- Viernes, 07 Diciembre 2012
Los principales objetivos de la ciberseguridad (tradicionalmente denominada Seguridad de la Información) en el entorno de los negocios electrónicos son la protección y el aseguramiento de la información (y sistemas de información) frente a posibles ciber-amenazas y ciber-vulnerabilidades fortuitas y/o intencionadas, tanto de forma proactiva como reactiva (proteger y defender significa restaurar sistemas de información atacados con capacidades de prevención, detección, generación de informes, reacción-restauración y respuesta).
Esto significa la gestión profesional e inteligente de los riesgos en ciberseguridad en relación a la existencia, al uso, al procesamiento, al almacenamiento y a la transmisión de todo tipo de información (ruido sin codificar, datos elaborados, conocimiento, sabiduría, etc.) y recursos/activos. La ciberseguridad en negocios electrónicos habilitados por Internet presenta un creciente número de beneficios para las empresas como proteger las operaciones de los servicios de negocios, salvaguardar los activos, proporcionar recuperación en caso de desastres, asistir a la organización a la hora de satisfacer los requisitos regulatorios de cumplimiento, evitar revelaciones embarazosas debidas a fallos/errores de seguridad (por malicia, descuido, ignorancia, fallos físicos/lógicos, fuerzas de la naturaleza, etc.), proteger la reputación de las empresas, los niveles de audiencia de Internet, etc. En el mundo de los negocios nos encontramos con un creciente número de proyectos que surgen vía crowdfunding (aportaciones económicas de personas interesadas en promoverlos).
Ventajas que ofrece la ciberseguridad en los negocios electrónicos
La importancia de la ciberseguridad en e-business/ciber-business es crucial ya que las pérdidas financieras atribuibles a los adversarios/atacantes/competidores sin escrúpulos, al espionaje corporativo on-line, a los procesos de secuestro de clientes (vía pharming, phishing, etc.), a los fraudes en el pago por clic (explotan marcas legales para su propio beneficio, disparando los costos de anunciantes legítimos) y a muchos otros delitos cibernéticos presenta un impacto creciente en la actividad comercial y de negocios de todo país. El CSI (Computer Security Institute) estima que las pérdidas totales debidas a delitos relacionados con dispositivos de computación son superiores a diez billones de dólares anuales principalmente debidos a fraude financiero y robo/fuga de información corporativa. Aunque la ciberseguridad tiene un coste, existe un creciente número de motivos para implantarla: (i) Posibilidad de pérdidas (cartera de clientes, ventas, conocimientos, innovación, etc.). (ii) Posible daño de la reputación/imagen de una organización/negocio. (iii) Es una ventaja competitiva. (iv) Es una obligación de tipo legislativo y regulatorio, etc. La ciberseguridad al 100% es imposible en la práctica ya que los sistemas del mundo real son complejos, la ciberseguridad no es una característica de un producto sino parte de un proceso para gestionar el ciber-riesgo. La planificación de negocios electrónicos siempre implica un compromiso entre costo y beneficios. Los negocios son inherentemente para fines lucrativos, el despliegue de una infraestructura de ciberseguridad en e-business requiere no sólo que los costos deben justificarse sino también que satisfagan las necesidades de la organización y de los usuarios. Los costos vienen según varias direcciones, si la carga de ciberseguridad es demasiado alta para los usuarios que interfiere en su productividad, las funciones de ciberseguridad serán saltadas reduciendo la efectividad del sistema de protección. Según una encuesta reciente de Oracle una de las principales razones de abandonar una transacción on-line (por ejemplo para comprar artículos por Internet) es que el proceso requiera demasiado tiempo; las personas optan por la velocidad frente a otros factores.
Tipos de métricas en ciberseguridad en E-Business. Clasificación de ciberamenazas
El objetivo de las métricas en ciberseguridad es proporcionar información que necesita una organización/empresa para prevenir ciberataques estableciendo una base cuantitativa para medir la ciberseguridad. Las métricas proporcionan medios a la hora de comparar entre diversas alternativas. Las métricas cambian con el tiempo y posibilitan realizar “benchmarking” de una organización respecto a otras. Se pueden identificar diversos tipos de métricas: (1) Métricas ROI (Return On Investment). Sirven para medir el ROI en relación a los controles se ciberseguridad operacional, de tecnologías de la información, de personal y de tipo físico con objeto de guiar la inversión de capital. (2) Métricas de cumplimiento. Sirven para medir el cumplimiento con las regulaciones, leyes y estándares de ciberseguridad actuales como SOX, GLBA, LOPD-RMS, HIPAA, etc. (3) Métricas de resiliciencia. Sirven para medir la resistencia de los controles relacionados con ciberseguridad física, de personal, de tecnologías de la información y las comunicaciones y de tipo operacional, tanto antes como después de que un sistema, producto o red sea desplegado.
