ZEN Y EL ARTE DE LA

SEGURIDAD DE LA
INFORMACIÓN
Syngress se compromete a publicar libros de alta calidad para profesionales de TI y a
entregar esos libros en medios y formatos que satisfagan las demandas de nuestros
clientes. También nos comprometemos a extender la utilidad del libro que compra a través
de materiales adicionales disponibles en nuestro sitio web. SITIO WEB DE SOLUTIONS
Para registrar su libro, visite www.syngress.com/solutions. Una vez registrado, puede
acceder a nuestras páginas web de [email protected]. Allí puede encontrar una
variedad de características de valor agregado como libros electrónicos gratuitos
relacionados con el tema de este libro, direcciones URL de sitios web relacionados,
preguntas frecuentes del libro, correcciones y cualquier actualización de los autores.
ULTIMATE CDs Nuestra línea de productos Ultimate CD ofrece a nuestros lectores
compilaciones de algunos de nuestros títulos más vendidos en formato Adobe PDF. Estos
CD son la manera perfecta de extender su biblioteca de referencia sobre temas clave
relacionados con su área de especialización, incluyendo Cisco Engineering, Microsoft
Windows System Administration, CyberCrime Investigation, Open Source Security y
Firewall Con fi guration, por nombrar algunos. LIBROS ELECTRÓNICOS DESCARGABLES
Para los lectores que no pueden esperar la copia impresa, ofrecemos la mayoría de nuestros
títulos en formato Adobe PDF descargable. Estos libros electrónicos a menudo están
disponibles semanas antes de las copias impresas, y tienen un precio asequible. OUTLET DE
SYNGRESS Nuestra tienda outlet en syngress.com presenta libros con exceso de
existencias, agotados o ligeramente dañados con ahorros significativos. LICENCIA DE
SITIO Syngress cuenta con un programa bien establecido para otorgar licencias de sitio a
nuestros libros electrónicos en servidores de corporaciones, instituciones educativas y
grandes organizaciones. Contáctenos en [email protected] para más información.
PUBLICACIÓN PERSONALIZADA Muchas organizaciones agradecen la capacidad de
combinar partes de múltiples libros de Syngress, así como su propio contenido, en un solo
volumen para su propio uso interno. Contáctenos en [email protected] para más
información.

Autor
Ira Winkler, CISSP es Presidente del Grupo de Asesores de Seguridad de Internet. Es
considerado uno de los profesionales de seguridad más influyentes del mundo, y ha sido
nombrado "Moderno James Bond" por los medios. Obtuvo este estado identificando
tendencias comunes en la forma en que se comprometen la información y los sistemas
informáticos. Lo hizo realizando pruebas de penetración y simulaciones de espionaje, donde
física y técnicamente "irrumpió" en algunas de las empresas más grandes del mundo e
investigó crímenes contra ellos, y diciéndoles cómo proteger de manera rentable su
información y su infraestructura informática. Continúa realizando estas pruebas de
penetración, además de ayudar a las organizaciones a desarrollar programas de seguridad
rentables. Ira también ganó el premio Salón de la Fama de la Asociación de Seguridad de
Sistemas de Información. . Ira también es autor del libro fascinante, entretenido y
educativo Spies Among Us. También es colaborador habitual de ComputerWorld.com. El Sr.
Winkler comenzó su carrera en la Agencia de Seguridad Nacional, donde se desempeñó
como Analista de Inteligencia y Sistemas Informáticos. Pasó a apoyar a otras agencias
militares y de inteligencia del gobierno de los EE. UU. Y del extranjero. Después de dejar
el servicio gubernamental, se convirtió en Presidente del Grupo de Asesores de Seguridad
de Internet y Director de Tecnología de la Asociación Nacional de Seguridad Informática.
También se graduó y Facultades de pregrado de la Universidad Johns Hopkins y la
Universidad de Maryland.

El Sr. Winkler también ha escrito el libro Corporate Espionage, que ha sido descrito como
la biblia del campo de la seguridad de la información, y el best seller Through the Eyes of
the Enemy. Ambos libros abordan las amenazas que enfrentan las empresas para proteger
su información. También ha escrito más de 100 artículos profesionales y comerciales. Ha
aparecido y aparece frecuentemente en televisión en todos los continentes. También ha
aparecido en revistas y periódicos, incluidos Forbes, USA Today, Wall Street Journal, San
Francisco Chronicle, Washington Post, Planet Internet y Business 2.0. Visite
www.irawinkler.com para obtener más información sobre el Sr. Winkler y su trabajo.

Contenido
Introducción
¿Por qué no debería comprar este libro? . . . . . . . . . . . 1
Capítulo 1
Zen y el arte de la ciberseguridad. . . . . . . . . . . . . 7
Filosofía de la seguridad. . . . . . . . . . . . . . . . . . . . .13
Capítulo 2
Por qué no me gusta el título de este libro. . . . . . . 15
Lo que hace que un científico. . . . . . . . . . . . . . . . . . . . .16
Por qué algunas personas son mejores científicos. . . . . . . . .18
Poniéndolo todo junto. . . . . . . . . . . . . . . . . . . . . .22
Aplicando la Ciencia. . . . . . . . . . . . . . . . . . . . . . . . .23
Capítulo 3
¿Qué es seguridad? . . . . . . . . . . . . . . . . . . . . . . . . . 25
Riesgo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26
Valor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27
Amenaza. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
Vulnerabilidad. . . . . . . . . . . . . . . . . . . . . . . . . . .31
Contramedidas. . . . . . . . . . . . . . . . . . . . . . .34
Realmente no puedes contrarrestar la amenaza. . . . . . . . . . .35
 ¿Qué es un programa de seguridad? . . . . . . . . . . . . . . . . .36
Optimizar el riesgo. . . . . . . . . . . . . . . . . . . . . . . . . .37
Conscientemente Acepte el Riesgo. . . . . . . . . . . . . . . . . . . .41
Capítulo 4
Una mala pregunta. . . . . . . . . . . . . . . . . . . . . . . . . . . 43
El valor no tiene nada que ver con las computadoras. . . . . . .45
Un presupuesto de seguridad típico. . . . . . . . . . . . . . . . . . .46
Determinar un presupuesto de seguridad. . . . . . . . . . . . . . .47
Presupuestos multianuales. . . . . . . . . . . . . . . . . . . . . . . . .48
Recuérdele al CIO que I significa Información. . . . . .48
Hacer del riesgo una decisión consciente. . . . . . . . . . . .49
Capítulo 5
Qué hace un maestro. . . . . . . . . . . . . . . . . . . . . 51
Dominando la seguridad informática. . . . . . . . . . . . . . . .54
Aprovechando los problemas incorporados en el software. . . . . . . . . . .55
¿Cómo se encuentran estos errores? . . . . . . . . . . . .58
Reparación de vulnerabilidades de seguridad del software. . . . .59
Aprovechamiento de cómo se configura o se mantiene la computadora. . . . . .
.59
Prevención de vulnerabilidades de configuración. . . . . . .61
¿Se puede dominar la seguridad de la información? . . . . . . .62
Capítulo 6
Caballeros y dragones. . . . . . . . . . . . . . . . . . . . . . 63
El factor FUD. . . . . . . . . . . . . . . . . . . . . . . . . .65
Los dragones perdonan la incompetencia. . . . . . . . . . . . . . .66
¿Qué pasa si no eres un caballero? . . . . . . . . . . . . . .67
Los terroristas realmente no son tan buenos. . . . . . . . . . . . .67
La gente de la que realmente debe preocuparse. . . .69
genios de la informática real. . . . . . . . . . . . . . . . .69
Profesionales. . . . . . . . . . . . . . . . . . . . . . . . . . .70
Oportunistas. . . . . . . . . . . . . . . . . . . . . . . . . .71
Script Kiddies. . . . . . . . . . . . . . . . . . . . . . . . . .71
Busca serpientes, no dragones. . . . . . . . . . . . . . . .72
No sufras la muerte por 1,000 cortes. . . . . . . . . . . . .72
Capítulo 7
El ciberterrorismo no es efectivo. . . . . . . . . . . . . . 75
ántrax vs. nimda. . . . . . . . . . . . . . . . . . . . . . . .77
Es más fácil explotar las cosas. . . . . . . . . . . . . . . .78
¿Qué es un terrorista? . . . . . . . . . . . . . . . . . . . . . . . .79
Capítulo 8
Sentido común y conocimiento común. . . . . 81
Deseo de beneficio sin los costos asociados. . . .83
Algunas personas son simplemente estúpidas. . . . . . . . . . . . . . . . .85
El mago de Oz. . . . . . . . . . . . . . . . . . . . . . . . .87
Capítulo 9
Nunca subestimes la estupidez de un criminal. . . . . . . . . . . . . . . . . 91
Hay una diferencia entre ser bueno y ser efectivo. . . . . . . . . . . . . .98
Comprender a su adversario. . . . . . . . . . . . . . . .99
Insiders. . . . . . . . . . . . . . . . . . . . . . . . . . . . .100
MICE. . . . . . . . . . . . . . . . . . . . . . . . . . . .101
 Competidores. . . . . . . . . . . . . . . . . . . . . . . . . .102
Agencias de inteligencia extranjeras. . . . . . . . . . . . .103
Criminales organizados. . . . . . . . . . . . . . . . . . . .103
criminales. . . . . . . . . . . . . . . . . . . . . . . . . . . .104
Ciberdelincuentes. . . . . . . . . . . . . . . . . . . . . . . .104
Script Kiddies. . . . . . . . . . . . . . . . . . . . . . . . .105
La mentalidad criminal. . . . . . . . . . . . . . . . . . . . .106
Contratación de hackers. . . . . . . . . . . . . . . . . . . . . . . .107
Tus hijos son inteligentes a medida que piensas. . . . . . . .109
Capítulo 10
Seguridad de la información es seguridad de la información. . . . . . . . . . . . . . . . . 111
Capítulo 11
¿La seguridad es un deber o un deber? . . . . . . . . . . . . 115
La gerencia debe creer que la seguridad es imprescindible. . . .119
Entonces, ¿la seguridad es un deber o un deber para usted? . . . . .120
Capítulo 12
Si no recuerda la historia, la repetirá. . . . . . . . . . . . . . . . . . . . . . . . 123
Capítulo 13
Reglas de Oro de Ira. . . . . . . . . . . . . . . . . . . . . . . . 129
Toma la responsabilidad. . . . . . . . . . . . . . . . . . . . . . .130
Decide la seguridad es un deber. . . . . . . . . . . . . . . . . .131
Edúcate a ti mismo. . . . . . . . . . . . . . . . . . . . . . . . .132
Recuerde, usted está protegiendo la información. . . . .132
Protección de su computadora. . . . . . . . . . . . . . . . . .133
Uso y renovación de software antivirus. . . . . . . .133
Usar y renovar cortafuegos personales. . . . . . . . .134
Usar y renovar antispyware. . . . . . . . . . . .135
Ejecutar copias de seguridad semanales. . . . . . . . . . . . . . . . . . .136
Use fuentes de alimentación ininterrumpida. . . . . . . .136
Nota sobre el software de seguridad. . . . . . . . . . . . . . . . .137
La Regla 95/5. . . . . . . . . . . . . . . . . . . . . . . . . .138
Capítulo 14
La suerte favorece al preparado. . . . . . . . . . . . . . . 139
Seguridad omnipresente. . . . . . . . . . . . . . . . . . . . . .140
El propósito de este libro. . . . . . . . . . . . . . . . . .141
La tecnología sigue siendo importante. . . . . . . . . . . . . . . .142
La seguridad es realmente gestión de riesgos. . . . . . . . . .142
Sé responsable. . . . . . . . . . . . . . . . . . . . . . . . . .143
Apéndice A
Momentos críticos en el historial de seguridad informática. . . . . .. . . . . . . 145
Índice. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
 INTRODUCCION
Por qué no deberías comprar
este libro
Este libro es esencialmente una de las presentaciones mejor recibidas y revisadas que he
dado en todo el mundo. He entregado la presentación a embajadores en las Naciones
Unidas, empresarios de todo el mundo, académicos de la Universidad de Oxford y algunos
grupos de profesionales de la seguridad. De nuevo, es internacionalmente muy bien
recibido. Luego me di cuenta de que en realidad no hay libros concisos que describan la
seguridad de una audiencia del mundo real, y comencé a mover la presentación al formato
de libro. El nuevo formato me permite ampliar algunos de los conceptos y entregarlos de
manera consistente a un público más amplio. Sin embargo, es esencialmente un conjunto de
temas de seguridad críticos que generalmente no fluyen juntos. El vínculo común es que son
muy críticos y básicos. temas de segurida d que a menudo se pasan por alto o se ignoran.
Sin embargo, cuando lo piensas, es una ignorancia de los principios básicos de seguridad que
permite ataques importantes contra computadoras e información en general. Con esto en
mente, quiero decir que si está buscando un libro sobre la filosofía Zen o las religiones
orientales, no compre este libro. Se supone que el título implica filosofía de seguridad, no
filosofías religiosas. Como he escrito y dado conferencias durante más de una década, la
buena seguridad es un buen proceso o un conjunto de buenos procesos, no una tecnología. Si
las personas saben cómo abordar la seguridad desde la perspectiva del proceso, las
tecnologías son irrelevantes. Más importante aún, la gran seguridad es tener una gran
seguridad filosofía. Tener una filosofía de seguridad significa que sus procesos de
seguridad estarán bien pensados y, lo que es más importante, realistas. Si desea aprender
cómo simplificar los procesos de seguridad y no sentirse abrumado por la plétora de
amenazas maliciosas que siempre lee, este es el libro correcto para ti. Zen y el arte de la
seguridad de la información tiene la intención de ser único. Sin embargo, este libro no será
para todo el mundo. No pretendo que haya muchas revisiones de este libro, ya que el
contenido no es específico de la tecnología actual, y será relevante durante mucho tiempo
por venir. Estaba leyendo una reseña de mi libro, Spies Among Us, en Amazon.com y vi un
comentario que pretendía ser negativo sobre la libro, diciendo que el libro no era muy
diferente de uno de mis libros anteriores, Corporate Espionage, que escribí ocho años
antes. Si bien la implicación prevista fue negativa, pensé que era un gran cumplido. La razón
por la cual la revisión es un cumplido es que implica que el contenido es intemporal. El
revisor nunca dijo que no era un libro relevante, solo que había relativamente poco nuevo
desde mi primer libro. Es cierto que Spies Among Us es esencialmente una actualización,
con un nuevo título, de Corporate Espionage. Aunque un libro sobre seguridad de Vista
puede ser crítico cuando se lanza este libro inicialmente, ocho años después del
lanzamiento del libro de Vista no valdrá nada, mientras que este libro seguirá siendo tan
valioso como el día en que fue lanzado. Muchos lectores en ese momento ni siquiera sabrán
qué es Vista. Este libro, al igual que Spies Among Us y Corporate Espionage, pretende ser
intemporal tanto como sea posible. Mientras las tecnologías vayan y vengan, el las filosofías
que se utilizan para implementar buenos programas de seguridad son intemporales.
Entonces, si usted es como el crítico con visión de túnel y está buscando un libro que
analice la seguridad de la última tecnología, no compre este libro. Por otro lado, si está
buscando un libro que describa cómo abordar la seguridad en formas únicas y atemporales,
debes comprar el libro. Sin embargo, recomiendo totalmente que, si necesita conocer
algunas tecnologías específicas, debe comprar libros que cubran esas tecnologías. Este
libro explica cómo tomar mejor esa información y aplicarla en la configuración del mundo
real. De manera similar, si está buscando un libro que presente discusiones complicadas
sobre los últimos problemas de seguridad, no compre este libro.

En mi opinión, las discusiones complicadas pueden plantear algunos problemas interesantes,

pero rara vez podrá implementar el material. Más importante aún, no le ayuda a tomar
información que pueda considerar valiosa, y le permite transferir fácilmente el
conocimiento a otros que pueden o no ser tan técnicamente inclinados como usted. Este
libro simplifica los temas más complicados hasta sus principios fundamentales. Es una de
mis esperanzas para este libro que las personas de seguridad se sientan cómodas dándole la
mayor cantidad posible de personas en sus organizaciones, lo que no pueden hacer a menos
que se expliquen los conceptos. de manera sucinta, clara, y utilizando el lenguaje que
entiende la persona promedio. Si crees que el tamaño de un libro indica su valor, no compres
este libro. Obviamente, el libro es "delgado", y en realidad está destinado a ser de esa
manera (para disgusto de mi editor que cree que podría cobrar más por un libro más
grande). Cada capítulo tiene la intención de dejarlo con un mensaje claro. Cuanto más
conciso sea el capítulo y más centrado esté el contenido, más podrá comprender y
comenzar a aplicar los puntos clave de este libro. Si no le gustan las analogías,
definitivamente no compre este libro. Personalmente creo que la seguridad informática ha
estado plagada de gente que piensa que las computadoras son un producto revolucionario
que tiene problemas completamente únicos. Hay muchas lecciones que aprender de cada uno
de nosotros. experiencias cotidianas que se pueden aplicar directamente a la seguridad
informática y de la información. Estamos rodeados de tantas otras tecnologías complejas
pero omnipresentes, sin embargo, los profesionales de la informática han hecho un trabajo
extremadamente pobre al señalar esto a los demás. Este libro hace un uso muy amplio de
las analogías para ayudar a las personas a superar su miedo a lo que creo que son simples
amenazas, pero que la persona promedio cree que es una entidad súper malvada que no se
puede detener.

Normalmente diría que si usted está familiarizado conmigo y no le gustan mis libros o
escritos anteriores, no compre este libro. Sin embargo, me he dado cuenta de que las
personas que más me disgustan son mis lectores más leales. Aunque personalmente no me
gustaría dedicar mi tiempo a cosas que no me gustan o que de otra manera me molestan,
muchas personas devorarán lo que escribo. , pasando días de su tiempo tratando de
encontrar cualquier error, debilidad o cualquier información que pueda sacarse de
contexto. Estas personas analizarán cada palabra en detalle para tratar de buscar algo que
puedan tratar de desacreditar o desacreditar. Así que a esas personas, mis lectores más
leales, les digo sinceramente: "Gracias", y espero que encuentren algún deleite para
encontrar cualquier problema que hagan. (Lo siento muchachos. La falta de ortografía es
intencional para su beneficio). Lo segundo que diría para usted es, "consiga una vida".
Realmente quiero que todos los lectores disfruten al leer este libro, y luego aprender de él.
Y lo más importante, ayudarlo a enseñar a otros este material. Sin embargo, eso también
significa que no lo hago. Quiero que los lectores entren con la idea de que este libro es una
enciclopedia de seguridad. Considerando el recuento de páginas, realmente espero que
nadie piense eso. El hecho es que este libro intenta abordar las filosofías de implementar la
seguridad y hacerlo omnipresente para los negocios y la vida. Esto hace que el libro sea
independiente de las tecnologías específicas. Es cierto que este libro es pequeño en lo que
respecta al recuento de páginas, pero puede ser enorme para ayudarlo a comprender la
verdadera naturaleza de hacer de la seguridad una parte de sus actividades diarias. Sin
embargo, no es todo para todas las personas. Aunque definitivamente, si acerque este libro
con las expectativas correctas, puede ser uno de los libros más valiosos que leerá sobre el
tema.

CAPITULO 1
Zen y el arte de la Ciber-
seguridad
Estaba en una llamada telefónica que evité durante semanas. Estábamos planeando cómo
robar $ 1, 000, 000, 000, y para mí esta llamada de planificación en particular fue más que
una molestia. El instigador de la llamada es uno de los hackers más talentosos que he
conocido. Francamente, calificaría sus habilidades técnicas como una de las mejores del
mundo. Sin embargo, estaba haciendo un montón de preguntas sobre el robo pendiente del
que ni siquiera valía la pena hablar. Temas como el calendario para las fases específicas del
robo. , los hoteles donde alojarse y muchos otros estuvieron bien establecidos durante
llamadas y correos electrónicos anteriores. Sin embargo, estaba haciendo los movimientos
para que pareciera que la pregunta más importante para él era solo una ocurrencia tardía.
Después de unos molestos minutos, hizo la pregunta que claramente sabía de la respuesta,
pero tuvo que seguir las preguntas de su verdadera pregunta. "¿Quién está haciendo la
ingeniería social?", Preguntó con un tono deliberadamente ingenuo en su voz. . Para el lector
no expuesto, la ingeniería social es el término piramidal para realizar ataques no técnicos.
Para la mayoría de los piratas informáticos, estos ataques son típicamente llamadas
pretexto donde el pirata informático pretende ser alguien que engaña a una persona
desprevenida para obtener acceso al pirata informático. a una computadora. A veces, la
ingeniería social se refiere a ir a las oficinas y buscar información sobre los sistemas
informáticos, como las contraseñas pegadas a los monitores. Esa es la visión ingenua, en mi
opinión, de lo que es la ingeniería social. "Voy a ser yo, Stew y Stan", respondí de hecho,
pero en un tono que no dejaba lugar a dudas. "¿Para qué los necesitamos?", Respondió en un
tono irritado. "Bueno, obviamente soy claramente la persona para dirigir el trabajo. Stew
es un ex SEAL de la Marina que se especializó en infiltrar posiciones enemigas para colocar
explosivos. Stan es un ex coronel de GRU, que fue uno de sus principales maestros de
espionaje y consiguió que la gente traicionara su país bajo pena de muerte", respondí en lo
que pensé que debería ser una respuesta definitiva. Luego, mi amigo técnico trató de saltar
metafóricamente sobre mi declaración. "Mire, sé cómo buscar las puertas desbloqueadas y
buscar los papeles adhesivos con contraseñas pegadas a los monitores. No necesitamos
traer a ningún extraño". Tengo que admitir que estaba estupefacto. Esto no fue porque él
contrarrestó mi argumento tan inteligentemente, sino porque tuve lo que era una epifanía, a
falta de un término mejor. Lo único que pasó por mi mente fue: "Dios mío". ni siquiera sabes
lo que no sabes. "Una vez más, esta era una persona a la que consideraba uno de los mejores
hackers del mundo, y con quien esperaría saber la diferencia entre la ingeniería social
genérica, la forma en que un pequeño script Kiddie lo realizaría, y la ingeniería social
profesional, que para todos los términos prácticos es provocación humana, akaspying.
Esperaría que esta persona se diera cuenta de que los SEAL de la Marina se someten a lo
que podría decirse que es el entrenamiento más difícil del mundo porque tienen que
completar las misiones más duras. en el mundo. Muchas personas No saben que las
operaciones de espionaje que las personas creen que realizaría James Bond suelen ser
realizadas por las Fuerzas de Operaciones Especiales. Del mismo modo, un espía real, como
un agente de GRU, completa años de entrenamiento manipulando personas para hacer que
cometan actos que están en contra de todo lo que aprecian. Va mucho más allá de solo pedir
una contraseña, que frecuentemente es la palabra "contraseña" sí mismo. Para un espía real,
pedir una contraseña y verificar las puertas para ver si están bloqueadas es hora de
aficionados. Por un tiempo, traté de explicar cómo estas personas tienen años de
entrenamiento especial que los hace calificados de manera única. Sin embargo, la ingeniería
social puede ser la tarea más divertida de cualquier penetración. Más importante aún, se
convirtió en una cuestión de orgullo para mi amigo hacker.

Nada iba a cambiar su mente. Afortunadamente, cuando escribí el plan de focalización para
el trabajo, puse la frase "agentes de inteligencia entrenados". Esto hizo que cualquier otro
argumento fuera discutible ya que el hacker definitivamente no asistió a ningún
entrenamiento de una agencia de inteligencia. . Como los eventos lo tendrían, Stan, el espía
ruso, terminó identificando una posible operación de inteligencia china que operaba al otro
lado de la calle desde la compañía a la que apuntamos. Stan entró en un restaurante chino y
notó un menú escrito en chino. Leyó el menú y notó que había delicias chinas en el menú.
"Ira, hay Black Duck Eggs en el menú", fue la declaración confusa de Stan. "Stan, ¿qué
demonios te estamos pagando? No es para enfermarme, "respondí. Stan se rió y dijo: "Oh,
mi amigo estadounidense sencillo. Los huevos de pato negro son un manjar en China. No
puedo conseguir huevos de pato negro en San Francisco, y mucho menos este pequeño
pedazo de basura en el medio de la nada. Y por cierto, son más baratos aquí que en las
calles de Pekín ". Luego comenzó a hacer clic. Los agentes de inteligencia chinos trabajan
principalmente reclutando personas de ascendencia china. Para encontrar tantas personas
potenciales para reclutar como sea posible, crean situaciones sociales. donde los chinos
querrían reunirse. Un restaurante, directamente enfrente de la sede de una compañía
global extremadamente grande, que sirve delicias caseras que no se pueden encontrar a
miles de kilómetros, es la situación perfecta para encontrar personas con acceso a la
compañía y también puede ser más comprensivo con China que con la compañía. Los oficiales
de inteligencia se mezclan con los clientes para descubrir quiénes son esas personas
potencialmente comprensivas.

No había forma en el infierno de que mi amigo hacker supiera leer chino, y mucho menos
determinar que el restaurante era una operación frontal para una importante organización
de inteligencia simplemente sabiendo que Black Duck Eggs es una delicia china. Si esto no
demuestra la diferencia entre las habilidades y la base de conocimientos de hackers y
agentes de inteligencia entrenados, nada lo hará. Me puse en contacto con el gerente de
seguridad de la compañía y le conté lo que encontramos y cómo informarlo al FBI. Ah,
¿mencioné que esta penetración se realizó bajo contrato para que la compañía objetivo
encontrara sus vulnerabilidades de seguridad operacional? El hecho de que encontramos
una operación de inteligencia en curso dirigida a la empresa fue una ventaja adicional. Si
bien todo este caso de una prueba de penetración que conduce a la identificación de una
operación de inteligencia hostil es relativamente única, el concepto de que incluso los
profesionales de seguridad altamente capacitados, como mi amigo hacker, ni siquiera se dan
cuenta de lo que no saben, no es así. de hecho, afirmo que el principal problema con la
seguridad informática en general es que la gente en general desconoce por completo las
cuestiones básicas de seguridad. Una vez más, como demuestra este caso, incluso los
expertos en un aspecto de la seguridad de la información pueden ser ingenuos acerca de
muchos otros aspectos. Me doy cuenta de que mi amigo hacker estará bastante molesto por
mi manera de hablar de él. Si bien es cierto que creo que tenía una falta de conocimiento en
ingeniería social, el problema es que nunca estuvo expuesto a lo que la ingeniería social
puede ser .Si no estuve directamente expuesto a las tácticas de inteligencia humana,
probablemente no sabría demasiado sobre la diferencia. Francamente, he trabajado con
varios gerentes de consultoría de seguridad en diferentes compañías, quienes parecen
estar en desacuerdo con el hecho de que creo que la inteligencia entrenada y los operativos
de las Fuerzas Especiales proporcionan conocimiento, habilidades y habilidades que incluso
el de los mejores consultores de seguridad estándar no. Se ofenden tanto como mi amigo
hacker. No es que piense menos en las personas que no tienen antecedentes especiales, sino
que los operarios tienen años de capacitación altamente especializada que otros no. Esa
capacitación incluye pruebas para implementar las habilidades en situaciones de vida y
muerte altamente estresantes. No solo tienen la capacitación, es probable que hayan
realizado su trabajo en circunstancias de la vida real y la muerte. El consultor promedio que
no ha recibido este nivel de capacitación y se desempeñó en el campo simplemente no tiene
ningún nivel cercano a este nivel de habilidad. Si bien es cierto que el nivel de experiencia
de los operarios no suele ser necesario en una penetración estándar, está allí cuando es
necesario. Cuando realizas una prueba de penetración o simulación de espionaje en mi caso,
el 90% de las veces es tan fácil comprometer a una compañía que un niño podría hacerlo. Un
cinco por ciento del tiempo restante, hay una situación que requiere alguna habilidad
adicional que muchos consultores de seguridad capacitados podrían realizar. En el 5 por
ciento restante de los casos, el proyecto fracasará o se cancelará sin tener esa habilidad
disponible. Sin embargo, aunque lo anterior representa lograr el trabajo básico logrado, no
explica el hecho de que más de la mitad de las veces que realizo el trabajo, mi equipo
encuentra casos reales de actividad criminal o espionaje que se realiza contra el cliente,
como el caso del restaurante chino. Sorprendentemente, la gran mayoría de los consultores
expertos se pierden por completo los crímenes contra el cliente. No saben lo que no saben
sobre lo que se están perdiendo. No pueden encontrar la actividad, y no sabrían los pasos
apropiados para tomar aunque identificaran los crímenes.

