadas” ya sean de un proveedor o propias, es que sobre plataforma Vmware, no requiere NSX para funcionar, e incluso de esta manera el producto dispone de todas las funcionalidades.

Otro punto a su favor, es que trata a ese gran “olvidado” que es Hyper-V, dando soporte a este servicio extendido en muchos clientes y que pocos dan cobertura.

 

Otros puntos importantes a destacar de esta solución:

• Altamente compatible con los todos los principales Hipervisores.
  
• Despliegue y configuración inicial automática
  
• Gestión de licencias automática
  
• Elasticidad y alto rendimiento, no requiere reinstalar al aumentar la memoria, CPU o Interfaces
  
• API RESTFULL
  
• REST API
  
• Altamente integrado con la orquestación de NFV
  

 Por todo ello tiene el reconocimiento de los principales fabricantes y proveedores IaaS

    

Seguridad Interna

En este punto, como indicaba en mi anterior entrada (http://bit.ly/CFLKD01), entra en juego 2 factores, la microsegmentación y la seguridad “tradicional”.

En la microsegmentación, este punto da mucho de qué hablar y lo trataré más extensamente en otra publicación, es el principio donde todo servidor virtual tiene acotado sus movimientos laterales. Este principio solo lo podemos aplicar, en infraestructura que nos pertenezca, sin armar mucho revuelo. En este caso concreto, Cefiros recomienda usar Cloud Hive de HillStone. ¿Por qué recomiendo esta solución? Principalmente por 2 motivos, no requiere NSX aunque se puede integrar en el si lo tuviera, y soporte de vmware y OpenStack, que son las dos plataformas más extendidas para NFV/SDN.

Con esta solución obtenemos los siguientes beneficios:

• Gestión centralizada de todos los flujos de servidores que pertenezcan al mismo gestor (Virtual center)
  
• No Disruptivo:
  
• Despliegue de nivel 2

• API Restfull
  
• Monitoriza todo el tráfico de los equipos virtuales
  
• Detección y prevención de amenazas
  
• Ataques Web
• Spoofing
• Session Hijacking
• DDoS flood
• Cross-Site Scripting
• Gestión de la seguridad fuera de banda sin entorpecer el tráfico de producción
  
• Seguridad Completa en cada equipo:
  
• IPS
• AV
• Control de Apps.
• Soporte de vMotion y Live-Migration 

 En la seguridad tradicional, además de adaptar las recomendaciones de mi anterior artículo, hay que tener en cuenta que en entornos IaaS, es altamente recomendable tener la comunicación cifrada, o al menos los servidores virtuales, sus archivos, estén cifrados, ya que de esta manera el proveedor del servicio no podrá obtener nada de información al respecto. 

Conclusiones

Muchos administradores de sistemas dirán que es demasiado excesivo, pero no hay que pensar solo en el beneficio propio a la hora de administrar, que obviamente hay que tenerlo en cuenta, si no que la seguridad de la compañía es un punto muy importante, del cual de manera indirecta puede depender su puesto de trabajo. Si la compañía sufre una fuga de información, tal y como indica el Reglamento, deberá hacer frente a la correspondiente sanción, con lo que ello puede suponer, y dependiendo de la cuantía puede verse llevada a cesar en sus operaciones. En “vidas” pasadas he tenido mis mas y mis menos con los diversos administradores de sistemas, que en definitiva su resistencia al cambio era dura, pero como siempre he intentado que vean es, míralo de esta forma, esto que hacemos al final es para salvaguardar tu reputación y tu puesto y si aplicas las medidas no podrán decir nada, sobre todo cuando son medidas aprobadas por el mismo cliente.

Como indicaba en mi anterior artículo (http://bit.ly/2DZ0ccn), la GDRP o RGPD, es de obligado cumplimiento y requiere por parte de las empresas de cualquier tamaño, adaptar sus procesos tanto tecnológicos como de trabajo, para así,adaptarse a esta nueva normativa.

Dentro de los activos tecnológicos de la empresa, están dentro del alcance del Reglamento, todos aquellos dispositivos que puedan contener datos sensibles de la compañía, o bien puedan ser instrumento de tránsito de esta información.

