saludo fraternal
Colombiaintel
Sunday, December 23, 2018
Sunday, October 21, 2018
LA COVERGENCIA DE LA SEGURIDAD FÍSICA Y LA INFORMÁTICA
Diofanor Rodríguez L CPP, PCI, PSP
El
concepto de Singularidad es polémico, pero no
es nuevo. La
primera vez que se escuchó fue en la lectura del texto de una ley empírica, en
el año de 1965, que se conoce como la Ley de Moore. Esta Ley manifiesta que el
número de transistores en un microprocesador se duplica aproximadamente cada
dos años. Lo
anterior indica, que la capacidad de computación
progresa de forma exponencial, además más potente. Esto se ha
visto reflejado en los nuevos desarrollos obtenidos para la seguridad física en
su parte tecnológica. Frente
a este nuevo escenario, que supone una convergencia manifiesta entre la
seguridad física y la informática, se realiza la siguiente hipótesis: “El gerente de seguridad moderno deberá
comprender y aplicar los conceptos de seguridad informática o será desplazado
de manera inequívoca de su cargo”. Con
ello buscamos demostrar que el gerente de seguridad deberá reforzar esta
competencia, que cada vez se convierte en una necesidad fundamental. Con el IoT (internet de las cosas), cada día
se evidencia la vulnerabilidad de los sistemas de seguridad física en las
organizaciones, dejando a la seguridad física como el eslabón más débil de la
cadena, como lo demuestran sendos ataques y
estudios que se han realizado sobre el tema, donde se han visto involucrados
elementos tecnológicos de la seguridad física, como lo son
los CCTV, las llaves electrónicas y controles
de accesos, entre otros, que son elementos
que facilitan los ataques debido a su poca seguridad, o a su
falta de configuración adecuada.
En
un estudio reciente, de junio de 2018, en la página de internet https://securityaffairs.co/wordpress/73650/hacking/axis-vulnerabilities.html, se publicó un artículo que hace una
reflexión para los profesionales de seguridad sobre las competencias que
actualmente requiere un profesional de la seguridad integral en el mundo de hoy.
El título del artículo es “Researchers from cybersecurity
firm VDOO have discovered several vulnerabilities affecting nearly 400 security
cameras from Axis Communications.”.
(Investigaciones de la Firma
de Ciberseguridad VDOO han descubierto muchas vulnerabilidades que afectan a
cerca de 400 cámaras de seguridad de Axis Comunicaciones). Esto refuerza
nuestra hipótesis sobre la necesidad que tiene el nuevo gerente de seguridad
integral de comprender y aplicar los conceptos de seguridad informática en sus
sistemas de seguridad física; de lo contrario, será desplazado de
su cargo.
Algunos
eventos muestran los avances de la inseguridad en este campo. A principios de
este año se divulgó una noticia impresionante de unos hackers que se apoderaron
del sistema de llaves electrónicas de un hotel de lujo en Austria. Los
huéspedes no pudieron entrar a sus habitaciones hasta que el hotel
pagó un rescate. Esto no fue sorpresivo para los expertos en ciberseguridad,
e hizo que el hotel volviera a la utilización de la llave física.
Otro
evento interesante se ve reflejado en la página: https://www.secureweek.com/2018/03/16/se-han-encontrado-hackers-realizando-ataques-ddos-a-traves-de-camaras-cctv-pirateadas/
en
la que se evidencia que se han encontrado hackers lanzando ataques de DDoS a
través de las cámaras que han sido vulneradas. Lo
que muestra el trabajo investigativo, según la página web, es que fueron 900
cámaras de CCTV que se vieron involucradas por tener un elemento básico de
seguridad informática que tiene que ver con el inicio de sesión débil. Según
los investigadores de Incapsula, es muy
fácil para los atacantes informáticos lograr el acceso a estas cámaras de CCTV
al realizar un ataque de fuerza bruta. También
manifestaron los investigadores que los responsables de la configuración de los
dispositivos eran los culpables, debido a que posiblemente no cambiaron la
contraseña por defecto den los equipos o la dejaron abierta para conexiones externas. En
la siguiente imagen se evidencia la distribución de las cámaras de CCTV, que se
vieron involucradas.
