Aranda SOFTWARE Connection

Aranda SOFTWARE participará los días 17 y 19 de abril en Quito y Guayaquil respectivamente, en los eventos “Seguridad de TI de Próxima Generación” organizados por GMS Ecuador; esta es la primera versión del evento que reúne a los principales proveedores de la industria de TI.

Cada evento contará con un foro de expertos internacionales líderes del sector de tecnologías de la información que presentarán simultáneamente en un mismo sitio las novedades en productos y servicios de la industria. Por parte de Aranda SOFTWARE, Angélica Guzmán ITIL Expert aportará toda su experticia y conocimiento en la conferencia Como implementar ITIL y no morir en el Intento dónde tocará puntos claves para evitar los errores más comunes y como lograr una aplicación práctica y efectiva de ITIL.

Acompáñenos!

QUITO:
Martes 17 de abril, Hotel Hilton Colón

GUAYAQUIL:
Jueves 19 de abril, Hotel Sheraton

Agenda

Título: Como implementar ITIL y no morir en el intento

Expositores: Angélica Guzmán, Gerente de Consultoría – Aranda Software

Horario: 10h00-10h45

Mayor info del evento: http://www.conferenciagms.com/

Por: Andrés Lamouroux S.

Hace poco tiempo, algunas personas que trabajan para un cliente nuestro me decían que no creían que su compañía o los negocios que esta hace, fueran objetivos para un ataque de seguridad que pudiera ser realizado por un delincuente cibernético (diferente a un ataque automatizado).

Esto lo escuchaba a pesar del hecho que esta empresa ya había sufrido incidentes de seguridad en dos ocasiones diferentes y de tal manera que se indicaba (sin indicio alguno) que estos habían sido causados por el mismo atacante. Y a pesar también que esta compañía se mueve en un campo que parece especialmente propicio para que se presente un desplome proverbio ya que casi todos los empleados que laboran allí hacen montones de dinero.

Uno podría pensar que la seguridad sería un problema de mayor prioridad para estas personas, pero al parecer el mensaje no ha sido captado plenamente por todas las partes.

Esto me ha hecho pensar sobre la seguridad del punto final (endpoint security) y lo increíblemente desconsiderada, y muchas veces subestimada, que es la seguridad en estas máquinas. En muchas empresas, los puntos finales son el grupo más grande de dispositivos en la red, y estas se encuentran adueñadas y son operadas por los usuarios de la empresa menos capacitados e ignorantes de la seguridad, sin embargo, la mayoría de las empresas consideran la protección de estos sistemas como una baja prioridad. "Sólo instala el antivirus, eso solucionará el problema!" se dicen entre ellos, y si tenemos suerte, ajustarán también las configuraciones del firewall.

Al mismo tiempo, el atacante simplemente se dedicará a atraer a los usuarios incautos a que accedan a un sitio web malicioso especialmente diseñado o enviará un correo masivo con un archivo PDF infectado. A pesar de haberles ya advertido a los usuarios miles de veces de no abrir archivos adjuntos de personas desconocidas de las que no se esperan esta clase de correos, ya sabemos que alguien terminará abriéndolos de algún modo.

Y es que en verdad, todo lo que se requiere es que un solo usuario deje a un lado las precauciones y permita que se active una puerta trasera en su red. También me gustaría señalar, ya que este pensamiento parece ser común, que ninguna configuración a nivel de políticas de grupo va a cambiar el resultado. Lo que se requiere en realidad es la concientización de los usuarios y de una protección adecuada en el punto final.

Teniendo en cuenta el punto anterior y observando la evolución del propósito que tienen las botnets de malware, queda claro que el cambio ya se encuentra financieramente motivado. Hace unos años, las botnets se utilizaban principalmente para realizar ataques de denegación de servicio (DDOS), pero desde entonces están han tomado un rumbo hacia la ganancia monetaria.

A partir de ataques DDOS básicos, las botnets se desplegaron para hacer dinero a través de programas de campaña publicitaria (click-advertisement) y de estudios de tendencias de navegación de los usuarios. Después de esto aparece el robo de información financiera, muchas veces conllevando al fraude de tarjetas de crédito y robo de identidad. En la actualidad estamos viendo el resurgimiento del ransomware, donde los datos del usuario son secuestrados hasta que el usuario paga una cierta cantidad antes de una fecha límite. Si no pagan, sus datos se pierden para siempre.