La clasificación y priorización de ciberamenazas, nos permiten medir el nivel de protección de un sistema. Se pueden identificar diversos sistemas y modelos para priorizar ciberamenazas: (1) Modelo IIMF. Clasifica las ciber-vulnerabilidades potenciales de acuerdo a cuatro categorías: Interceptación (una parte no autorizada gana acceso a un activo de información, por ejemplo comprometer los datos confidenciales con un sniffer de paquetes), Interrupción (un activo se hace no utilizable, no disponible o se pierde, por ejemplo un ataque de DoS/DDoS a un sitio Web), Modificación (una parte no autorizada altera un activo, por ejemplo ataque para pintarrajear un sitio Web) y Fabricación (un activo ha sido falsificado, por ejemplo ataques de spoofing en una red). (2) Sistema STRIDE. Permite clasificar ciberamenazas, no intenta realizar un ranking o priorizar cibervulnerabilidades sino clasificarlas: Spoofing (suplantación/falsificación), Tampering (alteración), Repudio, Information disclosure (revelación de información), Denegación de servicios y Elevación de privilegios. Muchas cibervulnerabilidades pueden estar solapadas y algunas son ataques umbrales que conducen a otros. (3) Sistema CIA-AN. Permite clasificar las cibervulnerabilidades potenciales de acuerdo a las violaciones en los rasgos que deseamos que tenga un sistema (por ejemplo un sistema de información de una organización): Confidencialidad (se trata de asegurar que la información no se revele a entidades no autorizadas), Integridad (se trata de protección contra modificación no autorizada o destrucción de información. La información se encuentra completa y no corrupta), Availability (disponibilidad: se trata de acceso fiable y a tiempo a datos y servicios de información para usuarios autorizados. Los usuarios autorizados pueden acceder), Autenticidad—autenticación (se trata de medidas de ciberseguridad para establecer la validez de una transmisión, mensaje-PDU u originador. La información es genuina), No-repudio (se trata de asegurar que el emisor tenga prueba de entrega de datos y que el receptor tenga prueba de la identidad del emisor, de modo que posteriormente no puedan negar que han realizado dichas actividades de procesado de datos). A veces se añaden tres aspectos críticos adicionales: Precisión (la información esta libre de error y tiene el valor esperado), utilidad (la información tiene valor para el propósito deseado) y posesión (los datos están bajo la propiedad y control autorizado).
La decadencia de datos hace referencia a que pueden perder valor y actualidad con el tiempo es decir des-actualizarse los datos de una base de datos. Es una cuestión clave que afecta por ejemplo a las bases de datos CRM (Customer Relationship Management) de las empresas. (4) Sistema DREAD. Permite no sólo clasificar sino también hacer un ranking de potenciales ciberamenazas. Calcula cinco aspectos potenciales para cada cibervulnerabilidad con una escala de uno a diez; estos aspectos son: Daño potencial, Reproducibilidad/Reliability, Explotabilidad, Affected users (usuarios afectados) y Descubribilidad (este aspecto es polémico y ha sido criticado). Para cada vulnerabilidad se suman los valores de los cinco aspectos y se divide entre cinco. (5) Sistema CVSS (Common Vulnerabilty Scoring System). Es una métrica común para tasar vulnerabilidades creada por un consorcio de organizaciones entre las que figuran Cisco, eBay, MITRE, IBM, Microsoft, CMU-CERT, etc. y mantenida por FIRST (Forum of Incident Response and Security Teams). Permite tasar con una fórmula compleja cada cibervulnerabilidad en tres dimensiones en una escala de cero a diez. Estas tres dimensiones son: (i) Ecuaciones de base. Indica las características del objetivo de la vulnerabilidad. (ii) Marcador temporal. Indica cómo puede cambiar con el tiempo el riesgo. (iii) Marcador de entorno. Indica cómo es la vulnerabilidad específica a tu organización. Uno de los calculadores online de CVSS esta en la URL de la NVD (Nacional Vulnerability Database): http://nvd.nist.gov/cvss.cfm?calculator. (4) Sistema CWE (Common Weakness Enumeration). Es una lista de tipos de vulnerabilidades software como: SQL Injection (CWE-89), Buffer-Overflow (CWE-120), Cifrado perdido de datos sensibles (CWE-311), Integer Overflow (CWE-190), uso de un algoritmo criptográfico roto o débil (CWE-327), CSRF/Cross-Site Request Forgery (CWE-352), etc. El MITRE junto con el Instituto SANS publican cada año las veinticinco CWEs más peligrosas.