Metodología
Una
vez entendida la situación de singularidad en la seguridad física a través de
la convergencia de la seguridad informática con la seguridad física, y para
reafirmar nuestra hipótesis de que “El
gerente de seguridad moderno deberá comprender y aplicar los conceptos de
seguridad informática o será desplazado de manera inequívoca de su cargo”, se utilizó como instrumento de
argumentación una encuesta con cuatro preguntas concretas frente al tema de la
convergencia de la seguridad informática y la seguridad física. Dicho
instrumento fue aplicado a profesionales de la seguridad en Perú, Ecuador,
México y Colombia. Los
resultados obtenidos son los siguientes:
En
la pregunta:
En
un proyecto de seguridad electrónica ¿Qué tan frecuente es que se toque el tema
sobre qué políticas de ciberseguridad se deben aplicar?
¿Es
sencilla la aplicación de buenas prácticas de ciberseguridad en su
organización?
¿Qué
tan seguros son mis proveedores de tecnología de seguridad electrónica?
Conclusiones
Como
podemos ver, aunque la tecnología ha ido avanzando de forma incremental,
el hombre de seguridad no camina a la misma velocidad; como
muestran las cifras, aún existe un 23% de hombres de
seguridad que no tiene claro por dónde iniciar el implemento de políticas de
seguridad informática en los sistemas de seguridad física, lo que en algunos
casos podría facilitar al adversario su actividad delictiva.
Todavía
existe un número importante de empresas que desconocen si sus aliados
estratégicos han sido afectados por ataques cibernéticos,;
como es evidente en las cifras, un 54% es un monto alto, esto
evidencia que podríamos estar en riesgo debido a que los equipos de seguridad
física, se verían expuestos a ataques de
denegación de servicio, red botnet…, etc, debido a que no podríamos afirmar que
no hemos estado comprometidos de alguna manera.
Las
cifras muestran que la conciencia de seguridad informática en la seguridad
física ha venido en alza, pues ya es considerada en los proyectos, como se
evidencia en el 46% de ellos. Aún nos queda un largo camino que
recorrer, pues si no es solicitada no se ve como un tema importante en el
desarrollo de los proyectos; esto se demuestra en el 39.7% que
evidencia al realizar la pregunta.
Frente
a temas de seguridad de mis proveedores, el 31.7% considera obvio que las empresas
deben ser seguras, lo que hace que bajemos la guardia y no tomemos las
precauciones debidas frente a este tema, no solo exponiendo la seguridad física
sino la seguridad corporativa, la seguridad integral.
Bibliografía:
https://www.secureweek.com/2018/03/16/se-han-encontrado-hackers-realizando-ataques-ddos-a-traves-de-camaras-cctv-pirateadas/
Conferencia
del ingeniero Joseff Santiago sScarfo, conferencia No deje que el sistema de
seguridad exponga su organización (ALAS).
Blog
Protegerse. com
Aprendacctv.com
Sensortechforum.com
Sunday, March 04, 2018
QUE ENTIENDO DE LA ISO 31000/2018
Diofanor Rodríguez L CPP, PCI, PSP
Recientemente
lanzada en febrero 15 la ISO 31000 2018, presenta algunas modificaciones
importantes desde mi punto de vista. Entre ellas que asume la estructura de muy
alto nivel, da buenos mensajes de inicio.
Por otro lado, está el hecho de que en la
versión 2009 el documento era de 26 páginas, la versión 2018 cuenta con 16
páginas, obviamente excluyendo portada, bibliografía y antecedentes, esto
demuestra un sumario importante que elimino lo sobrante, centrándose en lo
importante.
En
la versión actual de ISO 31000 se retiraron 21 términos y se hará referencia a
la ISO que reemplace a la ISO Guía 73. Se apunta que de 49 términos con
definición en la ISO Guía 73, 29 términos aparecen otra vez con definición en
ISO 31000:2009. De
los 8 términos que quedaron, hay 6 términos cuya definición y/o notas dentro de
éstas fueron modificadas y deben ser cambiadas en la ISO que reemplace a la ISO
Guía 73. Los términos modificados son: Riesgo, Fuente de riesgo, Evento, Parte
interesada, Consecuencia, Control.
