Analytics

martes, 23 de septiembre de 2014

CISSP (Certificated Information Systems Security Professional), Hoja de ruta

CISSP Certification

La certificación CISSP (Certificated Information Systems Security Professional), de (ISC)², es una de las más preciadas para consultores, auditores, y profesionales de la seguridad de la información en general. El motivo principal de ello es que se trata de una de las certificaciones con más prestigio y más reconocidas en la industria de TI en general, y en especial, en el ámbito de la Seguridad de TI.

Podemos ver un ejemplo de rankings de certificaciones relacionadas con el mundo de la seguridad y de las TI a continuación, en los que podemos observar que la certificación CISSP obtiene un lugar destacado:
Otro motivo de peso para su obtención es la extensión de su temario, conformado por 10 dominios, y que abarca desde temas técnicos, como Controles de Acceso, Criptografía, etc., a temas relacionados con la procedimientos de gestión, como Tratamientos del Riesgo, Gobierno y Cumplimiento, Operaciones de Seguridad, etc.

El listado de los 10 dominios incluidos en la certificación se puede ver en el siguiente gráfico:

Dominios CISSP

No obstante, al plantearse la obtención de esta certificación, suelen surgir dudas al candidato sobre los pasos que debe seguir, el tiempo necesario de estudio, los materiales necesarios, etc. Este artículo pretende servir como respuesta a algunas de estas preguntas, y ofrecer al mismo tiempo a los candidatos información sobre los pasos a seguir para la obtención de la certificación CISSP, basándonos en la experiencia de Internet Security Auditors en la materia.

Así pues, vemos la respuesta a algunas de estas dudas a continuación, con lo cual esperamos que el proceso de obtención de dicha certificación quede más claro a los candidatos de la misma.

¿Cómo me registro para el examen?
Recordemos que el examen es presencial, basados en Computer Based Testing (CBT), o lo que es lo mismo, el examen se realiza a través de un software oficial en instalaciones reconocidas por el (ISC)² para tal efecto. Con eso, se deja atrás el examen en formato papel, realizado hasta hace pocos años para la obtención de dicha certificación.

Por tanto, vemos que el primer paso a seguir para registrarse al examen es darse de alta en el portal web del (ISC)²:

https://www.isc2.org/

Al hacerlo, el (ISC)²  envía a través de correo electrónico al candidato un código de “Candidate ID”, necesario para el registro en el portal de Pearson VUE, como veremos a continuación.

A continuación, el candidato se debe registrar en la página del Pearson VUE (centros autorizados para la realización del examen) relacionada con el (ISC)²:

http://www.vue.com/isc2/

En el momento del registro, se le solicita al usuario su “ISC ID”, código que se corresponde con el obtenido como “Candidate ID” a través de la web del (ISC)².

Una vez realizado el registro en el portal de Pearson VUE, se puede observar información sobre la localización más próxima al domicilio habitual del candidato para la realización del examen presencial, y las fechas disponibles para ello. Hay centros VUE repartidos por todo el territorio internacional, siendo Barcelona y Madrid las únicas ciudades del territorio nacional disponibles. Se puede consultar la localización del centro VUE más próximo a una dirección en el siguiente enlace:
https://wsr.pearsonvue.com/testtaker/registration/SelectTestCenterProximity/ISC2/385999

Una vez se ha escogido el centro y la fecha adecuada, se puede realizar una reserva para el examen, previo pago del importe de este (ver https://www.isc2.org/uploadedFiles/Certification_Programs/exam_pricing.pdf para información actualizada sobre el coste del examen), y previa aceptación del código de ética del (ISC)², que puede ser consultado en el siguiente enlace:

https://www.isc2.org/ethics/default.aspx

En el momento del registro del examen, se puede escoger el idioma del mismo, estando incluidos tanto el inglés (idioma original del examen) como el castellano. En este tipo de casos, siempre es recomendable realizar el examen en el idioma original (en este caso el inglés), ya que las traducciones del mismo siempre pueden perder sentido en algunas preguntas. No obstante, en este caso concreto se recomienda escoger tu idioma nativo, ya que al hacerlo, en el momento del examen se incluye tanto el idioma seleccionado como el idioma original del examen, y por tanto podemos consultar ambos idiomas sin ningún problema.

En este punto, ya se estará registrado para el examen del CISSP.


¿Cómo me preparo para el examen?
Existen diferentes libros basados en el temario del examen CISSP, aunque la mayoría son en inglés, siendo uno de los más conocidos el libro de Shon Harris “CISSP All-In-One Exam Guide”. Además, también se pueden encontrar diferentes libros en castellano, aunque la recomendación principal es seguir el libro oficial del (ISC)² para el examen, el CISSP CBK (Common Body of Knowledge). El libro dispone de más de 1400 páginas que recorren los 10 dominios de la certificación, y contiene la información necesaria para preparar y pasar el examen. No obstante, hay que tener en cuenta que el candidato deberá profundizar en algunos de los temas tratados en el libro según la información contenida en otros libros/fuentes disponibles en el sector.

