Incluye las contribuciones de un panel

de CISO de las empresas del grupo

Global 1000:
LA VISIÓN DE LOS CISO Rob Bening
Gerente General de Seguridad Informática (CISO),
UNA INICIATIVA DE LA INDUSTRIA PATROCINADA POR CYBERARK ING Bank
David Bruyea
Vicepresidente senior y Gerente General
de Seguridad Informática (CISO), CIBC
Dawn Cappelli
Vicepresidenta senior y Gerente General de
Seguridad Informática (CISO), Rockwell Automation

Rápida reducción de riesgos: Jim Connelly

Vicepresidente sénior y Gerente General
de Seguridad Informática (CISO), Lockheed Martin

Un sprint de 30 días para proteger

Dave Estlick
Vicepresidente sénior y Gerente General de
Seguridad Informática (CISO), Starbucks

las credenciales privilegiadas Steve Glynn

Gerente General de Seguridad Informática (CISO),
ANZ Banking Group Limited
Mark Grant
Gerente General de Seguridad Informática (CISO), CSX
Gary Harbison
Gerente General de Seguridad Informática (CISO),
Monsanto Company
Kathy Orner
Vicepresidente senior y Gerente General de
Seguridad Informática (CISO), Carlson Wagonlit Travel
Chun Meng Tee
Vicepresidente senior y Director de Seguridad
Informática (CISO), SGX
Munawar Valiji
Director de Seguridad Informática (CISO), News UK
Mike Wilson
Vicepresidente senior y Gerente General de
Seguridad Informática (CISO), McKesson
 LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS

Para la preparación de este informe de investigación sobre la visión de los CISO, nos basamos en las experiencias de
profesionales de seguridad y expertos técnicos que han estado al frente de las iniciativas para resolver vulneraciones.
El informe brinda una visión interna sobre las lecciones aprendidas a partir de varias vulneraciones de datos de alto
perfil. Además, describe un marco de trabajo comprobado para aplicar un intenso sprint de aproximadamente 30 días
con el objetivo de implementar un conjunto de controles clave en torno a las credenciales privilegiadas.

ÍNDICE
INTRODUCCIÓN .............................................................................................................................................................................................................................. 3
Destacamos los aportes de nuestros
HALLAZGO CLAVE: LOS ATACANTES EXPLOTARON LAS VULNERABILIDADES CON LAS CREDENCIALES contribuidores invitados:
DE ADMINISTRADOR DE WINDOWS............................................................................................................................................................................... 4

HALLAZGO CLAVE: LOS ATACANTES USARON UNA RUTA PRIVILEGIADA PARA LLEGAR HASTA LOS Asesores y expertos técnicos que han trabajado con
ACTIVOS CRÍTICOS ........................................................................................................................................................................................................................ 5 importantes organizaciones tras una vulneración:

PRÁCTICAS RECOMENDADAS .............................................................................................................................................................................................. 8 John Gelinne

Director General, Asesoría de Servicios de Riesgos
MARCO DE TRABAJO PARA UN SPRINT DE 30 DÍAS ....................................................................................................................................... 10 Informáticos, Deloitte & Touche
ANTES DEL SPRINT ..................................................................................................................................................................................................................... 13 Gerrit Lansing
Arquitecto Principal, CyberArk
DESPUÉS DEL SPRINT ............................................................................................................................................................................................................... 13
Ejecutivos de seguridad de importantes organizaciones que
CONCLUSIÓN .................................................................................................................................................................................................................................. 14 han experimentado vulneraciones de datos a gran escala*

APÉNDICE 1: PREGUNTAS FRECUENTES PARA LOS DIRECTORES EJECUTIVOS O LA JUNTA DIRECTIVA ............. 15 *D
 ebido a las limitaciones legales, estos ejecutivos han
contribuido a este informe de investigación sin que se
APÉNDICE 2: BIOGRAFÍAS DE LOS PANELISTAS DE “LA VISIÓN DE LOS CISO” ........................................................................... 17 indiquen sus atribuciones.