Recordemos que estos son los datos personales dentro del alcance del Reglamento:

• Nombre Completo
  
• Email
  
• Datos Bancarios
  
• Información Fiscal
  
• Dirección postal
  
• Número de teléfono
  
• Número DNI/NIE/NIF/Pasaporte
  
• Número de la seguridad Social
  
• Localización
  
• Dirección IP Pública
  
• Cookies
  
• Etiquetas RFID
  
• Datos de Salud
  
• Datos Genéticos
  
• Datos Biométricos
  
• Datos Raciales
  
• Datos Étnicos
  
• Orientación Sexual
  
• Orientación política
  

Tenemos que tener en cuenta, no solo el ámbito "local" de los datos, si no también qué tipos de servicios en la Nube usamos (DropBox, Office 365, Gmail, Hotmail, etc) ya que muchas empresas pequeñas, usan sistemas de correo "gratuitos" para realizar sus funciones, o tienen poco control sobre lo que contratan, fundamentalmente por desconocimiento.

¿Cómo podemos cumplir con el Reglamento?

Lo enfocaremos por 2 vías, y ambas son aplicables:

1. Infraestructura local, es decir ordenadores en la empresa, discos duros, comunicaciones, dispositivos móviles, tablets,…, es decir, todos los dispositivos que tengan o puedan tener contacto con la información sensible.

2. Servicios en la nube (SaaS y IaaS), es decir todos aquellos servicios, gratuitos o no, que tengan o puedan contener datos sensibles, o se utilicen para su transmisión.

Infraestructura Local

Dentro de este ámbito, cabe todo aquello que esté dentro de la red de la empresa, entendiendo por red en una empresa pequeña lo que es desde el router Wifi que pone el proveedor de servicio, hasta el último dispositivo que esté conectado a esa red.

1. Antes de nada, hay que “educar” y formar a los usuarios, informándoles para que no compartan usuarios y contraseñas, que no se dejen las contraseñas pegadas con un simple post -it, o que eviten el reúso de las mismas, y no solo eso, sino también de la "desconfianza" de correos no esperados, o del software que promete mucho siendo gratuito, o “bajado” gratis de algún lugar. Sobre este punto podríamos tratar horas y horas… Y siempre acabaríamos en el mismo punto. El punto más débil de la cadena en el mundo de la seguridad es el usuario.
   
2. Lo que deberíamos hacer antes de nada es tener controlado el flujo de información, que entra y que sale de la red de la empresa, no siendo el router del operador una opción válida. Por ello se necesitaría desplegar, una solución de firewall que sea capaz de registrar todos los accesos, sea mediante wifi o mediante cable, para poder saber las actividades que realizan todos los equipos a nivel de red y así cumplir con el Art. 27.1, 27.2  apartados d,e,f,g
   
3. Desde Cefiros, os podemos ofrecer los sistemas de HillStone (https://www.cefiros.net/hillstone.html) que, según varios analistas independientes, son los que mejor Rendimiento/Precio tienen del mercado frente a otros fabricantes.
   
4. El segundo paso es descubrir dónde están los datos sensibles que están amparados por el Reglamento, para ello, desde Cefiros, podemos usar la plataforma de Discovery y Classification de GTB Technologies (https://www.cefiros.net/gtb.html) (incluso en formato pago por uso) para detectar los documentos locales que puedan existir en la empresa y clasificarlos según su importancia.
   
5. El tercer escalón sería tener cifrada esta información y mantener cifrada y restringida el acceso a la misma, teniendo auditado quién, cómo y cuándo se accede a estos archivos o registros. Para ello nosotros recomendamos por simpleza y facilidad de uso el uso de SealPath (http://www.sealpath.com).
   
6. El cuarto paso es tener inventariado todo el parque de dispositivos y software, que se conectan a la red, y de las aplicaciones que hacen uso de las mismas y pueden tener acceso a los datos, este inventario lo podemos realizar con varias herramientas, Zeed Security, Miradore No nos podemos olvidar, qué es requisito de obligado cumplimiento tener protección de cada dispositivo y tener actualizado todo el software que esté inventariado, para ello la suite PSB de F-Secure dispone de gestión de parches sobre los activos (Windows) o usar la plataforma de Miradore para ejecutar la misma tarea.
7. Otro de los puntos no menos importantes es, dotar de doble factor de autenticación, a todos los administradores y usuarios que tengan acceso a esta información sensible, para ello nosotros recomendamos usar OKTA (https://www.okta.com) como solución de doble factor o MFA.
   