Aparte de los libros, otra recomendación es realizar uno de los cursos oficiales de preparación para el examen, impartidos por profesores homologados por el (ISC)². Dicho curso tiene una duración de una semana, y en él se proporcionan todas las bases necesarias para aprobar el temido examen. Hay que ser conscientes que el curso, al igual que la certificación, está enfocado a gente con una base en el mundo tecnológico y de seguridad IT, por lo que es necesario que los candidatos a dicho curso estén familiarizados con estos temas antes de la impartición del mismo.

Estos cursos oficiales son impartidos en España, tanto en Madrid como en Barcelona, y de manera presencial. En el siguiente enlace se pueden ver las próximas fechas para el curso:

http://www.isecauditors.com/calendario-de-cursos#isc2

Una vez que el candidato disponga de los conocimientos necesarios sobre los 10 dominios incluidos en el temario oficial, será necesario que este se familiarice con el formato del examen.
Este examen consta de 250 preguntas tipo test, y tiene una duración de 6 horas, en las que se pone a prueba tanto el conocimiento del candidato como su capacidad de resistencia ante un examen de dicha duración.

Existen distintas webs donde se puede simular el examen antes de su realización. En dichas webs, se ofrece al candidato preguntas similares (que no iguales) a las encontradas el día del examen.
Uno de estos recursos es oficial, ofrecido por el (ISC)² en el siguiente enlace, previo pago del servicio:

https://www.isc2.org/studiscope/default.aspx

También se puede descargar el simulador de examen oficial como aplicación para smartphones, a través del siguiente enlace:

https://www.isc2.org/practice-tests-app/Default.aspx

Existen también webs gratuitas que ofrecen este servicio, aunque lógicamente los servicios que ofrecen no están tan ajustados al temario oficial como los ofrecidos por el (ISC)². Una de las webs que tiene más prestigio en este aspecto es la siguiente:

https://www.cccure.org/

¿Cuánto tiempo de preparación necesito?
Esta es otra pregunta que suele surgir al candidato al examen CISSP, y desgraciadamente no existe una respuesta única  a la misma.
Lógicamente, el tiempo de preparación dependerá de cada candidato, de su preparación previa, del tiempo diario del que disponga para el estudio, de su experiencia en el mundo de las tecnologías y la seguridad, etc. No obstante, el tiempo de preparación recomendado iría de unos 3 meses para las personas más experimentadas, hasta un periodo de un año para personas más noveles en el sector.

¿Cómo realizo el examen?
Como se ha comentado anteriormente, el examen se realiza por ordenador en un centro autorizado VUE.

El examen está conformado por 250 preguntas tipo test, con 4 respuestas disponibles, de las que solo se debe escoger una. Las preguntas mal contestadas no descuentan puntos, por lo que es importante contestar todas las preguntas antes de finalizar el examen. 

Se dispone de 6 horas para contestar las 250 preguntas, aunque el candidato puede realizar tantas pausas como considere necesarias, siempre que vaya acompañado de un responsable del centro VUE en ellas. Además, el candidato no podrá manejar dispositivos electrónicos durante el examen (incluidas las pausas del mismo), ni introducir comida o bebida en la sala del examen (a no ser que haya razones médicas justificadas que así lo requieran). Estos centros disponen de cámaras de seguridad que monitorizan las acciones del candidato en todo momento, con lo que si se intenta consultar apuntes, manuales, etc., dicha acción sería identificada al momento, y se invitaría al candidato a abandonar el examen por intento de copia.

Otras medidas especiales de cada uno de estos centros
Además, lógicamente el candidato perdería el derecho a la realización del examen en esa convocatoria.

Una vez el candidato ha finalizado el examen, éste lo debe indicar al software (es importante estar seguro de que todas las respuestas están correctamente contestadas antes de realizar dicha acción, ya que no hay vuelta atrás), y en unos segundos se le indica al candidato por pantalla si los resultados del examen han sido satisfactorios, o si por el contrario, lo ha suspendido.

La puntuación del examen va de 0 a 1000 puntos, siendo necesario un total de 700 puntos para aprobar el examen. No obstante, no todas las preguntas ponderan de la misma forma, y no se informa al candidato de las ponderaciones para cada pregunta, por lo que es muy difícil conocer los resultados del examen antes de que estos sean validados e indicados por el software.

Desde principios del 2014, se ha incluido un nuevo formato para algunas de las 250 preguntas, llamado “Drag and Drop”, o Arrastrar y Soltar. En dichas preguntas, se indica al candidato de forma gráfica un problema, que debe ser resuelto con el arrastre de alguna de las partes de la representación gráfica a un punto determinado del mismo.

Vemos un ejemplo de dichas preguntas a continuación:

Ejemplo de preguntas de examen CISSP

Se pueden consultar más ejemplos de este nuevo tipo de preguntas en el siguiente enlace:

https://www.isc2.org/innovative-cissp-questions/Default.aspx

Este nuevo formato de preguntas puede asustar al candidato en un inicio, por el desconocimiento del mismo. No obstante, hay que tener claro que los conocimientos evaluados por el examen son los mismos en todos los tipos de preguntas, por lo que si un candidato se encuentra preparado para las preguntas tipo test, no debería tener problema en enfrentarse a las preguntas de “Drag and Drop”.