Un mensaje de nuestro patrocinador

La serie de informes sobre la visión de los CISO está patrocinada por CyberArk
y desarrollada por Robinson Insight, empresa de investigación independiente.
La bien merecida experiencia de otros profesionales en seguridad resulta invaluable para los CISO que
intentan tomar decisiones informadas y basadas en datos empíricos a medida que trabajan para mejorar
los controles de acceso privilegiado. Agradecemos que, a través de su conocimiento, los miembros del
panel y los contribuidores invitados están ayudando a la comunidad en general a abordar este problema.

2
 LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS

INTRODUCCIÓN

¿De qué manera los CISO y los equipos

¿Cómo evitar una vulneración de datos? En definitiva, necesita conocer las técnicas que
de seguridad pueden usar este informe
usan los atacantes y cuáles son los controles de seguridad que las detendrían. Para obtener de investigación?
esta información, los CISO a menudo recurren a un grupo poco envidiable de expertos: las
§§ Aplique las lecciones aprendidas a partir
organizaciones que ya han sufrido vulneraciones. de vulneraciones de datos reales

Para confeccionar este informe de investigación sobre la visión de los CISO, nos basamos §§ Agudice su conocimiento sobre las técnicas
de ataques que explotan las credenciales
en las experiencias de profesionales de seguridad y expertos técnicos que han estado al
de administrador de Windows
frente de las iniciativas para resolver vulneraciones. El informe brinda una visión interna
§§ Explique estas técnicas a las partes interesadas
sobre las lecciones aprendidas a partir de varias vulneraciones de datos de alto perfil.
§§ Evalúe sus riesgos: ¿Cuál es el nivel de susceptibilidad
Durante los últimos 24 meses, muchos ataques exitosos usaron credenciales privilegiadas de su organización?
pirateadas. En el caso de los incidentes que analizamos, los atacantes pudieron obtener §§ Analice sus controles existentes: ¿Cómo logran estar
las credenciales de administrador de dominio para Windows mediante la explotación de a la altura de las prácticas recomendadas?
las vulnerabilidades habituales que se encuentran en la mayoría de los entornos de TI §§ Dé prioridad a la implementación de nuevos controles:
empresariales. ¿Qué se debe hacer primero?
§§ Obtenga el respaldo de los directores ejecutivos
Estas técnicas de ataque resultan bastante fáciles de perpetrar gracias a la proliferación de y convenza a los administradores de TI
kits de herramientas para crear malware. Se han estado utilizando para lograr un completo
apoderamiento de la red y una exfiltración masiva de datos.

Si consideramos el aumento de los riesgos, la protección de las credenciales privilegiadas se

está transformando en una principal prioridad para muchas organizaciones en la actualidad.
Afortunadamente, una reducción de riesgos significativa no demanda mucho tiempo. Con
un suficiente sentido de urgencia, puede lograrse en cuestión de semanas, tal como se lleva
a cabo tras las vulneraciones reales. [Al analizar 2260 vulneraciones],
casi dos tercios fueron posibles
Este informe describe un marco de trabajo comprobado para aplicar un intenso sprint de
debido al uso de contraseñas débiles,
aproximadamente 30 días con el objetivo de implementar un conjunto de controles clave
predeterminadas o robadas*.
en torno a las credenciales privilegiadas. Las
recomendaciones, desarrolladas en colaboración con nuestro reconocido panel de CISO
de las empresas del grupo Global 1000, permiten que los equipos de seguridad protejan * Informe de investigaciones sobre vulneraciones de datos
de 2016 de Verizon
proactivamente sus organizaciones.