Filosofía de la seguridad
Francamente, la mayor parte de la seguridad es mental. ¿Cómo percibes lo que estás
asegurando? ¿Cómo percibes al enemigo? ¿Cree que la situación es manejable o cree que la
situación es abrumadora? ¿Estás dispuesto a implementar la seguridad en tus operaciones
diarias? ¿Considera que la seguridad es una parte ubicua de las operaciones generales? La
lista puede seguir. Cómo responde estas preguntas determina si estará seguro. Por ejemplo,
un automóvil es extremadamente complicado, probablemente más complicado que las
computadoras. No solo debe preocuparse por el automóvil en sí, debe preocuparse por otros
conductores en el camino, criminales que vandalizarán o robarán el automóvil, fallarán los
diferentes componentes del automóvil, llenarán el automóvil con gasolina, cambiarán el
aceite, las luces rojas, las señales de tráfico, los vehículos de emergencia, etc. Hay un
número infinito de maneras en que usted puede ser herido ya sea a través de sus propias
acciones o las de los demás. Esto podría ser muy abrumador, sin embargo, las personas
suben a su automóvil todos los días y generalmente sobreviven. Sin embargo, por alguna
razón, la gente quiere creer que las computadoras son diferentes. A pesar de que las
estafas han estado sucediendo en el mundo real durante años, uno podría creer que las
estafas se inventaron con Internet. Aunque no es inconcebible que un experto El usuario de
internet sería engañado, es extremadamente raro. Las únicas cosas que tienen los usuarios
inteligentes son el sentido común y algunos conocimientos básicos. Del mismo modo, si
quiere creer que los hackers informáticos son invencibles, no hará nada a cambio para
protegerse. Después de todo, ¿por qué perder el dinero tratando de detener a alguien que
no puede detener? Si aborda la información y la seguridad informática como si fueran
manejables, entonces lo son. Si arroja las manos en la derrota, será derrotado. La forma en
que piensa afecta la forma en que percibe y aborda el problema. Si cree que la seguridad es
manejable, realizará una investigación básica, determinará medidas de seguridad
razonables e implementará esas medidas. Diría que lo más importante es que asume la
responsabilidad personal de su seguridad. Una vez que comprenda los principios
subyacentes de seguridad, puede tomar precauciones de seguridad razonables. No tiene
que tener la capacitación de un Navy SEAL o un espía ruso para saber cómo protegerse.
Esto es cierto tanto para individuos como para organizaciones, incluidos los -billion dollar
companies and large government agencies. Si comprende por qué, las tecnologías y los
procesos seguirán. Este libro responde al por qué de la seguridad.

CAPITULO 2
Por qué no me gusta el título de
este libro
En realidad, me gusta el título de este libro. Es pegadizo. También trae a colación las
connotaciones del libro, Zen y The Art of Motorcycle Maintenance, que da el concepto de
que hay un aspecto mental para la seguridad. Sin embargo, el título implica esa seguridad es
un arte. La seguridad debe ser una ciencia. El arte implica que no hay un proceso repetible.
Implica que los resultados pueden variar según el estado mental del profesional. Si algo es
un arte, no se puede aprender de verdad. Luego, tenemos que buscar artistas para hacer
trabajo de seguridad. Entonces, debemos aceptar a los mediocres profesionales de la
seguridad, porque los verdaderos artistas son un producto raro. Sin embargo, cuando algo
es una ciencia, podemos esperar resultados confiables. Podemos encontrar una variedad de
personas que proporcionen generalmente el mismo tipo de arquitecturas de seguridad y
servicios. Su compañía no se detiene cuando algunas personas se van. Otras personas
pueden entonces retomar donde lo dejaron cuando se suben a bordo. Lo que es más
importante, si las personas no están capacitadas, puede capacitarlas para hacer un trabajo
aceptable.

Lo que hace que un científico

Cuando encuentras a alguien que se considera un artista, si hablas con ellos, generalmente
descubres que en realidad hay una ciencia para lo que hacen. Si les preguntas cómo un
escultor decide qué esculpir, inicialmente pueden decir que mira la roca y ve lo que la roca
les dice que esculpen. Eso parece ser claramente el método de un artista. Si, sin embargo,
decides preguntarles sobre cómo hablan con la roca, es posible que el escultor mire la
forma general de la roca en busca de pistas. Es posible que prefiera esculpir ciertos tipos
de objetos. Luego pueden buscar inspiración en su entorno o en las áreas que los rodean.

Luego tienen sus métodos para quitar la roca. Usan herramientas y técnicas específicas.
Usan esas herramientas y técnicas en un método repetible, que en realidad se puede
enseñar a otros. Aunque estos artistas pueden utilizar un proceso exclusivo para ellos,
todavía hay un proceso para aprender, comprender y aplicar. A los piratas informáticos les
gusta pensar en sí mismos como artistas. Una vez más, la implicación es clara: piratear una
computadora es una ciencia y no un arte. Seguiremos específicamente el concepto de
piratería informática significa irrumpir en una computadora, y un pirata informático es
alguien que se rompe en las computadoras. Cuando escribo artículos, los que despiertan más
emociones implican cuando digo que puedo entrenar a un mono para entrar en una
computadora en cuatro horas. Esto viene directamente de mi argumento de que el pirateo
es un proceso repetible que requiere poca habilidad. Sin embargo, los hackers
autoproclamados odian esto. La razón principal por la que cometen delitos de piratería
informática es porque creen que los hace especiales. Ellos creen que tienen poder y
significado que otros no tienen. Cuando afirmo que cualquier persona con el tiempo y la
inclinación puede hacerlo lo mismo, amenaza su autoestima y su autopercepción de lo que los
hace especiales en este mundo. Cuando le preguntas a estos artistas autoproclamados cómo
realizaron su supuesta magia, al igual que los escultores, afirman que hay algo especial en la
forma en que hacen las cosas que no pueden expresar con palabras. Cuando realmente
examinas sus acciones paso a paso paso, descubres que en realidad tienen un proceso que
nunca definieron, ni siquiera para ellos mismos. Un hacker típico descarga una herramienta
de escaneo de Internet y luego elige un rango de direcciones de Protocolo de Internet (IP)
al azar y ve lo que recibe. en los resultados para ver si hay vulnerabilidades que tienen las
herramientas o el conocimiento para explotar. Luego usan las herramientas o técnicas
conocidas para ingresar al sistema y hacer lo que quieren.

Este no es el trabajo de un artista, sino el trabajo de un aficionado que se aprovecha de

una computadora dejada vulnerable por una víctima desconocida. Como se indicó
anteriormente, la seguridad también es una ciencia. Existen formas de asegurar
sistemáticamente una computadora, ya que existen formas de comprometerla
sistemáticamente.

Por qué algunas personas son mejores

científicos
Si la seguridad y la piratería, y cualquier otra ciencia para el caso, son procesos repetibles
con resultados predecibles, es natural preguntar por qué algunas personas son
aparentemente mejores en estas ciencias que otras. La respuesta es que en realidad hay
tres factores interrelacionados que afectan la calidad . El primer factor es la capacitación
del proceso y tal vez incluso el proceso en sí mismo. Claramente, algo de capacitación es
mejor que otras. Algunos instructores son mejores que otros. También es cierto que
algunos programas de capacitación son mejores para diferentes tipos de personas. Algunas
personas pueden comprender su capacitación leyendo solo un libro. Algunas personas
requieren capacitación práctica, mientras que otras también necesitan saber por qué para
que puedan aceptar la importancia del cómo. También existe el problema de que algunos
procesos utilizados en la profesión de la seguridad no son muy buenos. La capacitación y / o
los procesos en los que se capacita son superficiales, o a veces demasiado detallados, lo que
deja a los estudiantes en una gran desventaja. Sin embargo, en aras de la argumentación,
supongamos que la mayoría de los procesos de entrenamiento y seguridad son aceptables.
Con eso en mente, otro factor que conduce a la pericia es la habilidad natural. Diferentes
personas tienen diferentes habilidades, y estas habilidades hacen que sean mejores o
peores en diferentes campos de esfuerzo. Por ejemplo, ha habido miles de jugadores
profesionales de baloncesto. Claramente, las personas deben ser excepcionales para llegar
a los profesionales. Sin embargo, Michael Jordan todavía se establece como un jugador
excepcional entre jugadores excepcionales. Solo tiene una combinación de habilidades
innatas. En el mundo de la informática, hay claramente algunas habilidades innatas que
permiten que algunas personas sobresalgan dentro de los diversos campos de la
informática. Una de estas capacidades se conoce en el campo de la psicología como
visualización. Una prueba psicológica, conocida como VZ-2, más comúnmente conocida como
la prueba de plegado de papel, pruebas de capacidad de visualización. Esto implica manipular
mentalmente las formas para determinar cómo se ve un objeto desplegado después de que
se ha plegado. La Figura 2.1 da un ejemplo de esto.

Una forma más rápida de probar la capacidad de visualización es ver si una persona puede
señalar la dirección general de la entrada de un edificio mientras se sientan dentro de él.
Si supone que una persona ha entrado en un edificio, giró a la derecha, a la izquierda o
ambos, subieron por varios pisos, hicieron más giros, y así sucesivamente, si pueden apuntar
en la dirección general de la entrada, han demostrado que pueden visualizar el mundo real
en su mente, y seguir secuencialmente sus pasos. Cualquiera que sea el motivo, cuanto
mejores sean las capacidades de visualización de una persona, mejor tenderán a hacerlo en
la mayoría de las tareas relacionadas con la informática. La inteligencia general es también
una indicación de éxito posible dentro de cualquier campo. Probablemente más importante,
creo que debes considerar el nivel de pasión que alguien tiene para un esfuerzo. Una
persona que adora el campo de seguridad informática, o ama piratear para el caso, sea
mejor o más efectivo en lo que hacen. La prisa que tienen los piratas informáticos después
de que entran en una computadora los lleva a ser efectivos específicamente porque, al igual
que un drogadicto siempre encuentra la manera de obtener su heroína. Esta pasión se
aborda más en el capítulo sobre "Lo que hace a un maestro". Además, algunas personas
tienen una pasión que los impulsa a aprender más sobre todos los aspectos de las
computadoras. Estas personas no son ni idea de los guionistas, sino expertos técnicos duros
que quieren aprender tanto sobre los detalles de las computadoras como lo hacen sobre
irrumpir en ellas. Cuanto más alguien sabe acerca de las computadoras, mejor están en
irrumpir en las computadoras y protegerlas. Es probable que haya una variedad de otros
procesos mentales involucrados en ser un experto en el campo de la seguridad informática.
Sin embargo, un buen programa de entrenamiento puede superar la falta de capacidad
natural para permitir que alguien sea efectivo en el campo. El factor final que lleva a la
pericia es la práctica. Cualquier entrenamiento que no sea seguido por la práctica del mundo
real pronto será olvidado.

Del mismo modo, las habilidades naturales si no se utilizan se desperdiciarán. No hay

sustituto para las manos en la experiencia práctica. La Figura 2.2 muestra la interacción
entre los tres factores de experiencia. Cuanto más oscuro es el color, más probable es que
alguien sea un verdadero experto en lo que hace. Debo señalar, sin embargo, que no es
práctico creer que alguien no tenga formación. o sin habilidades naturales. Aunque es
probable que el script kiddie promedio no tenga un entrenamiento formal, puede estar casi
garantizado que encontraron información en alguna parte. Hay cientos de miles de páginas
web que ofrecen información gratuita sobre cómo entrar en una computadora. Pueden
encontrar personas en la escuela y en sesiones de chat en Internet para darles indicaciones
sobre qué hacer. Sin embargo, su "proceso" generalmente es crudo e incompleto. Es un caso
en el que tienen la información suficiente para hacerlos peligrosos.

Al mismo tiempo, es extremadamente posible obtener a alguien que tenga todas las
habilidades además del entrenamiento. Una vez que esa persona recibe suficiente práctica,
es significativamente mejor que nadie. Hay muchas personas que encajan con esta
descripción.

Poniéndolo todo junto

Permítanme usar Stan y Stew como ejemplos. Una vez más, Stan es el espía de GRU y Stew
es el SEAL de la Marina. Ambos fueron identificados por tener una gran aptitud en sus
habilidades. Ambos pasaron años de entrenamiento antes de recibir asignaciones en el
campo. Su entrenamiento no incluía solo ser espía o saboteador. Stew pasó por un
entrenamiento similar como Navy SEAL. Después de pasar por años de un programa de
entrenamiento agotador, que además de entrenamiento militar estándar incluía
entrenamiento de idiomas, entrenamiento cultural, así como información detallada sobre
una amplia variedad de objetivos potenciales. Realizó una variedad de asignaciones
operacionales. Periódicamente, fue enviado a misiones de entrenamiento. Sin embargo,
Stew ha sido muy valioso en las simulaciones de espionaje que realizo. Del mismo modo,
Stan recibió una variedad de capacitación en historia mundial, chino e inglés, información
cultural, etc. Aprendió sobre los objetivos operacionales a los que podría estar expuesto en
el futuro. También fue entrenado como periodista para su cobertura como reportero de
TASS. Realizó una variedad de tareas operativas, recibiendo asignaciones cada vez más
complicadas. Periódicamente, algunas asignaciones estaban de regreso en Moscú para
entrenamiento adicional. Entonces, cuando Stan encontró la operación de inteligencia china,
¿fue solo suerte? Se dio cuenta de los diccionarios Chino-Americanos en las oficinas de
nuestros clientes. Después de conocer los métodos típicos de recopilación de inteligencia
china, pensó en buscar restaurantes locales chinos para actividades inusuales. Pudo
ingresar al restaurante y leer Mandarín. No solo conocía el idioma, sino que también
reconocía las exquisiteces difíciles de encontrar. Incluso sabía lo que estas exquisiteces
deberían costar. Cuando realizo simulaciones de espionaje, ¿es una suerte que comprometa
constantemente los recursos críticos de una empresa completa en cuestión de horas? La
primera vez que me hizo cargo de un banco, podría haber sido suerte. Después del tercer
banco consecutivo, claramente no fue suerte. La forma en que describen las fuerzas
especiales y el entrenamiento de inteligencia en que las personas están entrenadas para
reconocer rápidamente las vulnerabilidades y cómo rápidamente las explotan. Mientras que
hay claramente un poco de suerte o un azar en lo que las vulnerabilidades se presentan,
finalmente, una vulnerabilidad se presenta. Entrenados los operarios reconocidos y
explotan esa vulnerabilidad tal como se presenta. Hay un viejo dicho que es muy aplicable
aquí: "Chance favorece a los preparados".

Aplicando la ciencia
La pregunta surge en cuanto a porqué un hacker parece tener todo este genio que los
profesionales de la seguridad no hacen. El quid de la cuestión es que los ciudadanos
respetuosos de la ley no se apagan y se comprometen delictivo. Dado la misión, hay un
sinnúmero profesionales de la informática que obtendrían los mismos, si no más, resultados
impresionantes que cualquier otro pirata informático. Los medios simplemente prefieren
destacar a los delincuentes, y como veremos más adelante, cualquiera que conozca un truco
más que el público en general parece ser un genio cuando se trata de computadoras. Por
ejemplo, cuando el Departamento de Defensa quiso probar su capacidad para detectar y
repeler un ataque de ciberguerra en ejercicios conocidos como Receptor Elegible, formaron
un Equipo Rojo de expertos en "piratería" de la Agencia de Seguridad Nacional y otros
elementos del Departamento de Defensa. Defensa. Todas las personas involucradas
recibieron su entrenamiento a través de sus diversas agencias y no tenían antecedentes
criminales. Sin embargo, sus resultados habrían dañado severamente muchos elementos de
la infraestructura civil y militar de los EE. UU. Si ejecutasen por completo sus ataques. Del
mismo modo, cuando estoy armando un equipo de pruebas de penetración, busco personas
que hayan trabajado para varias agencias de inteligencia o comandos militares de guerra de
información. Su capacitación y experiencia práctica no tienen comparación. Si no puedo
formar un equipo de estas personas, busco para administradores de sistemas que se han
defendido con éxito contra los ataques de piratas informáticos durante años. Cualquiera de
estos grupos ha demostrado una comprensión más profunda de los ataques informáticos y la
prevención que cualquier delincuente. Lo más importante que hay que sacar de este capítulo
es que a cualquiera se le puede enseñar a hacer un trabajo competente para proteger su
sistema informático, ya sea que sea un conserje o un administrador del sistema. Una vez
más, no hay magia para hackear o seguridad informática. El problema es asegurarse de que
la persona promedio reciba la capacitación básica y de que practiquen lo que aprenden. Al
igual que la persona promedio no necesita ser un ingeniero automotriz para conducir un
automóvil, no es necesario que sea un experto en seguridad informática para asegurar
adecuadamente su computadora. Lo que las personas deben hacer es comprender que existe
un proceso fundamental para asegurar una computadora. Una vez que saben cuál es el
proceso, pueden asegurar razonablemente sus propias computadoras, tengan o no tengan
alguna habilidad natural. Todo lo que tienen que hacer es implementar y practica ese
proceso.

CAPITULO 3
¿Qué es seguridad?
Hay muchos libros sobre seguridad, pero pocos autores realmente saben de lo que están
escribiendo. El hecho es que la seguridad es inalcanzable. Usted nunca puede estar seguro.
De acuerdo con el Dictionary.com, el American Heritage Dictionary y el Random House
Unabridged Dictionary, la definición principal de seguridad es la siguiente:

Libertad de riesgo o peligro.

Su información nunca estará libre de riesgo o peligro. Cualquiera que le diga que puede
proporcionarle la seguridad perfecta es un tonto o un mentiroso. Del mismo modo, los
programas de seguridad corporativos están destinados a fallar, a menos que realmente
definan su misión en su organización. La seguridad no se trata de lograr la libertad de
riesgo. Se trata de la gestión del riesgo. Cualquiera que espera alcanzar la seguridad se
volverá loco. Conozco a muchos profesionales de seguridad que aman su trabajo, pero viven
en un estado de constante frustración. No se dan cuenta de que su trabajo es minimizar la
pérdida resultante, no evitar completamente la pérdida. Entonces, fundamentalmente, la
seguridad se trata de la gestión de la pérdida o el riesgo. La seguridad de la información se
trata de la gestión de la pérdida de información y el costo resultante de esa pérdida, es
decir, un riesgo. Por lo tanto, es importante definir qué riesgo existe.

Riesgo
Puedes buscar la palabra riesgo en un diccionario para ti. En este momento es más útil
definir una definición práctica de riesgo. Prefiero usar la siguiente fórmula para expresar
el riesgo.

El riesgo en sí es básicamente la pérdida potencial que resulta del equilibrio de amenazas,

vulnerabilidades, contramedidas y valor. Por lo general, es una pérdida monetaria. Algunas
veces el riesgo puede medirse en vidas. Lamentablemente, muchas empresas le dan un valor
a la vida humana para convertirla en una pérdida monetaria. Para desglosar rápidamente los
componentes de riesgo, las amenazas son las personas o entidades que pueden hacerle daño.
Las vulnerabilidades son las debilidades que permiten que la amenaza te explote. Las
contramedidas son las precauciones que debes tomar. El valor es la pérdida potencial que
puede experimentar. Las siguientes secciones discuten más a fondo los componentes del
riesgo en un nivel alto. Una vez más, este libro solo tiene la intención de proporcionar a los
lectores un conocimiento funcional del tema. Para una discusión detallada de este tema,
consulte mi libro, "Spies Among Us".

Valor
El valor es el componente más importante del riesgo. Sin valor, no hay riesgo. Usted
técnicamente no tiene nada que perder. Sin embargo, normalmente tiene algún valor
incrustado en la mayoría de las cosas que posee o hace. Veamos un ejemplo de valor en algo
que puede parecer intrascendente. Si tiene un pedazo de papel con la ubicación donde
almorzó ayer, eso parecería carecer de valor general. Sin embargo, digamos que dejó su
billetera en el restaurante. Esa hoja de papel podría valer una gran cantidad de dinero para
usted o alguien que encuentre la billetera. En lugar de dejar su billetera en el restaurante,
asumamos que estaba conociendo a una persona con la que estaba teniendo una aventura. La
ubicación del restaurante podría llevar al divorcio o al chantaje. Si usted es un ejecutivo de
una empresa grande y se reunió con personas de otra compañía con las que pensaba adquirir
o con las que posiblemente harían negocios, la ubicación del restaurante puede ayudar a
divulgar a los asistentes y la potencial relación comercial. Si un competidor o incluso una
persona que compra y vende acciones se entera de una reunión, podrían obtener beneficios
de la información. Por otro lado, a nadie le puede importar. Sin embargo, como ve, el valor
es un problema relativo y de fluidos. Como puede ver en la discusión anterior, hay tres tipos
diferentes de valor: monetario, molesto y valor del competidor. El valor monetario es el
valor financiero real de la información u otros activos. Si pierde el activo, pierde dinero.
Este es un valor difícil. Algunas veces es difícil ponerle un valor difícil a algo, pero puede
encontrar una manera de estimarlo. Si no lo hace, la gente de su seguro lo hará. Valor
negativo es el costo potencial de lidiar con una pérdida. Por ejemplo, aunque no tenga una
pérdida financiera relacionada con un robo de identidad, la agravación no tiene precio. Por
ejemplo, existe el tiempo perdido al lidiar con la limpieza de un informe de crédito. Si bien
es posible que no sea considerado responsable de que alguien acumule facturas a su
nombre, debe tomarse el tiempo para demostrar que las facturas no son suyas. Este
proceso puede tomar meses de su tiempo. El valor de la molestia debe ser considerado en
cualquier cálculo de riesgo. El valor del competidor es el valor de un activo a los ojos de un
adversario. Por ejemplo, los recibos de tarjetas de crédito son generalmente inútiles para
un individuo después de que se completa una transacción. La gente generalmente lleva el
recibo a casa y lo tira. Sin embargo, si el recibo de la tarjeta de crédito contiene el número
completo de la tarjeta de crédito, puede ser muy valioso para un delincuente.

Un gran ejemplo que doy en el mundo de la inteligencia es un informe de inteligencia

marcado. Es claro que no se puede circular un informe que se haya escrito por todos lados y
generalmente se envía para su destrucción. Sin embargo, incluso una versión marcada de un
informe altamente clasificado puede ser extremadamente valiosa para un adversario. No es
sorprendente que haya una disciplina de inteligencia conocida como TRASHINT.

En el mundo de los negocios, una propuesta de proyecto de negocio, por ejemplo, puede ser
modificada y sin valor para la empresa misma. Sin embargo, si un competidor tiene en sus
manos el draft, puede saber casi exactamente contra qué está compitiendo. Por lo tanto, si
bien es posible que algo no tenga un valor inmediatamente para usted, su valor del
competidor significa que puede costarle valor en el futuro. Al evaluar el riesgo, primero
debe comenzar por cuánto tiene que perder. Si no tiene nada que perder, no tiene que
preocuparse por nada más. La realidad es que siempre hay algo que perder, por lo que no
puedes vivir en un mundo de ensueño. Sin embargo, es fundamental saber cuánto debe
perder para controlar cuánto gasta en su programa de seguridad.

Amenaza
La amenaza es esencialmente el "Quién" o "Qué" que puede perjudicar si se le da la
oportunidad. No pueden hacerte daño por sí mismos. Requieren que te dejes vulnerable.
Además, aunque las personas generalmente asumen que las amenazas son de naturaleza
maliciosa, la mayoría de las amenazas a las que se enfrenta no pretenden causar ningún
daño. Primero, debes considerar que las Amenazas pueden ser Maliciosas o Malignas. Las
amenazas maliciosas pretenden hacerte daño. Incluyen acciones terroristas, personas
malintencionadas, piratas informáticos, competidores, delincuentes genéricos, espías,
países extranjeros, etc. El tipo de daño que puede causar puede variar según el tipo de
intención que tengan. De nuevo, sin embargo, tienen intención. Las amenazas malignas son
amenazas que siempre están presentes. No tienen intención, sin embargo, tienen la
posibilidad de causarle daño. Las amenazas malignas están presentes en la vida cotidiana.

Lamentablemente, cuanto más combate las amenazas maliciosas, más habilita las amenazas
malignas. Por ejemplo, tuve un amigo que murió en el incendio de un hotel. Básicamente,
sonó la alarma de incendio y salió corriendo de su habitación. La sala estaba demasiado
humeante e intentó regresar a la habitación. Sin embargo, el candado de la puerta era uno
de los que se bloqueaba automáticamente detrás de una persona cuando salían de la
habitación. Claramente, la intención de la cerradura era evitar a los ladrones asegurando
que las puertas se bloquearan cuando la gente dejaba su habitación. Sin embargo, esta
cerradura también impidió que mi amiga buscara refugio dentro de su habitación durante el
incendio. Del mismo modo, también está en marcha un importante argumento de seguridad
nacional. El Departamento de Seguridad Nacional quiere eliminar las marcas en los vagones
que indican el tipo de materiales venenosos dentro del automóvil. Creen que los terroristas
podrían apuntar específicamente a los vagones de ferrocarril con materiales venenosos,
como el cloro, al ingresar a las grandes ciudades. Sin embargo, los departamentos locales
de bomberos necesitan saber qué hay dentro de un vagón para conocer los peligros
potenciales que enfrentan si un tren se incendia, descarrila, etc. Claramente, los
terroristas son una amenaza maliciosa, mientras que los incendios y los descarrilamientos
son una amenaza maligna que en realidad ocurre con bastante frecuencia. A Quien amenaza
es una persona o grupo de personas. Estas son entidades que te pueden hacer daño. Pueden
ser personas con información privilegiada que son malintencionadas o simplemente pueden
ser empleados estúpidos. Las amenazas pueden ser competidores, agencias de inteligencia
extranjeras, piratas informáticos, etc.

También hay muchas personas y grupos no maliciosos que simplemente existen, que no
pretenden causarle daño, pero sí lo hacen. Estos son tumores malignos. Ya mencioné a los
empleados estúpidos. Ellos pueden ser tus hijos Pueden ser congresistas que aprueban
leyes que tienen un efecto negativo en un negocio. Los vagabundos pueden hacer que los
clientes se sientan inseguros y, por lo tanto, se salten un negocio. Existen millones de
personas en Internet que dejan sus computadoras vulnerables. Si bien es posible que no
quieran atacar su computadora, sus equipos vulnerables pueden ser controlados por un
tercero, que utiliza las computadoras para atacarlo. Hay un número aparentemente infinito
de entidades que pueden hacerle daño. A qué amenaza es una ocurrencia como un huracán,
terremoto, inundación, tormenta de nieve, etc. Estas amenazas son completamente
incontrolables y agnósticas en su intento. Sin embargo, causan más daño que cualquier
amenaza maligna podría esperar. Por ejemplo, el huracán Katrina causó decenas de miles de
millones de dólares en daños y la pérdida de miles de vidas. Los cortes de energía también
tienen un costo acumulado de miles de millones de dólares, y son causados por una amplia
variedad de desastres naturales, o incluso algo tan simple como la caída de una rama de un
árbol. Los tornados parecen ser incidentes de películas para muchos, pero también causan
la pérdida de miles de millones de dólares y cientos de vidas al año. Cuando determine su
riesgo, debe determinar qué amenazas son relevantes para sus circunstancias. Aunque
creas que potencialmente enfrentas todas las amenazas del mundo, la realidad es que
algunas amenazas son mucho más probables que otras. Como veremos en la próxima sección
sobre Vulnerabilidades, las Amenazas son en realidad un factor menor que las
Vulnerabilidades que ponen en peligro.