¿Y si suspendo?
El candidato al CISSP puede presentarse hasta un máximo de 3 convocatorias de examen al año, siguiendo la siguiente política:
  • Al suspender por primera vez, el candidato debe esperar un mínimo de 30 días antes de volver a presentarse. 
  • Al suspender por segunda vez, el candidato debe esperar un mínimo de 90 días antes de volver a presentarse.
  • Al suspender por tercera vez, el candidato debe esperar un mínimo de 180 días antes de volver a presentarse.
  • Si se suspende por cuarta vez, se repite el proceso como si se tratara del primer suspenso.

¿Cómo aplico para la certificación?
Una vez se ha pasado satisfactoriamente el examen, el siguiente paso es aplicar para la obtención de la certificación. Recordemos aunque pueda parecer lógico, que antes de realizar esto el candidato no está certificado, y por tanto, no puede utilizar el título de CISSP con solo haber pasado el examen.
Para aplicar para la certificación, se debe disponer de una experiencia laboral de un mínimo de 5 años, relacionado con un mínimo de dos de los diez dominios abarcados por la certificación.

El candidato puede sustituir uno de estos 5 años, demostrando que ha realizado un grado superior de un mínimo de 4 años, o bien demostrando que es poseedor de alguna de las certificaciones aprobadas por el (ISC)² para tal efecto. No obstante, al hacer esto, seguirá requiriendo un mínimo de 4 años de experiencia laboral relacionada con los dominios del CISSP.

En el siguiente enlace se puede consultar la política relativa a la sustitución de un año de experiencia profesional comentada, con el listado de los certificados aprobados por el (ISC)² para ello:

https://www.isc2.org/credential_waiver/default.aspx

Si el candidato no dispone de la experiencia profesional necesaria para solicitar la certificación en el momento de superar el examen, se puede asociar al (ISC)² mientras la obtiene. Recordemos que una vez aprobado el examen, el candidato dispone de 9 meses para solicitar la certificación o bien para asociarse al (ISC)². En caso contrario, el candidato perdería la validez del examen realizado, y en caso de desear obtener la certificación en un futuro, se debería volver a presentar al examen y pasarlo satisfactoriamente.

Una vez se dispone de la experiencia necesaria, el próximo paso es obtener la aprobación de otro miembro con la certificación CISSP vigente. Dicho miembro deberá aceptar la responsabilidad de confirmar que el candidato al CISSP dispone de la experiencia profesional para la obtención del certificado. En caso que no se tenga contacto con ningún profesional con la certificación CISSP vigente, hay que indicarlo al (ISC)², que establecerá un procedimiento adicional para comprobar que el candidato dispone de la experiencia reportada.

El siguiente paso será rellenar un formulario de admisión, que irá firmado tanto por el candidato como por el profesional con el CISSP vigente.

Este formulario puede ser encontrado en el siguiente enlace:

https://www.isc2.org/uploadedFiles/Certification_Programs/endorsement.pdf

Una vez completado, deberá ser enviado al (ISC)² a través de correo electrónico, correo postal o fax a la siguiente dirección:

Correo electrónico: programs@isc2.org
Fax: 727-786-2989

Correo postal:   
(ISC)² Programs
Attn: Endorsements
311 Park Place Blvd, Suite 400
Clearwater, FL 33759 USA

Una vez recibida la petición, el (ISC)² emitirá una confirmación de recibo, y aprobará la petición del candidato al cabo de unas cinco o seis semanas desde ese momento. Si el proceso es correcto, se notificará al candidato después de dicho tiempo que su aplicación ha sido correcta, y se enviará al candidato el certificado por correo postal.

Más información sobre el proceso de solicitud de la certificación puede ser encontrada en el siguiente enlace:

https://www.isc2.org/uploadedFiles/Certification_Programs/endorsement.pdf

¿Cómo mantengo la certificación?
Una vez obtenida la certificación, no hay que olvidar que es necesario realizar un mantenimiento anual de la misma. Una de las acciones relacionadas con este aspecto es pagar unas tasas anuales, de un total de 85 dólares americanos.

Además, también se deben obtener y reportar un mínimo de 120 CPE (Continuing Professional Education) en un periodo de tres años, con un mínimo de 20 CPE anuales.

Reportar CPE es la manera de demostrar al (ISC)² que el profesional se encuentra activo en cuanto a las nuevas consideraciones relacionadas con el sector, y se basa en realizar acciones como elaborar artículos relacionados con alguno de los dominios de CISSP, asistir a seminarios o conferencias, la lectura de libros determinados, etc. Por regla general, un CPE suele corresponder a una hora de tiempo dedicada a una de estas actividades. De manera aleatoria, el (ISC)² realiza auditorías de los CPE reportados por los profesionales certificados en el último año, con lo que se deben conservar evidencias de las actividades realizadas para la obtención de los CPE, y hacerlas llegar al (ISC)² en caso que sea solicitado.