3
 LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS

HALLAZGO CLAVE: LOS ATACANTES EXPLOTARON LAS VULNERABILIDADES CON LAS

CREDENCIALES DE ADMINISTRADOR DE WINDOWS

Si bien desde hace mucho tiempo las credenciales privilegiadas son propensas a resultar afectadas, las Debido a que las numerosas
vulnerabilidades relacionadas con las credenciales administrativas usadas para administrar estaciones de trabajo,
servidores y controladores de dominio en el entorno Windows se han tornado muy graves. Los atacantes han implementaciones existentes de
aprendido a aprovechar la forma en que las máquinas de Windows almacenan en memoria las credenciales Active Directory Domain Services
privilegiadas, y esto se combina con la manera en que las organizaciones habitualmente administran las credenciales
privilegiadas en el entorno Windows.
han estado funcionando durante
En los incidentes que analizamos, tras la intrusión inicial mediante suplantación de identidad, los atacantes pudieron
años bajo el riesgo del robo de
usar las credenciales extraídas para moverse de una máquina a la otra en la red. Según el informe M-Trends para credenciales, las organizaciones
2016 de Mandiant, enfocarse en cuentas con un nivel alto de privilegio y extraer las credenciales de la memoria deben suponer la existencia de
se ha convertido en una tarea “casi trivial” en la mayoría de los entornos Windows debido a la disponibilidad
generalizada de los kits de herramientas. En promedio, Mandiant Red Team puede obtener acceso a las vulneraciones y la posibilidad
credenciales  de administrador de dominio en un plazo de tres días luego de concretar el acceso inicial a un entorno. muy concreta de poder tener
Estas técnicas no solo funcionan rápidamente, sino que también pueden brindarles a los atacantes niveles compromisos de seguridad sin
de control sin precedentes. detectar en las credenciales de
Uno de los más peligrosos es el ataque Golden Ticket, mediante el cual un intruso compromete la seguridad de administrador empresariales
un controlador de dominio y roba la clave secreta que se utiliza para cifrar y firmar los tickets de Kerberos. Con
esta clave maestra, el atacante puede obtener de manera discreta cualquier privilegio para acceder al lugar que o a nivel de dominio.
desee. De esta forma, efectivamente poseerá la red corporativa, lo que incluye todos los activos críticos y todos
los sistemas de seguridad vinculados al dominio. — MICROSOFT,
“CÓMO MITIGAR LOS ATAQUES PASS-THE-HASH
Microsoft ha reconocido los riesgos del robo de credenciales asociados con el entorno Windows y está trabajando
Y OTROS TIPOS DE ROBOS DE CREDENCIALES,
para reforzar dicho entorno a fin de evitar estas técnicas de extracción de credenciales. No obstante, pasarán varios
años hasta que se lancen por completo todas las actualizaciones y éstas se implementen en las organizaciones. VERSIÓN 2”, 2014

¿Cuál es el nivel de vulnerabilidad de su organización?

Ejemplos de prácticas habituales que hacen que las organizaciones sean susceptibles a los ataques:
§§ Proporcionar a los usuarios finales, como desarrolladores de software o representantes de ventas remotos,
derechos locales de administrador en sus estaciones de trabajo

§§ Tener a personal de soporte técnico de TI que use cuentas de administrador de dominio cuando soluciona
problemas en estaciones de trabajo y servidores

§§ Otorgar a los administradores de TI acceso a las cuentas de administrador de dominio “por si acaso”

§§ Configurar nuevas estaciones de trabajo con imágenes clonadas, lo que hará que tengan la misma
contraseña local de administrador

§§ Rotar las contraseñas de administrador solo cada 30 o 60 días

§§ Usar una Group Policy de AD para rotar una contraseña de administración que se utiliza en todas las máquinas

§§ Permitir que las cuentas que se usan en aplicaciones tengan privilegios de administrador de dominio

4
 LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS

HALLAZGO CLAVE: LOS ATACANTES USARON UNA RUTA PRIVILEGIADA

PARA LLEGAR HASTA LOS ACTIVOS CRÍTICOS

En el caso de los incidentes que estudiamos, el punto de apoyo inicial se obtuvo mediante un ataque
de suplantación de identidad contra los usuarios; se usó un archivo adjunto malicioso que luego descargó
malware en la estación de trabajo. En los entornos Windows, independientemente del método de intrusión
inicial, existe una ruta privilegiada bien definida que los atacantes usan para expandir el alcance de su ataque
y que les permite moverse desde una única estación de trabajo comprometida hacia los activos críticos que
contienen datos valiosos.
Los motivos difieren. Los atacantes podrían estar explorando el entorno para ver lo que pueden encontrar;
por ejemplo, información financiera en una estación de trabajo confidencial o números de tarjetas de crédito
en un servidor de base de datos. O bien, pueden ser más ambiciosos y pretender llegar a el controlador de
dominio, lo que les permitiría acceder a todos los activos críticos.