Vulnerabilidad
Las vulnerabilidades son básicamente las debilidades que permiten que la amenaza te
explote. Nuevamente las amenazas son entidades. Por sí mismos, no pueden causar ningún
daño. Cuando existe una vulnerabilidad para que ellos exploten, entonces tienes riesgo. Por
ejemplo, digamos que hay un hacker en Internet. Si no tiene una computadora, no hay
forma de que el hacker lo explote.

Tener una computadora presenta una vulnerabilidad de bajo nivel en sí misma. Sin embargo,
no tiene que ser una vulnerabilidad importante. Considere la posibilidad de una persona que
tenga la identificación de usuario de "kirk" y la contraseña de "captain". De nuevo, es una
contraseña fácil de adivinar, por lo que está aumentando drásticamente el riesgo en la
computadora. Del mismo modo, existen muchas vulnerabilidades en el software, como se
analiza más detalladamente en el capítulo sobre "Qué hace un maestro". El software en sí,
suponiendo que no esté actualizado, es una vulnerabilidad que puede llevar a que una
computadora se vea comprometida simplemente por estar conectada a Internet. Hay
cuatro categorías de vulnerabilidades: técnica, física, operativa y de personal. Las
vulnerabilidades técnicas son problemas específicamente incorporados en la tecnología.
Todo el software tiene errores de una forma u otra. Un error que crea fuga de información
o privilegios elevados es una vulnerabilidad de seguridad. Cualquier tecnología implementada
incorrectamente puede crear una vulnerabilidad que pueda ser explotada. Las
vulnerabilidades físicas son infames. Van desde puertas desbloqueadas a guardias apáticos
hasta contraseñas de computadora pegadas a monitores. Estas son vulnerabilidades que
proporcionan acceso físico a un activo de valor. Las vulnerabilidades operacionales son
vulnerabilidades que resultan de la forma en que una organización o persona hace negocios o
no protege sus activos. Por ejemplo, los sitios web pueden regalar demasiado. Las historias
sobre adolescentes que brindan demasiada información en MySpace.com, que llevaron a
ataques sexuales son comunes. Si bien las personas son rápidas para condenar a los
adolescentes, el ejército de los EE. UU. Encuentra actualmente que el personal militar está
poniendo información sensible en sus blogs personales. Los departamentos de relaciones
públicas corporativas han lanzado secretos corporativos para los esfuerzos de marketing.
Durante la prueba de Scooter
Libby, se documentó que Dick Cheney autorizó filtraciones de información clasificada para
tratar de desacreditar a los críticos de las políticas de la Administración. Estas situaciones
conducen a pérdidas críticas, muchas de las cuales la organización no sabrá. Por ejemplo,
cuando Libby reveló que Valerie Plame trabajaba para la CIA como agente encubierta,
todos los países donde estaba estacionada de manera encubierta revisaron sus propios
archivos para ver las compañías de cobertura para las que trabajaba. Esas compañías ahora
son catalogadas como compañías de fachada de la CIA. Todas las personas que alguna vez
trabajaron para esas compañías ahora se identifican como agentes de la CIA, y a pesar del
hecho de que están muy bien capacitados, ahora son inútiles para la CIA. Entonces, aunque
la aparente intención era desacreditar al esposo de Plame, su carrera se arruinó, como lo
fueron las carreras de docenas de otros empleados de la CIA. Además de comprometer
probablemente más de 100 operaciones de inteligencia pasadas y en curso en las que
participaron docenas de operarios. Las vulnerabilidades de personal implican cómo una
organización contrata y libera personas dentro de las organizaciones. También puede
involucrar a los contratistas involucrados en la organización. Por ejemplo, si una empresa no
verifica las referencias, se está convirtiendo en fraude. Del mismo modo, si hay empleados
con problemas, una empresa necesita asegurarse de identificar los problemas y tratarlos
de manera adecuada. Por ejemplo, una organización que no elimina el acceso para las
personas que han abandonado la empresa, esas personas pueden crear daños futuros. Si
bien eso puede sonar tonto, ha habido innumerables casos en los que un empleado rojo pudo
acceder a las computadoras de la compañía y robar información o sabotear a su anterior
empleador.

Contramedidas
Las contramedidas son las precauciones que una organización toma para reducir el riesgo.
Teóricamente, cuando mira la fórmula de Riesgo, la suposición es que una Contramedida
aborda una Amenaza o Vulnerabilidad. Puede disminuir su riesgo disminuyendo el valor, sin
embargo, eso es totalmente absurdo. La disminución del valor es una buena forma de
enrojecerse. Idealmente, desea seguir aumentando su riesgo a medida que crece el valor de
su organización. Del mismo modo, probablemente sea mejor tener $ 1, 000, 000 de dólares
en una cuenta bancaria que podría perderse, en lugar de regalar todo el dinero para que no
tenga nada que perder si alguien piratea su banco. Al igual que Vulnerabilidad, existen las
mismas cuatro categorías de Contramedidas: Técnica, Física, Operativa y de Personal. Las
contramedidas técnicas son generalmente sinónimos de los controles de seguridad de la
computadora y de la red. Incluyen utilidades como software antivirus y tokens de hardware
que básicamente proporcionan contraseñas de un solo uso. En la actualidad, existen miles de
herramientas de software y hardware disponibles como contramedidas técnicas. Las
contramedidas físicas brindan seguridad física. Estas contramedidas incluyen cerraduras,
vallas, guardias de seguridad, insignias de acceso, etc. Todo lo que detiene un robo físico o
limita físicamente el acceso a algo de valor es una contramedida física. Las contramedidas
operativas son políticas, procedimientos y políticas que pretenden mitigar la pérdida de
valor. Esto podría incluir revisiones del contenido del sitio web, políticas sobre lo que no
debe hablarse fuera de los espacios de trabajo, clasificación de datos, etc. Cualquier
práctica que pretenda limitar pérdidas es una contramedida operacional. Las contramedidas
de personal mitigan específicamente el manejo de la contratación y el despido de personas.
Incluyen verificaciones de antecedentes, políticas para eliminar el acceso de la
computadora a la renuncia de un empleado, políticas para limitar el acceso de los usuarios,
etc.

Es importante señalar que las contramedidas técnicas no pretenden necesariamente mitigar

las vulnerabilidades técnicas. Del mismo modo, para contramedidas físicas y
vulnerabilidades físicas, etc. Por ejemplo, si le preocupa que las contraseñas se peguen a los
monitores de la computadora, que es una vulnerabilidad física, una gran contramedida es un
token de contraseña de una sola vez, que es una contramedida técnica.

Usted realmente no puede

contrarrestar la amenaza
Cuando mira la fórmula de Riesgo, parece que las Contramedidas pueden abordar tanto las
Amenazas como las Vulnerabilidades. En teoría, eso es correcto. En el mundo real, es
realmente difícil contrarrestar la Amenaza. La buena noticia es que realmente no importa.
Primero, examinemos por qué no puedes contrarrestar la Amenaza. Fundamentalmente, no
puede detener un huracán, un terremoto, una inundación u otras amenazas. Se producirán
sin importar lo que hagas. Al mismo tiempo, no puedes contrarrestar realmente una
amenaza Who. Tal vez una verificación de antecedentes puede eliminar a los delincuentes
conocidos, sin embargo, esto no detiene a los delincuentes desconocidos. Si bien hay una
Guerra contra el Terror, todavía hay más que suficientes terroristas para crear una
amenaza terrorista. Tal vez, en teoría, un gobierno puede tratar de perseguir a un grupo
específico de personas a la extinción, pero una organización no gubernamental claramente
no puede. También es poco probable que el gobierno tenga éxito. Sin embargo, una vez más,
la buena noticia es que no tiene que abordar la amenaza. Si contrarrestas una
vulnerabilidad, esencialmente estás contrarrestando cualquier amenaza que pueda
explotarla. Por lo tanto, si recuerda el ejemplo de la contraseña "captain" en la cuenta
"kirk", al eliminar la contraseña del "capitán", está eliminando la posibilidad de que
cualquier tercero malintencionado pueda explotar esa contraseña. Con respecto a un
desastre natural, como un huracán, si bien no puede detener un huracán, puede eliminar las
vulnerabilidades que conducen a la pérdida. Por ejemplo, puede ubicar instalaciones fuera
de las áreas vulnerables a un huracán. Puede crear instalaciones de respaldo fuera de las
áreas vulnerables a los huracanes. Si bien no puedes evitar que un script kiddie exista,
puedes contrarrestar las vulnerabilidades informáticas subyacentes que permiten que el
hacker lo explote. No solo evitas que el script kiddie te explote, evitas que los
competidores, los ciberdelincuentes, los empleados maliciosos y todas las demás amenazas
exploten las vulnerabilidades informáticas conocidas.
¿Qué es un programa de seguridad?
Ahora que el Riesgo está fundamentalmente definido, puedo abordar lo que se supone que
deben hacer los programas de seguridad en teoría. Primero, es importante recordar que no
puede detener todas las pérdidas si funciona en el mundo real. No importa lo que haga,
debe reconocer que experimentará algún tipo de pérdida. En realidad, experimentará
muchos tipos de pérdida. En términos comerciales, afirmaría que el objetivo de un
programa de seguridad es identificar las vulnerabilidades que pueden ser explotadas por
cualquiera de las amenazas a las que se enfrenta. Una vez que identifique esas
vulnerabilidades, a continuación, asocie el valor de la pérdida que es probable que resulte
de las vulnerabilidades dadas. El objetivo de un programa de seguridad es elegir e
implementar Contramedidas rentables que mitiguen las vulnerabilidades que potencialmente
llevarán a la pérdida. El párrafo anterior es posiblemente el párrafo más importante del
libro para las personas involucradas en la profesión de la seguridad. Lamentablemente, veo
que muchos profesionales no pueden establecer sucinta y adecuadamente cuál es su función
laboral en términos comerciales.

Optimizando el Riesgo
Es extremadamente importante señalar que no está tratando de eliminar todos los riesgos.
Nuevamente, nunca puedes estar completamente seguro, y es una tontería intentarlo. Es
por eso que su objetivo es optimizar, no minimizar, el riesgo. Primero analicemos el
concepto de optimización versus minimización del riesgo. La minimización del riesgo implica
que desea eliminar tanto riesgo, también conocido como pérdida, como sea posible. Usando
un hogar típico como ejemplo, primero examine lo que hay que perder. Suponiendo que
tenga los bienes domésticos típicos, varias compañías de seguros podrían decir que una casa
tiene un valor de $ 20,000 a $ 50,000, y la casa tiene un valor de $ 200,000. También
existe el valor intangible de la seguridad de su familia y el bienestar general. Luego,
considere las posibles cosas que podrían pasar para comprometer el hogar. Obviamente,
tienes robos físicos. También existe la posibilidad de un incendio. En realidad, ha habido
casos de un choque automovilístico en una casa. Tampoco puede ignorar que los objetos,
incluidos los aviones, han caído sobre las casas, destruyéndolas y a todos sus ocupantes.
Tienes tornados, terremotos, inundaciones, etc. Si desea minimizar el riesgo, debe tener en
cuenta todas las posibles pérdidas, incluidas algunas de las más extrañas. Tal vez si no
estás en un área propensa a terremotos, podrías pensar en ignorar eso. Sin embargo,
aunque solo quiera limitar sus contramedidas para contabilizar el robo, aunque podría
pensar en mejorar las cerraduras en todas las puertas, entonces debe pensar en las
ventanas. ¿Harás que todo el vidrio sea inastillable? Luego, considere que la mayoría de las
casas están hechas de madera. Técnicamente, no hay nada que impida que un ladrón
motivado lleve una motosierra al costado de su casa. ¿Entonces blindarás toda la casa?
Entonces puede ver que minimizar su riesgo puede llevar a gastar dinero en muchas
contramedidas que no son razonables.
Tal vez si usted es el presidente de Iraq, consideraría todos estos temas, pero no el
propietario típico. Sin embargo, no puede simplemente descontar en gran medida una gran
cantidad de riesgo. La optimización implica que hay algo de reflexión en el proceso. No
ignora por completo cualquier amenaza o vulnerabilidad, pero toma una decisión consciente
de que la probabilidad de una pérdida combinada con el valor de la pérdida no se puede
mitigar de manera rentable. Entonces, aunque generalmente sería factible instalar un
sistema de alarma hogareño por $ 300 y pagar $ 25 por mes como medida de seguridad
para proteger $ 50,000 del robo, junto con su bienestar personal, generalmente no sería
rentable instalar armadura alrededor el hogar para proteger contra el caso
extremadamente improbable de que un criminal que usa una motosierra ingrese a su casa.
Me gusta usar la siguiente tabla para representar el riesgo y también demostrar
claramente por qué solo un tonto intenta minimizar el riesgo. La curva que comienza en la
esquina superior izquierda representa Vulnerabilidades y el costo asociado con ellas. La
línea que comienza en la parte inferior izquierda representa el costo de Contramedidas.

Al comenzar a implementar Contramedidas, su costo aumenta, sin embargo, las

vulnerabilidades y la pérdida potencial disminuyen. Suponiendo que implemente las
contramedidas que realmente abordan las vulnerabilidades, en realidad puede haber una
pérdida potencial de disminución drástica. Es similar a la Regla 80/20, donde se resuelve el
80% de los problemas con el 20% del esfuerzo. Yo sostengo que en el campo de la
seguridad, puede resolver el 95% de los problemas con el 5% del esfuerzo. Como nunca
tendrá una pérdida potencial, la línea de Vulnerabilidad nunca llega a 0 y es asintótica. Sin
embargo, el costo potencial de las Contramedidas puede mantener los aumentos para
siempre. Entonces, en algún punto, el costo de Contramedidas es más que la pérdida
potencial de las Vulnerabilidades. Es ilógico gastar más para evitar pérdidas que la pérdida
real, por lo que nunca querrás llegar a ese punto. Tampoco querrás acercarte a ese punto
tampoco. La razón es que la pérdida potencial es solo pérdida POTENCIAL. Si bien es
teóricamente posible experimentar una pérdida completa, es extremadamente improbable.
Debe basar el costo de las contramedidas en la probabilidad de la pérdida combinada con el
costo de la pérdida. Este es el concepto de Optimización de riesgos y la figura 3.2
superpone una línea de optimización de riesgos de muestra en el gráfico inicial. Este es el
punto que ha determinado es la cantidad de pérdida que está dispuesto a aceptar y el costo
de las Contramedidas que lo llevarán a ese punto.

Aunque me gustaría poder decir que todo un programa de seguridad debería basarse en
esta metodología, la realidad es que la mayoría de las organizaciones están muy lejos de
implementar esto en un nivel macro. En cambio, recomiendo que las personas aborden la
Optimización del riesgo a un nivel micro. Por ejemplo, si tomara una vulnerabilidad
específica, como contraseñas incorrectas y determine la pérdida potencial, encontrará que
las estadísticas muestran que cuesta $ 40 por restablecimiento de contraseña. Si luego
determina que una organización grande puede promediar un restablecimiento de contraseña
por empleado por año. Para una organización con 10,000 personas, ese es un costo de $
400,000 por año en solo restablecer contraseñas olvidadas. Esto ni siquiera aborda la
pérdida resultante del compromiso de contraseñas que podrían ser decenas de millones de
dólares al año en una gran corporación. Si el costo de una herramienta de inicio de sesión
único o un sistema de token de contraseña de un solo uso cuesta aproximadamente $
1,000,000, y es válido por 4 años, el costo promedio es de $ 250,000 por año. Luego
considera que la Contramedida está mitigando un costo difícil de al menos $ 400,000 por
año, así como la pérdida de propiedad intelectual por un total de millones de dólares al año,
los $ 250,000 son claramente rentables. Una evaluación exhaustiva de la vulnerabilidad
puede pasar por este proceso para todas las posibles vulnerabilidades y contramedidas.

Conscientemente acepta el riesgo

El gran problema a considerar es que el riesgo debe ser el resultado de una cuidadosa
deliberación. Ya sea que decida Riesgo para usted o para su organización, debe darse
cuenta de que debe ser un hecho conscientemente aceptado. No es un resultado aleatorio
de un programa de seguridad, sino la base de ese programa de seguridad. Si tuviera que
preguntarle en este momento, ¿cuánto riesgo enfrenta, habría podido responder con
precisión antes de leer este capítulo? También tengo que preguntarle si conoce esa
respuesta ahora que la ha leído. Si no lo hace, realmente necesita resolverlo ahora.

CAPITULO 4
Una mala pregunta
Hay un viejo refrán que dice: "No existe una pregunta mala". Normalmente estoy de
acuerdo con eso. Desafortunadamente, algunas preguntas implican algunas creencias
fundamentalmente preocupantes de que el hecho de que la pregunta se haga es muy mala.
La pregunta mala, aunque común, es: "¿Cuánto de un presupuesto de tecnología de la
información (TI) debe destinarse a la seguridad de TI?". La pregunta es extremadamente
simple y parece tener una respuesta muy simple. De hecho, suena muy lógico.
Desafortunadamente Sin embargo, las personas que hacen la pregunta demuestran que no
comprenden los conceptos comerciales. Permítanme primero preguntarle qué porcentaje de
los costos de un edificio deberían asignarse a la seguridad. ¿Cómo me responderías? ¿Me
preguntaría qué tipo de edificio es? ¿Es un almacén vacío? ¿Es un banco? ¿Es un puesto
militar en el centro de Bagdad? Debe considerar el valor de lo que hay dentro del edificio
mucho antes de considerar qué porcentaje del presupuesto de un edificio debería
destinarse a la seguridad. Los tres posibles edificios descritos podrían costar lo mismo
para su construcción. Sin embargo, el costo de la seguridad del puesto militar podría supere
con creces los costos de construcción. De la misma manera, es posible que no gaste nada en
proteger un edificio vacío. Este capítulo fue originalmente incluido en el capítulo anterior.
Sin embargo, creo que este concepto es tan importante que debe destacarse. Demasiados
programas de seguridad están fundamentalmente desilusionados debido a la idea de que un
presupuesto puede generar seguridad.

El valor no tiene nada que ver con las

computadoras
Entonces, con el ejemplo de los edificios en mente, ¿cómo respondería a la pregunta sobre
el porcentaje de un presupuesto de TI que debería destinarse a la seguridad? En primer
lugar, puede preguntar: ¿para qué sirve la TI? Un banco puede tener un presupuesto de TI
de $ 100, 000, 000, pero la realidad es que el banco protege los miles de millones de
dólares de las transacciones que pasan por las computadoras del banco cada día. El costo
real del presupuesto de TI es irrelevante. Mire eso matemáticamente. Seamos generosos y
digamos que el banco asignaría el 10 por ciento de su presupuesto de TI a seguridad. Eso es
$ 10, 000,000 al año, una cantidad que muchos gerentes de seguridad estarían encantados.
Luego, si supone que hay 250 días hábiles por año y el banco realiza un mínimo de $ 1, 000,
000,000 diarios de transacciones financieras, el banco protege $ 250, 000, 000, 000 con $
10, 000, 000 presupuesto de seguridad de .004 por ciento del valor real que se protege. La
situación es similar para las compañías farmacéuticas que pueden tener un presupuesto de
seguridad razonable, pero el valor de la propiedad intelectual en las computadoras vale
miles de millones de dólares. Claramente hay otras industrias donde el valor de la
información está muy por encima del valor de la TI. También debe considerar el problema
de que la seguridad no es solo un problema de TI. Como se discutió anteriormente en el
último capítulo, la tecnología puede verse comprometida por medios que no sean técnicos.
No puede proteger a TI únicamente mediante el uso de contramedidas de TI. Las
contramedidas físicas deben considerarse en la combinación. De manera similar, debe
incorporar contramedidas operativas y de personal. No puede simplemente decir que está
protegiendo TI como un problema de TI.

Otro tema a considerar es el estado actual de seguridad de una organización. Si piensa en

el ejemplo de los edificios, si un edificio ya tiene vidrio a prueba de balas, paredes gruesas,
vallas perimetrales, etc., no necesita presupuestar esas contramedidas. Del mismo modo, si
su infraestructura de TI ya cuenta con contramedidas de seguridad, no necesita
comprarlas nuevas. No necesita pagar para instalarlas. No necesita enviar a todo su
personal para recibir capacitación. Por lo tanto, una organización que tiene una
infraestructura de TI fundamentalmente segura generalmente puede dedicar menos
fondos a su presupuesto para la seguridad.

Un presupuesto de seguridad típico

Los presupuestos de seguridad generalmente se asignan a los gerentes de seguridad. Como
se afirma tristemente, la mayor parte del tiempo el presupuesto de seguridad de TI es un
porcentaje específico del presupuesto de TI. A menudo no se integra con el presupuesto de
otros departamentos de seguridad. El gerente de seguridad de TI debe elegir las
contramedidas para implementar en función de ese presupuesto. Con frecuencia, un gerente
de seguridad solicita un presupuesto mayor, porque quiere implementar Contramedidas
específicas. La lógica que usan es que se necesitan Contramedidas. Desafortunadamente,
estas personas con buenas intenciones nunca proporcionan una verdadera justificación
financiera, solo una presentación de intuición. No es que yo creo que la intuición es
incorrecta, sino que no se presenta de una manera que la administración pueda justificar
fácilmente. En este caso, el riesgo resultante es completamente aleatorio. El gerente de
seguridad de TI típicamente gastará una gran parte de su presupuesto en "productos
básicos" como software antivirus, cortafuegos, evaluaciones anuales, etc. En muchas
empresas, una gran parte del presupuesto se asigna a las pruebas de cumplimiento exigidas
por la ley, como el cumplimiento de HIPAA y SOX.

Generalmente, esto no deja mucho dinero para realizar mejoras. La única esperanza que
tienen muchos gerentes de seguridad de implementar nuevas Contramedidas es que los
auditores que realizan las pruebas de cumplimiento establezcan que se requieren las
Contramedidas para pasar las pruebas. Una vez más, no hay consideración proactiva a la
pérdida resultante que una organización puede experimentar.

Determinar un presupuesto de
seguridad
La razón por la cual una organización bien segura necesita un presupuesto de seguridad más
pequeño es porque ya han implementado muchas contramedidas y tienen menos
vulnerabilidades. Es así de simple. Es posible que tenga que pagar para mantener las
Contramedidas, pero que generalmente es menos costoso que comprar o implementar
inicialmente las Contramedidas. Los pasos a continuación para determinar un presupuesto
de seguridad es hacer lo siguiente:

1. Determine las vulnerabilidades que existen

2. Determine la pérdida probable de cada una de esas vulnerabilidades

3. Determine las contramedidas que pueden mitigar las vulnerabilidades

4. Determine el costo de las Contramedidas

5. Determine si una Contramedida puede mitigar más de una Vulnerabilidad

6. Elija las contramedidas que tienen un claro retorno de la inversión (ROI)

7. Calcule el presupuesto requerido para esas contramedidas

Esta metodología financieramente justificada para determinar los presupuestos de

seguridad. Si la administración decide no financiar una Contramedida recomendada, puede
decirles que si no aprueban $ X en el presupuesto, probablemente genere $ Y de pérdida.
Está poniendo los archivos en la administración, quien tomó la decisión consciente de
ignorar tu consejo.

Presupuestos multianuales
A veces no es financieramente o logísticamente factible implementar todas las
contramedidas deseados dentro de un solo year.In este caso, es necesario fi gura el estado
ideal y el período de tiempo es probable que se necesita para conseguirlo a ese state.At
ese momento, luego puede calcular el presupuesto anual para todas las Contramedidas
deseadas.

Recuérdele al CIO que yo significa

información
Con frecuencia, la gerencia superior tiene dificultades para tomar en serio a una persona
de seguridad cuando comienzan a hablar en términos comerciales. El hecho es que el Jefe
de Información es un puesto relativamente nuevo en el mundo de los negocios.
Anteriormente, el profesional de TI más experimentado era vicepresidente o director de
TI, que solía informar al director financiero. Esto se conocía como el concepto de gestión
de sistemas de información. A fines de la década de 1980, las empresas comenzaron a
adoptar el concepto de Gestión de Recursos de Información (IRM). Este es el concepto
fundamental de que el verdadero valor de los sistemas informáticos es la información o los
servicios que proporcionan las computadoras. Dado que la información era tan valiosa como
el dinero para las organizaciones, la persona a cargo de los sistemas informáticos se elevó
en estatura a una posición de nivel C. Una vez más, se percibe que la información y no los
sistemas informáticos tienen valor. Desafortunadamente, toda la mentalidad de seguridad
que describo, acerca de los esfuerzos de seguridad que reciben presupuestos aleatorios, es
con la mentalidad de gestión de los sistemas de información. La seguridad no ha alcanzado
los principios de IRM. Entonces, si encuentra resistencia al implementar la metodología de
Riesgo que describo, debe recordarle al CIO que su título no es el de Jefe de
Computadora, sino el de Jefe de Información.

Hacer del riesgo una decisión

consciente
Hay muchas formas en que puede gastar dinero en seguridad. Si elige gastar el dinero que
le asignan al azar, está arruinando su seguridad al azar. No es fácil evaluar el riesgo, ni
para usted ni para su empresa. Por otra parte, nadie dice que se supone que las cosas son
fáciles. Francamente, de cualquier manera parece que tienes un trabajo difícil. Si no tratas
de calcular el Riesgo a propósito, definitivamente tendrás mucho que manejar, porque los
incidentes ocurrirán por todas partes. Si pasas por el problema y calcule el riesgo, es
probable que tenga mucho más control cuando ocurran incidentes y la pérdida se reducirá al
mínimo. Cuando puede presentarle a la administración una idea clara de los costos y
beneficios asociados con sus solicitudes de presupuesto, está haciendo de Risk una decisión
consciente para usted y su organización.