El detalle sobre las políticas relacionadas con el reporte de CPE puede ser consultado en el siguiente enlace:

https://www.isc2.org/uploadedFiles/%28ISC%292_Member_Content/CPEs/cpe_guidelines.pdf

Conclusiones
Con la lectura de este artículo, el candidato a la certificación CISSP debería tener un mapa de ruta bastante claro sobre el proceso de obtención de la misma, así como ser conocedor de los detalles de cada una de las etapas del proceso.

Los pasos para la obtención de dicha certificación que se han detallado en el artículo son los siguientes:


Pasos para la obtención del CISSP

El camino es largo y costoso, pero para los profesionales de la seguridad de la información, la recompensa sin duda merece todo el esfuerzo empleado. Ahora solo queda lo más difícil… Ponerse con ello!



Autor: Guillem Fàbregas - CISA, CISM, PCIP
Departamento de Consultoría.

miércoles, 10 de septiembre de 2014

Los Metadatos: definición, riesgo y eliminación

Algunos de nuestros clientes nos han planteado sus dudas acerca de los metadatos. El objetivo de este artículo es intentar responder a estas dudas. Para ello, se comenzará describiendo qué son los metadatos y dónde podemos encontrarlos, en el contexto de un entorno corporativo. Posteriormente, se analizará de forma justificada el riesgo derivado de su fuga, caracterizando los factores que influyen directamente en él. Finalmente, con el objetivo de reducir el nivel de riesgo, se presentarán un conjunto de soluciones nativas y de terceros, que permiten eliminar los metadatos asociados a los archivos más comúnmente utilizados en este tipo de entornos.

¿Qué son y dónde se encuentran?
La palabra metadato significa “datos acerca de los datos”. En nuestro contexto, se refiere  a la información relativa a un documento, como por ejemplo: el autor, la fecha de creación/modificación, el programa editor, etc. Estos datos son de gran ayuda a la hora de gestionar documentos y sus procesos de elaboración colaborativa.

En un entorno corporativo, los metadatos se encuentran principalmente en los documentos ofimáticos. Actualmente, existe una gran variedad de formatos de estos tipos de documentos. Sin embargo, los formatos generalmente utilizados son los relativos a: los documentos escritos, ya sea en formato editable (.doc, .docx, .odt, etc.) o de impresión (.pdf), las hojas de cálculo (.xls, .xlsx, .ods, etc.) y las presentaciones (.ppt, .pptx, .odp, etc.).

A continuación se muestran los principales tipos de metadatos contenidos en los documentos ofimáticos:
  • Propiedades del documento: Autor, Título, Páginas, Palabras, Tiempo de edición, Fecha de creación, Fecha de la última modificación, etc.
  • Revisiones de la edición: Historial de versiones anteriores.
  • Propiedades técnicas: Impresora física o virtual (PDF), Aplicación editora y versión, etc.
Además de los documentos ofimáticos, en un entorno corporativo también pueden encontrarse otros archivos que contienen metadatos, como son las imágenes, que también se encuentran en diversos formatos (.jpg, .png, .bmp, .gif, etc.). 
A continuación se muestran los principales tipos de metadatos contenidos en las imágenes:
  • Propiedades de la imagen: Geolocalización, Artista, Título, Descripción, Orientación, Resolución, Fecha de creación, Fecha de modificación, etc.
  • Propiedades técnicas: Marca y modelo del dispositivo fotográfico, Aplicación editora y versión, etc. 
Únicamente se han citado los tipos de archivos más utilizados en un entorno corporativo. Sin embargo, es importante indicar que todos los archivos poseen un conjunto común de metadatos asociados. Además, en función de la tipología del archivo (documento, imagen, archivo de sonido, video, etc.), este posee un conjunto de metadatos adicional, específico de su tipo (como son las Propiedades del documento y las Propiedades de la imagen mencionadas anteriormente).

¿Supone un riesgo su fuga?
Generalmente, los metadatos no son considerados uno de los elementos principales a tener en cuenta en términos de Seguridad de la Información. Es cierto, que su propia existencia no implica directamente la existencia de vulnerabilidades en el entorno. Además, analizándolos de forma aislada, el riesgo derivado de su fuga puede llegar a ser poco relevante.
Sin embargo, el nivel de riesgo depende principalmente de los siguientes factores:
  1. El volumen de metadatos disponibles.
  2. La criticidad de la información que proporcionan acerca de las vulnerabilidades del entorno.
  3. El grado de relación existente entre ellos.
Supongamos que disponemos de los metadatos Autor y Aplicación editora y versión de un mismo documento. Por un lado, el metadato Autor nos proporciona información sobre la existencia de un usuario en el entorno. Por otro lado, el metadato Aplicación editora y versión nos proporciona información sobre la existencia de un software ubicado en un sistema que pertenece al entorno.
Llegados a este punto, podemos concluir que cada metadato nos proporciona una información única acerca del entorno, que no podríamos conocer si no dispusiéramos de él (Factor I)).