Los delincuentes involucrados (comúnmente delincuencia organizada) parecen estar refinando su estrategia. Donde alguna vez hicieron relativamente pequeñas sumas de dinero con una gran cantidad de sistemas, pretenden ahora obtener mayores ingresos por sistema adquirido. Esencialmente se dieron cuenta que hay un valor monetario por cada sistema del que se adueñan, y para ser más eficientes, están elevando el valor por sistema para maximizar las ganancias.

Esta idea rondó en mi cabeza durante un tiempo: ¿Qué haría yo para hacer más dinero? Si la idea es obtener el máximo de dinero por cada sistema, entonces debería buscar los sistemas que tienen mayor potencial para permitir el robo de dinero. Para mí, estaría descartado el sistema que es usado por el usuario promedio de Internet. Tendríamos que tener mucha suerte para tropezar con un objetivo rico y desprevenido, solo que de esos no hay muchos. Además, ¿cómo podríamos saber si nuestro objetivo es realmente rico?

La respuesta era simple: las empresas. Las empresas suelen tener más dinero que un usuario promedio de Internet y las formas de explotarlas son múltiples: extorsión, el robo de información, espionaje empresarial, fraude de tarjetas de crédito, en fin. Hay otra ventaja en este enfoque: la mayoría de las empresas despliegan sus estaciones de trabajo a través del uso de imágenes clonadas.

Eso muchas veces significa que si una estación de trabajo es vulnerable a un ataque determinado, es muy probable que las demás estaciones de trabajo en la red también lo sean. Más objetivos significan más posibilidades de acceso a la información que me gustaría obtener si yo fuera el atacante. Además, en la mayoría de los casos los usuarios de dichos puestos de trabajo se encuentran mucho menos motivados para ser precavidos en lo que a seguridad se refiere, ya que no estamos hablando de su computadora o de su dinero.

Siguiendo esta lógica, el futuro de la seguridad corporativa se ve sombrío. Las estaciones de trabajo son un objetivo mucho más tentador que lo que pueden ser los servidores o los switches de red, son más fáciles de vulnerar y hay muchos más recursos almacenados en estas. Los administradores tienen que ser conscientes que los atacantes (reales y automatizados) no atacarán el escudo que mantienen, sino que irán tras el objetivo detrás de ese escudo de cualquier forma posible. Esto significa que la metodología “duro por fuera / blando por dentro” utilizada para el aseguramiento de una red, está muerta, y de hecho lo ha estado desde hace mucho tiempo.

La protección del punto final seguirá siendo el nombre del juego, y lo que los fabricantes de software antivirus están haciendo actualmente no está funcionando. Es un enfoque fallido, algo que es cada vez más evidente con cada nuevo reporte que aparece sobre un incidente de seguridad importante. Un cambio debe hacerse antes de que la delincuencia organizada se dé cuenta de su verdadero potencial.

Por: Andréz Lamouroux S.

Los negocios dependen de sistemas conformados por diferentes elementos que hacen parte de su infraestructura IT para competir de forma efectiva. Todos estos sistemas deben permanecer en un estado “saludable” para que las operaciones de la organización se realicen de forma eficiente. En el ambiente IT actual, los recursos informáticos de muchos fabricantes son frecuentemente utilizados para abordar muchos requerimientos. Si algunos de estos recursos fallan inesperadamente, los efectos negativos pueden ser severos.

Una estimación conservadora de Gartner indica que el costo promedio del tiempo de interrupciones para una red de computadores es de USD $42.000 por hora. Gartner también estima que las empresas suelen experimentar un total de 87 horas de tiempo de interrupciones al año. Una empresa que experimente más de 175 horas al año en interrupciones podría ahorrar hasta 3,6 millones de dólares anualmente mediante la implementación exitosa de tecnologías de monitoreo para reducir el tiempo de inactividad al promedio de las 87 horas.