CAPITULO 5
Lo que hace un maestro
He estudiado varias formas de artes marciales, logrando diferentes niveles de experiencia
en cada una. Aunque la mayoría de la gente cree que los cinturones negros o los maestros
de artes marciales conocen algunas habilidades especiales y misteriosas que requieren años
de dedicación para alcanzarlas, mientras más estudiaba, más me se dio cuenta de que no
había ningún secreto. El hecho es que solo hay muchas formas de golpear, patear y
bloquear. Un maestro, por definición, es alguien que ha dominado algo. Para dominar
cualquier cosa, se necesita una combinación de aprendizaje de habilidades básicas y
perfeccionamiento de esas habilidades. a través de la práctica. En las artes marciales, un
maestro ha aprendido y perfeccionado los principios básicos de golpear, patear y bloquear.
Por ejemplo, un maestro ha practicado su arte para aprender a golpear con fuerza y dónde
golpear para maximizar su efectividad. Han practicado contra muchos tipos diferentes de
oponentes, por lo que saben cómo aplicar sus técnicas mejor contra diferentes tipos de
cuerpo y estilos de lucha. El maestro puede combinar lo básico de maneras que parecen
místicas. A medida que perfeccionas algunas habilidades, puedes aprender otras.
Fundamentalmente, sin embargo, hay poca diferencia en la base de conocimiento de un
cinturón blanco en comparación con un cinturón negro. El cinturón negro ha tenido
significativamente más práctica y conocimiento en la aplicación de los fundamentos. Un
cinturón negro, sin embargo, no es necesariamente un maestro. Hay muchos cinturones
negros que en realidad son apenas competentes. Aprenden lo suficiente como para pasar las
pruebas e incluso pueden parecer muy impresionantes para los que no practican. Sin
embargo, no han dedicado el tiempo. practicar, desarrollar y refinar sus habilidades como
los maestros tienen, o incluso como un artista marcial devoto. Asimismo, existen niveles de
"Máster" en una variedad de otras actividades. Por ejemplo, también soy Dive Master. Sin
embargo, tuve que aprender algunos temas específicos sobre las inmersiones y la seguridad
de buceo, el grueso de los criterios involucrados en obtener un Dive Master calificación
involucrada demostrando un dominio de 20 habilidades básicas de buceo. Hay
clasificaciones maestras similares en campos profesionales como plomería. Una vez que
identifique los conceptos básicos que las personas deben aprender para ser designados
como Maestros en su tarea determinada, cualquiera puede aprender a ser un maestro,
asumiendo que tienen la dedicación para practicar y perfeccionar esos principios básicos.
Claramente, esos principios básicos deben definirse claramente y recibir la tutoría u otra
ayuda pueden ayudar al proceso. Debo decir que esto suena más fácil de lo que realmente
es, y eso en realidad es algo bueno. Específicamente afirmé que alguien necesita dedicación
para practicar. Por supuesto, muchas personas quieren convertirse en Maestros. La
realidad, sin embargo, es que no quieren poner el trabajo requerido en la práctica y el
estudio de dominar los conceptos básicos necesarios. Sin una pasión y disciplina para el
esfuerzo elegido, no es probable que una persona lo domine. Sin embargo, solo porque usted
no sea un maestro en un campo, eso no significa que no pueda desempeñarse
competentemente en ese campo. Por ejemplo, aunque hay relativamente pocos Dive
Masters, decenas de millones de personas han buceado de forma segura alrededor del
mundo. Tienen una comprensión aceptable de la seguridad y las habilidades básicas de
buceo, y pueden usar esas habilidades en el mundo real. De manera similar, no es necesario
ser un fontanero maestro para instalar de manera competente un grifo con fugas, solo
necesita una comprensión básica de la mecánica del grifo y del equipo adecuado. Del mismo
modo, es muy importante darse cuenta de que solo porque puede instalar un grifo, no lo
convierte en un maestro fontanero. Solo porque puede bucear con seguridad, no lo
convierte en un Dive Master. Si bien puedes aplicar las habilidades básicas, un maestro
tiene un conjunto más amplio de habilidades y puede aplicar un amplio conjunto de
habilidades en un amplio conjunto de circunstancias. Por ejemplo, solo porque puedes
reparar un inodoro con goteras, no funciona. Esto significa que usted es capaz de diseñar la
plomería para un edificio de gran altura. Otra habilidad clara que tiene un verdadero
maestro es que comprende los límites de su dominio. Por ejemplo, un Maestro de Karate de
Kenpo Estadounidense no va a pretender ser un experto en Kung Fu. Para ese asunto, el
Maestro de Kenpo Karate de los Estados Unidos no pretende ser un maestro en el Kenpo
chino. Sin embargo, es probable que el Maestro de Kenpo americano haya estudiado los
conceptos básicos de las otras artes para estudiar cómo aplicar sus técnicas contra las
otras artes, y para refinar su arte con componentes de las otras artes que estudian.
Irónicamente, sin embargo, la persona de la que hablé en el primer capítulo, que era
realmente una maestra en "piratería informática", que pensó que revisar las puertas para
ver si estaban cerradas era todo lo que se necesitaba para la ingeniería social, no apreció la
conceptos de las otras artes que componen el amplio campo de la Seguridad de la
Información. Tristemente, creo que su dominio de la seguridad informática será limitado,
porque él o ella no comprende ni aprecia la experiencia requerida en inteligencia humana,
por lo que no dedicará tiempo a estudiar cómo mejorar sus habilidades en esa área.
Tampoco podrá apreciar plenamente los componentes que deben incluirse en un programa
de concientización de seguridad para dirigirse a personas bien capacitadas que realizan
inteligencia humana contra su propia organización.

Dominar la seguridad informática

¿Cuáles son los conceptos básicos de seguridad informática? Mucha gente argumentará que
hay innumerables tecnologías y disciplinas dentro de la seguridad informática, por lo que
hay innumerables conceptos básicos. Una vez más, los conceptos básicos deberían ser
independientes de las tecnologías. Con esto en mente, hay dos formas fundamentales de
entrar en computadoras (por ejemplo, piratear). Simplemente son:

1) aprovechar problemas integrados en el software y hardware, y

2) aprovechar la forma en que un usuario o administrador configura y usa la

computadora o red.

Aprovechando los problemas

incorporados en el software
En cuanto a la forma en que alguien aprovecha los problemas incorporados en el hardware o
el software, se basa en el hecho de que todo el software tiene errores. Todos pueden
aceptar que hay errores en el software. Todo el mundo ha experimentado un bloqueo de la
computadora o hacer algo molesto o inesperado. Esto es un error de software. El hardware
de la computadora también tiene software incorporado, como un firmware. Como todos los
usuarios de computadoras experimentan, diferentes errores crean problemas diferentes.
Algunos errores crean privilegios elevados o causan filtraciones de información. Estos
errores son lo que se conoce como vulnerabilidades de seguridad. Según el Equipo de
Respuesta a Emergencias (CERT), estas vulnerabilidades de seguridad son la causa de 30
por ciento de ataques informáticos exitosos. En general, una computadora tiene un sistema
operativo. Un sistema operativo no es un programa de computadora único, sino un conjunto
de miles de programas de computadora que controlan el hardware de la computadora e
interactúan con los programas de aplicación que le dan un propósito a la computadora.
Cuando compra una impresora u otra pieza de una computadora, tiene que agregar un
"controlador" que es esencialmente otro programa de computadora agregado al sistema
operativo. Puede existir una vulnerabilidad de seguridad en cualquiera de los programas que
comprenden el sistema operativo. La gravedad de la vulnerabilidad depende de una variedad
de factores. Puede causar daños menores o posiblemente otorgar a un atacante el control
total de todo el sistema. Luego están los programas de aplicación. Incluyen procesadores
de texto, hojas de cálculo, videojuegos, navegadores web y cualquier otro programa que
instales en la computadora para hacer algo más que sentarse en una esquina. Mientras
muchos lectores pueden pensar en esto como solo Afectando a las PC, incluso las
computadoras grandes como los mainframes tienen aplicaciones de software. Si bien la
mayoría de las personas y organizaciones compran su software de aplicaciones, la mayoría
de las organizaciones también crean su propio software o hacen que alguien lo cree. Por
ejemplo, la mayoría de los sitios web se crean con software desarrollado a medida. Además,
casi todas las empresas comprarán una administración de base de datos sistema, con
frecuencia escriben sus propios programas para acceder a los datos dentro del sistema.
Las vulnerabilidades de seguridad pueden existir en cualquier programa de software. El
daño resultante depende del error subyacente. Por ejemplo, un error común para los sitios
web que brindan información de la base de datos se denomina Inyección de Inyección
Lenguaje de Consulta Estructurado (SQL). SQL es un lenguaje de base de datos solía
solicitar información a la base de datos. Si el software del sitio web está mal escrito,
puede permitir que un atacante ingrese sus propios comandos SQL a través del servidor
web y en la base de datos, y obtenga más información de la que el sitio web permitiría. Un
ejemplo de una vulnerabilidad de seguridad incorporada en un sistema operativo es que las
versiones de Windows 95 almacenaban la contraseña del usuario en un archivo en la
computadora. Todo lo que tenía que hacer era buscar en el archivo para robar la
contraseña. Algunas vulnerabilidades de software son tales que cualquier atacante que
pueda conectarse a la computadora puede tomar el control por completo. Otras
vulnerabilidades requieren que la víctima realice una acción, como abrir un archivo de
Microsoft Word que contenga un ataque contra un error en Microsoft Word. Una vez más,
todo el software tiene errores y algunos de esos errores serán vulnerabilidades de
seguridad.
¿El software de Microsoft tiene más
vulnerabilidades que otro software?
Fundamentalmente, la respuesta es tal vez. Sin embargo, esto no significa que un
sistema Microsoft será menos seguro que otro software mientras esté en uso. El
problema subyacente con el sistema operativo Microsoft Windows / Vista es que tiene
una gran cantidad de funcionalidad incorporada. En realidad tiene mucha más
funcionalidad que un sistema operativo típico. Para tener esa funcionalidad, hay más
software. Mientras más software, mayor es el potencial de errores y, por lo tanto,
más posibilidades de vulnerabilidades de seguridad. Esto, sin embargo, no significa que
tiene que haber más vulnerabilidades de seguridad. Aunque las personas lo han
intentado, nunca ha habido un sistema operativo escrito sin vulnerabilidades de
seguridad. Microsoft ha mejorado significativamente sus prácticas de software en la
última década, y sus sistemas operativos tienen tasas de vulnerabilidades
significativamente más bajas que la mayoría de otros programas. Macintosh tiene sus
comerciales que le hacen creer que las computadoras Macintosh son menos susceptibles
a las vulnerabilidades de seguridad. El hecho es que esto puede deberse a que menos
personas usan computadoras Macintosh y, por lo tanto, son significativamente menos
atractivas para los hackers. Se han encontrado muchas vulnerabilidades en
computadoras Macintosh y aún no se ha establecido que las prácticas de programación
de Macintosh sean más seguras que las de Microsoft. De cualquier forma, el problema
principal que determina qué tan segura es una computadora es qué tan bien se
mantiene. El Servicio de actualización de Microsoft permite descargas gratuitas y
automáticas de nuevos parches de seguridad. Si habilita el servicio, es probable que
su computadora esté a salvo de la mayoría de los ataques actuales. Si compara una
computadora Macintosh que no se mantiene bien con una computadora con Windows
bien mantenida y actualizada, la computadora Macintosh será mucho menos segura. Si
la situación se revierte, la computadora de Windows sería menos segura.

¿Cómo se encuentran estos errores?

Los problemas con las vulnerabilidades de seguridad son que están integrados en el
software desde el momento en que se lanzaron. Se supone que nadie sabe que están allí en
primer lugar. Como con todos los errores de software, las vulnerabilidades de seguridad se
encuentran a medida que las personas usan y pruebe el software. A veces la gente tropieza
con las vulnerabilidades. Después de todo, si tiene cientos de millones de personas que usan
algo, alguien eventualmente hará algo que no fue contabilizado por el software. Luego hay
personas que buscan vulnerabilidades de software. Estos son los piratas informáticos en el
verdadero sentido de la palabra. El capítulo que analiza la comunidad de hackers tendrá
más detalles al respecto, pero por ahora, estamos hablando de las personas que usan sus
herramientas de prueba personalizadas o las herramientas genéricas de prueba de
software para encontrar errores. en el software. La naturaleza del "hacker" determina qué
ocurre con la vulnerabilidad. Si el hacker es un profesional legítimo, informaría el problema
a la compañía de software y les proporcionaría la información necesaria para solucionar el
problema. Luego, la compañía de software tiene que Solucione el problema. A veces, aunque
parezca una solución simple, puede llevar semanas resolver el problema. Un proveedor de
software, como Microsoft, por ejemplo, tiene que probar su archivo para asegurarse de que
no crea un problema. en otro lugar en el software. Si el hacker tiene intenciones delictivas,
no divulgarán la información sobre el problema para que puedan explotarlo para sus propios
fines. Algunas personas son impulsadas por el ego, y quieren obtener la información para
ganar notoriedad. En este caso, las personas podrán explotar el problema antes de que
pueda ser arreglado.

Reparación de vulnerabilidades de
seguridad del software
No importa cuál sea la vulnerabilidad del software, el software debe ser reescrito y luego
reemplazado. Es básicamente así de simple en concepto. Lo digo en concepto, ya que muchas
personas y organizaciones no actualizan su software a medida que está disponible. El
Servicio de Actualización de Windows frecuentemente busca nuevos archivos de software
para actualizar. Otros sistemas operativos tienen características similares, sin embargo,
todo depende de que los usuarios realmente lo hagan. uso del sistema de actualización o, de
lo contrario, buscar e instalar las actualizaciones por su cuenta.

Aprovechando cómo se configura o se

mantiene la computadora
De acuerdo con el CERT, la gran mayoría de los ataques no involucran ataques que resultan
de errores de software, sino de software seguro que se configura, mantiene o utiliza de
forma insegura. Por ejemplo, perdí la pista hace una década en cuanto a la cantidad de
contraseñas al igual que la identificación del usuario dentro de las grandes compañías. Las
contraseñas predeterminadas en los dispositivos de red también permiten el compromiso
después de un compromiso. Algunas veces las contraseñas son fáciles de adivinar, como la
historia que conté de una mujer que tenía el ID de usuario "kirk" y la contraseña " capitán.
"Elegir contraseñas incorrectas no son los únicos errores de configuración. El
endurecimiento del sistema se refiere a la configuración de las opciones de la computadora
para hacer que la computadora sea segura. Esto primero implica asegurarse de que se
actualice todo el software apropiado, como se describió anteriormente. Los programas de
computadora que no son necesarios están apagados. Los grupos de usuarios están definidos
y los miembros del grupo solo obtienen los permisos mínimos que necesitan. Del mismo
modo, se establecen permisos para todos los archivos en la computadora. En la mayoría de
los casos, también debe asegurarse de que la seguridad software, como antivirus, antispam
y firewall personal, se cargan en el sistema. Aquí simplifico demasiado el proceso, pero hay
cosas muy distintas que se deben hacer en una computadora para protegerlo. Proteger la
computadora en primer lugar es solo un pequeño paso. A partir de ese momento, las
personas utilizan el sistema informático y pueden deshacer incluso los mejores
procedimientos de seguridad. La gente puede restablecer las contraseñas o escribir sus
contraseñas junto a la computadora. Pueden dar la contraseña por teléfono o responder a
un ataque de phishing. Los administradores también pueden arruinar la seguridad de una
manera importante. Hay un dicho que dice: "Errar es humano". Para complicar las cosas
realmente se necesita un administrador”. Los administradores pueden crear problemas
accidentalmente, ingenuamente o cambiando deliberadamente las configuraciones de la
computadora que insegura la computadora. En algunas ocasiones, he sido testigo de que los
administradores hacen que los sistemas sean menos seguros debido a la frustración. Por
ejemplo, después de instalar un firewall y configurarlo para que sea lo más restrictivo
posible, el administrador comenzó a recibir quejas. Cuando la gerencia comenzó a agregar
su apoyo a las quejas, los administradores decidieron simplemente permitir que todo el
tráfico de la red entrara y saliera de la red. Por supuesto, esto hizo que el firewall fuera
esencialmente inútil, pero pudieron decir que tenían un firewall y no recibieron más quejas.
La forma en que las personas construyen una red puede hacer que la seguridad sea ineficaz.
Por ejemplo, pueden colocar sistemas informáticos críticos fuera de una red segura. La
gente sigue colocando módems y conexiones de puerta trasera en las redes, lo que
básicamente evita algunas de las mejores contramedidas de seguridad. Personas en su
organización o en su hogar. Las laptops inseguras conectadas a una red que de otro modo
sería segura pueden traer software malicioso.

Hay muchas maneras de configurar incorrectamente un sistema o red de computadoras.

Todas estas configuraciones erróneas son bien conocidas y, por lo tanto, fáciles de
explotar. Así como las herramientas se pueden automatizar para buscar errores en las
herramientas de software, la mayoría de las herramientas de escaneo también buscan
vulnerabilidades de configuración. Con los miles de programas en una computadora típica
que en su mayoría están escritos de manera segura, hay un número casi infinito de formas
de configurar ese software incorrectamente. Utilizando una analogía con el automóvil:
mientras están compuestos por miles de piezas que pueden fallar individualmente y causar
un accidente, salvo un puñado de fallas, el error del conductor puede ser de una u otra
forma. Ese error puede ser el de otros controladores. Del mismo modo, en Internet, puede
hacer todo perfectamente y dejarse llevar por las acciones de los demás. Debo decir que
creo que otro tipo de problema de configuración no es mantener apropiadamente el
software actualizado. Si bien es cierto que el problema subyacente es que hay un error en
el software, el hecho es que el error sería fijo y no una amenaza de seguridad más
prolongada si existiera un proceso para buscar e instalar los parches de software de forma
proactiva. Los estudios realizados por la Agencia de Sistemas de Información de Defensa
encontraron que el 97 por ciento de los ataques exitosos contra el Departamento de
Defensa se podían prevenir. Fuera del Departamento de Defensa, es probable que el
número sea superior al 99 por ciento. Esto significa que una acción humana razonable
habría evitado los ataques en todos menos en algunos casos raros.

Previniendo las Vulnerabilidades de

Configuración
Al igual que el endurecimiento del sistema aborda las vulnerabilidades del
software, debe ocuparse de los problemas de configuración. Estos documentos
están disponibles para una variedad de tipos de sistemas informáticos en los sitios
web NIST y NSA.

¿Puedes dominar la seguridad de la

información?
Francamente, no tienes que dominar la seguridad de la información para protegerte
adecuadamente. Si recuerdas abordar los aspectos básicos y no te sientes abrumado por la
tecnología subyacente a los conceptos básicos, es relativamente fácil estar lo
suficientemente seguro como para que la mayoría de los atacantes se muevan. en objetivos
más suaves. Un lego puede asegurarse de manera razonable, pero no puede, diseñar un
programa de seguridad corporativo o asegurar una gran red. Convertirse en un maestro
requiere que le encante lo que está haciendo. Significa que quiere entender lo que se
refiere a lo básico. Significa que estudias patrones en los sistemas informáticos para que
puedas predecir dónde habrá vulnerabilidades en los sistemas nuevos. Al igual que un
maestro de artes marciales estudia una variedad de otras artes marciales para comprender
y mejorar su propio arte, un maestro de seguridad de la información estudiará el negocio y
la tecnología para que puedan mejorar sus propias habilidades.

CAPITULO 6
Caballeros y Dragones
Muchas personas que han visto mis presentaciones saben que paso demasiado tiempo viendo
películas y televisión. Paso tanto tiempo viendo películas y televisión que busqué una forma
de hacerlos deducibles de impuestos. Encontré una manera cuando comencé a ver
tendencias en shows y películas. Lo único que noté fue que, para tener un superhéroe,
necesitabas un súper villano. Sin el súper villano, no hay ninguna razón para el superhéroe.
En cada historia sobre un valiente caballero, tenía que haber un dragón que fuera de lo
contrario imparable. ¿Qué tipo de historia sería si lo único que un caballero tiene que hacer
es matar malezas? Sin embargo, parece que mucha gente ve muchas películas. Para
presentarse como héroes, crean un dragón para salir a la guerra. Ronald Reagan fue
excelente en la creación de tales imágenes. Se refirió a la Unión Soviética como el "Mal".
Imperio ". Creó un dragón para que la nación se concentrara y se uniera. El mundo islámico
radical llama a los Estados Unidos el "Gran Satanás". Kim il Song usa a los Estados Unidos
como un dragón para cimentar su imagen como el protector de Corea del Norte. George W.
Bush ha creado imágenes a lo largo de toda su Presidencia. Su primer dragón fue el "Eje del
Mal". Claramente, Osama bin Laden era un claro dragón. Cuando se hizo evidente que bin
Laden no iba a ser capturado, Saddam Hussein se convirtió en el dragón. Cuando la gente
criticaba las políticas de Bush mientras los republicanos tenían el control del Congreso,
eran los "medios liberales". Luego estaba Al Zarqawi, que era el líder de Al Qaeda en Iraq.
Mientras escribo esto, Irán se está desarrollando como el continuar. No digo que estas
personas no fueran malvadas, sino que se usaron para crear imágenes que solidificaran el
respaldo de las políticas o los líderes. Francamente, la creación de las imágenes fue una
brillante estrategia política.

Las imágenes no están necesariamente limitadas a los republicanos. El presidente Clinton

hizo el uso más inepto de las imágenes cuando declaró: "Un adolescente con una
computadora es más peligroso que un terrorista con una bomba". Dijo que en un esfuerzo
por obtener apoyo para su crítica estrategias de protección de infraestructura. Osama bin
Laden y Al Qaeda han salido airosos de las imágenes. Les encanta ser retratados como un
enemigo invencible del Gran Satanás. Cada vez que la gente se refiere a bin Laden y Al
Qaeda como la mayor amenaza para Estados Unidos, les hace parecer incluso más poderoso,
y les gana aún más apoyo entre el Islam radical.

El factor FUD
La razón por la que los dragones trabajan en el mundo real es porque crean miedo,
incertidumbre y duda (FUD). Cuanto más incierto es el pueblo, más buscan un caballero para
darles certeza. Mientras más FUD haya, más personas aceptarán contramedidas de
seguridad ridículas. Con frecuencia, las contramedidas de seguridad pueden ser
completamente inútiles, pero hacen que la gente crea que algo se está haciendo. Considere
la reacción del gobierno de los EE. UU. Después de los ataques del 11 de septiembre.
Llegaron a prohibir pinzas en los aviones. La razón por la cual los ataques del 11 de
septiembre fueron exitosos fue porque se les dijo a las personas que cooperaran con los
secuestradores y es probable que vivan la experiencia. En ese momento, alguien podía
simplemente ponerse de pie y decir que tenían una bomba, y todo el avión cooperaría con
ellos. No importaba si los secuestradores tenían un cuchillo, pistola o pinzas. Durante el 11
de septiembre, la gente comenzó a se da cuenta de que ya no se puede cooperar con los
secuestradores. Esta es la razón por la cual los pasajeros del United 93 se rebelaron
contra los secuestradores. En este punto, si alguien saca un par de pinzas y trata de
secuestrar un avión, usted merece morir si lo hacen exitoso. Cada vez que escuche a
personas crear FUD, preste especial atención mientras tratan de manipular a tantas
personas como les sea posible. Puede haber algo razonable de lo que preocuparse, pero
debe ver lo que están tratando de lograr.

Los dragones perdonan la incompetencia

Recuerdo un discurso de Richard Clarke, entonces jefe de contraterrorismo de la Casa
Blanca. Durante el discurso, sacó a colación el caso de la Operación Solar Sunrise. Este fue
un caso donde el Subsecretario de Defensa declaró que el Departamento de Defensa
estaba experimentando "la coordinación y ataque sofisticado "que habían visto. Tres
semanas después, arrestaron a dos adolescentes de California. Una investigación posterior
demostró que se trataba de dos guionistas en el verdadero sentido de la palabra. Lo único
que hicieron fue descargar una herramienta que explotaba vulnerabilidades ampliamente
conocidas de Internet e introdujo algunas modificaciones básicas que le permitieron
escanear secuencialmente el departamento de Computadoras de defensa. Cuando fueron
entrevistados por varios periodistas, se demostró que eran verdaderamente infantiles.
Francamente, el gobierno de los EE. UU. Debería haberse sentido muy avergonzado de que
estos dos adolescentes pudieran comprometer cualquier sistema de computadora bajo su
cuidado. En cambio, Clarke tuvo que andar afirmando la historia de la Administración: "Si
dos adolescentes pueden hacer esto, imagínense lo que un adversario extranjero podría
hacer". En lugar de afirmar que el Departamento de Defensa ha hecho un trabajo tan malo
para protegerse, han confundido dos adolescentes desorientados para atacantes
sofisticados, convierte a los adolescentes en pequeños dragones para dar a entender que
hay dragones aún más grandes por ahí.

Básicamente, el Departamento de Defensa eludió su responsabilidad de tomar precauciones

básicas y creó un dragón para culpar de la situación. Después de todo, incluso un poderoso
caballero podría perder a veces a un poderoso dragón. Debemos perdonar al caballero y
apoyarlo. ya que él es nuestro campeón. Si no tenemos a nuestro campeón, no tenemos a
nadie, y no tener campeón es la derrota.

¿Qué pasa si no eres un caballero?

Si, por otro lado, no te estás retratando como un caballero, si el dragón te derrota, no
importa. Piensa en ello. Nadie espera que los campesinos puedan protegerse de un dragón.
La mayoría de las organizaciones comprometidas toman la posición de que los piratas
informáticos utilizaron métodos avanzados para comprometerlos. Se presentan como
campesinos contra un poderoso dragón. En lugar de admitir que no se protegieron de los
ataques ampliamente conocidos y prevenibles, retratan a los atacantes como supergenios.
Básicamente tratan de desviar la responsabilidad de su falta de acción. La persona
promedio cuya computadora es atacada con éxito también muestra con frecuencia la misma
actitud. Incluso si el ataque explota problemas ampliamente prevenibles, a la gente le gusta
pensar que los hackers son genios. Aunque las "víctimas" probablemente escucharon cómo
proteger el tiempo y las computadoras otra vez, todavía quieren pensar en sí mismos como
las víctimas de un genio malvado.

Los terroristas realmente no son tan

buenos
Usaré terroristas como ejemplo, ya que su imaginería es tan generalizada en todo el mundo.
El hecho es que los piratas informáticos tampoco son tan buenos. Una vez más, los medios y
los políticos aman crear una cara del mal. hay muchos ejemplos de dragones reales que no
se ven.

En mi libro, Spies Among Us, describo un estudio de caso en el que un grupo de ex agentes
de las Fuerzas Especiales pudo hacer estallar un aeropuerto tres días después de recibir la
misión. Cuando lees sobre operaciones terroristas, descubres que planearon su ataques
durante más de un año. El caso de 2006 del grupo terrorista del Reino Unido que planeaba
volar varios aviones en vuelo utilizando explosivos a base de líquido, es un ejemplo por
excelencia. Todavía se desconoce cuándo comenzaron a planear estos ataques. El hecho es
que los terroristas durante meses, e incluso en el momento de su arresto, todavía estaban
aparentemente a meses del verdadero ataque. Los agentes de las Fuerzas Especiales
pueden ejecutar ataques similares en una semana. Somos extremadamente afortunados de
que los terroristas sean mucho menos competentes de lo que se cree que son. Con respecto
a los piratas informáticos, el caso es muy similar. La mayoría de los hackers no tienen las
habilidades increíbles que se les atribuye. Una vez más, yo y las personas con las que he
tenido el honor de trabajar han podido hacerse cargo de las operaciones más importantes
en cuestión de horas, con ciclos de planificación muy cortos. Los delincuentes típicos y los
guionistas tardan mucho más en realizar el mismo tipo de tareas. Desafortunadamente, la
mayoría de las personas y organizaciones se dejan tan vulnerables que incluso personas con
habilidades mínimas pueden comprometerlas. En el mundo de la informática, hay muchos
dragones reales por ahí. El más notorio incluye al ejército chino, que está rastreando
sistemáticamente Internet para detectar cualquier sistema que pueda contener algo
valioso. Se ha documentado que puede comprometer completamente un sistema informático
y borrar todas sus pistas en 20 minutos. Estas personas son extremadamente profesional.
Sin embargo, esto no significa que sean imparables.

La gente de la que realmente debes

preocuparte
Realmente hay clases de personas muy distintas de las que preocuparse con respecto a los
"piratas informáticos", como generalmente se les conoce. Son en términos generales:

■ Genios de la computadora real

■ Profesionales
■ Oportunistas
■ Script kiddies

Verdaderos genios de la computadora

Ya describí que existen vulnerabilidades informáticas integradas en el software. Sin
embargo, no es que los desarrolladores de software liberen software a sabiendas con
errores. Sin saberlo, están escritos en el software. Mientras que algunas de las
vulnerabilidades se hacen evidentes después del uso generalizado, se descubren otras
vulnerabilidades. mediante pruebas detalladas del software por parte de personas que
miran específicamente las vulnerabilidades de seguridad. Con frecuencia, estas personas
tienen herramientas que deberían haber estado disponibles para los desarrolladores.
Algunas veces las herramientas se desarrollan a medida. De cualquier forma, se requiere
una gran comprensión del software. Estas personas pueden ser autónomos o hacer esto por
contrato. Los autónomos parecen hacerlo por los reconocimientos que conllevan la búsqueda
de vulnerabilidades. Las personas que trabajan por contrato pueden trabajar para una
empresa que desea los elogios para la organización. Muchas empresas de seguridad se han
dado a conocer solo por este tipo de trabajo. Algunas veces las organizaciones son
organizaciones delictivas, que contratan personas para descubrir vulnerabilidades que de
otro modo serían desconocidas para que puedan explotar los sistemas a voluntad. Otras
veces, las organizaciones son agencias gubernamentales que también desean explotar
sistemas a voluntad.