8. En el sexto punto, deberíamos abordar la seguridad del correo electrónico, un punto muy importante de entrada de amenazas, y por lo tanto un punto a cubrir muy importante. Muchas PYMES tienen soluciones de correo operadas por terceros, que no suelen disponer de una protección eficaz, o bien usan servicios de correo gratuito. Nosotros trabajamos con diversas opciones de protección de correo, y dependiendo de cada caso concreto, recomendamos una u otra.
   
9. Para tener monitorizada la actividad de los usuarios, algo obligatorio dentro del Reglamento, tenemos varias opciones para poder cubrirlo, en entornos pequeños un Firewall que realiza el control integral de las comunicaciones (Hillstone adaptado al tamaño de la organización) o usando un UEBA (user and entity behavior analytics) como Teramind (https://www.cefiros.net/teramind.html), para conocer en cualquier momento que realizan los usuarios o dejan de hacer y hasta analizar que han hecho en el pasado (desde que se instaló el agente)
   
10. Una de las acciones más importantes a realizar para esta en línea con el Reglamento es  cubrir la fuga de información, ver como fluye por la red empresarial, y poder tomar acciones al respecto. Para ello con los Agentes de DLP de GTB se puede realizar esta acción y en conjunto con el UEBA poder tomar acciones si se detectan intentos de fuga.
    
11. Como un nivel adicional y que ya lo comentamos en el anterior artículo, indicamos como poder realizar evaluaciones de riesgo y evaluaciones continuas. Para ello nos basamos en un servicio llamado BAS (tecnologías Breach and Attack Simulator, según Gartner). Con esto ponemos a prueba nuestras medidas de seguridad en cada momento, vemos en tiempo real como reaccionan los sistemas ante un malware, o realizamos un intento de intrusión, y, si algo cambia, la plataforma de SafeBreach (https://www.cefiros.net/safebreach.html) nos indicará como mejorar ese punto débil y ,lo más importante, nos ayudará a evaluar en tiempo real el riesgo que estamos asumiendo ante nuevas amenazas y como combatirlas.
    
12. Como último punto, y aquí ya entramos en palabras "mayores", todas las empresas, independientemente del tamaño, pueden verse beneficiadas por el intercambio de información sobre amenazas, pero para poder sacarle un partido real, necesitantener un equipo de profesionales bien formados para que puedan evaluar esos riesgos y amenazas. Empresas más o menos grandes pueden tener un equipo dedicado, pero empresas más modestas o pequeñas, tienen un serio hándicap con esto. Yo en este punto soy mas partidario de ser una recomendación, más que algo "obligatorio".
    

Servicios SaaS

Aquí nos encontramos con otro gran hándicap para las empresas, sobre todo las pequeñas al proliferar el uso de servicios "FREEMIUM", por lo que estos servicios tienen su contrapartida "profesional" pero muchos de ellos no están por la labor de tener un contrato con ellos.

Dentro de los servicios SaaS más populares, encontramos:

• Office 365
  
• Gsuite
  
• Egnyte
  
• Dropbox
  
• Zoho Suite
  
• ManageEngine
  
• Box.net
  
• Salesforce
  
• Cualquier CRM/ERP online
  

Tenemos que garantizar en estos servicios, que la información sensible alojada, se encuentre cifrada y a ser posible anonimizada, para que la correlación de los datos entre sí, haga imposible la identificación del individuo. Para ello, en los servicios que son de almacenamiento, como OneDrive, Dropbox, etc, recomendamos usar SealPath, para así mantener los documentos sensibles cifrados.

Para los servicios más "complejos" como ERP, CRM, etc, donde estén los datos sensibles, se requiere al menos de cifrado de los mismos. Para ello, las únicas soluciones útiles para ello son los CASB, que te permiten cifrar la información que se indique con la clave de cifrado que desee el usuario, no entramos aquí si la clave está en el proveedor o en manos del usuario. SkyHigh, líder según Garner, Forrester e IDC, es sin duda la mejor solución tecnológica que ayudará a proteger tus servicios cloud y tus usuarios que acceden a ellos, y por tanto, tener tus datos seguros.