Como se ha indicado anteriormente, el metadato Autor nos proporciona información sobre la existencia de un usuario. Esta información podría permitirnos deducir su dirección de correo corporativo, en caso de existir una correspondencia entre el nombre del usuario y su alias de correo (generalmente coinciden). Esto proporcionaría a un atacante un punto de entrada al entorno, pudiendo intentar realizar un ataque de ingeniería social para lograr su objetivo. A su vez, el metadato Aplicación editora y versión nos proporciona información sobre la existencia de una aplicación. Esta información podría permitirnos deducir, a qué vulnerabilidades está expuesta la propia aplicación, a través de la búsqueda de sus vulnerabilidades conocidas. Esto permitiría a un atacante la posibilidad de explotar una vulnerabilidad de la aplicación para lograr su objetivo.

Trabajando sobre la hipótesis que la aplicación vulnerable es accesible indirectamente a través de Internet, y que la vulnerabilidad explotada por el atacante le permite lograr su objetivo (alterar información, tomar el control del sistema, etc.), podemos concluir que cada metadato nos proporciona información de criticidad diferente acerca de las vulnerabilidades del entorno. En este caso, la probabilidad de éxito (y por tanto la criticidad de la información asociada) de un ataque que intente explotar dicha vulnerabilidad conocida de la aplicación, es mayor que la de un ataque de ingeniería social (Factor II). Es importante indicar, que en caso que la aplicación no fuera accesible a través de Internet, o no permitiera al atacante lograr completamente su objetivo, la probabilidad de éxito de un ataque a la aplicación podría ser igual o menor que la probabilidad de un ataque de ingeniería social.
Por otro lado, sabemos que ambos metadatos pertenecen a un mismo documento. Gracias a esta relación, obtenemos más información relevante acerca de las vulnerabilidades del entorno. En este caso, sabemos que existe un usuario (Autor) y que él mismo ha utilizado una aplicación vulnerable (Aplicación y versión) para generar un documento. Esta nueva información, permitiría a un atacante encadenar ambos ataques. Es decir, realizar un ataque de ingeniería social, en este caso a través de un correo electrónico, con el objetivo de explotar una vulnerabilidad de la aplicación para lograr su objetivo, utilizando para ello un documento manipulado específicamente para ese fin. La probabilidad de éxito de este ataque combinación de los anteriores, es superior a la de cada ataque por separado (Factor III).

En definitiva, los metadatos pueden convertirse en una fuente de información crítica para un atacante. Todos estos datos pueden permitirle obtener una imagen bastante fiel del entorno de una organización (incluyendo usuarios, sistemas, dispositivos de red, etc.) y de las vulnerabilidades que pueden afectar a cada uno de sus componentes. Toda esta información puede ser utilizada para posteriormente realizar un ataque dirigido, con una probabilidad de éxito muy superior a la de un ataque no dirigido, al no disponer de dicha información.