Profesionales
En los últimos años, ha habido un aumento en el número de personas que ponen en peligro
los sistemas informáticos por razones profesionales. Este grupo de personas no
necesariamente encuentra nuevas vulnerabilidades informáticas, pero son expertas en
explotar esas vulnerabilidades. Una vez más, son científicos que consideran la explotación
de sistemas informáticos como un proceso. Muchos de los ataques son automáticos, en los
que solo buscan grandes volúmenes de sistemas informáticos y comprueban si son
vulnerables a ataques ampliamente conocidos. Existe un creciente rango de criminales que
se enfoca en delitos informáticos. Estas personas tienen procesos para comprometer o
utilizar sistemas comprometidos para obtener beneficios. El crimen organizado también ha
comenzado a seguir al dinero hacia el ciberespacio, y ha contratado a mucha gente para
cometer crímenes en su contra. También como implicado, la inteligencia extranjera y las
agencias militares de todo el mundo han creado cuerpos de personas para centrarse en
aplicaciones militares y de inteligencia de computadoras comprometidas en todo el mundo.
Son muy buenos en lo que hacen. También debería incluir organizaciones terroristas en esta
categoría. Están empezando a darse cuenta de que Internet puede utilizarse para promover
su causa. Aunque es muy poco probable que participen en el terrorismo cibernético, están
comenzando a usar Internet para reclutar, comunicarse y recaudar dinero. Un arresto de
Al Qaeda Un miembro de Indonesia también produjo un manual de Al Qaeda sobre delitos
informáticos. Se dan cuenta de que el robo de identidad y los delitos como Hacer clic en
fraude pueden generar millones de dólares en su organización por muy poco esfuerzo.

Oportunistas
Los oportunistas no son profesionales que dedican sus esfuerzos a comprometer las
computadoras. Son personas que realizan acciones criminales que usan las computadoras
como una herramienta para sus delitos. Las computadoras están tan ligadas a la vida
cotidiana que eventualmente están ligadas a crímenes. Recuerde que los internos
malintencionados son la mayor amenaza maliciosa que enfrentan las organizaciones. Dado
que las computadoras están tan ligadas a las funciones comerciales cotidianas, es muy
probable que se utilicen como una herramienta de Los oportunistas generalmente explotan
las computadoras como lo haría un lego. Usan el acceso que normalmente tienen. Pueden
saber o adivinar la contraseña de un compañero de trabajo y explotar eso. A veces, pueden
buscar en Internet para descubrir cómo explotar una computadora. más a fondo, o podrían
encontrar personas que puedan ayudar a explotar las computadoras. De nuevo, sin embargo,
con los oportunistas, la computadora es solo una herramienta ad hoc para sus esfuerzos.

Script Kiddies
Escribo mucho sobre script kiddies, por lo que debería tener claro cómo los defino. Como
se describió, hay personas que encuentran vulnerabilidades en la computadora. Todos los
demás descubren la vulnerabilidad y luego alguien escribe un programa de computadora
para explotar la vulnerabilidad. El programa puede denominarse técnicamente como un
"guión". Las personas que de otra manera no podrían comprometer una computadora sin
tales guiones se conocen como "kiddies" de guiones. El término básicamente implica que el
atacante tiene muy pocos conocimientos o habilidades informáticas. Comprometen a las
computadoras no porque sean inteligentes, sino porque sus víctimas se vuelven vulnerables
incluso a los ataques más triviales. Sin embargo, estas personas se topan con más que
suficiente sistemas vulnerables. Por lo tanto, pueden causar un gran daño con poca o
ninguna habilidad.

Busque serpientes, no dragones

Los dragones son bestias míticas. Las serpientes son reales y penetrantes. Se encuentran
entre los animales venenosos más comunes en el mundo. A veces, sin embargo, la gente
convierte a las serpientes en dragones. Osama Bin Laden es una serpiente y una pequeña
serpiente. Sin embargo, se lo está convirtiendo en un dragón. Probablemente esté muy
agradecido por eso. Mientras que los votantes aparentemente hicieron del terrorismo el
factor decisivo en las elecciones presidenciales de 2004, vimos decenas de miles de
muertes por accidentes automovilísticos. Decenas de miles de personas murieron durante
crímenes aleatorios. Cientos de miles de personas murieron a causa de enfermedades del
corazón y otras formas de obesidad. causas relacionadas. Aunque me encantan las
rosquillas, las donas son claramente responsables de muchas más muertes estadounidenses
que el terrorismo. Todo esto es una prueba de que estamos más preocupados por los
dragones míticos que las serpientes comunes de todos los días. Si quieres mejorar tu
postura de seguridad, debes preocuparte por las serpientes.

No sufras la muerte por 1,000 cortes

Toda la atención se presta a los ataques dramáticos u otros eventos importantes. El hecho
es que perdemos mucho a diario por cosas pequeñas que ni siquiera consideramos. Al mirar
las computadoras, considere cuánto tiempo pierde al tener que revise y elimine el correo
basura. Piense cuántas veces se bloqueó su computadora, dejándolo con pérdida de datos o
al menos tiempo para recuperarse. Las pérdidas de datos ocurren regularmente. La gente
también está aterrorizada de algún tipo de ataque informático a gran escala, pero los
desastres naturales ocurren con regularidad. Piense en el daño que el huracán Katrina causó
a los activos de la computadora. Hay muchos más huracanes que causaron daños por miles
de millones de dólares. Tormentas de invierno Del mismo modo causar una gran
computadora interrupciones y daños generalizados. Incluso tenemos casos de un solo árbol
cayendo causando apagones generalizados. Sin energía, las computadoras no pueden
funcionar. Entonces, si realmente desea preocuparse por la seguridad y el riesgo, debe
observar la probabilidad de los eventos. Una vez más, debe enfocar su atención en las
serpientes, no en los dragones.

CAPITULO 7
El ciber-terrorismo no es
efectivo
Se ha prestado mucha atención a la amenaza de los ciberterroristas, tanto así que creo que
es importante abordar este tema en un capítulo separado. Una vez más, cuando el
presidente Clinton hizo su declaración de que un adolescente con una computadora es más
peligroso que un terrorista con una bomba, lo estaba haciendo para llamar la atención sobre
la amenaza del ciberterrorismo. La realidad es que existe un problema potencial con los
terroristas que intentan crear daños mediante el uso de computadoras. Como dije en el
capítulo anterior, los terroristas han encontrado algunos usos realmente buenos para
Internet: reclutamiento, comunicaciones y financiamiento. Como es tan fácil crear daños en
Internet, teóricamente es posible que los terroristas también creen daños en Internet. Sin
embargo, el problema es que es realmente fácil crear daños en Internet. Más importante
es que pocas personas confían en las computadoras para empezar. Cuando tomé cursos de
inteligencia a lo largo de mi tiempo con la NSA, una cosa que aprendí fue que hay
definiciones específicas de guerra y temas relacionados. Por ejemplo, la guerra se define
como el uso de la fuerza militar para lograr un objetivo político. Puede ser entonces
extrapolar que el terrorismo es el uso del miedo, la incertidumbre y la duda (FUD) para
lograr un objetivo político. Por ejemplo, se puede afirmar que los terroristas que iniciaron
los bombardeos del metro de Madrid tuvieron éxito en sus objetivos de terrorismo. Iban
con el objetivo político de lograr que España se retirara de la fuerza multinacional en Iraq.
Luego de los bombardeos, que ocurrieron días antes de las elecciones, el presidente fue
derrotado y el sucesor retiró las tropas españolas de Irak. Es importante señalar que el
objetivo del terrorismo es lograr el terror, no el daño. Francamente, en estos días es
realmente fácil crear terror sin crear daños. Pon un video que amenaza el terrorismo en el
metro, y CNN y Fox News saltarán por todas partes, y entonces todos tendrán miedo de
viajar en el metro.

Por otro lado, imagínense si amenazan con derribar las computadoras. En primer lugar,
pocas personas confían en las computadoras. Ya están acostumbradas a que las
computadoras se bloqueen. Lo más importante es que no es probable que afecte la forma en
que hacen negocios. . La razón es que para realmente crear FUD, debe amenazar la vida de
las personas. Para lograr que las personas cambien la forma en que se comportan, deben
pensar que sus vidas están en peligro.

Ántrax contra Nimda

No creo que me quedara claro cuán ineficaz podría ser el ciberterrorismo de lo que era una
semana o dos después de los ataques del 11 de septiembre. Como mucha gente podría
recordar, este fue el momento en que los sobres con ántrax fueron enviados a una variedad
de lugares. en todo el país. La nación estaba aterrorizada. Piense en cuán efectivos fueron
los ataques. La gente tenía miedo de revisar y abrir su correo. Esa es una actividad que es
tan fundamental en nuestra vida cotidiana. Varios días después, recibí una llamada de un
periodista de CNN que me pedía que fuera al estudio y me interrogaran sobre un nuevo
ataque informático que estaba sucediendo. El periodista dijo que el FBI iba a decir que el
ataque informático está relacionado con el terrorismo. Le pedí al periodista detalles sobre
el ataque y le dije que sonaba casi idéntico al gusano "Code Red". Dijo que este se llamaba
Nimda y que, como estaba relacionado con el terrorismo, CNN iba a cubrir eso. Dos horas
después, recibí una llamada del periodista que decía que la entrevista había sido cancelada.
Dijo que el FBI declaró que Nimda no estaba relacionado con el terrorismo, por lo que no
era noticia para los altos mandos de la CNN. Respondí que, dado que Nimda era tan similar a
Code Red, Nimda probablemente causaría miles de millones de dólares en daños como Code
Red. Era una historia comercial importante. El periodista declaró que sabía esto, pero dado
que no estaba relacionado con el terrorismo, el daño informático al azar no era lo
suficientemente importante. Si bien no quiero minimizar una sola muerte, el hecho es que
Anthrax mató a diez personas en un período de dos meses. Una vez más, muchas más
personas murieron al comer rosquillas durante ese mismo período de tiempo. Nimda pasó a
costar al mundo miles de millones de dólares en daños, pero solo estuvo relacionado con la
computadora.

Es más fácil explotar las cosas

Teóricamente es posible crear un daño potencialmente catastrófico a través del pirateo
informático. El problema es que las estrellas tienen que alinearse para que esto ocurra. Hay
muchas cosas que también están fuera del control del potencial terrorista. Así que, incluso
si El terrorista encuentra una manera de crear algún daño, no es la forma más fácil de
realizar un acto terrorista. Es más fácil que un terrorista pueda derribar una parte de la
infraestructura. Si bien es posible que no puedan obligar a un transformador a explotar, es
posible que puedan apagar el generador por un período de tiempo. Sin embargo, el daño es
probable que sea a corto plazo, ya que eventualmente las computadoras pueden reiniciarse.
Por otro lado, es mucho más fácil explotar algo. Hay muchos objetivos fáciles en todo el
país. Si piratea un transformador, podría estar inactivo por unas semanas. Si hace explotar
un transformador, estará fuera durante seis meses. Más importante aún, el acto de volar
algo crea un miedo a la muerte. Da a la gente la impresión de que puede suceder en
cualquier lugar, y la gente de todo el país estará aterrorizada.

¿Qué es un terrorista?
Los terroristas quieren crear FUD. Cada vez que ve a alguien crear FUD por cualquier
razón, cada vez que escuche a alguien diciéndole que tenga miedo, es un terrorista. Alguna
preocupación saludable es buena, pero con demasiada frecuencia están ayudando a los
terroristas más de lo que están asegurando el país. Hay que escuchar a las personas poner
el riesgo en perspectiva con la probabilidad de un ataque. Existe una amenaza terrorista,
pero las medidas extremas que están fuera del alcance del riesgo real están creando el
ambiente que los terroristas quieren.

CAPITULO 8
Sentido común y Conocimiento
común
Una vez di una presentación que el Wall Street Journal describió como "histérica". Si bien
el comentario me felicitó, el hecho fue que era una señal de un estado de cosas muy triste
con respecto a la seguridad. La razón por la que mi presentación fue tan divertida fue
porque describía a "usuarios estúpidos". En realidad, también se describieron muchas
personas técnicas estúpidas en mi presentación, por lo que no deberíamos simplemente
señalar con los dedos a los usuarios finales. Le dije a la historia de la contraseña de
"capitán" en la cuenta de "Kirk". Le conté cómo entraría en las empresas y los empleados
simplemente me entregarían información. Describí cómo conseguí que los guardias de
seguridad me abrieran las puertas cerradas, y cómo conseguir que me den acceso
permanente al Centro de Operaciones Informáticas. Describí cómo me senté con un
administrador, y el administrador comenzó a quejarse de cómo todos usaban las
contraseñas predeterminadas. Luego pasó a decirme cuáles eran las contraseñas. Estas son
solo algunas de las situaciones con las que me encuentro. La razón por la cual las historias
son tan "histéricas" es que desafían el sentido común. Después de todo, cuando estás
sentado en una audiencia escuchando a una persona que compromete la seguridad para
ganarse la vida, todo se pone en contexto. La mayoría de la gente piensa que nunca sería tan
estúpido. Cuando le pregunto a las personas si alguna vez le darían su contraseña a un
desconocido, la gente dice claramente: "¡No!". Sin embargo, cuando le pregunto a la gente
su contraseña como extraña, inevitablemente obtengo una contraseña. El problema
fundamental es el conocimiento de sentido común vs.common. No se puede esperar que las
personas se comporten con sentido común si no tienen un conocimiento común. Si las
personas no tienen una base de conocimiento común, no se comportarán de manera que
tenga sentido. La razón por la que digo que es triste que mis historias sean "histéricas" es
que la comunidad de seguridad tiene hecho un mal trabajo de inculcar el conocimiento
común para que los usuarios puedan practicar el sentido común. Hace poco estuve en un
panel de conferencia sobre el tema del robo de identidad. El moderador del panel preguntó
cuántas personas en el panel fueron capturadas por un ataque de phishing. Nadie lo hizo. De
la misma manera, cuando hablamos con la mayoría de la gente de la comunidad de seguridad,
las personas han sido engañadas por un ataque de phishing. Claramente, hay un conocimiento
común entre los profesionales de seguridad. Sin embargo, por alguna razón, hay personas
más que suficientes que no tienen conocimiento común o que no tienen sentido común. Hay
muchas otras áreas en las que los usuarios no demuestran una comprensión del conocimiento
común: contraseñas, usuarios domésticos que no protegen adecuadamente sus
computadoras, mantienen actualizado el software antivirus, y así sucesivamente. Cuando
hay problemas generalizados, hay claramente un fracaso en la forma en que la comunidad
de seguridad está entregando su mensaje. En un ambiente corporativo, se requieren buenos
programas de concientización sobre seguridad. Cuando se trata del público en general,
todavía no está claro quién es el responsable final para la conciencia de seguridad.

Querer beneficio sin los costos

asociados
En mi opinión, el estado actual de la deficiente seguridad informática y de la información es
que nadie quiere ser responsable. Esto incluye compañías, individuos y el gobierno. Por
ejemplo, el dueño de la computadora es el responsable de cómo está configurada su
computadora. Sin embargo, si configuran o mantienen su computadora insegura,
generalmente no creen que sean responsables de las pérdidas resultantes. Del mismo modo,
si un atacante usa su computadora para atacar a un tercero, no quiere ser responsable de
esas acciones.

Con respecto a las empresas, a pesar del hecho de que los Proveedores de Servicios de
Internet (ISP) obtienen beneficios por vender el servicio de Internet, no quieren aceptar
la responsabilidad de proporcionar una experiencia de Internet segura, como el simple
filtrado de un tráfico de ataque claro. Las empresas acepte tarjetas de crédito sobre la
regulación gubernamental contra incendios para los requisitos de seguridad de la
información de la tarjeta de crédito. No desean ser considerados responsables de su
propia seguridad deficiente, pero sí quieren todos los beneficios que conlleva tomar
tarjetas de crédito a través de Internet. . Hay muchas facciones del gobierno de los EE.
UU. Que realmente quieren ayudar a la situación. Sin embargo, no quieren aceptar ni
asignar responsabilidades. Por ejemplo, aunque la Comisión Federal de Comercio (FTC) ha
realizado algunos procesamientos altamente visibles, los enjuiciamientos tienen han sido
pocos y solo cuando el caso es extremadamente público y atroz. No están tomando medidas
proactivas para exigir a las empresas que se comporten de manera segura. Mientras que la
FTC también está publicando una gran cantidad de información en Internet sobre cómo
prevenir el robo de identidad, la realidad es que la información simplemente se sienta allí.
Del mismo modo, el Congreso no está dispuesto a asignar una responsabilidad definitiva a
nadie con respecto a la protección de los elementos de Internet o los consumidores.
Compare la situación con los automóviles. Se requiere que los usuarios mantengan
adecuadamente sus automóviles, o pueden ser fi nados y los automóviles confiscados. Se
requiere que las compañías mantengan todos sus vehículos seguros, o que puedan ser
fijados y los vehículos confiscados. Las agencias gubernamentales están obligadas a
mantener las carreteras en buenas condiciones. De la misma manera, sus propios vehículos
deben mantenerse adecuadamente. Hay una clara asignación de responsabilidad en todos
los niveles. Aunque se puede argumentar que la seguridad pública está involucrada con los
automóviles, el hecho es que cada año se pierden decenas de miles de millones, sino cientos
de miles de millones de dólares debido a crímenes informáticos fácilmente evitables.

Sin responsabilidad, las personas tienen pocos incentivos para aprender conocimientos
comunes. De hecho, voy a contradecir lo que dije antes diciendo que creo que la mayoría de
la gente ha estado realmente expuesta al conocimiento común. El gran problema es que
muchas personas eligen ignorar el información cuando están expuestos a ella. Algunas
personas cierran sus oídos inmediatamente cuando escuchan que una computadora está
involucrada, pensando que nunca entenderán la información. A otras personas simplemente
no les importa porque creen que nunca serán una víctima. Dado que hay poca
responsabilidad impuesta a las personas y organizaciones, tal vez se podría argumentar que
no tienen que preocuparse. La realidad es que no vas a cambiar el mundo tú solo. Lo que
puedes hacer es asignar responsabilidades donde puedas. Por ejemplo, si se encuentra en
una empresa, puede hacer cumplir las políticas corporativas. Muchas compañías tienen
políticas de seguridad de la información que no se aplican o no tienen sentido. No es
irracional decir que después de una segunda violación de las políticas de seguridad, las
personas recibirán un disparo. Si bien la seguridad en la NSA, donde comencé mi carrera,
no era perfecta, el hecho de que las personas pudieran perder sus trabajos y posiblemente
ir a la cárcel hizo que la NSA fuera más consciente exponencialmente de la seguridad que
cualquier otra organización en el mundo. Puedo decir no existe un gen de seguridad especial
en las personas que trabajan en la NSA. Es solo que, dado que las sanciones son muy claras,
las personas prestan atención cuando escuchan las normas de seguridad y hacen todo lo
posible para practicar los comportamientos apropiados. Si tienes hijos y los encuentras
dando información incorrecta a través de Internet, deberían ser castigados severamente y
privados de sus privilegios. Después de todo, podría significar su vida. Cuando las personas
tienen un sentido de responsabilidad, se comportarán de manera segura.
Desafortunadamente, la mayoría de las personas no tienen ninguna responsabilidad, que es
la causa subyacente de los problemas de seguridad.

Algunas personas son simplemente

estúpidas
Como escribí antes, veo mucha televisión. Uno de mis programas favoritos es Judge Judy.
En un episodio reciente, una mujer demandaba a otra porque el demandado en el caso
anunciaba por un compañero de cuarto en Craigslist. Una persona de Nigeria. respondieron
al anuncio y dijeron que querían la habitación, pero necesitan que se les cobren los giros
postales para que puedan permitirse mudarse a los Estados Unidos. Los giros postales se
enviaron al demandado, quien le pidió a su amiga, la demandante, que pagara los giros
postales . Los giros postales se cobraron. Luego, el demandado conectó el dinero a Nigeria.
Varias semanas más tarde, el banco retiró el dinero de la cuenta del demandante diciendo
que los giros postales se habían falsificado. Lo que fue aún peor fue que, durante el caso, la
demandada dijo que tenía la intención de pagarle a su amiga, porque recientemente recibió
un correo electrónico en el que le decía que un pariente perdido hace tiempo que murió y
que recibirá una herencia multimillonaria Ella le dijo al juez Judy que está pagando los
honorarios e impuestos legales, para que el dinero pueda ser liberado. Hubo un grito audible
de la audiencia. Puede adivinar cómo decidió Judge Judy. Por alguna razón, muchas personas
tienen miedo de reconocer que algunas personas son simplemente estúpidas. Hace poco
asistí a la capacitación de instructor de buceo, y la frase favorita del docente fue: "No se
puede dejar de ser estúpido". Se refería al hecho de que no importa Cuántas veces le dices
a las personas que su comportamiento puede poner en peligro sus vidas, algunas personas
específicamente harán las cosas que tú les dices que no hagan. Luego, cuando esas personas
sean lastimadas por su propia estupidez, tratarán de demandar a cualquiera que puedan. Por
lo tanto, había muchas instrucciones sobre cómo documentar el entrenamiento. Así como un
cierto porcentaje de la población en general será un delincuente (como se analiza en el
próximo capítulo), un cierto porcentaje de la población es simplemente estúpido. Debe
reconocer esto y ponga esto en sus planes. Del mismo modo, le aconsejo encarecidamente
que establezca claramente las expectativas y el castigo para las personas bajo su
responsabilidad. Luego debe imponer las expectativas y el castigo. La estupidez debe
figurar en sus planes. Es fundamental entender a esa gente estúpida no me gusta reconocer
que son estúpidos y, por lo tanto, buscar la mayor cantidad de gente posible para culpar.
Stupid no está limitado a los usuarios finales. El hecho es que hay muchos administradores
y otro personal de computadoras que no son las personas más brillantes del mundo. Puedes
darles la mayor capacitación posible, pero siempre harán cosas que dañen las operaciones. .
Más importante aún, dado el acceso que tienen los administradores, pueden comprometer
rápidamente la seguridad de toda la organización. No estoy diciendo que alguien que sea
víctima de algún tipo de ataque o cometa algunos errores sea estúpido. Todas las personas
tienen malos momentos, sin importar qué tan inteligentes sean. De nuevo, es fundamental
reconocer que algunas personas lo harán con frecuencia. lo incorrecto, incluso si hay
conocimiento común y sentido común en contrario. A pesar de que esto puede ser
políticamente incorrecto, debe reconocerse.

El mago de Oz
Una de mis presentaciones más populares es "Lo que dice el mago de Oz sobre seguridad de
la información". Para resumir, mientras la mayoría de las personas piensa que la moraleja de
la película, El mago de Oz, es "No hay lugar como el hogar". la verdadera moraleja es que
tienes lo que estás buscando. Simplemente no lo sabes o no sabes cómo usarlo. Creo que
esta afirmación es cierta en muchas disciplinas y especialmente en la seguridad. Como
mencioné anteriormente, más del 97 por ciento de los incidentes de seguridad se pueden
prevenir por completo. La razón por la que no se previenen es porque las personas no usaron
las contramedidas a las que tenían acceso. Hay muchas contramedidas que las personas no
activan o usan de otra manera. Por ejemplo, el Servicio de Actualización de Windows puede
hacer que muchos ataques se vuelvan proactivos, si se configuran para ejecutarse
automáticamente. Desde una perspectiva de administración, todos los sistemas operativos
comunes tienen la capacidad de requieren que los usuarios creen contraseñas seguras.
Internet Explorer 7 puede advertir a las personas cuando se están falsificando sitios web.
McAfee Site Adviser realiza funciones similares. A pesar de que soy un gran defensor de
los programas de concientización de seguridad, pocos de ellos han demostrado ser
efectivos. Por ejemplo, hablé con una persona que trabajó anteriormente en el
departamento de seguridad de tecnología de la información (TI) de eBay. Se lamentó de
cómo pasó eBay. Millones de dólares en programas de concientización de seguridad, pero
eBay no vio ninguna disminución significativa en sus miembros que fueron víctimas de
fraude. Una vez más, no fue por falta de intentos. Creo que no importa cuán buenos sean
los programas de concientización, hay demasiadas personas estúpidas para confiar en ellas.
Por ejemplo, incluso si el 99.9 por ciento de los usuarios de eBay hacen lo correcto, eso aún
deja más de 250,000 personas que caerán. víctima de algún tipo de fraude, que cuesta
millones de dólares en daños. Por esa razón, creo que debemos comenzar a utilizar la
seguridad que es omnipresente para nuestras computadoras. Al ampliar la analogía con el
automóvil que comencé, la gente sabe que se pone el cinturón de seguridad y cierra las
puertas cuando suben a su automóvil. Ellos saben cómo mirar. Cuando se van de su lugar de
estacionamiento. Prestan atención a las luces de tráfico y las señales de tráfico. Se
mantienen alejados de los malos barrios. Permanecen dentro de las líneas de la carretera y
observan a los demás conductores. ¿No hay una cantidad infinita de formas en que las
personas pueden matarse a sí mismos o a otros en un automóvil?

A la gente no le importa cuán complicadas son las mecánicas del automóvil. Esto ni siquiera
entra en sus procesos de pensamiento. Las características de seguridad del automóvil son
omnipresentes. Más importante aún, aceptan el papel del sentido común y el mantenimiento
regular. No lo hacen desafiar el hecho de que tienen que poner gasolina en su automóvil.
Aceptan que necesitan inspecciones de emisiones regularmente, así como el hecho de que
han realizado un mantenimiento preventivo, como cambiar el aceite y otros fluidos en el
automóvil. son los costos de poseer un automóvil. Desafortunadamente, las personas y las
organizaciones no quieren aceptar que, al igual que los automóviles, las computadoras
necesitan un mantenimiento regular. Las computadoras son tan críticas para la vida de la
mayoría de las personas como sus automóviles, si no más. Las computadoras necesitan tener
sus sistemas operativos y otro software actualizado regularmente. La gente necesita
gastar dinero en actualizar las licencias de software antivirus al igual que cambian. su
aceite. Lo bueno de todo esto es que estas funciones ahora están generalmente
automatizadas. Solo requieren que el usuario las habilite. Hay mucho por ahí para ayudar a
las personas a protegerse. Todo lo que necesitan hacer es averiguar sobre ellos.