No
proporciona ningún detalle especifico de implementación, que desde mi punto de
vista esto es muy importante por dos motivos:
- La implementación de la gestión del riesgo es un arte, y depende de muchos factores entre ellos la personalidad del ser humano, las preferencias, las relaciones, la madurez de la cultura organizacional.
- La necesidad de integrarse en la toma de decisiones es de carácter obligado, sin embargo, simplemente no hay una receta para integrarse en un proceso determinado. De hecho, así las organizaciones sean del mismo reglón productivo muy seguramente integraran el análisis de riesgos de manera diferente en el mismo proceso.
Cambios en los principios
Revisado
este apartado(clausula) de la norma se puede concluir que los principios
Creación de valor y toma de decisiones que estaba en la ISO 31000:2009, en la
versión 2018 muestra que todos los principios concurren en la creación y
protección de valor en la organización.El
principio que la gestión del riesgo aborda Explícitamente la incertidumbre fue
eliminado porque este concepto ya estaba inmerso en la propia definición del
riesgo.
Principales
cambios Marco de Referencia
Gráfica tomada de la ISO
31000:2018
En
el marco de referencia se incluyeron de manera expresa las responsabilidades de
la Alta Dirección y de la Junta Directiva frente a la administración del
riesgo. Se
ve una modificación en el tradicional ciclo PHVA del señor Deming, pues este elemento
que llama la atención hace énfasis en liderazgo y el compromiso con ello busca garantizar
la conformidad no sólo de las obligaciones de la organización sino también de
los compromisos voluntarios. Además, el ciclo PHVA se ve ampliado a cinco pasos
integración, diseño, implementación evaluación y mejora. Hace
hincapié en el hecho de que se inicia con de la Integración para llegar al
diseño e implementación del Marco de Referencia, lo que muestra es la norma da
una mayor relevancia al hecho de que la Gestión del Riesgo hace parte como un
todo en la Gestión de la Organización. En la versión 2018 de la norma se da
mayor insistencia e intención a la Consulta. Se deja dicho para las partes involucradas
internas y externas que la consulta envuelve a los partícipes dando
retroalimentación, con la esperanza de que esta retroalimentación ayudará y
proporcionará forma a las decisiones. Otro elemento importante frente al marco
de gestión es que la norma muestra de manera clara la necesidad de realizar la
evaluación de que tanto el marco de gestión contribuye con el logro de los
objetivos y por ultimo hace una mejora del Marco de Referencia con base en las
oportunidades que sean identificadas.
Como
conclusiones importantes frente a esta Clausula, está el hecho de que en versión
20018 se enfatizan los roles y responsabilidades de la Alta Gerencia y la Junta
Directiva en la Gestión del Riesgo. Se prepondera
la responsabilidad de asegurar la integración de la Gestión de Riesgos en la
organización a través de su liderazgo y compromiso.
Principales cambios del proceso
Gráfica tomada de la ISO 31000:2018
En
el proceso en la nueva versión los numerales del contexto, existe un cambio por
un título más holístico desde mi punto de vista, pues dice campo de aplicación,
contexto y criterios. Se
realizó una simplificación de textos toda vez que esta inmersos en el mismo
documento. En los ítems de identificación y en el de análisis se circunscribió
expresamente como factores a considerar: La parcialidad, asunciones, y
creencias de los que participan. Estas atribuciones se comunicarán a aquellos
que toman las decisiones. En
el ítem de evaluación aparece un elemento importante, pues se indica que la
evaluación debe ser validada con los niveles adecuados de la organización. Las
conclusiones más importantes que podemos tener en el proceso está asociada al Reporte
y Registro pues son la base del proceso de Gestión del Riesgo. En la versión
2018 se deja manifiesto que dentro de los factores a considerar cuando se hace
la identificación y el análisis de
riesgos están los seres humanos por su parcialidad, asunciones, juicios y
creencias.
Correspondencia
entre los principios, el marco de trabajo y el proceso de gestión del riesgo:
Gráfica tomada de la ISO /FDIS 31000
La
integración de la gestión de riesgos en una organización es un proceso dinámico
e iterativo, y debe ajustarse según las necesidades y la cultura de la empresa.