¿Cómo eliminarlos?
Esta es una de las cuestiones clave que nos plantean nuestros clientes. Actualmente, existe un conjunto amplio de herramientas que permiten eliminar los metadatos. Sin embargo, es importante indicar que no todas ellas son capaces de eliminar todos los metadatos asociados a los documentos. Además, no existe una solución que automatice completamente el proceso de eliminación de metadatos, siempre es necesario una implicación por parte del usuario, mayor o menor dependiendo de la solución empleada.
Podemos distinguir dos grupos de herramientas de eliminación de metadatos:
  • Herramientas nativas: Proporcionadas por los sistemas operativos y las plataformas de edición de documentos ofimáticos e imágenes.
  • Herramientas de terceros: Productos y servicios de empresas privadas y aplicaciones de código abierto.
Dentro de las Herramientas nativas, podemos encontrar las siguientes herramientas. Para cada una de ellas se indican los pasos necesarios para la eliminación de metadatos:
  • Windows: El sistema operativo dispone de una herramienta genérica que permite eliminar algunos metadatos asociados a los archivos. Para eliminar estos metadatos se deben realizar los siguientes pasos:
    • Acceder a las Propiedades del archivo.
    • Seleccionar la pestaña Detalles.
    • Hacer clic en Quitar propiedades e información personal.
    • Marcar la opción Crear una copia con todas las propiedades posibles quitadas.
    • Hacer clic en Aceptar.
  • Office: La plataforma Microsoft Office ha incorporado en sus últimas versiones la funcionalidad de eliminación de metadatos. A continuación, para cada versión se indican los pasos necesarios para utilizarla.
    • En las últimas versiones, la funcionalidad de eliminación de metadatos se llama “Inspección de documentos”. Es importante indicar, que el proceso es independientemente de la versión del formato y la versión de Office con las que se creó el documento. Para eliminar estos metadatos se deben realizar los siguientes pasos:
    • 2013:
      1. Acceder al menú Archivo y hacer clic en Información.
      2. En la sección Preparar para compartir, hacer clic en Comprobar si hay problemas.
      3. Hacer clic en Inspeccionar documento.
      4. Marcamos todas las zonas susceptibles de contener metadatos y hacemos clic en Inspeccionar.
      5. Para cada zona que deseemos eliminar sus metadatos, hacer clic en Quitar todos.
    • 2010:
      1. Acceder al menú Archivo.
      2. En la sección Preparar para compartir, hacer clic en Comprobar si hay problemas.
      3. Hacer clic en Inspeccionar documento.
      4. Marcamos todas las zonas susceptibles de contener metadatos y hacemos clic en Inspeccionar.
      5. Para cada zona que deseemos eliminar sus metadatos, hacer clic en Quitar todos.
    • 2007:
      1. Acceder al menú Archivo.
      2. En la sección Preparar, hacer clic en Inspeccionar documento.
      3. Marcamos todas las zonas susceptibles de contener metadatos y hacemos clic en Inspeccionar.
      4. Para cada zona que deseemos eliminar sus metadatos, hacer clic en Quitar todos.
    • 2003/XP: Para esta versión, existe un plugin que permite eliminar permanentemente los datos ocultos y de colaboración (como el control de cambios y los comentarios). Tras finalizar su instalación, para eliminar estos metadatos se deben realizar los siguientes pasos:
      1. Acceder al menú Archivo.
      2. Hacer clic en Remove Hidden Data.
    • Para versiones anteriores de Office, Microsoft ha publicado un conjunto de guías, con el objetivo de minimizar los metadatos almacenados en esos documentos:
  • OpenOffice: Esta plataforma también incorpora la funcionalidad de eliminación de metadatos. Para utilizarla y eliminar los metadatos asociados a estos tipos de documentos, se deben realizar los siguientes pasos:
    1. Acceder al menú Herramientas.
    2. Hacer clic en Opciones.
    3. En el árbol de la izquierda, seleccionar Seguridad.
    4. En el panel de la derecha, en el apartado Opciones de Seguridad y alertas, hacer clic en Opciones.
    5. En el nuevo menú abierto, marcar la opción Elimina la información personal al guardar.
    6. Hacer clic en Aceptar.
Sin embargo, tal y como se ha indicado anteriormente, algunas de las herramientas descritas no son capaces de eliminar todos los metadatos asociados a documentos e imágenes. Por ello, a continuación se indican algunas de las herramientas que se encuentran dentro del grupo de Herramientas de terceros, capaces de eliminar todos los metadatos:
  • OOMetaExtractor: Esta herramienta permite eliminar los siguientes metadatos, los cuales no pueden ser eliminados a través de la Herramienta nativa OpenOffice: Aplicación generadora del documento, Sistema operativo, Impresoras, Bases de datos y Rutas de plantillas.
  • ExifTool: Esta herramienta permite eliminar todos los metadatos asociados a una imagen (también llamados etiquetas de metadatos EXIF).
  • Metashield Protector: Esta suite de herramientas ofrece un conjunto de soluciones, algunas de ellas automatizadas y otras manuales, para la eliminación de metadatos en entornos corporativos. A continuación se describen las soluciones principales:
    • IIS/Sharepoint: Este módulo permite interceptar las peticiones de documentos de los usuarios de dichas plataformas, y limpiar sus metadatos antes de entregarlos.
    • File Servers: Este módulo permite monitorizar las carpetas ubicadas en este tipo de servidores, para eliminar los metadatos de los documentos contenidos en ellas inmediatamente después de su creación.
    • Clients: Este módulo se integra en el sistema operativo Windows. Permite de forma similar a la Herramienta nativa del sistema, eliminar todos los metadatos de un archivo (incluyendo los que no puede eliminar el propio sistema operativo).
Conclusiones 
Tras dar respuesta a las principales dudas acerca de los metadatos, es importante adoptar una postura frente a ellos. Conocer qué son los metadatos y dónde se encuentran, nos permitirá de ahora en adelante, identificar cuáles son las principales fuentes de metadatos y su diversa tipología, presentes en un entorno corporativo. Los resultados del análisis del riesgo derivado de su fuga, nos permitirán evaluar el riesgo de una forma más precisa y real, siendo más conscientes de los posibles impactos que pueden llegar a materializarse. Finalmente, conocer cuáles son y cómo pueden utilizarse las principales soluciones de eliminación de metadatos, nos permitirá definir un plan de tratamiento del riesgo efectivo y adecuado al entorno.

Autor: Carlos Antonio Sans
Departamento de Consultoría.

lunes, 8 de septiembre de 2014

Análisis de la norma PCI P2PE (PCI Point-to-Point Encryption) del PCI SSC

A continuación se realiza un análisis de la norma PCI P2PE (PCI Point-to-Point Encryption) establecida por el PCI SSC, la cual permite reducir el ámbito de cumplimiento de la norma PCI DSS en comercios. La norma PCI P2PE se basa en el proceso que comprende el cifrado de datos en el punto de interacción con el poseedor de la tarjeta (generalmente un comercio), hasta que los datos alcanzan el entorno de descifrado gestionado por un proveedor de servicios.