Con la creciente complejidad y cantidad de equipos de cómputo y software, monitorear el estado de salud de estos sistemas ya no es posible hacerlo manualmente. Específicamente, el software de monitoreo debe ser utilizado continuamente para ejecutar pruebas que aseguren que todos los elementos de la infraestructura IT funcionen apropiadamente.

Gartner señala que cuando los sistemas críticos fallan, las empresas pagan muy caro en términos de productividad, sufren daños en su reputación y se afectan sus rendimientos financieros.

Cuando las fallas ocurren, minimizar la interrupción causada es crucial para limitar el impacto en los procesos del negocio. Si un sitio web corporativo, disponible las 24 horas al día, 7 días a la semana, se ve interrumpido, la compañía pierde una valiosa vía de ventas, contactos, esfuerzos de marketing, y desarrollo de nuevos negocios. Por lo regular, estas pérdidas son difíciles de cuantificar.

Las fallas en los sistemas también pueden cortar importantes líneas de comunicación corporativa, las interrupciones frecuentes en los servicios de IT causan a la cultura corporativa pérdida de confianza en estos servicios y sistemas de alta eficiencia, minimizando el retorno de su inversión.

Las empresas que desean asumir el reto de mantener su infraestructura IT operacional disponibles 24×7 deben considerar los siguientes requerimientos al invertir en tecnologías de monitoreo que les ayuden a mantener en funcionamiento permanentemente:

Vistas de usuario final en tiempo real

El conocimiento en tiempo real de los estados de los elementos administrados desde la perspectiva del usuario final puede alcanzarse mediante el monitoreo de puntos de verificación sobre indicadores generados por la operación o funcionamiento de los sistemas monitoreados. Esto permitirá medir y ajustar el desempeño de los recursos y asegurar que los objetivos de productividad e ingresos se cumplan.

Capacidad de detectar problemas antes de que impacten la infraestructura IT

La vigilancia de las fallas, condiciones de errores, y umbrales de tiempos de respuesta deben ser configurados de forma individual para cada uno de los elementos administrados. Disponer de la flexibilidad al establecer umbrales con diferentes niveles de sensibilidad, permite al administrador mantener un ojo cerrado en áreas críticas y recibir alertas tempranas sobre condiciones de fallas potenciales, antes de que los usuarios de estos sistemas empiecen a llamar a la mesa de ayuda o al departamento de soporte IT.

Alertas inmediatas sobre fallas e información detallada para identificar rápidamente las causas raíz y mejorar los tiempos de respuesta y resolución.

Las alertas deben incluir información detallada y configurable sobre las condiciones que causan las alertas, incluyendo los códigos de error devueltos por el elemento administrado, mensajes de excepción, entradas de logs, y rutas de traza para identificar la localización exacta del elemento que dispara la alerta. Lo ideal es que el producto de monitoreo proporcione la capacidad de ejecutar comandos o tareas para diagnosticar o resolver problemas tales como reiniciar un proceso o servicio, lanzar un ejecutable, etc.; lo cual ahorra tiempo a la hora de resolver un caso y disminuir el impacto de la falla.

Capacidad de funcionar en ambientes e infraestructuras complejas.

En infraestructuras pequeñas que no contienen demasiados elementos críticos para el funcionamiento del negocio, el monitoreo simple de los servicios puede proporcionar una defensa adecuada contra la problemática que afecta la disponibilidad. Sin embargo, en infraestructuras mucho más grandes y heterogéneas, cada elemento administrado debe ser monitoreado haciendo uso de los protocolos estándar en la industria, apropiados para cada dispositivo, servicio o aplicación. Por ejemplo, a los servidores no solo se les debe monitorear variables tales como el consumo de procesador, el uso de disco duro, o las estadísticas de consumo de memoria, sino también ocurrencias específicas de errores y problemas potenciales que pueden surgir en la ejecución de los procesos o de los servicios y en los registros de eventos.

Las herramientas avanzadas de monitoreo toman ventaja de los comandos SNMP (Simple Network Management Protocol) para monitorear profundamente dentro de la infraestructura IT. Las bases de datos deben ser monitoreadas con el fin de asegurar que acepten conexiones, ejecuten las consultas y devuelvan los resultados esperados. Finalmente, el servidor web debe ser monitoreado para obtener una vista acumulativa de la disponibilidad y del tiempo de actividad del servicio.