La gestión de riesgos debe ser pieza de, y no apartada de, el propósito
organizacional, el gobierno, el liderazgo y el compromiso, la estrategia, los
objetivos y las operaciones.
Referencias:
Icontec
memorias charla virtual octubre 26 de 2017
Nuevo
marco de gestión de riesgos para las organizaciones AENOR
Why
do I love ISO31000:2018? Alexei Sidorenko, CRMP
ISO/FDIS
31000
ISO
31000:2018
Saturday, January 13, 2018
LO QUE NOS ESPERA DE INSEGURIDAD EN 2018
Diofanor Rodríguez L
CPP, PCI, PSP
En Colombia, la paz con las FARC
fue firmada y se avanza en el proceso de implementación, sin duda con
beneficios, riesgos y deficiencias, sobre los cuales los colombianos aún no nos
ponemos de acuerdo.
Sin perjuicio de lo anterior, el
punto preocupante es que el Estado ha venido minimizado la importancia de
actores armados generadores de violencia, que han venido apoderándose de los
terrenos dejados por las Farc y construyendo su propia estela de violencia,
para mantener el control de dichas zonas.
Entre estos se encuentran las
disidencias de las FARC, sobre las que recae la gran duda de si son realmente
disidencias o son las mismas FARC, que continúan con su intimidación, a través
de extorsión y secuestro en las regiones estratégicas que están dominando.
Grupos como el Clan del Golfo, los Pelusos, la Constru, la Empresa y el ELN,
por nombrar algunos de los más conocidos, son los actores violentos a tener en
cuenta en los siguientes años en Colombia.
Después de la firma del acuerdo
de paz con las FARC, se han incrementado los grupos de GDO en las distintas
regiones del país. Así lo han venido evidenciando diferentes medios de
comunicación. En un artículo de Carcol.com, titulado los Herederos del Crimen, publicación
realizada el 27/06/2017, muestra como existe una clasificación de las bandas
delincuenciales en el país.
LAS BANDAS TIPO A
Son las que se conocen como las
GAO: El Clan del Golfo, con más de 800 integrantes, al mando de alias Otoniel,
y objetivo principal de las autoridades a través de la llamada operación
Agamenón. Los Rastrojos, aunque algunas autoridades aseguran que ya
desaparecieron, en los reportes de Fiscalía se calcula que tienen al menos 200
integrantes, al mando de alias Don César. El Ejército Popular de Liberación –
EPL, que estuvo fortalecido en la zona del Catatumbo, pero tras la muerte de su
máximo líder su cifra y participación en el crimen se redujo, al punto de que
sus integrantes se unieron a otras bandas, aunque en los últimos días ha
reaparecido con el uso del terror como medio para demostrar poder, como lo ha
hecho en el municipio de Corinto Cauca hasta donde han trasladado su accionar
terrorista en busca de fortalecer sus finanzas mediante el control del
narcotráfico.
TIPO B
Son por lo menos 50 grupos
criminales, entre ellos las llamadas GDO - Organizaciones Delincuenciales Organizadas.
Pero también hay un listado de bandas que recibieron a desmovilizados de los
paramilitares y la guerrilla; se dividen el país y las zonas de mayor
influencia por delitos.
En el Caribe: Los Pachenca, Clan
Marquitos, Los Giraldo, y Los Costeños. En el Llano: Los Sotos. En Putumayo: La
Constru. En Magdalena: Los Botalones. En Antioquia: Los Chatas, Pachelly, La
Unión, la Terraza, los Triana, San Pablo, Caicedo, La Sierra, San Javier,
Picacho, Robledo, Belén Rincón, Altavista y Trianón. En Amazonas: Los
Caqueteños. En Valle del Cauca: La Empresa. Y en el Eje Cafetero: Cordillera.
TIPO C
Son todos los grupos
delincuenciales que no superan 20 A 30 integrantes y su rango de criminal no
traspasa de ciertas localidades o barrios. En este caso, ni la Fiscalía ni la
Policía tienen datos exactos del número de grupos que delinquen en las
ciudades.