Este proceso incluirá tanto el método de cifrado desde el terminal de punto de venta (POI) como el descifrado para el envío a los organismos autorizadores del pago, incluyendo la seguridad de los sistemas y aplicaciones que intervienen en dicho proceso así como la gestión de las claves de cifrado y descifrado.

En primer lugar aclarar que el hecho de que un comercio utilice una solución certificada como P2PE, no le exime de cumplir PCI DSS con los requisitos que le sean de aplicación y remitidos por su banco adquiriente (en función de los niveles de servicio), aunque sí reducir en gran medida su ámbito de cumplimiento. Esto se explica debido a que, en muchos casos, los comercios tienen que tratar tarjetas físicas en mano o pueden recibir datos de tarjeta a través de otros canales distintos del definido para P2PE como por ejemplo a través del teléfono. Además, al comercio se le requerirán otros requisitos en relación con:
  • La protección física de los POI (Point of Interaction)
  • No almacenar datos sensibles fuera de los POI
  • Políticas y procedimientos adecuados por parte del comercio
  • Mantenimiento de acuerdos con terceros (en caso de ser necesario)
  • Seguir el documento P2PE Instruction Manual (PIM) que tiene que ser provisto por el proveedor P2PE al comercio y que establece como implantar y mantener los dispositivos POI.
  • Segmentar adecuadamente entorno P2PE del resto de entornos.

En relación con la certificación P2PE  para proveedores de servicio, hay dos tipos de sistemas en función del entorno de descifrado utilizado:
  • P2PE Hardware/Hardware: cuando las operaciones de cifrado se realizan dentro del POI y las operaciones de descifrado se realizan dentro de un HSM.
  • P2PE Hardware/Hybrid: cuando las operaciones de cifrado se realizan dentro del POI y las operaciones de descifrado se realizan a través de software fuera de un HSM (aunque utilice un HSM para almacenar las claves).
Actualmente el escenario más habitual es Hardware/Hardware cuyas características son las siguientes:
  • Utilización de un dispositivo hardware seguro (SCD Secure Cryptographic Devide) en ambos extremos.
  • Solución proporcionada por un proveedor (adquiriente, procesador, pasarela de pagos) – Third Party

En función del tipo de entorno de descifrado utilizado, habrá variación en algunos de los requisitos aplicados en el dominio 5 “Entorno de Descifrado” (los dominios se especifican de forma esquemática más adelante)

Hay una relación muy estrecha entre los requisitos solicitados por P2PE con respecto al resto de normas establecidas por el PCI SSC tal y como se detalla a continuación:
  • Los dispositivos POI utilizados para lectura de tarjetas deben estar incluidos en las listas del PCI SSC como dispositivos aprobados por PCI PTS con la función SRED (Secure Reading and Exchange of Data): https://www.pcisecuritystandards.org/approved_companies_providers/validated_p2pe_solutions.php
  • Las prácticas de gestión de claves para cifrado y descifrado de datos de tarjeta debe realizarse siguiendo los criterios de PTS PIN.
  • Las aplicaciones en los dispositivos POI deben cumplir con los requisitos de PA-DSS. Una matización importante al respecto es  que, en el caso de haber varias aplicaciones dentro del mismo POI, deben ser evaluadas todas (incluidas las que no accedan a datos de tarjeta).
  • El entorno de descifrado cumple con los requisitos de la norma PCI DSS.

Aunque no es necesario estar certificado del resto de normas para cumplir con P2PE, sí ayudan a reducir el entorno de cumplimiento (y por lo tanto al ámbito de la auditoría anual). Un caso distinto será el referido a los terminales de venta (POI) que sí deben aparecer en las listas del PCI SSC como dispositivos homologados.

Estos requisitos están incluidos dentro de los dominios establecidos para la norma P2PE para la obtención de la certificación:
  • Dominio 1: Dispositivos criptográficos (POI, HSM)
  • Dominio 2: Aplicaciones en dispositivos POI (En las listas del PCI SSC se establecen aplicaciones que cumplen con los requisitos establecidos para P2PE): https://www.pcisecuritystandards.org/approved_companies_providers/validated_p2pe_applications.php
  • Dominio 3: Entorno de cifrado del comercio
  • Dominio 4: Segmentación entre dominios de cifrado y descifrado
  • Dominio 5: Entorno de descifrado (En el caso de que el entorno de descifrado no este certificado como PCI DSS, será requerido un análisis de dicho entorno según los criterios de la norma P2PE que le son de aplicación. 
  • Dominio 6: Administración de claves P2PE
  • Anexo A: Requerimientos para distribución de claves simétricas utilizando métodos asimétricos
  • Anexo B: Operaciones de cifrado: Inyección de claves en los terminales

En relación con la externalización de los servicios, la norma permite que cualquiera de los requisitos sea delegado a un tercero siempre y cuando éste esté certificado como P2PE para dichos requisitos (proporcionando un atestado de cumplimiento) o demuestren cumplir con los mismos en un análisis de un asesor P2PE (QSA P2PE).