Cómo se mueven los atacantes de una estación de trabajo a otra

En la primera estación de trabajo, el atacante podría usar malware para registrar la pulsación de teclas a fin
de robar la contraseña de administrador de esa estación. Si la misma contraseña se usa en otras máquinas,
el atacante puede iniciar sesión de manera sencilla en otra estación de trabajo.
Otras técnicas de robo de credenciales más potentes ni siquiera requieren que el atacante vea la contraseña
y le permiten moverse con mucha rapidez de una máquina a otra. Con la técnica Pass-the-Hash, el atacante
extrae los hash de contraseña que se almacenan en la memoria de la computadora para todos los usuarios
que iniciaron sesión recientemente en esa máquina, lo que incluye a los administradores. Con los hash de
contraseñas robadas, el atacante puede moverse lateralmente hacia otras estaciones de trabajo y, en algún
momento, llegar a una estación de trabajo confidencial (Figura 1).

Figura 1: Desplazamiento hacia una estación de trabajo con datos confidenciales

ESTACIÓN DE TRABAJO CON
ESTACIÓN DE TRABAJO ESTACIÓN DE TRABAJO ESTACIÓN DE TRABAJO VARIAS ESTACIONES DE TRABAJO DATOS CONFIDENCIALES

Intrusión inicial, Robar la Usar la contraseña. Robar el hash para Usar el hash. Usar el hash. Usar el hash.
a menudo mediante contraseña de No encontrar nada. una contraseña de No encontrar nada. No encontrar nada. Encontrar datos
suplantación de administrador. Continuar. administrador con Continuar. Continuar. confidenciales.
identidad. acceso general. Robar datos
confidenciales.

5
 LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS

Un ejemplo específico de un ataque Pass-the-Hash consiste en lo siguiente: si un especialista de soporte

técnico brindó asistencia de forma reciente en una estación de trabajo, el atacante puede robar el hash de
ese especialista desde una estación de trabajo y luego, usarlo para ingresar en otras estaciones de trabajo
a las que el especialista tiene acceso. Lo primero que hace un adversario una
El ataque Pass-the-Hash es mejor conocido como técnica de extracción de credenciales. Realiza un uso vez que ingresa a su red es buscar la
indebido de las características de los protocolos de autenticación de NTLM y Kerberos que permiten posibilidad para escalar sus privilegios.
una autenticación transparente. Otras variaciones incluyen robar tickets de Kerberos de una máquina Sin buenas prácticas, a los atacantes
comprometida para implementarlos en otra máquina (Pass-the-Ticket) o usar los hash robados para crear
les resulta muy fácil atravesar de
nuevos tickets de Kerberos (Overpass-the-Hash).
manera instantánea toda su red.

Cómo se mueven los atacantes hacia los activos más valiosos — JIM CONNELLY,
Mediante las técnicas de robo de credenciales que se describieron más arriba para moverse de forma lateral, VICEPRESIDENTE Y CISO, LOCKHEED MARTIN
un atacante también puede escalar sus privilegios para obtener acceso a máquinas y cuentas más valiosas.
Por ejemplo, un atacante puede moverse de la primera estación de trabajo a otra con la credencial robada.
Si en esta segunda estación, el usuario utiliza la misma cuenta para un acceso de administrador a un servidor,
el atacante podrá acceder a ese servidor. El atacante puede continuar el proceso de robo de credenciales
para moverse de servidor en servidor. Cuando encuentre un hash para una contraseña de administrador de
servidores, el atacante podrá obtener acceso general a varios servidores y, finalmente, llegar a una base de
datos de clientes (Figura 2).

Figura 2: Desplazamiento hacia una base de datos con información de clientes

SERVIDOR DE BASE DE DATOS CON
SERVIDOR SERVIDOR VARIOS SERVIDORES INFORMACIÓN DE CLIENTES
ESTACIÓN DE TRABAJO ESTACIÓN DE TRABAJO

Intrusión inicial, Robar la contraseña Robar la contraseña Usar la contraseña. Robar el hash para Usar el hash. Usar el hash. Usar el hash.
a menudo mediante de administrador. de administrador No encontrar nada. una contraseña de No encontrar nada. No encontrar nada. Encontrar datos
suplantación de utilizada para Continuar. administrador con Continuar. Continuar. confidenciales.
identidad. un servidor. acceso general. Robar datos
confidenciales.