Conclusiones

Independientemente de la arquitectura que se disponga, es necesario unos mínimos de seguridad en todos los ámbitos, y saber en todo momento quien como y cuando accede a los datos sensibles, y adicionalmente en el caso de los servicios en la nube, que estos dispongan de un doble factor de autenticación, ya sea de manera directa o indirecta apoyándose en un tercero.

Ni que decir tiene que, dentro de todo esto, se requiere una estrategia de acción ante incidentes de seguridad, ya sea por una fuga de datos, que hay que cuantificar, o por un incidente de los mismos, un ransomware cifra esa carpeta con esos datos.

Básicamente, la GDPR o RGPD viene a decir que, para tener un cumplimiento efectivo, se requiere tener cubiertos todos los puntos que indica la ISO27001, evidentemente adaptado a cada tamaño de empresa, pero debe cumplirse si no se quiere exponer a multas que pueden forzar a cerrar la empresa, dependiendo del tamaño, ya que la multa por incumplimiento puede llegar al 2% de la facturación del último año o hasta 10M de €, la cuantía que sea mayor, y la divulgación de información sensible sin informar del incidente, puede acarrar hasta 20M de € o el 4% de la facturación del último año, la cifra mayor resultante.

Nosotros desde Cefiros, podemos ayudar a cumplir con los requisitos u orientarte hacia dónde ir, para poder cumplirlo ya que nuestra finalidad es prestar un servicio de valor, más allá de poder vender nuestras tecnologías.

CHECK LIST

Os dejamos con una lista de comprobación básica, para saber cómo estáis a nivel de tecnología, y determinar qué se necesita adicionalmente:

o  Solución Antivirus

o  Solución Backup

o  Solución de Cifrado de archivos

o  Solución de Descubrimiento de Información

o  Solución de Prevención Fuga de Información

o  Solución de Comportamiento de Usuarios

o  Solución de protección de correo electrónico

o  Solución de seguridad Perimetral

o  Solución de Detección/Prevención de Intrusiones

o  Evaluación de Riesgos

o  Plan de Respuesta ante Incidentes

o  Plan de contingencia

Obviamente, damos por sentado que la mayoría de los sistemas operativos son legítimos y el software que se ejecuta en los mismos también lo es.

¿Estás preparado para el día 0?

El 25 de Mayo de este año, entra en vigor el Reglamento General de Protección de Datos, o GDPR debido al cual, todas las empresas, necesitan cumplir ciertos requerimientos para estar en línea con los artículos que indica dicho Reglamento, así como tener preparados sus equipos para el correcto cumplimiento del mismo.

Este Reglamento no solo aplica a todo el territorio de la Unión Europea (28 Estados miembro), si no a todos aquellos países que manejen datos de ciudadanos miembros de la UE.

1.  La definición de RGPD o GDPR, indica que no solo los datos personales identificables están dentro del amparo de este Reglamento, si no que los siguientes datos, están también dentro del amparo del Reglamento:

·  Localización

·  Dirección IP Pública

·  Cookies

·  Etiquetas RFID

·  Datos de Salud

·  Datos Genéticos

·  Datos Biométricos

·  Datos Raciales

·  Datos Étnicos

·  Orientación Sexual

·  Orientación política

2.  Las empresas que no cumplan los requerimientos antes de la entrada en vigor, están sujetos a amonestaciones. Las multas que indica el Reglamento, pueden llegar a los 20M€ o al 4% de la facturación anual, dependiendo del tamaño de la empresa, por incumplimientos y fugas de información.

3.  El cumplimiento no es solo para tenerlo ese día y pasar las auditorías, si no que debe ser continuo. El Reglamento coloca el peso de la "evaluación continua de riesgos" en el controlador de datos, la organización de recopilación de datos y requiere que cualquier organización que esté procesando datos, cumpla con el Reglamento.