Visibilidad de redes e infraestructuras no controladas.

Muchos fabricantes ofrecen herramientas basadas en agentes que requieren la instalación de agentes en los dispositivos administrados (servidores, estaciones de trabajo, laptops, etc.). Estos agentes recolectan y envían información del desempeño a un servidor de monitoreo central. Sin embargo, la instalación de agentes en dispositivos que no están bajo el control de TI puede ser un inconveniente. Adicionalmente, estos agentes requieren de cierto mantenimiento, lo cual agrega complejidad al despliegue y a la gestión posterior de la solución de monitoreo.

Las soluciones que no requieren de agentes y que utilizan protocolos estándar para conectarse directamente, consultar, publicar o simular de alguna manera la actividad del usuario y las estadísticas de desempeño, son transparentes para la infraestructura de soporte y proveen mediciones precisas, sin agregar sobrecargas o mantenimientos adicionales.

Flexibilidad para implementar rápidamente nuevos elementos de monitoreo a medida que cambian las prioridades del negocio.

Nada en los negocios se encuentra exento al cambio. Las nuevas aplicaciones y su correspondiente infraestructura deben ser incluidas en el sistema tan rápidamente como las prioridades del negocio cambien y por consiguiente demanden el monitoreo de un nuevo sistema o dispositivo. Por lo tanto, la flexibilidad para interactuar directamente con la consola de administración para agregar, cambiar o suspender fácilmente el monitoreo de un elemento es críticamente importante. Adicionalmente, la capacidad de cambiar el estado del monitoreo del recurso en tiempo real, ayuda a preservar la precisión de los reportes de los Acuerdos de Niveles del Servicio (SLA) y de las estadísticas de disponibilidad.

Fácil implementación sin una curva de aprendizaje empinada.

La implementación de una solución de monitoreo no debería tomar semanas de ajuste y soporte técnico del fabricante. La configuración de los monitores para un sistema o servicio debe ser facilitada con mecanismos de fácil uso para el administrador. Adicionalmente, las soluciones avanzadas de monitoreo deben proporcionar una interfaz de usuario intuitiva y familiar y requerir de poco entrenamiento formal.

Reportes amigables de tendencias de desempeño, estadísticas de fallas y cumplimiento de SLAs.

La herramienta de monitoreo ideal produce informes útiles que muestran tendencias históricas y en tiempo real de los desempeños, caídas del servicio, brechas en el cumplimiento del SLA y otra información en un conjunto de reportes con detalles técnicos y al mismo tiempo amigables al administrador

ROI inmediato en la inversión en software de monitoreo.

Las “Soluciones de Monitoreo Empresarial” pueden tener costos de hasta USD $50.000 y tomar semanas de trabajo en su implementación, ubicándolas fuera de alcance para la pequeña y mediana empresa. Los fabricantes de las herramientas más avanzadas en monitoreo ofrecen soluciones que abarcan las funcionalidades descritas anteriormente por una fracción del costo y del esfuerzo requerido por otras herramientas tradicionales.

Por Andrés Lamouroux

En pocas semanas estaremos realizando el lanzamiento de la versión 5.2 de nuestra solución de protección para puntos finales Aranda 360 ENDPOINT SECURITY.

La encripción total del disco duro (Full-Disk Encryption) será una nueva funcionalidad que complementa la tecnología ya existente de encripción a nivel de archivos y directorios. Aquí explicaré por qué ésta es una innovación en el mercado y cómo pretende abordar esta tecnología las necesidades reales del mismo.

A finales de 2007, el mercado de soluciones de encripción había experimentado grandes cambios. Muchos casos sobre pérdidas y/o robos de información han venido siendo publicados repetidamente en las primeras páginas de los medios y los proveedores de seguridad han comenzado a incorporar tecnologías de encripción en sus productos: Symantec compró Vontu y, McAfee adquirió SafeBoot; estos son dos de los ejemplos más notables.

Read the rest of this post »