CAPITULO 9
Nunca subestimes la estupidez
de un criminal
Si bien el capítulo anterior destacó la estupidez de muchos usuarios, la buena noticia es que
muchos delincuentes son aún más estúpidos. Por ejemplo, unos cuantos adolescentes
irrumpieron en mi garaje y robaron la billetera de mi esposa desde un automóvil. Decidí
investigar un poco y llamé a todas las compañías de tarjetas de crédito para averiguar
dónde podrían haber usado sus tarjetas los ladrones. Rápidamente aprendí que cargaron
gas en una gasolinera en mi ciudad. Esa era la información más específica que tenían. Pensé
que podría haber estado lidiando con algunos delincuentes experimentados, ya que tienden
a llevar tarjetas de crédito a estaciones de servicio que aceptan tarjetas de crédito en la
estación de servicio, para probar la tarjeta sin tener que interactuar con una persona.
Decidí encontrar la gasolinera específica, ya que la estación podría haber tenido cámaras
de video, y revisar la basura en la estación, ya que los ladrones inteligentes arrojan a la
basura los bienes robados que no necesitan en la basura en la primera oportunidad para
deshacerse de ellos. evidencia. Hay nueve gasolineras en la ciudad y, por suerte, fue la
última a la que asistí. Hice que los empleados de la estación me mostraran sus registros de
tarjetas de crédito en el momento en que me dijeron que la transacción se había realizado
y encontré el crédito número de tarjeta. Le pregunté al asistente actual de turno si tenían
un video de la noche, y no lo hicieron. Luego pregunté quién estaba allí en el momento de la
transacción. Me dijeron que era una mujer que estuvo allí toda la noche, y dijeron que la
llamarían. Recibí una llamada una hora más tarde del encargado de guardia en el momento
de la transacción, y resultó que no solo recordó la transacción, sino que también sabía
exactamente quién era el ladrón. Resultó que eran tres personas. Dos de ellos trabajaron
anteriormente en la estación de servicio, y uno fue arrestado porque se sospechaba que
había robado cosas de los automóviles en su tienda. Mientras usaba la función "Pagar en la
bomba", fue a hablar con el encargado, porque pensó ella podría ver un nombre asociado con
la tarjeta de crédito utilizada aparece en su pantalla y ve que no era su tarjeta de crédito.
Le dijo que estaba usando la tarjeta de su abuela. Básicamente, envolví a los criminales con
una reverencia para la policía, que en realidad estaba investigando a dos de estas personas
por una variedad de otros robos en el área. No hubo nada especialmente brillante que hice
en este caso. Los ladrones fueron increíblemente estúpidos en lo que hicieron después del
robo. Si la policía hubiera puesto el mismo nivel mínimo de esfuerzo en la investigación de
uno de los otros crímenes de los que se sospechaba que estas personas, probablemente los
hubieran atrapado antes de que llegaran a mi garaje. Si bien el caso anterior es claramente
el caso de los imbéciles, he visto niveles similares de estupidez en muchos casos de delitos
mayores. Por ejemplo, en un caso investigué un robo a un sistema informático bancario que
procesa transferencias de fondos; de transferencias de fondos. Empecé a investigar en
detalle qué estaba haciendo el atacante. Encontré muchas puertas traseras en el sistema.
Lo más importante es que se estaba cargando un software importante en el sistema.
Después de examinar todo, resultó que la persona era en realidad un script kiddie que ni
siquiera sabía en qué se metió. Estaba colocando un sitio de warez en el sistema. Un sitio
warez es el término para un sitio de Internet que contiene software pirateado y
frecuentemente herramientas de pirateo. La persona creó un sistema que permite a las
personas publicar y descargar software. Incluso pusieron una nota sobre el sistema con el
siguiente mensaje: "Este es mi sistema. Por favor, no intentes hackearlo ya que solo estás
comprometiendo el bien que estoy tratando de hacer para todos. No lo arruines para otras
personas. "Fue casi cómico. Esta persona irrumpió en un sistema informático que procesó
miles de millones de dólares. un año, y ni siquiera se dieron cuenta. Cometieron un delito
mayor con el propósito de satisfacer su ego ayudando al software pirata del delincuente y
de otra manera entrar en otras computadoras. Podrían haber ido a la cárcel por un largo
período de tiempo. Durante otras investigaciones de robo bancario, vi que los delincuentes
sofisticados también dependen de la estupidez de otros delincuentes. En una investigación,
estaba rastreando las actividades de una persona que supusimos, y encontré que para ser
una suposición correcta, estar afiliado con la Mafia rusa. Era un "hacker" muy avanzado que
conocía muchas técnicas sofisticadas. También utilizó la infraestructura bancaria en su
contra. Vi a esta persona que ingresó a través de una de las conexiones electrónicas del
banco, y salió a través de otros para cubrir sus huellas. Una de las cosas que fue
interesante observar fue cuándo este criminal iría a los tableros de anuncios de hackers y
otros lugares de reunión en línea. Con frecuencia, esta persona fingía ser una adolescente.
Por supuesto, todos los otros hackers estaban sobre él, o ella como ellos pensaban. El
criminal conversaba con todos los otros hackers para tratar de ver qué tan avanzados
estaban. los ridiculizaría para ver qué tipo de acceso podrían haber obtenido ilícitamente. A
los niños de Script les encanta presumir, y aún mejor, este delincuente les proporcionó una
chica para presumir, que parecía entender de lo que estaban hablando e incluso actuar
impresionados. Estaba realmente impresionado con este criminal, ya que manipuló
magistralmente a todos los guionistas para que divulgaran nuevas estrategias de ataque,
sistemas que podría usar como puntos de salto para otros crímenes, cuentas comprometidas
en bancos de todo el mundo y otros puntos de acceso a muchos bancos , lo que incluye mi
objetivo. Claramente, ver sus actividades fue muy educativo para mí. Más importante aún,
me permitió recopilar una amplia variedad de inteligencia sobre objetivos vulnerables, que
incluía a mi cliente, así como a docenas de otras compañías en todo el mundo. Este criminal
también usó una variedad de otras artimañas para hacer que los niños del guion divulguen
información. Una vez más, él aprovechó el la estupidez de otros criminales. En algunos
casos, encontraría personas que decían ser "elitistas" y luego los llamaría estúpidos. Para
tratar de demostrar que son "élites", estos guionistas se jactarían de sus conquistas.
Cuando el criminal dice: "Bueno, si eres de élite, tendrías acceso al Banco X", el script
kiddie a veces decía: "Tengo administrador allí". El delincuente desafiaría al script kiddie
para que lo demostrara, y el niño le daría la dirección específica del sistema informático,
así como la identificación de usuario y la contraseña de la cuenta. El criminal en este caso
podría haber sido un oficial de policía tan fácil. La serie Dateline's Catch a Predator, que
hace que los depredadores infantiles de Internet acudan a una operación encubierta, es
otro ejemplo de cómo los delincuentes pueden ser estúpidos. Al menos una de las personas
atrapadas por el aguijón apareció hasta una picadura posterior. Nunca aprenden. Una y otra
vez, investigo crímenes que son casi cómicos. Como escribí anteriormente, la mayoría de los
crímenes deberían haberse evitado fácilmente. Esto significa que los delincuentes no
necesitan ser muy inteligentes para cometer sus crímenes. Sin embargo, durante la
investigación de crímenes, tengo que asumir lo peor. Tengo que suponer que el perpetrador
podría ser parte de una red de delincuencia organizada, una agencia de inteligencia
extranjera o incluso parte del equipo chino de Titan Rain. Irónicamente, hay muchos veces,
estos perpetradores podrían parecer scripts. La razón es que los delincuentes inteligentes
podrían no querer destacarse. Los administradores inteligentes y el personal de seguridad
se encuentran regularmente con tantos criminales "estúpidos" que tienden a ignorar los
ataques porque supongamos que pueden detener a los delincuentes aficionados en su camino
y pasar a cosas supuestamente más importantes. Los delincuentes inteligentes pasan a
otras tácticas y aumentan la sofisticación de los ataques. Solo después de observar lo que
hace un pirata informático después de ingresar al sistema, usted puede hacer una
verdadera determinación de su intención y nivel de experiencia. De hecho, es
verdaderamente profesional los ataques son pocos y distantes, y hay muchos más criminales
estúpidos que buenos. Como también mencioné, muchos crímenes involucran personas
internas que abusan de sus privilegios. Aunque estas personas conocen su organización
hasta cierto punto, la realidad es que no conocen ni consideran todas las contramedidas que
su organización pueda tener. Dada esto, muchos conocedores dejan tantas huellas
flagrantes, que si superas el factor de traición, los crímenes parecen cómicos. Una vez me
pidieron asesorar a una empresa donde el gerente de seguridad de la información estaba
implicado en publicar información corporativa no oficial en Internet. El personal
corporativo creía que era el personal de administración de sistemas el que intentaba
desacreditar al personal de seguridad debido a las investigaciones en curso Oficial (CIO) y
personal administrativo. Resulta que mientras el personal de administración era lo
suficientemente inteligente para forjar direcciones de computadoras y una variedad de
datos que generalmente implicaban al gerente de seguridad de la información, los
administradores no consideraban que los sistemas de control de acceso registraban cada
vez que una persona ingresaba y salía del edificio. Además, las cámaras de video-vigilancia
grabaron todas las entradas. Sin embargo, debido a las luchas de poder internas, llegaron a
un nivel adicional de extracción de registros de la compañía de teléfonos celulares, que
permiten rastrear la ubicación del teléfono celular de un individuo, y esencialmente a la
persona. Por lo tanto, los administradores finalmente fueron acusados de una variedad de
delitos que iban más allá de los problemas originales. Aunque los administradores eran
relativamente inteligentes, sus acciones fueron ingenuas con respecto a la gran cantidad de
información disponible sobre los movimientos populares.

Con frecuencia, los delincuentes quieren poner intriga en la mezcla. Miran más películas que
yo para buscar ideas sobre cómo cometer sus crímenes. No se dan cuenta de que la mayoría
de los espías y los espías de películas son tan realistas como los hada de los dientes. Por
ejemplo, en un caso en el que un empleado de Coca Cola y dos cómplices destinados a vender
secretos de Coca Cola a un competidor, hicieron todo como si fueran parte de una novela de
espías. Primero, decidieron intentar venderle una nueva fórmula secreta a Pepsi. Eso es
demasiado obvio, además del hecho de que, como una gran compañía estadounidense, es más
probable que se conviertan en un intento aficionado de espionaje industrial, en lugar de ser
parte de ello. Luego los delincuentes querían tener reuniones secretas en lugares de
novelas de espías. Cuando llegó el momento de recibir el pago, querían el dinero como
billetes sin marcar en una caja de zapatos. Aunque no voy a ofrecer sugerencias sobre
cómo podrían haber sido mejores delincuentes, claramente estaban viendo demasiadas
películas. Estos son solo algunos ejemplos de casos de criminales estúpidos. Aunque debe
suponer que los delincuentes son potencialmente altamente calificados con recursos
ilimitados, no debería sorprenderse cuando parece que es demasiado fácil atrapar a los
delincuentes, porque a menudo son estúpidos. .Una vez más, si bien me gustaría destacar
como un experto para identificar a los delincuentes que irrumpieron en mi garaje en una
hora, utilicé técnicas de investigación extremadamente básicas. El noventa por ciento de mí
atrapando a los criminales se debió al hecho de que solo eran estúpidos. Cuando se
encuentra en el proceso de investigar crímenes contra usted o su organización, debo decir
primero que debe asegurarse de no arruinar la investigación, ya sea destruyendo evidencia
o haciendo algo que potencialmente va a eclipsar el crimen en sí mismo. . Por ejemplo, en el
escándalo de Hewlett-Packard (HP) donde los ejecutivos de HP fueron acusados de una
variedad de delitos en un intento de tratar de descubrir la fuente de una fuga en la sala de
juntas, se cometió un delito potencialmente grave; esa es la filtración de información de la
sala de juntas. Sin embargo, al tratar de investigar el crimen, HP usó métodos que
eclipsaron el crimen en sí. Los investigadores desentrenados también pueden destruir o
contaminar las pruebas que podrían usarse en el futuro en un proceso penal. Por ejemplo, si
hay un posible delito relacionado con la informática, lo primero que debe hacer es realizar
una copia de seguridad completa del sistema. De esta forma, los delincuentes no pueden
decir que manipulaste la evidencia para enmarcarlos. Del mismo modo, podrías sobreescribir
evidencia crítica en la memoria de la computadora. Por ejemplo, los archivos eliminados
podrían no estar disponibles, pero en realidad es trivial recuperar los datos, asumiendo no
se sobrescribe

Hay una diferencia entre ser bueno y

ser efectivo
A pesar de que muchos delincuentes que enfrentas son estúpidos o no muy talentosos,
pueden ser muy efectivos. La triste realidad es que hay muchos sistemas informáticos poco
seguros y tantas personas que demuestran poca conciencia de seguridad, que es fácil. para
encontrar un objetivo. La persistencia y la información disponible en Internet es más que
suficiente para que un delincuente supere la falta de habilidad o talento. El público en
general está esencialmente creando un dragón de un mosquito cuando la mayoría de los
crímenes informáticos los atemorizan. Un adolescente que toma un cuchillo y apuñala a
alguien no es un criminal maestro. Pueden matar efectivamente a alguien, pero no implica
que tengan el conocimiento médico de Hannibal Lechter. Es la misma situación para los
delincuentes informáticos. Encontrar una herramienta en Internet y dejar que la
herramienta se ejecute en una computadora no lo hace persona un genio de la computadora.

Entendiendo su Adversario
Mi amigo Stan, el desertor de GRU, me dijo que a los 11 años, mientras asistía a una escuela
militar soviética, una gran parte de la capacitación se centraba en comprender la
mentalidad estadounidense. A lo largo de su educación, le dijeron que una guerra con los
Estados Unidos era inevitable, y que como futuro soldado, debía entender cómo piensan los
estadounidenses. Estaba expuesto a la mayor cantidad de cultura estadounidense posible.
Hubo, por supuesto, un gran una gran propaganda incrustada en todas las enseñanzas, pero
él sabía mucho más sobre América cuando se graduó de la escuela secundaria que la mayoría
de los graduados de la escuela secundaria estadounidense. Cuando Stan pasó a ser agente
de GRU para apuntar a China, también aprendió mucho sobre la historia y la cultura china.
Tuvo mucho éxito como agente de GRU tanto en los Estados Unidos como en China, porque
entendía la importancia de comprender a sus adversarios. Stan es realmente muy
específico en su uso de la palabra "adversario" y no "enemigo". Desde una perspectiva
geopolítica, todo el mundo es esencialmente un adversario. Por ejemplo, aunque China y los
Estados Unidos generalmente serían considerados enemigos de Rusia, podrían colaboren
periódicamente con Rusia, aunque solo sea para reunirse unos contra otros. Incluso si los
países están del mismo lado en determinados momentos, siempre serán adversarios. El
término, enemigo, también tiene una gran cantidad de equipaje emocional adherido. La
gente tiende a odiar a sus enemigos. El adversario es un término menos emocional. No
quieres sentirte emocional mientras haces tu trabajo. Nubla tu juicio. y puede hacer que te
comportes irracionalmente. Por ejemplo, es fácil odiar a alguien que roba su identidad. Sin
embargo, el odio lo hará enfocarse en la retribución, no en los problemas inmediatos. Si
puede determinar cómo se está comportando el ladrón de identidad, puede tomar medidas
más proactivas para limitar el daño que intentan causar Cuando me robaron el bolso de mi
esposa, me centré en categorizar a los ladrones y en cómo podrían comportarse, en lugar de
considerarlos enemigos. Eso fue lo que me permitió volver sobre sus pasos y determinar sus
identidades. Hay muchos tipos de adversarios que podríamos enfrentar en el mundo de la
información, y es importante comprender cómo podrían comportarse. Lo que sigue son
algunas categorías generales de adversarios sin un orden particular. No pretendo ser
completamente completo, ya que sería demasiado profundo para el contexto de este libro.
Una vez más, Spies Among Us tiene una discusión más completa de los adversarios.

Insiders
Los iniciados son su mayor adversario, sin importar en qué entorno se encuentre. Estoy
asumiendo que usted está al tanto de innumerables casos de personas con información
privilegiada que salen mal. A veces lo hacen porque están enojados con su empleador. A
veces se desesperan y necesitan dinero y tomar a lo que tienen acceso. A veces solo quieren
emoción. Cualquiera sea la razón, hay personas que harán actos maliciosos. Scott Charney,
actualmente estratega jefe de Microsoft y anteriormente jefe de la Unidad de Delitos
Informáticos y Propiedad Intelectual del Departamento de Justicia, propuso lo que él llama
su Charney Theory. Básicamente es: "En cualquier momento, el 3 por ciento de la población
hará mal si se le da la oportunidad. "Aunque me gustaría pensar que el porcentaje es alto,
reconoce el hecho de que hay algunas personas que abusarán de la confianza que se les da.
Probablemente la mayor amenaza que presentan los iniciados no es de naturaleza maliciosa.
Todos cometemos errores, y esos errores tienen una efecto acumulativo de una pérdida
importante. Personalmente puedo dar fe del hecho de que accidentalmente borré archivos
que retrasaron proyectos. Algunas personas apoyan accidentalmente el interruptor de
encendido. Cuando los administradores y el resto del personal de sistemas cometen
errores, sus accidentes pueden ser devastadores. Programación pequeña los errores han
eliminado porciones de la infraestructura de telecomunicaciones. De lo contrario, actos sin
importancia pueden costar millones de dólares.

RATONES
Como mencioné antes, el espionaje y la inteligencia humana son una ciencia, no un arte. Los
agentes de inteligencia humana han sido entrenados para identificar a las personas que
pueden manipular. Una vez que encuentran un "agente" potencial, pasan por un proceso de
desensibilización de una persona. a sus acciones. El acrónimo utilizado por los agentes de
inteligencia para sus marcas es MICE, que representa dinero, ideología, coacción y ego. El
dinero es bastante obvio. Alguien que quiere dinero y es moralmente ambiguo, es una marca
altamente potencial. La ideología significa que una persona es moralmente opuesta a su
organización, o es moralmente comprensivo con los suyos. La coerción es esencialmente
chantaje. Encuentre algo que pueda contener contra una persona, y puede ser muy fácil de
manipular. Solo tiene que seguir probándolos para ver hasta dónde puede llegar empújalos.
El ego es extremadamente efectivo. La persona piensa que son más inteligentes que los
demás. Tienden a pensar que son mejores que los demás. Un agente capacitado solo tiene
que acariciar el ego de la persona, y puede hacer que haga cualquier cosa. También asociado
con esto está el proceso de insensibilizar a una persona a sus acciones. Cuando la
información se basa en computadora, es especialmente fácil. Un agente capacitado hará que
una persona divulgue información benigna al principio, y luego eleve lentamente las
apuestas. A lo largo del camino , también cambiarán los patrones de lenguaje de la persona.
No están robando algo, lo están copiando. La información no es importante de todos modos.
Muchas personas tienen acceso a la información. Además de eso, la compañía no le está
pagando lo suficiente para proteger la información de todos modos. Una persona que
también está recibiendo dinero encuentra que es más fácil y racional racionalizar sus
acciones. Cuando analicemos otras amenazas, lo que encontrará es que los patrones de
lenguaje son los mejores indicadores de un delincuente. Culparán a los demás. Dejarán de
jugar sus propias acciones. Utilizarán palabras para sus acciones que hacen que las acciones
criminales sean triviales. discuta esto más a fondo cuando hablemos de la mentalidad
criminal.

Competidores
Todos tienen competidores de una u otra forma. Puede ser una compañía contra otra. Un
compañero de trabajo puede considerarse un competidor. Dependiendo de la naturaleza del
competidor, pueden presentar distintos niveles de riesgo para usted. Algunos competidores
poseen significativamente más recursos que otros. Si tiene competidores extranjeros, es
posible que cuenten con el apoyo de las agencias de inteligencia nacionales de su gobierno.
Los competidores pueden desear una variedad de información. Es posible que deseen robar
sus secretos comerciales. Es posible que quieran robar su lista de clientes. Pueden querer
conocer el estado de sus proyectos en curso. Podrían hacer preguntas a las personas para
obtener la información que necesitan querer. Pueden contratar investigadores privados.
Podrían recurrir a acciones ilegales. Podrían intentar ser inteligentes y organizar
entrevistas de trabajo. Las tácticas que utilizan pueden ser benignas, atroces y / o
criminales. Cuando se trata de competidores extranjeros, debe darse cuenta de que la
definición de lo que es legal y ético en los Estados Unidos puede ser completamente
diferente en otro lugar. No puede confiar en su propia impresión sobre lo que está bien y
esperar que los demás se comporten mismo camino.

Agencias de inteligencia extranjera

En una reunión reciente de gerentes de seguridad del banco, hubo un rotundo acuerdo de
que las agencias de inteligencia extranjeras eran una gran amenaza para sus bancos. En su
caso, los bancos brindan mucha información que puede usarse para monitorear criminales,
terroristas, etc. los registros también pueden ayudar a descubrir la identidad de los
operativos encubiertos, si sabes qué buscar. La mayoría de los países reconocen que lo que
es bueno para sus negocios es bueno para el bienestar financiero del país en su conjunto.
Por esa razón, pueden apuntar a compañías internacionales para robar información para dar
a sus empresas nacionales. Algunas veces están buscando tecnologías específicas, como las
relacionadas con la defensa. Las agencias de inteligencia extranjera pueden poner recursos
esencialmente ilimitados contra una persona o una organización. Algunas agencias de
inteligencia consiguen que sus operarios consigan trabajos dentro de las empresas. Con más
frecuencia, reclutarán a un conocedor que ya tiene acceso a la información que están
buscando.

Criminales organizados
Recientemente, el crimen organizado se ha dado cuenta de que hay mucho dinero en el
ciberespacio. Siendo puramente impulsados por los beneficios, han seguido el dinero. Sus
incursiones iniciales en el ciberespacio involucraron obtener dinero de los
"ciberdelincuentes". Las pandillas de las ex repúblicas soviéticas encontrarían personas
ganar dinero y exigir su recorte, que es su manera tradicional de hacer negocios. Los
grupos más inteligentes comenzaron sus propios esfuerzos de ciberdelincuentes mediante
la contratación de ex personal de inteligencia o profesionales de la computación sin empleo.
A veces, realmente observan a la comunidad de hackers e identifican personas con talento
real. Usan a estas personas para ejecutar una amplia variedad de intentos de extorsión en
línea, así como otros esfuerzos criminales, como el robo directo de dinero.

El crimen organizado inventó algunos de los métodos más efectivos para robar dinero. Por
ejemplo, roban números de tarjetas de crédito y luego los cargan en cantidades muy
pequeñas, como $ 9.95 por mes. Aunque eso no parezca mucho dinero, con cientos de miles
de tarjetas de crédito comprometidas estas pequeñas cantidades suman rápidamente
millones de dólares. Más importante aún, relativamente pocas víctimas notan la estafa.
Incluso si lo hacen, el dinero es tan pequeño que los bancos no se molestarán en investigar.
Muchas pandillas y cárteles de la droga se están dando cuenta rápidamente de que hay más
que hacer que robar dinero. Están usando Internet y otros recursos para mejorar sus
operaciones. Por supuesto, estas personas tienen recursos ilimitados y usan esos recursos
para su propio beneficio. beneficio financiero. Cualquier crimen para ese fin es juego limpio.

Criminales
Como se discutió anteriormente, dado que las computadoras son integrales para el negocio
en general, muchos delitos pueden tener como objetivo o usar computadoras, ya sea que la
intención sea poner en peligro las computadoras. Así como los automóviles se utilizan como
herramientas en delitos, puede usarse una computadora un crimen. Los delincuentes que
usan una computadora como parte casual de su delito no tienen que ser genios de la
informática, ya que las personas que mantienen sus computadoras de manera deficiente
facilitan que cualquier persona con una investigación mínima realice con éxito cualquier acto
delictivo que elija. Para estas personas, la computadora es una herramienta informal para
cometer su crimen. Lo bueno de esto es que probablemente harán muy poco para cubrir sus
huellas. Esto hace que sea más fácil atrapar a estas personas, si alguien está mirando.

Ciber-delincuentes
Los delincuentes cibernéticos realmente han evolucionado en los últimos años. Estos son
delincuentes cuyos crímenes simplemente implican ganar dinero a través de computadoras.
Por lo general, han existido desde que comenzó Internet. Son piratas informáticos que se
dieron cuenta desde el principio de que pasaban tanto tiempo en sus computadoras que
podían ganar dinero con ello. El desmoronamiento de la Unión Soviética provocó el
surgimiento de una nueva clase de computadora criminal. Estas personas pasaron a realizar
una amplia variedad de fraudes, extorsiones y otros crímenes. Dadas las leyes en estas
áreas, estas personas no eran necesariamente criminales en sus propios países. No existe
ningún riesgo para ellos, a menos, por supuesto, organizado el crimen quiere una parte de
sus ingresos. Luego están los niños del guión que han crecido. Al igual que los primeros
ciberdelincuentes, los crímenes informáticos con motivación financiera son una progresión
natural para ellos. No necesariamente tienen que ser muy buenos en lo que hacen. De nuevo,
lo hacemos muy fácil para ellos. Más recientemente, hemos visto desarrollar toda una
infraestructura criminal. Algunos cibercriminales se enfocan en crear botnets. Otras
personas alquilan esas botnets para enviar spam. Algunas personas usan botnets para robar
números de tarjetas de crédito. Luego pueden vender esos números de tarjetas de crédito
a través de ellos. otros servicios criminales que los intermediaron.

Script Kiddies
He mencionado guiones de niños muchas veces, y no voy a explayarme demasiado sobre ellos
aquí. Los niños de Script están motivados por su propio ego. Quieren sentirse especiales, y
hacerse cargo de una computadora les da la importancia que están buscando. Son muy
inmaduros en lo que están haciendo. El daño que causan varía. A menudo, sus crímenes
incluyen la desfiguración de los sitios web. A veces entran en los sistemas informáticos y
no se les ocurre nada mejor que simplemente eliminar archivos y, de lo contrario, crear
daños. Entre los elementos críticos que permiten sus crímenes se encuentran: una conexión
a Internet y demasiado tiempo en sus manos. Si bien estas personas son amateurs y, en
general, deben considerarse amenazas de bajo riesgo, pueden causar un gran daño. Más
importante aún, ayudan a proteger las acciones de otros delincuentes.

La mentalidad criminal
Anteriormente mencioné a MICE y cómo los agentes de inteligencia identifican a los
potenciales engañados y cómo engañan a estos engañados para que racionalicen sus
comportamientos. Los criminales piensan de manera diferente que la persona promedio.
Aunque a veces pueden ocultar su intención, sus patrones de lenguaje pueden delatarlos.
Por ejemplo, los interrogadores policiales están entrenados para recoger cuando un
sospechoso deshumaniza a sus víctimas. Se refieren a la víctima con pronombres en lugar
de sus propios nombres. Por ejemplo, un abusador de menores se refiere a su víctima como
el vicio del "niño" que los nombra. Los delincuentes también racionalizan o restan
importancia a sus acciones. Cuando entrevisté a William Gaede, que era famoso por robar
los primeros diseños de chips Pentium por valor de miles de millones de dólares, para mi
libro, Corporate Espionage, afirmó que nunca cometió un delito. Su argumento general era
que, como nunca robó un documento físico y nunca negó el acceso de Intel a su información,
nunca "robó" nada. Durante un debate con el infame hacker, Kevin Mitnick, esencialmente
me preguntaron por qué no creía que fuera él. "Reformado", como él dice. Señalé que se
refiere al phreaking telefónico, el término para hackear el sistema telefónico, como un
"hobby". El phreaking telefónico es un delito grave, no un hobby. En general, los
delincuentes creen que son más inteligentes que el resto de la población. Con frecuencia
creen que, como una persona superior, tienen derecho a lo que roban. Es su creencia que es
culpa de las víctimas por dejarse tan vulnerables. Esencialmente, se perciben como
depredadores en un mundo de presas.

Cuando los atrapan, los criminales minimizan sus crímenes. Dado que piensan que son tan
inteligentes, culpan a su captura por la traición o las acciones de otros. Culpan a las
víctimas por entregarlas. Consideran que la policía está perdiendo el tiempo con sus
acciones, porque hay muchos otros criminales reales. allí afuera. La diferencia entre los
delincuentes estúpidos y los delincuentes inteligentes es que los delincuentes inteligentes
tienen un sentido más fuerte de la realidad. Los delincuentes inteligentes saben que sus
acciones son delictivas. Se esfuerzan mucho para no ser atrapados. No son arrogantes, y
respetan la aplicación de la ley y sus derechos. víctimas. Saben que los errores simples
pueden hacer que los atrapen. Cité anteriormente a Scott Charney y su Charney Theory de
que un cierto porcentaje de personas cometerá un delito si se les da la oportunidad. Tiene
otra cita que es relevante: "Solo los malos se ponen atrapado”.

Contratación de hackers
Cuando mencioné anteriormente a los adolescentes de Colverdale, que fueron declarados
ser la fuente de los ataques más coordinados y sofisticados que el Departamento de
Defensa (DoD) haya visto alguna vez, mencioné que realmente demostraron muy poca
habilidad. Sin embargo, las personas comentaban sobre el caso de que el castigo correcto
para estas personas es hacerles reparar todo el daño que causaron. Desde una perspectiva
técnica, el pensamiento es absurdo, y lamentablemente incluso muchos profesionales de la
informática no entienden por qué. Déjame usar una analogía. Digamos que un adolescente
toma un cuchillo y apuñala a alguien directamente en el corazón. ¿Piensas que el castigo
apropiado incluye hacer que esa persona realice una cirugía para reparar el daño que
hicieron? Es claramente absurdo.