Principales ciberamenazas a la información en E-Business. Guerra de información
Los ruidos son hechos en bruto, sin refinar con un sistema de codificación desconocido. Los datos son hechos en bruto sin refinar con un sistema de codificación conocido. La información son datos procesados, dotados de relevancia y propósito. Para convertir datos en información se requiere cierto conocimiento. El conocimiento son hechos, principios o reglas generales aceptadas que son útiles para dominios específicos. El conocimiento puede ser el resultado de inferencias e implicaciones producidas a partir de hechos de información simples. Las principales características de la información son: precisión, consistencia, disponibilidad, que sea verificable, completa y que este a tiempo, es decir no sea copia. Las principales ciberamenazas a la información en e-business son: (1) Robo de activos electrónicos/físicos. La pérdida de activos electrónicos es más difíciles de detectar que la pérdida de activos físicos. (2) Errores o fallos humanos. Son errores de usuarios autorizados que puede comprometer CIA-AN. (3) Compromiso de la propiedad intelectual. Como piratería software, violación de licencias software, duplicación no autorizada, etc. (4) Espionaje/entrada sin derecho. A su vez se pueden identificar tres subcategorías: (i) Espionaje industrial/corporativo. Las empresas recogen información competitiva de otras empresas. Puede implicar a los servicios de inteligencia nacionales. (ii) Mirar por encima del hombro y buscar entre la basura. Es la adquisición oportunista de información descartada (discos duros en la basura) o guardada sin el cuidado necesario. (iii) Atacantes. Disponen de técnicas y herramientas (siniffers, keyloggers, hacking no-ético, etc.) para localizar y determinar vulnerabilidades para luego acceder sin autorización. (5) Extorsión. Después de robar activos (números de tarjetas de crédito, ficheros sensibles, contraseñas, fotos comprometedoras, etc.) se envía un mensaje (blackmailing) a la víctima (persona física o jurídica) para que pague, en caso de que no pague los activos pueden venderse a otros delincuentes. (6) Sabotaje. La forma más común consiste en pintarrajear páginas Web y sitios Web. Más peligroso es dañar sistemas de control de infraestructuras críticas de telecomunicaciones, control de tráfico, bomberos, agua, defensa, etc. (7) Ataques de software vía malware. Se utilizan virus informáticos, gusanos, troyanos, ataques DoS/DDoS. (8) Fuerzas de la naturaleza (provocados o por azar). Desastres a gran escala como incendios (provocados o fortuitos-negligencias-cortocircuitos), inundaciones, tsunami, terremotos (se pueden provocar utilizando explosivos en zonas geológicas sensibles), rayos, lluvias torrenciales, tornados, huracanes, maremotos, volcanes, desprendimientos, etc. Pueden mitigarse sus efectos utilizando seguros y un diseño físico adecuado (edificios a prueba de terremotos). Los ataques a pequeña escala como polvo, contaminación conductora, roedores, daños electrostáticos, explosiones nucleares de neutrones en atmósfera para producir impulsos electromagnéticos puntuales devastadores en infraestructuras electrónicas, etc. (9) Fallos de hardware y de software. Por ventilación física no adecuada o por bugs-software y por falta de depuración (análisis estático y dinámico) de las aplicaciones y mobile APPs. (10) Cuestiones de QoS. Los proveedores de servicios (de electricidad, conectividad de red) pueden tener fallos o degradación de la calidad que afecten a las empresas. Los servicios de respaldo y backup pueden ayudar a atenuar sus efectos más nocivos. Por ejemplo disponer de más de un proveedor de telecomunicaciones o de suministro eléctrico o disponer de SAI/UPS. (11) Uso de tecnología obsoleta. Puede conducir a problemas de mantenimiento al no existir recambios o actualizaciones