Un caso de particular interés es aquel en el que los POI y sus claves ya han sido desplegados y se pretende que formen parte de la certificación P2PE. En este caso hay dos opciones:
  • Opción 1: Revisar que las evidencias existentes demuestren que se realizó según se refleja en la norma P2PE.
  • Opción 2: Resetear todos los dispositivos POI incluyendo firmware, claves criptográficas, configuración y software instalado y volver a instalarlos de acuerdo con la norma P2PE.

En cuanto a los requisitos de la certificación en sí, se debe realizar un análisis por parte de un asesor QSA (P2PE) que deberá generar un informe de reporte de validación al final del mismo (P-ROV: P2PE Report On Validation) y un atestado de validación (AOV) firmado por el proveedor de P2PE y por dicho asesor. En caso de ser aceptado y validado por el PCI SSC, éste enviará el mismo atestado de validación (AOV) firmado, tanto al proveedor P2PE como al asesor y serán incluidos en las listas de soluciones P2PE validadas.

Una vez conseguida la certificación, la validez de la misma será de dos años. Al final de dicho periodo habrá que volver a realizar un análisis completo de la solución P2PE. Sin embargo, se requiere que al año siguiente de la obtención de la certificación (y en años sucesivos a la recertificación) un asesor QSA P2PE realice un análisis provisional (chequeo de salud) de que se están siguiendo los procedimientos según se han establecido y que el entorno sigue siendo el mismo. El resultado será el envío de un atestado de validación (AOV) al PCI SSC.

En relación a las tasas de certificación, aparecen incluidas en la página del PCI SSC:
http://es.pcisecuritystandards.org/security_standards/fees.php

Se requiere una tasa inicial previa a la inclusión en las listas de las marcas de pago y otras tasas en función que distintos tipos de cambios en la solución que requieren de análisis por parte de un asesor.

Las tasas definidas son las siguientes:
Vendor Fees:
Solution P-ROV Submission Fee     USD 4,500
Administrative Changes Fee     USD 500
Designated Changes Fee     USD 1,000
Application P-ROV Submissions Fee     USD 2,500
No-Impact Changes Fee     USD 125


Autor: Javier Lorrio - CISSP, CCSA, CCSE, CISA, PCIP
Departamento de Consultoría.

viernes, 5 de septiembre de 2014

Publicado el libro de Hackstory de Mercè Molist

Tras varios años recopilando información, entrevistas, hablando con todo el mundo de la Seguridad TIC en España, Mercè Molist, periodista y escritora. Ella, que fue una de las promotoras de la iniciativa que durante años revolucionó el hacking en España como fueron los encuentros Hack Meetings, ha publicado su obra Hackstory.es.

Sin duda es el Vademecum en mayúsculas del Hacking en España, de su evolución, de sus luces y sombras, contado con gran rigor y desde los ojos de una persona que siempre ha amado esa parte de la seguridad y la tecnología.

El libro es público, libre y accesible a todo el mundo y, para todo aquel que valore el rato de lectura interesante que le aportará puede hacer su aportación.

En Internet Security Auditors estamos orgullosos de formar parte de Hacktory.es, como la empresa que acumula más de 12+1 años de historia en el sector, y por que por ella han pasado y seguirán pasando muchos de los profesionales que han sido, son y serán parte de esta y futuras Hackstories.

Descárgatelo en hackstory.es

jueves, 4 de septiembre de 2014

Publicamos en nuestra web nuevos servicios relacionados con las normas PCI DSS

Con el fin de cubrir todas las necesidades que pueden surgir en cualquier tipo de empresa que requiera alcanzar el cumplimiento y certificación de PCI DSS de la forma más sencilla, hemos ampliado e incluido en la sección de Consultoría en nuestra web nuevos detalles del proceso.

En este nuevo apartado, se podrá encontrar de forma amplia y detallada el procedimiento a seguir por aquellas empresas que quieran conseguir esta Certificación.

https://www.isecauditors.com/implantacion-pci-dss

martes, 2 de septiembre de 2014

Nueva modalidad No Presencial en los cursos de Certificación

Para el curso que empieza en septiembre vamos a incorporar una gran novedad en algunos de los cursos de certificaciones oficiales, la modalidad de asistir a los cursos de forma NO Presencial.

Mediante una plataforma, con la última tecnología, los alumnos que, por limitaciones para desplazarse a las aulas del curso por razones logísticas, geográficas o físicas no podían asistir a este tipo de cursos podrán participar con una experiencia similar a la presencial.

Esta participación estará limitada en cada curso, por lo que la prioridad en la confirmación de la inscripción será el criterio de admisión.

Mediante sistemas de sonido en el aula para interactuar con los alumnos presenciales así como escritorios virtuales para el acceso a las mismas herramientas que el resto de alumnos para que el profesor pueda interactuar con los alumnos remotos, se abren nuevas posibilidades para que los cursos de certificación oficiales estén más al alcance de todos, desde cualquier lugar.

Los cursos con esta nueva modalidad son:
Certified Information Systems Security Professional (CISSP)
Computer Hacking Forensic Investigator (CHFI) v.8
Certified Ethical Hacker (CEH) v.8