Disidencias de las FARC
La Fiscalía tiene identificados
al menos 16 grupos que se marginaron del proceso de paz. El frente primero de
las Farc, que es la disidencia más grande, bajo el mando de ‘Iván Mordisco’ y
‘Gentil Duarte’, tiene alrededor de 205 hombres que se ubicaron en los
municipios de Calamar, El Retorno y Miraflores (Guaviare), La Pradera
(Amazonas) y Taraira (Vaupés). Desde esas zonas estarían intentando controlar
las 7.102 hectáreas de hoja de coca que, según el Sistema Integrado de
Monitoreo de Cultivos Ilícitos (Simci), hay en esas regiones. De los frentes 7, 27 y 40 salieron alrededor
de 85 hombres que no se acogieron a los acuerdos de paz y que se ubicaron en
Puerto Concordia, Puerto Rico, La Macarena, El Castillo y Vista Hermosa, en el
Meta. Y otros 35 exguerrilleros que estaban en los frentes 3, 27 y 40 ahora
delinquen en Mesetas y Uribe, en ese mismo Departamento. En Caquetá, al menos
35 exguerrilleros del frente 14 se establecieron en Cartagena del Chairá,
Montañita y San Vicente del Caguán. Y en Tumaco (Nariño), una de las zonas con
mayor presencia de disidencias, hay al menos 11 grupos que vienen afectando la
seguridad ciudadana. Allí, el grupo más grande es la ‘Gente del Orden’,
proveniente de la columna ‘Daniel Aldana’ de las Farc y que tendría alrededor
de 40 hombres.
Sin embargo, hay otras
organizaciones más pequeñas que funcionan sectorialmente y que tienen menos de
20 hombres, tal como la banda los ‘Tapita de Huevo’, ‘los Negritos’, la ‘banda
de Marihuano’, y la ‘banda de Wacho’, señalada de presionar a la comunidad para
evitar la erradicación de cultivos ilegales.
EL ELN
La otra guerrilla en proceso de
paz, y aunque le apunta a un cese bilateral de hostilidades, no deja sus
actividades criminales ligadas a la extorsión, el secuestro y se investiga su
participación con el narcotráfico. Se calculan por lo menos 1.500 hombres en
filas, extendiendo sus actividades a las zonas que dejaron las FARC en el
camino del proceso de paz.
EL MRP – MOVIMIENTO
REVOLUCIONARIO POPULAR
Se trata de un grupo no mayor a
100 integrantes que simpatizan con el frente Domingo Laín del ELN y que tiene
injerencia en las ciudades Como Pereira, Cali, Medellín y Bogotá.
Análisis
Con toda esta variedad, y
seguramente sin considerar a otros grupos de delincuentes, el futuro de
Colombia en temas de seguridad, esta distante en tener esa anhelada Paz, que
tanto quiere el pueblo Colombiano desde hace más de seis décadas.
Mientras las políticas de estado mantengan
su alta benevolencia e impunidad frente a delitos como el narcotráfico, y
mientras los grupos sociales apoyados por grupos al margen de la ley continúen
ayudando al incremento de cultivos ilícitos, y siempre se estén viendo como víctimas,
cuando en realidad son victimarios, el tema de la seguridad en el país es cada
vez más complicado, con el gran riesgo de que el conflicto escale a las
ciudades.
Por otro lado, mientras el
narcotráfico siga siendo el caldo de cultivo que alimente a todos estos grupos,
los actos de violencia continuaran. El incremento de la inseguridad ciudadana
apenas comienza a quejarse de los hurtos, del asalto a residencias y
establecimientos comerciales, del fleteo, de los hurtos a carros de valores y
un gran etcétera de delitos que vemos a diario.
Este será un tema en alza con
elementos nuevos dentro del accionar de la delincuencia, que ya tiene incluso participación
de personal interno de las organizaciones, que han sido recibidos sin el
cumplimiento de los requisitos mínimos necesarios para el cumplimiento de su labor.
Incluso con “delitos de película”, donde queda claro que se ha modernizado el
modus operandi de la delincuencia.
El panorama venidero es complejo
frente a temas de seguridad ciudadana. Por ello, el hombre de seguridad deberá
anticipar cada una de las situaciones que se puedan presentar, y es aquí en
donde la administración del riesgo es importante, con la ayuda de prospectiva
estratégica, que contribuya de manera eficiente a la anticipación de
situaciones de crisis.
Referencias
Subscribe to:
Posts (Atom)