adecuadas. En el ámbito de la guerra de información (que puede realizarse a nivel de empresas/organizaciones, individuos o naciones bajo las tres ejes de motivo, medios y oportunidad) existe una parte ofensiva en forma de operaciones de información y una parte defensiva en forma de aseguramiento de la información. Se pueden identificar tres grandes niveles: (i) Nivel I. Implica la gestión de la percepción del oponente a través del engaño y las operaciones psicológicas, a veces denominadas proyección de la verdad. (ii) Nivel II. Implica denegar, destruir, degradar o distorsionar los flujos de información del oponente para trastornar su capacidad para realizar y/o coordinar las operaciones. (iii) Nivel III. Recoger inteligencia explotando el uso de los sistemas de información del adversario/oponente/competidor. Los agentes ofensivos a las organizaciones pueden ser de diferentes tipos: (1) De dentro. Como empleados, contratistas, empleados antiguos, etc. Este grupo es la mayor amenaza. (2) Atacantes. Obtienen acceso no autorizado o rompen defensas en sistemas de información por dinero, desafío, poder, chantaje, etc. (3) Delincuentes. Su objetivo es la información que puede ser de valor para ellos como cuentas de banco, información de tarjetas de crédito, propiedad intelectual, etc. (4) Empresas. Buscan activamente inteligencia de competidores o roban secretos registrados. (5) Gobiernos y agencias. Buscan secretos económicos, diplomáticos y militares de gobiernos, empresas y adversarios extranjeros. También pueden dirigirse a adversarios domésticos. (6) Terroristas. Normalmente motivados políticamente-religiosamente buscan causar daño máximo a infraestructuras de información poniendo en peligro vidas y propiedades.
Dominios y niveles en ciberseguridad. Salvaguardas
Es posible identificar diversos dominios en ciberseguridad: (1) Ciberseguridad operacional. Implica la implantación de procedimientos de ciberseguridad operacional estándar que definan la naturaleza y frecuencia de la interacción entre usuarios, sistemas y recursos del sistema. Su propósito es llevar a cabo y mantener un estado de sistema seguro conocido en todo momento y prevenir robo, liberación, destrucción, alteración, uso indebido y sabotaje de los recursos del sistema de forma accidental y/o intencionada. (2) Ciberseguridad física. Se refiere a la protección del hardware, software y datos contra amenazas físicas con objeto de reducir o prevenir trastornos en las operaciones y servicios y pérdida de activos. (3) Ciberseguridad de tecnologías de la información. Integra las funciones y características técnicas que contribuyen a llevar a cabo una infraestructura de tecnologías de la información que mantenga la confidencialidad, integridad, disponibilidad, responsabilidad-auditoria, autenticidad, fiabilidad, etc. (4) Ciberseguridad de personal. Integra un conjunto de medidas tomadas para reducir la probabilidad y severidad de alteración, destrucción, apropiación indebida, uso indebido, configuración indebida, distribución no autorizada y no disponibilidad de activos físicos y lógicos de la organización como resultado de acciones o carencia de acciones por parte del personal de dentro de la organización o por parte de personal externo como socios de negocios, adversarios ajenos, etc. En ciberseguridad interactúan diversos componentes: tecnología, redes, datos, actividades y personas. Las salvaguardas en ciberseguridad pueden clasificarse en dos categorías: (1) Técnicas. Aquí se identifica el control de acceso físico/lógico, la identificación/autenticación/IAM (gestión de identidades federadas), criptogra-fía/esteganografía, IDS/IPS, DLP, AV, FW, VPN, etc. (2) No técnicas. Se identifican los controles operacionales y de gestión (políticas de seguridad), procedimientos operacionales, ciberseguridad medioambiental, física y del personal, etc.