Construyendo un plan de acción

Las empresas deben desarrollar un enfoque basado en riesgo para Reglamento, lo que significa que primero deben evaluarse los riesgos en el contexto de las necesidades del negocio con el fin de identificar objetivamente qué datos están en riesgo y cuáles no. Una vez establecida la línea de base para la protección de datos, los controles de seguridad deben implementarse, aumentarse y evaluarse continuamente para garantizar que los datos continúen siendo seguros.

1.  Descubrimiento de Datos Personales

El primer paso es descubrir y clasificar, donde están los datos personales sujetos al Reglamento. Primero debe determinarse donde están datos, y después como fluyen estos mismos datos. Para ello se necesita una solución de descubrimiento y clasificación de datos, que funcione, y que sea capaz de seguir estos datos y monitorizar como se obtienen, como se almacenan, como se usan y como se borran. Está en la mano del responsable de datos, asignar el riesgo de cada tipo de datos y que medidas de seguridad se aplican para que estén seguros.

2.  Implementar "como estoy" en medidas de seguridad

Debido a la naturaleza de innovación tan dinámica de la tecnología, y el incremento de la complejidad de las amenazas, el Reglamento no especifica que tecnología se requiere para cumplir con el reglamento. En el artículo 25 del Reglamento, se indica que las empresas deben tener un "razonable" nivel de protección y privacidad para los ciudadanos de la UE, pero no define que es "razonable"

Esto tiene 3 implicaciones:

a.  Los equipos de seguridad deben de seguir adaptándose. Deben protegerse contra amenazas tradicionales y nuevas, y aprovechar los últimos controles de seguridad para mantenerse al día con el panorama de la evolución de las amenazas.

b.  Los equipos de Seguridad, necesitan focalizarse en la seguridad de los datos, gestión de acceso, cifrado de los datos, prevención fuga de información, y documentar estas capacidades.

c.  Los equipos de seguridad, necesitan validad continuamente que la seguridad que tienen implantada, es efectiva y funciona (Ver punto 3)

Estas son las mejores prácticas para la seguridad del dato:

·  Restringir el acceso al dato: Uno de los aspectos críticos de la securización de los datos personales es identificar y gestionar el acceso. Las empresas deben implementar el acceso con menos privilegios a los sistemas que almacenan y procesan estos datos.

·  Habilitar cifrado: El cifrado de datos, reduce enormemente la probabilidad de compromiso de un usuario. El beneficio adicional de esto es que las empresas pueden reducir el riesgo de sanciones o no se les puede exigir que informen de una infracción si no se puede leer los datos exfiltrados. El Reglamento también especifica la seudonimización, en la que los datos personales identificables se reemplazan por un código aleatorio, como medida de protección de seguridad para reducir aún más la probabilidad de que la información se correlacione con las personas reales.

·  Segmentación robusta: Las empresas, deben segmentar y restringir partes de la red que tengan datos dentro del amparo del Reglamento. Esta es una buena práctica fundamental para poder parar a un atacante que se mueva mas allá de la zona de infiltración.

3.  Validar la seguridad con una evaluación continua

En el Artículo 32,  el reglamento establece "…... el controlador y el procesador implementarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad apropiado para el riesgo, incluido ... un proceso para probar, evaluar y evaluar periódicamente la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento de los datos"

Por razones de seguridad y cumplimiento, las empresas necesitan asegurarse continuamente que cualquier control de seguridad que se halla implantado, está funcionando para proteger los datos personales. La evaluación de "como estoy", debe cumplir con las siguientes características:

1.  Automatizado y Continuo: la validación debe ejecutarse continuamente para abordar el cambio en el panorama de las amenazas y tener en cuenta a los usuarios dinámicos, las aplicaciones y EndPoints. Además, la validación debe ser automática para minimizar la necesidad de personal altamente capacitado y altamente especializado.

2.  Técnicas Exhaustivas: la validación debe ser consistente y exhaustiva, reflejando una variedad de técnicas que usan los atacantes reales. Esto proporciona la evaluación más precisa del riesgo y la mejor prueba de protección de datos.

3.  Seguro: Para reflejar los verdaderos riesgos para una organización, la validación debe llevarse a cabo en redes de producción y EndPoints. La Evaluación del cumplimiento nunca debe poner en riesgo los datos ni afectar las operaciones de negocio.