6
 LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS

Con las mismas técnicas, un atacante también puede moverse desde el servidor hasta el controlador de
dominio. Una vez que el controlador de dominio ha sido comprometida, el atacante puede lograr un ataque
Golden Ticket, mediante el cual puede actuar como si fuese la autoridad de autenticación y obtener acceso
a todos los activos en la red, lo que incluye los sistemas de seguridad y los sistemas que no son de Windows
y que se integraron en Active Directory (Figura 3).
Las prácticas habituales que dejan a las organizaciones completamente desprotegidas ante los ataques
Pass-the-Hash y técnicas similares incluyen:
• Permitir que los usuarios usen cuentas con privilegios administrativos en sus propias estaciones de trabajo
• Usar la misma contraseña de administrador para todas las cuentas locales de administrador
• No imponer de manera uniforme la rotación de contraseñas o políticas de unicidad para las cuentas de
administrador de TI
• Configurar cuentas de administrador de dominio que se utilizarán para iniciar sesión en las controladoras
de dominio, así como en los servidores y las estaciones de trabajo
• Permitir que las cuentas de administrador se usen para tareas diarias, como leer correo electrónico
y navegar en Internet

Figura 3: Desplazamiento hacia la controladora de dominio

ESTACIONES DE TRABAJO CRÍTICAS
SERVIDOR SERVIDOR CONTROLADOR DE DOMINIO
ESTACIÓN DE TRABAJO ESTACIÓN DE TRABAJO

SERVIDORES CRÍTICOS

Intrusión inicial, Robar la Robar la contraseña Usar la contraseña. Robar el hash para
a menudo mediante contraseña de de administrador No encontrar nada. una contraseña de Generar tickets para todos SISTEMAS DE SEGURIDAD

suplantación de administrador. utilizada para un Continuar. administrador con los activos del dominio.
acceso general. Obtener acceso a TODOS
identidad. servidor.
los activos críticos.

Cómo cerrar la ruta privilegiada

A menudo, los equipos de seguridad se enfocan en implementar controles al inicio de la ruta de ataque
Una de las lecciones aprendidas
(para evitar la suplantación de identidad) o al final (para proteger los activos críticos). No obstante, fue que si la empresa tiene
la clave es implementar controles para cerrar la ruta privilegiada. vulnerabilidades del tipo Pass-the-
Aunque la fuerza de trabajo está mejor capacitada que nunca, la tasa de éxito de los ataques de Hash en estaciones de trabajo
suplantación de identidad sigue siendo muy alta. La investigación revela que los empleados abren y servidores, los atacantes pueden
mensajes de suplantación de identidad un 30 % de las veces y un 13 % prosigue y hace clic en el vínculo usar los activos no críticos para
o archivo adjunto malicioso*. En el otro extremo de la ruta de ataque, los controles de seguridad en los
circular hacia un lugar donde puedan
activos críticos sin duda son importantes. Sin embargo, al usar la ruta privilegiada, los atacantes pueden
usar activos no críticos para omitir o desactivar los controles en torno a los activos críticos. comprometer activos críticos.
— GERRIT LANSING,
ARQUITECTO PRINCIPAL, CYBERARK
* Informe de investigaciones sobre vulneraciones de datos de 2016 de Verizon