Existen tres formas de gastar en ciberseguridad: (i) Comprando seguros cibernéticos. (ii) Pagando después de la ocurrencia de un evento o incidente. (iii) Comprando y gestionando ciberseguridad propia y/o delegando externalización. En un análisis coste-beneficios en ciberseguridad para una empresa, el beneficio es el valor que recibe debido al uso de controles y contramedidas asociadas a las vulnerabilidade/amenazas/riesgos relevantes. Algunas métricas en esta área son: (i) SLE (Single-Loss-Expectancy). Es la pérdida si se explota una vulnerabilidad. El SLE es el producto del valor del activo por el porcentaje/factor de exposición. El factor de exposición es el impacto del riesgo sobre el activo o porcentaje de pérdida del activo. El SLE es el coste potencial, por ejemplo por robo 50.000.000 euros€. (ii) ARO (Annualized Rateo of Occurence). Representa el número de veces que ocurrirá el ataque por año. Es la incidencia/probabilidad por ejemplo 0,005. (iii) ALE (Annualized Loss Expectancy). Es el producto de SLE por ARO. Por ejemplo 50.000.000 x 0,005 = 250.000 euros€. (iv) El coste-beneficio se obtiene restando del ALE antes de colocar contramedidas, el ALE después de colocarlas y el costo de dichas contramedidas/salvaguardas. (v) ROI (Return On Investment). Sirve para comparar inversiones en ciberseguridad. Una posible fórmula como porcentaje beneficio/coste en un tiempo de tres años es: ROI = ( (a/(1+b)) + (a/(1+b)(1+b)) + a/(1+b)(1+b)(1+b) ) / c, donde a es el beneficio, b es la tasa de descuento y c es el coste inicial. De acuerdo a Security-500 del 14-2-11 el personal de seguridad de TI en pequeñas y medianas empresas gasta ciento veintisiete horas cada mes en gestionar su propia infraestructura de seguridad. La fiabilidad es la probabilidad de que un sistema (por ejemplo un servidor Web) dado realice la función requerida en las condiciones dadas en un período de tiempo concreto. La disponibilidad de un sistema/organización se calcula dividiendo el MTBF (Mean Time Between Failure) entre la suma del MTBF y el MTTR (Mean Time To Repair). En relación al MTTR después de un ataque, el objetivo es reducir los costos del tiempo de parada, así en el año 2000 Amazon estimó que la pérdida debida al tiempo de caída después de un ataque/fallo era de 180.000 dólares por hora. Una disponibilidad del 99,999% (los cinco nueves) se traduce en cinco minutos de parada cada año. La disponibilidad operacional debe tener en cuenta el tiempo entre mantenimiento, no sólo fallos/ataques y el tiempo de parada debido al mantenimiento.
Consideraciones finales
Actualmente en comercio-business electrónico la ciberseguridad es de absoluta prioridad no sólo para cuestiones de cumplimiento, subsistencia de los modelos de negocio desplegados, control de reputación sino para posibilitar una dinámica ágil e inteligente de cambios-mejoras sin tener que asumir el incremento de riesgos graves que se generan y que conlleva. Nuestro grupo de investigación lleva veinte años en el área de la protección en e-business/commerce.
Este artículo se enmarca en las actividades desarrolladas dentro de LEFIS-Thematic Network.
Autor:
Prof. Dr. Javier Areitio Bertolín – E.Mail: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
Catedrático de la Facultad de Ingeniería.
Director del Grupo de Investigación Redes y Sistemas. Universidad de Deusto
Bibliografía
Areitio, J. “Seguridad de la Información: Redes, Informática y Sistemas de Información”. Cengage Learning-Paraninfo. 2012.
Areitio, J. “Evolución de amenazas y tendencias en seguridad de red en el contexto Web”. Revista Conectrónica. Nº 142. Noviembre 2010.
Areitio, J. “Identificación y análisis de la protección de las aplicaciones Web”. Revista Conectrónica. Nº 143. Enero 2011.
Schneier, B. “Economics of Information Security and Privacy”. Springer. 2011.
Nicastro, F.M. “Security Patch Management”. CRC Press. 2011.
Norman, T.L. “Risk Analysis and Security Countermeasure Selection”. CRC Press. 2009.
Cursos Técnicos y Seminarios
Fibra GPON asimétrica. Solución Plug&Play para edificios
Keynet Systems organiza esta charla técnica en la que se tratará de cómo se diseña e instala una ...
Proyecto europeo “Ingenieros del Futuro” con formaciones online gratuitas para jóvenes y docentes ...
El Clúster GAIA ha participado en el proyecto europeo "Engineers of the Future”, cofinanciado por ...
Curso básico de Radiocomunicaciones gratuito
Este curso realizado por el Dr. Francisco Ramos Pascual abordará todos aquellos aspectos ...
Libro electrónico sobre conectividad inalámbrica
Mouser Electronics, Inc presenta un nuevo libro electrónico en colaboración con STMicroelectronics ...
Centro de recursos técnicos sobre retos de la ciberseguridad
En el mundo interconectado de hoy en día, la necesidad de integrar la seguridad en el nivel ...
Suscríbase a la revista CONECtrónica
Precio suscripción anual:
PDF: 60,00.- € (IVA incluido.)
PAPEL: 180,00.- € (IVA incluido.)
Recibirá las 7 ediciones que se publican al año.