Una tecnología que cumple esta evaluación continua de "como estoy" es, lo que se denomina en inglés, Breach and Attack Simulation.

Esta tecnología, permite a la empresa lo siguiente:

·  Validar continuamente los controles de seguridad (Cumplimiento de Art. 25 y 32): Puede minimizar la exposición y validar continuamente que los controles de seguridad de "como estoy" que se han implementado realmente funcionan. Por ejemplo, los equipos de seguridad que implementaron controles de seguridad que solo permiten que ciertos tipos de datos viajen entre redes o centros de datos pueden probar que su implementación es efectiva o identificar errores de configuración en las implementaciones de seguridad que pueden llevar a una fuga de datos. Más importante aún, esta validación utiliza "técnicas de ataque real", generando un reflejo más preciso de los verdaderos riesgos empresariales.

·  Prepararse para la evaluación de impacto del Reglamento (Art. 35): Puede preparar equipos de seguridad para evaluaciones de impacto. Específicamente, puede utilizarse antes de una evaluación real para evaluar las "medidas previstas para abordar los riesgos, incluidas las salvaguardas, las medidas de seguridad y los mecanismos para garantizar la protección de los datos personales y demostrar el cumplimiento". Esto incluye tecnologías de seguridad, pero también se extiende a los equipos SOC y MSSP involucrados en las medidas de seguridad para el Reglamento.

·  Justificar la inversión: también puede probar, si se requiere o no una inversión adicional para el cumplimiento del Reglamento. La inversión en seguridad es, con demasiada frecuencia, una medida basada en el "instinto", ya que la seguridad real hasta ahora ha sido difícil de medir. Esto significa que los equipos ejecutivos solo inician una inversión de seguridad adecuada después de que se ha producido una infracción o incidente. Esta tecnología puede proporcionar datos de seguridad reales, para probar si se requiere más inversión en seguridad para el Reglamento.

4.  Plan de respuesta a Incidentes

Uno de los puntos mas importantes del Reglamento, es tratar con el requerimiento de notificación de fuga de información. El Reglamento establece que "la destrucción, pérdida, alteración, divulgación no autorizada de o acceso a" de los datos personales, debe ser reportado en menos de 72 Horas

El último informe de Investigación de fuga de datos 2017, de Verizon, muestra como las intrusiones o compromisos, toman minutos en el 98% de los casos, y el tiempo de detección de estas, pueden tomar semanas y meses. El desafío al que se enfrentan las empresas es doble, detectar y cualificar cuando se produjo la intrusión, e identificar que cantidad de datos personales se han puesto en riesgo. Si la respuesta es positiva, deben notificarse al regulador en menos de 72 horas. 

Por ello, las empresas necesitan desarrollar y documentar un plan de respuesta a incidentes. Si ya existe, deben extenderlo al cumplimiento del Reglamento. Los reguladores deben ser notificados dentro de las 72 horas de la fuga, y los sujetos afectados deben ser notificados "sin demora indebida" si la fuga "puede resultar en un alto riesgo para los derechos y libertades de las personas".

Hay dos cosas a tener en cuenta:

·  La notificación reglamentaria debe "al menos":

·  describir la naturaleza de la fuga de datos personales, incluyendo el número y las categorías de los  datos y los registros de datos personales afectados.

·  proporcionar la información de contacto del oficial de protección de datos.

·  "describir las posibles consecuencias de la fuga de datos personales".

·  describir cómo el controlador de los datos, propone abordar el incidente, incluidos los esfuerzos de mitigación. Si la información no está disponible a la vez, se puede proporcionar en fases.

·  Los reguladores no necesitan ser notificados si:

·  el controlador ha "implementado medidas apropiadas de protección técnica y organizativa" que "hacen que los datos sean ininteligibles para cualquier persona que no esté autorizada para acceder a ellos, como el cifrado" (Ver punto 2)

·  el controlador toma medidas posteriores a la violación de los datos personales para "garantizar que el alto riesgo de los derechos y libertades de los interesados" no se materialice

·  cuando la notificación a cada sujeto de datos "suponga un esfuerzo desproporcionado", en cuyo caso se pueden utilizar medidas de comunicación alternativas.