7
 LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS

PRÁCTICAS RECOMENDADAS

En el caso de los incidentes donde los atacantes utilizaron con éxito la ruta privilegiada para llegar a los Resumen de prácticas recomendadas
activos críticos, nuestra pregunta fue: “¿Qué prácticas habrían ayudado a evitar la vulneración?”. Se identificaron
§§ Limitar la exposición de las credenciales privilegiadas
las siguientes sugerencias. Estas estrategias conforman la estructura subyacente para el marco de trabajo
sobre controles (páginas 10 a 12). §§ Aplicar contraseñas seguras y almacenarlas en una
bóveda cifrada
§§ Minimizar la cantidad de cuentas de administrador
Limitar la exposición de las credenciales privilegiadas
§§ Aumentar la supervisión a fin de evitar el robo
Es importante restringir los posibles puntos de contacto entre las credenciales administrativas y los atacantes. de credenciales privilegiadas
En particular, si logra instalarse malware en una estación de trabajo, asegúrese de que no pueda obtener autoridad
de administrador local, propagarse a otras máquinas o revelar cuentas de administrador de dominio o servidores.
• Cree límites dentro de su estructura de identidad para aplicar la segregación de controles:
–– Las cuentas de administrador de dominio solo deben usarse para administrar controladores de dominio, no
servidores ni estaciones de trabajo
–– Las cuentas de administrador de servidores solo deben usarse para administrar servidores, no estaciones de trabajo
–– Las cuentas de administrador de estaciones de trabajo solo deben usarse para administrar estaciones de trabajo
• Use las cuentas de administrador solo para tareas administrativas y no para actividades diarias
• Proporcione cuentas de administrador de dominio solo a aquellas personas que inequívocamente las necesiten
como parte de su trabajo habitual
• Asegúrese de que las cuentas que se usan en aplicaciones y servicios tengan los mínimos privilegios posibles:
–– Quite los privilegios de administrador de las cuentas de aplicaciones que puedan requerir la refactorización de
esas aplicaciones; por lo general, las aplicaciones nunca necesitaron este nivel de privilegio, a pesar de que a
veces están programadas o configuradas de esta forma para comodidad del desarrollador
• No conceda acceso de administrador a los activos confidenciales desde las estaciones de trabajo conectadas a
Internet:
–– Use un servidor de acceso directo o una estación de trabajo dedicada con derechos de administración que no
se conecten a Internet
• No les proporcione a los empleados (por ejemplo, desarrolladores de software) derechos locales de administrador
para las estaciones de trabajo:
–– Quite sus cuentas del grupo local de administradores y use herramientas a fin de ofrecer privilegios elevados
temporales para que puedan realizarse tareas ocasionales que requieran derechos de administrador

8
 LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS

Aplicar contraseñas seguras y almacenarlas en una bóveda cifrada

Adherir a estas prácticas ayuda a las organizaciones a garantizar que los atacantes no podrán robar credenciales
administrativas o reutilizarlas en otras máquinas:

• Exija contraseñas únicas con criterios rigurosos en cuanto a la longitud y la complejidad

• A menudo, rote las contraseñas e, idealmente, use contraseñas únicas (o una vez por día, como mínimo)
• Automatice la rotación y selección de contraseñas
• Conserve las contraseñas en una bóveda digital a prueba de manipulación que utilice almacenamiento cifrado

ADMIN
• Exija autenticación de varios factores cuando los usuarios y las aplicaciones accedan a las contraseñas en la bóveda

Minimizar la cantidad de cuentas de administrador

De forma ideal, las organizaciones deben tener la menor cantidad posible de cuentas privilegiadas a fin de minimizar
la superficie de ataque y simplificar la administración de credenciales.
• Evite configurar cuentas privilegiadas asignadas de manera individual para los administradores en Active Directory.
Por ejemplo, el siguiente proceso habitual resulta problemático, ya que genera la proliferación de cuentas:
–– Una especialista de soporte técnico de TI llamada “Alice” tiene una cuenta “Alice” para su trabajo diario y una
cuenta “AdminAlice” con derechos de administrador para todas las estaciones de trabajo
–– Un administrador de servidores llamado “Bob” tiene una cuenta “Bob” y una cuenta “Admin-Bob” con derechos
de administrador para su estación de trabajo y los servidores
–– Un administrador de dominio llamado “Charles” tiene una cuenta “Charles” y una cuenta “Admin-Charles”
con derechos de administrador para su estación de trabajo, los servidores y el controlador de dominio
• Use la cuenta local de administrador predefinida que ya existe para cada estación de trabajo y cada servidor:
–– Estas cuentas pueden compartirse, a la vez que preservan la responsabilidad individual. Para ello, coloque
las credenciales en una bóveda y requiera que los administradores las consulten desde la bóveda según sea
necesario. De este modo, es posible controlar y supervisar sus actividades privilegiadas. (Deben borrarse las
cuentas Admin-Alice, Admin-Bob y Admin-Charles mencionadas más arriba).
–– A pesar de que muchas tareas administrativas pueden realizarse mediante las cuentas predefinidas, es posible
que aún exista la necesidad de configurar cuentas personales de administrador. Si esto ocurre, trate de que
la cantidad sea mínima.