Fundamentalmente, la razón es que la cirugía cardíaca es una habilidad muy difícil de

dominar. Es mucho más fácil dañar algo que fijarlo. El conjunto de habilidades es
tremendamente diferente. Las analogías similares incluyen, ¿debe encargarse a una persona
que maneja un automóvil en una pared de fijar el automóvil? ¿Puede una persona que toma
un bate de béisbol y rompe una ventana fijar la ventana? ¿Por qué existe la suposición de
que una persona que sabe cómo dañar una computadora también puede instalar una
computadora? Una computadora es un dispositivo muy complicado con cientos de miles de
archivos. Una vez más, es infinitamente más difícil asegurar una computadora contra todos
los ataques posibles, que encontrar un solo ataque contra un sistema vulnerable. Los
hackers no demuestran habilidades relevantes para el trabajo de seguridad. Algunas
personas pueden argumentar que al menos pueden realizar pruebas de penetración. Otra
vez es una idea completamente absurda. En primer lugar, las pruebas de penetración
potencialmente le dan acceso al probador a toda una organización. Esto incluye cada un poco
de información sensible en la empresa. ¿Cómo puede alguien dar a alguien que básicamente
reconoce haber realizado actos criminales en el pasado reciente, acceso a la información?
Además, como ya mencioné, los mejores probadores de penetración han sido los
administradores de sistemas a largo plazo que luchan contra los piratas informáticos.
Conocen los pormenores de los sistemas informáticos, y han demostrado que son confiables.
Otro problema es que las cosas pueden salir muy mal. Si bien los administradores han
tenido que lidiar con problemas durante toda su carrera, a los piratas informáticos no les
importan los problemas que causan en el proceso. Los administradores de carrera saben que
deben proteger los sistemas cuando entran en juego. Por ejemplo, Mark Abene, también
conocido como Phiber Optik, uno de los hackers más infames de la década de 1990 con
múltiples arrestos y condenas, consiguió trabajo como consultor de seguridad. Debo
admitir, sin embargo, que era mucho más más talentoso que un script kiddie típico. Durante
uno de sus trabajos de "consultoría", ejecutó un programa de piratería que salió mal.
Básicamente comenzó a descargar archivos de contraseñas de todo Internet, avergonzando
enormemente al cliente y a todos los demás involucrados. En lugar de asumir la
responsabilidad de sus acciones, afirmó que fue culpa de las personas que no aseguraron
adecuadamente sus computadoras, no las suyas. No, es la culpa de un hacker que no asume
lo obvio, que las computadoras pueden ser inseguras. lo que dije sobre la mentalidad
criminal. Es posible que un asesor de seguridad no calificado haya cometido los mismos
errores, sin embargo, el incidente no habría sido tan embarazoso para todos. De cualquier
manera, incluso si de alguna manera racionalizas las acciones de un delincuente para ellos,
aún no puedes justificar las habilidades cuestionables Para resumirlo mejor, debe
contratar currículos, no hojas de antecedentes penales.

Tus hijos no son tan inteligentes como

crees
Un problema crítico que debe abordarse, mucho más que los piratas informáticos, son los
niños. La idea errónea más peligrosa que escucho es que los niños saben de informática.
Muchos adultos parecen creer que los niños son muy conscientes de los problemas
informáticos. Esta es una creencia muy peligrosa tener acerca de tus hijos Es muy cierto
que los niños se sienten más cómodos con las computadoras. Sin embargo, eso no significa
que sean más conscientes de la seguridad. Sus dos únicas preocupaciones son,
potencialmente, asegurarse de que sus padres no sepan qué es lo que hacen y crear y
protegiendo su imagen. Lance Hayden, un ex agente de la CIA y candidato a doctorado en la
Universidad de Texas, realizó un estudio sobre lo que los estudiantes universitarios
consideran privacidad. Los resultados tuvieron poco que ver con lo que la mayoría de la
gente consideraría privacidad. Adolescentes y estudiantes hasta los veinte años pensaron
en privacidad como protección de la información que los hace quedar mal. Estas personas
estaban más que felices de publicar información sobre dónde viven, sus pasatiempos,
lugares de reunión, horarios, etc. Cuando Hayden hizo que los estudiantes investigaran
desde una perspectiva de inteligencia / acoso, muy rápidamente el los estudiantes estaban
horrorizados e inmediatamente querían encontrar la forma de obtener la información de
Internet. Una vez más, se suponía que estas personas conocían la informática. Los jóvenes
son expertos en informática, pero, de nuevo, no son conscientes de la seguridad. Me
sorprende que la gente todavía diga que las computadoras la intimiden. Han estado usando
computadoras durante un período de tiempo mucho más largo que sus hijos, sin embargo,
quieren serlo deliberadamente ignorante. Esto pone en peligro a sus hijos. Los padres
necesitan aprender acerca de MySpace, Facebook, y similares. Deben aprender sobre
mensajería instantánea y cosas por el estilo. Estoy muy enojado con las personas que
demandan a MySpace porque sus hijos fueron atacados debido a la información que los
niños ponen en Internet. Llamo a esto "la demanda de los padres malos". Estos padres
básicamente argumentan que los servicios de computación deben mantener mejores pistas
de sus hijos de lo que son. Los niños son niños. Usan internet como si usaran juguetes.
Aprenden a hacer con ella lo que quieren. Una vez más, saben cómo usar computadoras, no
asegurarlas. Los niños quieren verse bien. Pensar que los niños saben más que eso, te
convierte en el tonto.

CAPITULO 10
La seguridad de la información
es seguridad de la información
A lo largo del libro, insinuo que la seguridad de la información implica mucho más que la
seguridad informática. Como dije antes, las computadoras son esencialmente inútiles. En
una reciente historia local, a una joven pareja le robaron su casa. El periodista pasó a
hablar sobre la pérdida de joyas, platería, televisores, etc. Sin embargo, cuando el
periodista le preguntó a la pareja acerca de la pérdida, lo único que realmente querían era
sus computadoras portátiles. A medida que avanzaba la entrevista, se hizo evidente que a la
mujer realmente no le importaba su computadora obsoleta, sino su disertación doctoral y
los datos asociados que estaban en la computadora en la que estaba trabajando durante
años. Una vez más, el hardware y el software en una computadora es un activo en
depreciación. La mujer claramente podría haber comprado una computadora mejor por un
precio más bajo. Sin embargo, el esfuerzo asociado con la redacción de su disertación no
tenía precio. Me atrevería a decir que esto es cierto para todos. Si alguien roba tu
computadora, ¿pensarías "Maldición, ahora tengo que comprar una computadora nueva" o
"¿Qué pasa con todas las fotos e información bancaria que tengo en la computadora?" Por
esta razón, es importante proteger información en todas sus formas. El capítulo que define
el riesgo resaltó las diferentes áreas de vulnerabilidades. Estas vulnerabilidades se aplican
a todas las formas de información. La información puede ser computarizada, impresa,
verbal o física. Claramente, la información verbal puede tomar muchas formas. Podría ser
una conversación. Cuando alguien habla, alguien más puede estar escuchando. También
pueden ser conversaciones telefónicas. Las conversaciones telefónicas se pueden
interceptar de diferentes maneras, como se ha vuelto conocido con el Escándalo de
escuchas de la NSA. También hay un viejo refrán que dice que mientras alguien sepa un
secreto, nunca es seguro. La gente siempre puede divulgar información, y las probabilidades
son que eventualmente lo hará. Hay muchas otras maneras de comprometer la información
verbal. la información impresa es cualquier tipo de información que toma un form.It física
podría ser cualquier document.It impresa también puede ser un photograph.After todo,
como se suele decir, “Una imagen vale más que mil palabras.” A veces, las muestras físicas
de los materiales son también valioso. Por ejemplo, una empresa japonesa obligó a algunos
de sus empleados a sumergir sus lazos en una muestra química de otra empresa para
obtener algo de análisis. Mi amigo, Stan, como operativo soviético, se encargó de traer de
vuelta una muestra del recubrimiento alrededor de un Sigilo. Luchador. Le dieron un par de
guantes especiales que recogían muestras microscópicas mientras pasaba la mano por el
camión durante una conferencia de prensa. También clasificaría el almacenamiento de
datos, como chips de computadora, cintas de copia de seguridad de datos, unidades USB,
etc. como información impresa. Aunque técnicamente estos dispositivos contienen
información, la información que contienen solo es físicamente vulnerable cuando no están en
una computadora. La información electrónica adopta muchas formas. Podría ser cualquier
información en una computadora, dispositivo de almacenamiento de computadora o datos en
transmisión. El correo electrónico es también una forma de información muy vulnerable. En
general, está abierto y puede ser visible para cientos de personas en todo el mundo a
medida que se transmite. Del mismo modo, también hay transferencias de archivos y datos
de todo tipo a través de Internet y otras redes informáticas. Por ejemplo, los números de
tarjetas de crédito son regularmente viajando por Internet ya sea a través de
transacciones o incluso a través de terminales de caja registradora que se conectan a los
sistemas de compensación de pagos a través de dichos medios. El problema es que si la
información se ve comprometida, no importa cómo se vio comprometida. La pérdida es la
misma. Por ejemplo, con el robo de los secretos de Coca Cola discutidos anteriormente, en
realidad no importaba si los datos se perdían porque la mujer involucrada copió datos de
una computadora, hizo copias de un documento o robó una muestra física de la bebida
nueva. Si la información se ve comprometida, se ve comprometida. Cuando crea un programa
de seguridad o mitigación de riesgos, necesita averiguar qué es valioso y todos los
formularios que puede tomar el valor. Debe protegerlo todo y no puede eludir la
responsabilidad de garantizar dicha protección. Permítanme terminar este capítulo con un
ejemplo de cómo un programa de seguridad no tuvo en cuenta todas las formas de
information.The ChoicePoint escándalo causado headlines.Technically nacional, nadie se
rompió en su computers.What que pasó fue delincuentes apuntaron a una cuenta de
vendedor válido y ChoicePoint les concedió el comerciante account.As criminales,
accedieron a más de 100.000 reports.ChoicePoint de crédito recogido una cuota de ellos
para cada informe de crédito, y estaba feliz de tenerlos como un curso client.Of, los
criminales utilizan la información contenida en los informes de crédito para robar las
identidades de las personas identificadas en los informes. Las computadoras de
ChoicePoint hicieron exactamente lo que se suponía que debían hacer. ¿Es una historia de
éxito de seguridad?

CAPITULO 11
¿La seguridad es un deber o una
necesidad?
Cuando me preguntan si los programas de seguridad tendrán éxito o fallan, siempre digo
que depende de una cosa: ¿la persona u organización cree que la seguridad es un deber o un
deber? Francamente, para la mayoría del mundo, la seguridad es un deber. Aunque algunas
personas y organizaciones no se preocupan por la seguridad, la mayoría de la gente cree que
deberían estar seguras. La palabra clave es should. Should implica que si todo lo demás
fuera igual, ellos elegirían ser seguros. Sin embargo, existe una clara diferencia entre un
deber y un deber. Alguien que piensa que debe estar seguro irá a lo que sea necesario para
alcanzar un nivel de seguridad razonable. La mejor manera que conozco para abordar la
diferencia entre el deber y el deber es a través de la analogía de la aptitud. Piense en una
persona que cree que la aptitud física es imprescindible. Esa persona siempre encontrará un
lugar y tiempo para ejercitarse predeterminado. Pasarán el postre. Suben las escaleras en
lugar del ascensor. Una persona que piensa que la aptitud es un deber, y que es la mayoría
de las personas, funcionará si es conveniente. Mientras que quieren trabajar en teoría, hay
muchas cosas que pueden surgir y que surgirán que se interpondrán en su forma de
trabajar. Ellos saben que deben dejar pasar el postre, pero un poco nunca lastimarán a
nadie. Luego deben detenerse en un bocado, pero al día siguiente van a hacer más ejercicio.
Hasta que, por supuesto, surge algo más importante. Siempre puede decirle a una persona
que cree que debe estar en forma. Su cuerpo refleja esa actitud. Del mismo modo, usted
sabe que hay momentos en que no estarán disponibles porque estarán funcionando. Con
personas u organizaciones donde la seguridad es un "debería", es muy parecido a la cena con
una persona que cree que la aptitud es una necesidad. Bueno, deberíamos evitar que las
personas tengan contraseñas malas, pero no queremos que tengan que escribir sus
contraseñas. Debemos hacer que las personas usen las insignias todo el tiempo, pero las
cadenas colgantes pueden ser un peligro para la seguridad. Debemos poner molinetes con
lectores de tarjetas, pero luego tenemos que considerar el leyes de discapacidad.
Podríamos colocar guardias en las puertas, pero eso podría ser costoso, y la gente podría
sentirse incómoda al ver a todos esos guardias cerca. Puedo contrastar eso con una
organización que pensaba que la seguridad es una obligación. Para entrar en el complejo
corporativo, tenía que mostrar una insignia a los guardias en las puertas de la carretera
corporativa. Luego, cuando ingresaba a los edificios, había guardias en los vestíbulos y
mantrap torniquetes para entrar en las áreas de trabajo. Todas las habitaciones fuera de
los pasillos estaban cerradas y tenían cerraduras de cifrado. Mientras que la seguridad no
era perfecta, era exponencialmente más segura que la mayoría de las otras corporaciones
en el mundo. Mire la seguridad de la línea aérea para los deberes y los mostos. Tras los
ataques del 11 de septiembre, los controladores de tráfico aéreo ordenaron que todos los
aviones aterrizaran. No sabían qué estaba pasando ni el alcance del problema, por lo que
pensaron que la única forma de detenerlo futuros ataques consistirían en poner todos los
aviones en tierra. La seguridad era imprescindible. Hoy en día, los pasajeros son evaluados,
pero las aerolíneas comerciales no lo son, porque simplemente parece poco práctico desde
el punto de vista logístico. De la misma manera, menos del 3 por ciento de la carga traída a
los Estados Unidos se evalúa. La seguridad es un deber. La seguridad no significa que se
esfuerce por la seguridad perfecta. Implica que cuando identifica una vulnerabilidad que
necesita contrarrestar, no pone excusas sobre por qué la contramedida no es perfecta para
su organización. Por ejemplo, el tiempo y una vez más me encuentro con organizaciones
donde cualquiera puede entrar o salir de sus edificios. Recomiendo que estas compañías
limiten las entradas, y escucho todo por el hecho de que podría causar algunos
inconvenientes, a los empleados no les gustará, necesitan zonas de fumadores, inhibe su
entorno de apertura, y así sucesivamente. En una compañía, se necesitó un incidente en el
que un hombre entró por una de las puertas que recomendé que se cerraran y agredió a su
novia, para finalmente cerrar las puertas. Cuando creas que la seguridad es imprescindible,
si una medida preventiva reduce de manera efectiva una vulnerabilidad, se implementa a
menos que existan razones increíblemente convincentes para no implementarla. Siempre
pensarás en una razón para no implementar algo, pero eso no significa que son convincentes
Cuando la seguridad es un deber, me siento en una sala diciéndole al personal de seguridad
cuáles son mis recomendaciones, y se sientan a pensar una razón tras otra sobre por qué
podría no funcionar. Trato de que reconozcan que esas son potencialmente preocupaciones
válidas y luego centrarse en los contadores de esas preocupaciones y por qué las
contramedidas son más convincentes que los argumentos en contra de ellos. El problema es
que en las organizaciones donde la seguridad es una necesidad, el personal de seguridad se
ha desmoralizado. Dejan de tratar de centrarse en la las cosas correctas, ya que saben que
están luchando una batalla perdida. Cuando la seguridad es imprescindible, aún tendrá
problemas para surgir. Sin embargo, los problemas estarán más contenidos y causarán
daños significativamente menores. Podrá detectar los problemas de manera más efectiva y
tendrá un proceso para responder a esos problemas. Probablemente lo más importante es
que puede detectar incidentes. en sus primeras fases, antes de que se cause ningún daño.
Por ejemplo, cuando revisa los registros de auditoría con regularidad, puede ver a alguien
realizando un reconocimiento de sus ataques y detenerlos antes de que lleguen más lejos.

La gerencia debe creer que la

seguridad es imprescindible
La seguridad debe ser una necesidad en todos los niveles de su organización para tener
éxito. Claramente, es más importante contar con soporte ejecutivo. Cuando tenga soporte
ejecutivo, el resto de la organización lo seguirá. Claramente, la seguridad es una actividad
de base. El Director Ejecutivo (CEO) no va a quitar las contraseñas grabadas a los
monitores, ni a asegurar personalmente que todas las puertas estén bloqueadas. Por lo
tanto, los gerentes de primera línea son en realidad los más importantes para garantizar
que Se siguen las políticas y los procedimientos de seguridad. Del mismo modo, el personal
de seguridad física debe verificar que se sigan las políticas de seguridad física mientras
realizan sus rondas, y el personal de seguridad de la información debe verificar que se
cumplan y apliquen las políticas técnicas. Sin embargo, incluso los empleados mejor
intencionados se equivocarán. Del mismo modo, muchos empleados son vagos e ignorarán a
propósito las políticas y procedimientos de seguridad. Si el personal de seguridad no tiene
la autoridad para hacer cumplir sus reglas, la postura de seguridad de la organización se
deteriorará rápidamente. En una organización que estaba realizando una simulación de
espionaje, literalmente robé miles de millones de dólares de su información en unas pocas
horas. Durante toda la prueba, escuché que los investigadores tenían que ser felices para
que fueran productivos. La buena parte de esto es que el CEO finalmente se dio cuenta de
que sus investigadores también podrían ser productivos para sus competidores. Más
importante aún, se dio cuenta de que podría ser personalmente responsable de los juicios
de los accionistas si se determinaba que la información era fácilmente robada. competidor,
haciendo que su empresa pierda valor para los accionistas.

Luego, el CEO se dio cuenta de que tenía que cambiar las actitudes de sus empleados.
Comenzó a dar al personal de seguridad el poder de hacer cumplir las políticas que tenían
vigentes. Cuando se demostró que la flotación consistente de las políticas de seguridad
podría resultar en el despido, Era claro que la seguridad se convirtió en una necesidad.
Como dije anteriormente, el personal de seguridad se desmoraliza cuando se los ignora. La
razón es que la gerencia ejecutiva les envió un mensaje de que sus responsabilidades
laborales están subordinadas a otros aspectos del negocio. Su trabajo queda relegado a la
lucha contra el fuego. Básicamente son responsabilidad dada sin autoridad.
Entonces, ¿la seguridad es un deber o
debe ser para usted?
Francamente, el gran problema es o aceptar que usted cree que es un deber, o decidir que
la seguridad es una obligación. Una obligación no significa que no hay concesiones, pero sí
significa que las vulnerabilidades se mitigan según corresponda. significa que el personal de
seguridad tiene la autoridad para aceptar su responsabilidad, y que las personas son
debidamente disciplinadas a medida que se violan las normas. Si no está dispuesto a aceptar
la seguridad como un deber, deje de fingir. Se está engañando a sí mismo para creer que
tiene cierta apariencia de seguridad. El hecho es que está siendo comprometido
regularmente. Si ese es el caso, tiene que crear un programa de seguridad que vaya en esa
dirección. Tiene que contratar deliberadamente al personal de seguridad a quien no le
importa demasiado su trabajo. Si bien esto puede parecer contradictorio, el hecho es que
un profesional de seguridad consciente se sentirá frustrado y creará tensiones internas.
Del mismo modo, si la seguridad es imprescindible, debe contratar al mejor personal que
pueda. Francamente, cuando le garantice a las personas que recibirán un apoyo total, habrá
personas que abrirán un camino hacia su puerta.

Una vez más, puedo decir qué tan segura será una organización en función de la respuesta a
algunas preguntas de la gerencia, los empleados o el personal de seguridad. Cuando la
seguridad es un deber, la gente le dirá que la seguridad es secundaria a las preocupaciones
comerciales. demuestra una gran frustración. Los empleados tienen una actitud
despreocupada hacia las políticas de seguridad. Sin embargo, quiero dejar en claro una
cosa. Cuando la seguridad es obligatoria, no significa que la seguridad sea una prioridad
sobre las preocupaciones comerciales. Cuando la seguridad es necesaria, la seguridad se
integra en las preocupaciones comerciales. Es una preocupación comercial.

CAPITULO 12
Si no recuerda la historia, la
repetirá
Recientemente me pidieron que hiciera una presentación sobre la seguridad del correo
electrónico. Estaba pensando en qué hablar, y me di cuenta de que no importaba lo que se
me ocurriera, la seguridad del correo electrónico era muy poco común en comparación con
la seguridad informática como todo. Terminé dando una presentación a la que alguien se
refería como la "Historia de Internet". Cuando pensaba en virus y gusanos de correo
electrónico, parecían ser un mecanismo de entrega diferente al gusano Morris que apareció
en 1988. De la misma manera el Slammer, Blaster, Code Red, Nimda, Sasser (ingrese su
gusano favorito aquí), son todos idénticos en naturaleza al gusano Morris. Este capítulo
surgió como una ocurrencia tardía cuando comencé a pensar en el hecho de que en 2003, la
Asociación de Seguridad de Sistemas de Información realizó un estudio y descubrió que el
70 por ciento de sus miembros han estado en la profesión de seguridad por menos de 3
años. La importancia de esto irónicamente surgió cuando debatí sobre el notorio hacker
Kevin Mitnick. La presentación hecha a medida de Micnick lo describió como una persona
que se vio atrapada en sus transgresiones de adolescente y fue víctima de un
enjuiciamiento exagerado. Sin embargo, durante el debate, señalé que él fue arrestado y
condenado cinco veces e involucrado en el sistema de justicia penal por más de 20 años.
Hubo murmullos en la audiencia mientras discutían el hecho de que los antecedentes
penales de Mitnick eran mucho más grandes de lo que pensaban. La mayoría de los
profesionales de seguridad no se dan cuenta de que sus últimos reclamos de reforma son
idénticos a los de la última vez que salió de la cárcel a principios de los 90. Después de no
haber sido aceptado como profesional de la seguridad, se fugó y se comprometió con un
nuevo La indignación por el hecho de que estuvo detenido sin derecho a fianza fue por una
cuestión discutible, ya que no tenían que considerar la libertad bajo fianza. Era culpable de
violaciones a la libertad condicional, además de demostrar que era un riesgo de huida. hay
mucha seguridad Mitnick, creando una responsabilidad potencial muy importante para ellos
y su organización. Los profesionales de la seguridad que no estén familiarizados con la
historia de la industria tomarán decisiones que permitan que la historia se repita. Un viejo
refrán dice: "Mientras más cambian las cosas, más permanecen igual". Eso es
definitivamente cierto con la seguridad de la información. Ya discutí el hecho de que hay
solo dos formas fundamentales de piratear una computadora: aprovechar las
vulnerabilidades creadas en el software y aproveche la forma en que se configura o
mantiene una computadora. Cualquier ataque contra computadoras ocurre de esa manera. Si
no realiza un mantenimiento adecuado de sus computadoras, no debería sorprenderse de
que se vean comprometidas. Piense en todas las estafas basadas en Internet que existen.
No hay nada nuevo acerca de ellos. Por ejemplo, está el común: "Soy el hijo de un dictador
muerto, y necesito ayuda para lavar dinero", estafa. Mientras la gente quiere atribuir esto
a Internet, estas estafas fueron enviadas por fax a personas antes de Internet. Antes de
los faxes, las personas enviaban cartas por correo. La estafa no es nada nuevo, pero la
gente quiere creer que es por alguna razón. Internet lo hace más común. Otra estafa
común en Internet son las loterías falsas. Los criminales envían correos no deseados a
personas con reclamos de que han ganado una lotería multimillonaria, y luego quieren dinero
para pagar los impuestos y liquidar el dinero. Antes de Internet, la gente creaba boletos de
lotería falsos y luego inventaban una excusa para no querer reclamar el dinero ellos mismos.
Por supuesto, los boletos de lotería se verían como boletos de lotería ganadores no
reclamados. Se les pide a las "víctimas" que pagar una pequeña parte del valor del boleto, y
luego ellos mismos pueden reclamar las ganancias en su nombre.

Incluso cuando se mira el ejemplo extremo de los ataques del 11 de septiembre, no hubo
nada nuevo sobre esos ataques. Los bombarderos suicidas se combinaron previamente con
muchos modos de transporte. Hubo ataques de camión bomba contra las embajadas de los
EE. UU. Y también en los cuarteles de los marines. en Líbano. Hubo un bombardeo del USS
Cole usando un bote. ¿Por qué los aviones se considerarían una sorpresa? Después de todo,
los terroristas han estado secuestrando aviones durante décadas, y el FBI incluso arrestó
a Zacarius Moussaui, con documentos que indican que parecía querer volar aviones en los
edificios. La historia se puede utilizar para predecir las tendencias económicas, la política y
tantos otros aspectos de nuestras vidas. No hay un elemento de nuestras vidas en el que la
historia no se pueda aplicar para comprender cómo progresarán nuestras circunstancias
actuales. Hay tantas lecciones que la historia tiene para nosotros. A veces hay una pequeña
modificación o creatividad agregada a eventos pasados; sin embargo, eso no justifica la
supuesta ignorancia cuando sucede algo. No importa lo que las personas quieran creer, las
computadoras no están creando nuevas estafas de seguridad. Simplemente están
desarrollando viejas estafas. Hay algunos ataques que son nuevos y completamente
novedosos; sin embargo, son tan pocos y distantes entre sí que es ridículo creer que lo que
está enfrentando con respecto a cuestiones de seguridad no se puede evitar si se analizan
los eventos pasados. Esto es cierto tanto a nivel macro como a nivel micro. El Apéndice A
enumera eventos importantes en el historial de seguridad de la información.
Definitivamente no se pretende que abarquen todo. Intentan mostrar suficientes eventos
como para demostrar que hay pocos ataques revolucionarios que debes enfrentar. Las
computadoras claramente han mejorado la capacidad de los delincuentes para llegar a un
público objetivo. Los ordenadores también han aumentado claramente el alcance de lo que
está en riesgo, dado que los activos electrónicos pueden ser copiado en un segundo y el
agresor puede estar a más de 10,000 millas de distancia. Esto claramente aumenta el
riesgo de que tenga que lidiar. Sin embargo, los ataques en sí mismos no son nada nuevo, y
esto le permite protegerse más efectivamente, o en lo menos que le indica cómo mitigar sus
daños.

CAPITULO 13
Reglas de Oro de Ira
Hay muchas cosas que puede hacer para proteger su organización. Como dije, algunas de las
contramedidas de seguridad son un desperdicio. Sin embargo, muchos pueden ser muy
valiosos para su organización. Sin embargo, hay algunas cosas que son claros puntos de
seguridad, ya sea que usted sea un individuo o una compañía de Fortune 500. Al cerrar este
libro, es mejor que cierre con información que todos puedan aplicar de inmediato. A lo largo
del libro, me he centrado en la información que ayuda a las personas a pensar sobre la
seguridad y todos los mitos que enfrentan. Personalmente, creo que esta información es
infinitamente más útil que cualquier aplicación mecánica de un control de seguridad
individual. Sin embargo, hay algunas contramedidas de seguridad universales que debe
implementar, una vez más si usted es un individuo o una empresa de Fortune 500. Sin estos
problemas, se está dejando ampliamente vulnerable a los ataques triviales. A esta altura,
debe darse cuenta de que, si bien siempre es posible que te ataquen con éxito, es
inexcusable que te expongas a un ataque completamente prevenible. Las siguientes son mis
reglas de oro para la seguridad de la información.