Conclusiones:

El Reglamento requiere que las empresas, no solo que protejan los datos personales que manejan, si no que también, tengan en mente la mejora de la seguridad en general. Algunos puntos clave del Reglamento, es la evaluación continua del riesgo, que permitirá a las empresas automatizar estas tareas para conocer el "como estoy" y poder así evaluar sus controles de seguridad.

Para ello existen diversas herramientas que pueden ayudar a cumplir con el Reglamento con garantías y nosotros podemos ayudarte con algunas de ellas.

Si necesitáis información de como podemos ayudaros, como cubrir todos los requerimientos, poneros en contacto con nosotros.

Llevo varios días leyendo sobre estas vulnerabilidades hardware, y todos hemos visto con estupefacción como los principales fabricantes de Procesadores del mercado, Intel, AMD, Qualcomm, Apple, ARM, (es decir, casi todos los procesadores basados en CISC (https://es.wikipedia.org/wiki/Complex_instruction_set_computing), indican que todos sus procesadores tienen un fallo de diseño, con el cual cualquier atacante sería capaz de obtener información de las apps en ejecución, con el problema que ello conlleva.

Los principales fabricantes de S.O, indican que parchear el S.O puede suponer hasta un 40% de pérdida de rendimiento con el impacto económico y funcional que ello puede suponer. De momento todos los equipos basados en procesadores RISC o MIPS, están "libres" de estas vulnerabilidades hardware.

Los principales fabricantes de seguridad, Fortinet, Checkpoint, StoneSoft (Forcepoint) y todos aquellos que usen procesadores basados en x86 (o del tipo CISC), están afectados por estas vulnerabilidades, y aunque se puedan parchear los diferentes kernels de las diferentes plataformas, si ese parcheado supone una pérdida de rendimiento en los equipos tendremos un importante problema con difícil solución además del coste económico asociado.

¿Qué hacen estas vulnerabilidades?

Os dejo una tabla con las diferencias entre ellas y el enlace a Google Project Zero donde lo explican mucho mejor, pro básicamente es la escalación de privilegios desde un usuario que no tenga privilegios para nada, a recuperar información de la memoria que esté usando otro usuario o proceso (ojo con los VDI y sesiones de Citrix) (Fuente: http://bit.ly/2AFnyka)

Desde Cefiros, empresa en la que apostamos por tecnologías novedosas y diferentes, 2 de nuestro fabricantes pueden proteger a los sistemas del impacto de estas vulnerabilidades, HillStone al estar basado en procesadores MIPS/RISC (Nota del fabricante: http://www.hillstonenet.com/blog/statement-on-vulnerability-hillstone-networks-does-not-use-intel-processors-in-its-ngfw/), y ENSILO con la capacidad de evitar la ejecución de cualquier programa que quiera explotar la vulnerabilidad del equipo, sin necesidad de parchear el propio sistema (Nota del fabricante: http://bit.ly/2CBsGHS)

Con esto, los sistemas no pierden en rendimiento, y están totalmente protegidos de estas amenazas y cualquier otra que pueda existir, teniendo una funcionalidad de protección POST -Infección, que es capaz de proteger al equipo, aunque este esté infectado.

Mucho se dice sobre que los equipos del fabricante tal o cual, están afectados pero mitigados desde las diferentes compilaciones de su kernel, pero leyendo varios artículos sobre el tema, vemos que muchos de nosotros damos por sentado que todos los niveles de kernel, sean en el sistema que sean, son independientes, y que los sistemas de seguridad son mas robustos, pero cuando alguien plantea el mismo esquema pero con un punto de vista diferente, y demuestra como las diferentes capas o anillos del kernel son totalmente conectables unas con otras, o permeables desde la capa de usuario hasta la capa 0 (https://en.wikipedia.org/wiki/Protection_ring) y por lo tanto dejándonos desprotegidos ante cualquier fallo, sea software o hardware como es el caso que nos ocupa.

Comparación entre sistemas RISC/MISP y CISC (x86, motorola 68000….)

Créditos

Google project Zero

Gracias a Alister Whitehat

HillStone Networks

Ensilo

Intel

ARM

AMD

Wikipedia