Asumir la responsabilidad
Esta es la regla más importante de todas. Debe aceptar la responsabilidad de lo que tiene
el control. Si solo tiene una PC, acepte que es responsable de lo que sucede en esa PC. Si
proporciona acceso a la red, acepte que está responsable de lo que sucede en la red. Si
mantiene servidores, acepte que es responsable de la seguridad de los sistemas y, lo que es
más importante, de los datos de esos sistemas. Es triste pensar que tengo que decir esto.
Desafortunadamente, cuando algo sale mal, a la gente le encanta culpar al agresor, a sus
vendedores, a sus clientes, a quien sea. Tal vez otras personas tienen la culpa del ataque en
sí. Sin embargo, eso no le servirá de nada en absoluto si tiene una pérdida. Debe reconocer
que debe hacer lo que pueda para protegerse proactivamente y responder ante cualquier
incidente. Del mismo modo, si tiene un negocio que proporciona un servicio, debe
responsabilizarse proactivamente de lo que pueda. Por ejemplo, defiendo que los
proveedores de servicios de Internet (ISP) detengan el tráfico de ataques que pasa a
través de sus redes. Mientras que los ISP pueden no estar directamente afectados por
ataques que pasan a través de sus tuberías de red, tienen que aumentar constantemente
sus equipos para manejar los mayores volúmenes de datos involucrados en los ataques.
Existe un efecto para todos en la cadena de un ataque.

Decide la seguridad es un deber

Como dije en un capítulo anterior, muchas personas consideran la seguridad como un deber
y no una obligación. Debe decidir que la seguridad es una preocupación comercial, y no algo
que es bueno tener si puede encajar. La seguridad debe considerarse una parte de todas
las operaciones. Por ejemplo, un procesador de tarjeta de crédito debe indicar que su
negocio proporciona procesamiento seguro de transacciones con tarjeta de crédito, no
procesamiento de transacciones con tarjeta de crédito. Su computadora doméstica debe
proporcionar computación segura para las necesidades de su familia, no proporcionar
informática para las necesidades de su familia. Una vez más, no estoy diciendo que la
seguridad sea la máxima prioridad. La seguridad debe integrarse en los requisitos
generales de la información. La seguridad realmente proporciona la gestión del riesgo, y la
gestión del riesgo debe ser una consideración en el manejo de cualquier información. No
debe ser una idea posterior o algo por incorporar si el tiempo o el dinero lo permiten.
Piénselo de esta manera. Cuando envía a un niño a la escuela, generalmente se asegura de
que esté vestido apropiadamente para el clima. No puede ser un buen padre solo al afirmar
que envió a su hijo a la escuela. Sería declarado negligente si Enviaste a tu hijo a la escuela
con pantalones cortos y una camiseta durante una tormenta de nieve. La ropa es una medida
de seguridad integral. Cuando usas información o computadoras, debes asegurarte de que
estén bien protegidas para su entorno también.

Edúcate tú mismo
Probablemente el aspecto más crítico de asumir la responsabilidad es que necesita
desarrollar sus conocimientos comunes. Si tiene hijos, debe aprender sobre las tecnologías
que utilizan. Si no sabe qué significan pos, wtgp y mip, mejor aprende Si un niño puede
aprender sobre esto, tú también puedes. Si no puedes, debes haberte comprometido.
Serías perezoso o estúpido. No hay nada que inherentemente les permita a los niños
comprender la tecnología que los adultos no pueden. La recopilación de conocimientos
comunes ayuda a alejarlo de sitios web maliciosos y otros casos de fraude en Internet. Se
puede abordar la falta de conocimiento. Se debe abordar.

Recuerde, usted está protegiendo la

información
Como dije antes, no está protegiendo las computadoras, está protegiendo la información y
los servicios que ofrecen las computadoras. Esto no solo implica que sus computadoras
tienen más valor que la etiqueta de precio, sino que sus conversaciones y tal vez incluso
pedazos de papel también tienen un gran valor. No sé cuántas veces me he sentado en un
vuelo y la persona que está a mi lado está haciendo sus facturas mensuales o preparando un
informe de gastos comerciales. De ambas maneras, veo sus números de tarjeta de crédito.
Del mismo modo, escucho a las personas en sus teléfonos celulares que compran algo y
pueden escuchar sus números de tarjeta de crédito también. Esto es solo un ejemplo de
cómo las acciones inocuas pueden conducir a grandes pérdidas. No solo necesita proteger
sus computadoras, necesita triturar la información potencialmente confidencial que se
imprime. Debe considerar quién potencialmente puede escuchar sus conversaciones sobre la
información, o mirar por encima del hombro mientras lee la información. Tal como
ChoicePoint probablemente protegieron los registros de crédito del consumidor en sus
computadoras, debían asegurarse de que no vendieran los registros de crédito a los
delincuentes. Necesita ver cómo se usa la información y protegerla en todas sus formas.

Protegiendo tu computadora
Aunque me gusta pensar que este libro es mucho más que un libro de seguridad informática,
sé que será colocado en la sección de seguridad informática de la librería. También sé que
si un profesional de seguridad informática compra este libro, predicando proverbialmente
al coro. Sin embargo, espero que profesionales de la seguridad informática más que
experimentados leerán este libro y se beneficiarán de estas sugerencias. Tal vez los
profesionales de seguridad informática al menos puedan usar esta sección para demostrar
que sus recomendaciones son importantes. Otra cosa que quiero enfatizar para esta
sección es que muchas personas inicialmente tienen todas las contramedidas que defiendo,
pero dejan que el software relacionado expire o simplemente dejan de hacer las cosas
correctas. Sinceramente, las personas implementarán o renovarán estas contramedidas
como apropiado.

Usar y renovar el software antivirus

Los ataques más comunes relacionados con la computadora son virus. Una mierda tras otra
es intentar escribir nuevos virus o modificar virus conocidos todo el tiempo. Cuando un
virus golpea, los efectos pueden ser devastadores, lo que puede causar la pérdida de
millones de dólares en trabajo o destruyendo años de imágenes y recuerdos. Todas las PCs
y Mac basadas en Windows necesitan ejecutar software antivirus. A pesar de los muy
equivocados comerciales de Mac, existen virus Mac. La única razón por la que hay más virus
basados en PC es que hay un número significativamente menor de usuarios de Mac, por lo
que los atacantes no No me importan los Macs lo suficiente como para atacarlos con
frecuencia. Lo que es más importante, debe asegurarse de que su software antivirus esté
configurado para actualizarse automáticamente. Solo piense que es como dejar que un
automóvil cargue su tanque de combustible por sí solo. El software anti virus puede
actualizarse diariamente o con mayor frecuencia si requerido por los ataques de
propagación rápida. Un lugar donde las personas fallan es cuando los usuarios no renuevan
sus licencias de software antivirus. Sí, esto puede costar más de $ 50 por año, pero
nuevamente se requiere mantenimiento, al igual que se requiere cambiar el aceite de su
automóvil. El software antivirus aparentemente podría funcionar correctamente, sin
embargo, no recibirá las actualizaciones de los nuevos virus. Puede que no le guste, pero es
un costo obligatorio poseer una computadora.

Usar y renovar cortafuegos personales

El software antivirus no detiene todos los ataques contra una computadora. Los virus son
esencialmente programas de computadora que se colocan en su computadora para realizar
acciones incorrectas. Existen ataques que se dirigen al software que se ejecuta en su
computadora. Como se describió anteriormente, este software puede estar mal configurado
o tener vulnerabilidades incorporadas. Los firewalls personales tienen la intención de evitar
que las amenazas remotas exploten esas vulnerabilidades, entre otros. Este software debe
instalarse en las PC. No importa si tiene o no un firewall integrado en algún enrutador que
conecte su casa a su ISP. Estos enrutadores / cortafuegos evitan gran cantidad de
ataques, pero no todo. Las computadoras portátiles que pueden conectarse en cualquier
lugar también son definitivamente susceptibles. Exactamente como en el caso del software
antivirus, el software personal de firewall debe configurarse para actualizarse
automáticamente. Además, como en el caso del software antivirus, necesita renovar la
licencia anualmente. En una buena nota, el software de firewall personal está disponible
para su compra como un paquete de software de seguridad.

Use y renueve el anti-spyware

Si bien algunos programas antivirus detectan algunas formas de spyware, no pretenden ni
proclaman que sean programas antispyware. Aunque personalmente creo que la única
diferencia entre virus y spyware es el daño que causan, realmente no lo sé. Por qué es
diferente. Por desgracia, esto es irrelevante, ya que tiene que aceptar la realidad y asumir
la responsabilidad de proteger su información. Para hacerlo, debe tener un software anti-
spyware en su PC. Una vez más, se debe permitir que el anti-spyware se actualice a sí
mismo, así como también se renueve anualmente. El antiespía espía se incluye
frecuentemente con paquetes de software de seguridad. Con el software antispyware,
realmente recomiendo que las personas instalen dos productos antispyware diferentes. La
razón es que la calidad de los diferentes productos antispyware varía. Ningún producto
individual parece captar todo. Cuando estaba escribiendo este libro, tuve una producto
antispyware de suite de seguridad de primera categoría que se ejecuta en mi sistema.
Pensé que uno de mis equipos se estaba ejecutando un poco, así que ejecuté otro producto
anti-spyware y encontré tres infecciones de spyware de bajo nivel. Como mencioné, puede
comprar un antispyware en una suite de seguridad para satisfacer una de sus necesidades y
mantenerlo siempre en funcionamiento. El otro producto antispyware debe ser un producto
independiente, y puede ejecutarlo una vez por semana; si notas que tienes problemas.

Ejecutar copias de seguridad semanales

Mientras sigo repitiendo, incluso si haces todo bien, es probable que tengas problemas.
Incluso si nunca tienes un virus, tu disco duro podría bloquearse. Algo siempre puede salir
mal. Por ese motivo, debes realizar al menos una copia de seguridad semanal. de sus
archivos confidenciales. No tiene que hacer una copia de seguridad de toda la computadora,
ya que la mayoría de los datos en la computadora son aplicaciones o software de sistemas
operativos. Solo necesita hacer una copia de seguridad de la información que crea o
modifica en el sistema. Por ejemplo, no necesita hacer una copia de seguridad de su lector
de correo electrónico, pero sí necesita hacer una copia de seguridad del mismo. No
necesita hacer una copia de seguridad de su procesador de texto, pero sí debe hacer una
copia de seguridad de los documentos que cree Las computadoras con Windows hacen que
sea relativamente fácil hacerlo teniendo el directorio Mis documentos. Si mantiene los
archivos en ese directorio, todo lo que tendría que hacer es hacer una copia de seguridad
de ese directorio. La mayoría de las personas pueden comprar un disco USB Universal Bus
Universal (USB) que debería ser capaz de hacer una copia de seguridad de todo el
directorio de Mis Documentos. Si alguien tiene música o videos en su sistema, pueden
colocar todos esos archivos en los directorios Mi Música o Mis Videos , respectivamente.
Es probable que requieran más espacio que una unidad de disco miniatura típica y se puede
hacer una copia de seguridad en CD o discos duros externos. La clave es hacer una copia de
seguridad de los datos de forma periódica. Aunque el título de esta sección recomienda
copias de seguridad semanales, si tiene información muy valiosa que cambia con frecuencia,
debe hacer una copia de seguridad a diario.

Use fuentes de alimentación

ininterrumpida
Una de las cosas más dañinas que le puede suceder a una computadora es una pérdida
repentina de energía o una sobrecarga de energía. Por lo menos, una pérdida de potencia
causará una pérdida de cambios recientes en los datos. También puede causar problemas la
aceleración de la alimentación es un aumento repentino de la energía que ingresa a su
computadora. Esto puede ocurrir por diversos motivos, incluidos los rayos en el área. Una
oleada de energía puede destruirlo, dispositivos electrónicos. Los sistemas de alimentación
ininterrumpida (UPS) son básicamente baterías grandes. Enchufa el UPS a la toma de
corriente y luego conecta la computadora al UPS. Si se produce una pérdida de energía, se
activa la función de batería de respaldo y le proporciona suficiente tiempo para Guarde su
trabajo y apague la computadora correctamente. Algunos UPS se conectan directamente a
la computadora y funcionan con la computadora para apagarlo automáticamente si no se
atiende. Hay diferentes tamaños de UPS que proporcionan diferentes cantidades de tiempo
de respaldo de la batería. Los SAI también brindan protección contra sobretensiones. No
es práctico ni necesario utilizar un SAI para todos los dispositivos. En esos casos, puede
comprar enchufes especiales con protección contra sobretensiones. También debe tenerse
en cuenta que las sobretensiones también pueden pasar por las líneas telefónicas. Los
protectores contra sobretensiones también incluyen enchufes para líneas telefónicas, y
usted debe utilizarlos.

Nota sobre el software de seguridad

Considero que los productos de software de seguridad que menciono en este capítulo son
críticos y necesarios. Sin embargo, reconozco que ejecutar todo el software puede hacer
que funcione muy lentamente. Por mi parte, periódicamente he tenido la tentación de
desactivar mi software. Sin embargo, eso es inaceptable para mí Puede desactivar el
antispyware y ejecutarlo manualmente a diario. El gran problema del procesamiento suele
ser el software antivirus. Una cosa que puede hacer para minimizar la fuga de
procesamiento es desactivar el escaneo del correo electrónico durante el envío de e-
correos.

A falta de lo anterior, otra solución es probar diferentes productos de seguridad. Sin

embargo, puede parecer que gastan dinero. Si su computadora tiene más de tres años,
puede intentar actualizar la computadora con memoria de acceso aleatorio adicional (RAM )
o un procesador más rápido, o simplemente comprar una computadora nueva. Nuevamente,
la seguridad no es un problema de manejo, pero es un problema integral. Si no puede
protegerse adecuadamente mientras está conectado al mundo exterior, no debería hacerlo.
Hay mucho que perder.

El 95/5
Regla Aunque este capítulo tiene consejos muy críticos, solo es un comienzo para asegurar
la información personal o de su organización. Esta es la regla 95/5 en mi opinión. La regla
80/20 implica que puede resolver el 80 por ciento de sus problemas con 20 por ciento del
esfuerzo. Creo que mis reglas de oro le proporcionan 95/5; el 5 por ciento del esfuerzo
puede resolver el 95 por ciento de sus problemas de seguridad de la información. Todavía
hay, sin embargo, el 5 por ciento con el que tiene que lidiar. El último 5 por ciento puede
ser muy difícil de manejar, pero al menos se está ocupando de la fruta proverbial que
incluso el script kiddie más inepto será capaz de agarrar

CAPITULO 14
La oportunidad favorece a los
preparados
Un día, mi computadora se estaba ejecutando lentamente ya que estaba borrando mi
carpeta de spam. Lo que sucede es que es posible que intentes hacer clic en una función y
termines haciendo clic en otra cosa. En este caso, abrí accidentalmente un correo
electrónico con un ejecutable malicioso. Cuando vi mi disco duro comenzar a girar, me
encogí y luego intenté sacar el cable de Ethernet para tratar de detener algunos efectos
potenciales de lo que claramente era un software malicioso. Después de unos segundos, me
sentí increíblemente aliviado cuando apareció una ventana emergente en mi pantalla de mi
software antivirus. La ventana decía que se había detectado un virus y que se había
eliminado. Si bien mi clic fue claramente un accidente, realmente no importa. Estas cosas
suceden y se deben esperar accidentes. Realmente no puede prever todo tipo de
accidentes, sin embargo, al tomar todas las medidas razonables de gestión de riesgos,
puede mitigar proactivamente los efectos perjudiciales de la mayoría de los accidentes e
incluso de la mayoría de los actos maliciosos. Como lo describí antes, la preparación ayuda a
mitigar los daños de las amenazas maliciosas y malignas. No fue una suerte que tuviera el
software antivirus instalado, actualizado y funcionando continuamente. Son accidentes
como este los que me muestran por qué siempre necesito un software antivirus, aunque
ralentiza mi computadora. Como dije, el virus y otro software de seguridad son
imprescindibles para ser proactivamente seguros.
Seguridad omnipresente
A lo largo de este libro, he utilizado la analogía del automóvil. De nuevo, un automóvil es una
pieza muy complicada, más complicada que una computadora. Hay millones de personas que
pueden causarle daños en las carreteras. A pesar de esto, la gente sigue inmóvil. Vehículos
de conducción cómodos y, en general, pasar el día. La razón es que hay una infraestructura
para evitar daños. Hay dispositivos de seguridad integrados en el automóvil. Las personas
necesitan para pasar una prueba de habilidades básicas para obtener una licencia de
conducir. Las carreteras se mantienen en buen estado y se requiere que los autos se
mantengan en buen estado. Hay letreros y señales en la calle para controlar el flujo de
tráfico. Las leyes de tráfico también establecen cómo están los conductores. requerido
para comportarse. Hay cumplimiento de las leyes. La seguridad es omnipresente en la
conducción. Las herramientas y técnicas necesarias para evitar casi todos los ataques están
disponibles para nosotros ahora. El conocimiento está disponible. Sin embargo, las personas
no han estado dispuestas a aplicar las herramientas, el conocimiento y las técnicas,
dejándolos vulnerables incluso al ataque más trivial. Ya mencioné la analogía de Wizard of
Oz. Si la gente usara lo que ya tiene, podríamos hacer un aumento muy significativo en
nuestra seguridad. La seguridad sería omnipresente para las computadoras y la información
en general.

El propósito de este libro

Francamente, si estás leyendo esto, me siento honrado. La mayoría de las personas
generalmente no terminan los libros, principalmente porque pierden el interés. Incluso si
los lectores creen que la información es valiosa, pueden volverse perezosos o estar
demasiado ocupados. Aunque todavía atribuyo eso al hecho de que no puedo obligar al lector
a continuar por alguna razón, tengo que aceptar esto como una condición para ser un autor.
A medida que cierro, siento que debo dejar claro que la seguridad depende de cómo piense,
no de ninguna tecnología. Las tecnologías son la implementación de sus procesos de
pensamiento. Si tiene malos procesos de pensamiento, tendrá una mala seguridad. Es así de
simple. . Debo especificar que puede que no sea usted como individuo el que tiene los
procesos de pensamiento equivocados. He conocido a muchos profesionales de seguridad
muy competentes que piensan de la manera correcta. Desafortunadamente, su gestión no
admite lo que quieren hacer, por lo que la organización en general, no piensa de la manera
correcta. De nuevo, tengo la esperanza de que este libro ayude a estas personas a ayudar a
que la administración respalde a su personal de seguridad.

La tecnología sigue siendo importante

Admito plenamente que minimizo el papel de la tecnología y los muchos aspectos
complicados de implementar una buena seguridad informática y de la información.
Definitivamente hay una necesidad de muchas de las excelentes herramientas disponibles.
Por lo tanto, es fundamental que, como recomiendo, salgan y educarse sobre lo que necesita
saber. La ignorancia no es excusa para un padre, y no es excusa para cualquiera que use
computadoras o información. Recomiendo encarecidamente que salga y lea libros sobre
tecnologías y temas que sean relevantes para usted o su organización. Existe una enorme
cantidad de información que aborda casi cualquier problema de seguridad que pueda tener.
La ignorancia es injustificable.

La seguridad es realmente la gestión

de riesgos
Nuevamente, nunca puede estar seguro. Es un estado ficticio. Nunca estará exento de
riesgo de pérdida de una manera u otra. Como se demostró en las reacciones a los ataques
del 11 de septiembre, la única manera de evitar los secuestros de aerolíneas es detenerse
vuelos aéreos. Esa no es una situación realista. Irónicamente, más personas probablemente
murieron mientras realizaban largos viajes por carretera mientras los aviones se
encontraban castigados como resultado de la acción. Si se encuentra en el mundo real,
tiene que reconocer que la pérdida ocurrirá. Su objetivo es controlar de manera rentable
esa pérdida. Lo más importante, no puede simplemente decir que no importa lo que haga,
habrá pérdida, entonces, ¿por qué intentarlo? Esta es una actitud despreciable que
demasiadas compañías e individuos tienen. Aún peor es la actitud que la tecnología de la
información es demasiado complicada de comprender, ¿por qué molestarse? Esto deja a la
gente ignorante sobre algo que es omnipresente para la vida cotidiana. Este es el
equivalente tecnológico de caminar por un vecindario dominado por el crimen y preguntar:
"¿Dónde hay un banco donde puedo depositar $ 100,000 en efectivo?" Cada individuo y
organización necesita identificar el amenazas, vulnerabilidades y valor que tienen, para que
puedan determinar las contramedidas que necesitan. Estas contramedidas no tienen la
intención de eliminar todas las pérdidas, sino de mitigar de manera rentable la pérdida
tanto como sea razonable.

Sé responsable
La forma en que quiero terminar este libro es recordándoles a las personas que deben
aceptar la responsabilidad de aquello sobre lo que tienen control. Un ladrón puede atacarte,
pero eso no significa que le facilites las cosas al ladrón. No significa que no tomes medidas
para detener al ladrón. Si es padre, necesita aprender sobre la tecnología que usan sus
hijos. Debe aprender sobre cómo utilizan la tecnología. También debe aceptar la
responsabilidad de que si su hijo se escapa de la casa para encontrarse con alguien, cómo
Conocí a la persona que es menos irrelevante en comparación con el hecho de que la
atención y el comportamiento de su hijo son su responsabilidad. Aprenda cómo espiar a sus
hijos. Son buenos para espiarlo. También debe asumir la responsabilidad por el hecho de
que sus acciones pueden afectar a los demás. Dada la naturaleza de Internet y el valor de
 la información, si deja una computadora o información, en cualquier forma, vulnerable, está
facilitando el daño a otras personas. que es peor que simplemente dejar a ti o a tu propia
organización vulnerable. Aunque a muchas personas les encanta desacreditar a los
abogados, espero que se presenten demandas generalizadas contra las compañías que
dejaron información extremadamente desprotegida. Por desgracia, será necesario algo
como esto para hacer de la seguridad una obligación la mayoría de la gente. Hay muchas
cosas diferentes en el mundo que pueden hacerle daño. Claramente, no puede, ni es
razonable esperar que pueda, protegerse a sí mismo ni a su organización de todo. Sin
embargo, se espera que tome precauciones razonables para manejar razonablemente su
riesgo. Al igual que Dorothy tenía sus zapatillas de color rojo rubí en la mayor parte de The
Wizard of Oz, tiene lo que necesita, o puede obtenerlo. Solo tiene que reconocerlo. su
responsabilidad de usar la información y las tecnologías.

APENDICE “A”
Momentos críticos en el historial
de seguridad informática
La siguiente lista indica algunos de los principales eventos en el historial de seguridad de la
computadora. Esta lista definitivamente no abarca todo, pero tiene la intención de mostrar
que casi todos los ataques que vemos hoy, y veremos en el futuro, son solo variantes de
ataques que lo he visto por décadas. Esta información es solo de naturaleza demostrativa.
Para obtener una lista más detallada de eventos, puede buscar en Wikipedia y otras
fuentes de Internet. No hay una sola lista que parezca abarcar todo.

 1971 John Draper inventa el primer Blue Box, proporcionando a las personas un
método para hacer llamadas telefónicas gratuitas
 Principios de 1970 El virus Creeper se detecta en ARPAnet, que es la versión inicial
de Internet.
 1978 El término "pirata informático" se atribuye primero a delincuentes informáticos
adolescentes, que piratean el sistema telefónico, desvían las llamadas telefónicas y
escuchan las conversaciones. Los sistemas de carteleras informáticas proporcionan el
intercambio de información por parte de los hackers.
 1981 Se lanzó el primer virus diseminado. Elk Cloner se enfocó en las primeras
computadoras de Apple.
 La Ley de Fraude y Abuso Informático de 1986, a.k.a. 1030, entra en vigencia, y
anteriormente se considera delito el acceso no autorizado a las computadoras.
 1988 El Morris Worm se libera en la naturaleza. Apuntó a las vulnerabilidades en
ciertas versiones del sistema operativo UNIX. Temporalmente paralizó
aproximadamente un tercio de lo que se consideraba Internet en ese momento.
 1988 Primer reconocimiento significativo de un gran delito informático contra un
banco. El First National Bank of Chicago experimentó una pérdida de $ 70,000,000
debido a un delito informático.
 1989 El incidente del huevo del cuco se hace público. Cliff Stoll, administrador de
sistemas de Lawrence Livermore National Labs, observa e investiga el pirateo de
sistemas relacionados con la defensa de defensa y rastrea el incidente a los piratas
informáticos en Alemania Occidental, pirateando en nombre de la KGB. El caso
demuestra la vulnerabilidad de la información relacionada con la defensa de defensa y
la orientación de dicha información por los servicios de inteligencia extranjeros.
 1990 El sistema telefónico de larga distancia de AT & T se estrelló en el noreste de
Estados Unidos. Si bien los piratas informáticos originalmente se sospecharon en el
incidente, pronto se determinó que era el resultado de un error de programación de 3
líneas en el software de su sistema de conmutación. El Servicio Secreto lanza la
Operación Sundevil, que se enfocaba en los hackers BBS que facilitaban el comercio
de tarjetas de crédito y la información sobre los sistemas telefónicos comprometidos.
 1991 El virus Michelangelo gana notoriedad para los virus informáticos en las mentes
del público en general.
 1992 Se lanza la película, "Sneakers", que populariza el concepto de pruebas de
penetración.
 1994 Los piratas informáticos se mueven pirateando BBSes a foros web basados en
Web Las autoridades arrestan a Vladimir Levin por piratear los sistemas electrónicos
de transferencia de fondos de Citibank, robando más de $ 10,000,000. Se
recuperaron todos menos $ 400,000.
 El informe del gobierno de los Estados Unidos de 1995 indica que hay más de 250,000
ataques contra computadoras del Departamento de Defensa (DoD).
 A mediados de la década de 1990, el DoD lleva a cabo ejercicios de receptores
elegibles, simulando acciones informáticas hostiles contra el gobierno de EE. UU. Y los
activos militares. El gobierno y el ejército de los EE. UU. Se consideran ampliamente
vulnerables a los ataques a través de vulnerabilidades conocidas.
 1998 La operación Solar Sunrise intenta localizar a los perpetradores de "los ataques
más coordinados y sofisticados" experimentados por el Departamento de Defensa. Se
descubre que los atacantes son dos niños guionistas.
 1999 El gusano Melissa causa miles de millones de dólares en daños.
 2000 Hacker intenta extorsionar CD Universe amenazando con liberar información del
cliente a menos que pague $ 100,000.
 1983 La película, War Games, sale a la luz y da glamour al hacking adolescente.
Demuestra el uso de la vulnerabilidad de módems abiertos y contraseñas que se
pueden adivinar.
 1984 La revista, 2600, comienza a publicar y pone a disposición de personas que no
están familiarizadas con la informática la información sobre piratería. El virus I Love
 You es lanzado. Este es el primer virus a gran escala que utilizó técnicas de
Ingeniería Social. Los ataques masivos de denegación de servicio distribuido (DDOS)
se dirigen a Amazon, CNN, Yahoo !, y a otras compañías. El ataque fue atribuido a un
adolescente canadiense. Los ataques demuestran los peligros de botnets.
 2001 Code Red Worm ataca las vulnerabilidades conocidas y crea miles de millones de
dólares en daños en todo el mundo. El gusano Nimda apunta a vulnerabilidades
similares a Code Red, y se cree inicialmente que está relacionado con el terrorismo
terrorista debido a su lanzamiento poco después de los ataques del 11 de septiembre.
 2002 Después de una vulnerabilidad de seguridad vergonzosa, Microsoft realiza un
programa de descanso para proporcionar capacitación relacionada con la seguridad a
todos los desarrolladores.
 2003 El gusano Slammer se dirige a los servidores Microsoft SQL y causa estragos en
las redes de computadoras de todo el mundo. A pesar de la amplia cobertura de los
medios sobre la importancia de reparar el problema subyacente, el gusano Blaster se
libera en la naturaleza y causa daños de miles de millones de dólares.
 2004 El gusano Sasser se propaga rápidamente, creando miles de millones de dólares
en daños y perjuicios.
 2005 La cuenta de teléfono celular de Paris Hilton se piratea a través de la
Ingeniería Social de un empleado de la tienda T-Mobile. La publicidad resultante
genera un espectáculo público y demuestra el peligro de almacenar información en
teléfonos celulares.