Aumentar la supervisión a fin de evitar el robo de credenciales privilegiadas

Las siguientes prácticas ayudan a detectar los ataques que piratean credenciales privilegiadas:
• Implemente la supervisión de sesiones privilegiadas en tiempo real; por ejemplo, el acceso de administrador
• Use herramientas de detección para buscar patrones que revelen técnicas de robo de credenciales
–– Sobre todo en el caso de las controladores de dominio, use herramientas de detección que busquen
específicamente patrones que revelen ataques en el sistema de autenticación de Kerberos
• Utilice analítica especialmente configurada para detectar anormalidades en el uso de credenciales a medida que
ocurren; por ejemplo, un intento de usar una credencial fuera del horario de trabajo autorizado de un usuario 9
 LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS

MARCO DE TRABAJO PARA UN SPRINT DE 30 DÍAS

Este es un marco de trabajo para una iniciativa rápida cuyo objetivo consiste en ayudar a cerrar la ruta La mentalidad de sprint
privilegiada en entornos Windows. Busca garantizar que cuando un atacante comprometa una estación ¿Con qué rapidez puede implementarse un nuevo
de trabajo, le resultará muy difícil moverse más allá de ese lugar y, si lo hace, será detectado. conjunto de controles de seguridad en toda la empresa?
Depende del sentido de urgencia de la organización.
La intención es trabajar a un ritmo acelerado para implementar controles críticos en un breve período
Como consecuencia de una vulneración, la organización
de tiempo; por ejemplo, 30 días. Para lograr esta meta, las organizaciones han adoptado una mentalidad
se alinea internamente, se acelera la toma de decisiones,
de sprint (ver barra lateral). La cantidad real de tiempo necesario para un sprint variará según el tamaño los resultados inmediatos adquieren prioridad sobre la
de la organización, su complejidad, madurez y cultura. burocracia y se hace posible un progreso extraordinario
Aunque el marco de trabajo se enfoca en controles específicos en torno a las cuentas administrativas de en materia de seguridad en un breve período.
Windows para proteger estos entornos, las organizaciones deben, en paralelo, implementar otros controles De forma inevitable, todos los sobrevivientes a vulneraciones
críticos, como parches en el sistema operativo, parches en las aplicaciones y creación de una lista blanca desearían haber realizado a tiempo esa mejora repentina
de aplicaciones. en el progreso a fin de evitar el daño, lo cual constituye
el propósito del sprint proactivo de 30 días.

Controles recomendados
La siguiente tabla describe el conjunto de controles recomendados e indica qué controles implementar
primero y qué hacer después de que ya ha aplicado los primeros controles.

Priorización
La priorización sugerida se basa en llevar a cabo esfuerzos para realizar lo siguiente: Incluso si los CISO no pueden
implementar todos los controles
• Identificar las cuentas rápidamente: Encuentre las cuentas administrativas en Windows
en 30 días, la intención es obvia.
–– Para una iniciativa rápida, la idea es no dedicar mucho tiempo al análisis por adelantado, ya que
las cuentas son relativamente fáciles de identificar dentro de Active Directory (AD) y los grupos
Tiene que priorizar el marco de
de administradores locales. trabajo se fragmenta: “Comencemos
• Dar prioridad a las cuentas con más alto nivel de riesgo: Implemente los controles primero en las cuentas
por aquí. Hagamos primero esto”.
más importantes Es completamente válido, ya sea
–– Cuentas de administrador de dominio y cuentas de administrador con acceso a una gran cantidad
que se trate de 30, 60 o 180 días.
de máquinas, sobre todo servidores, así como cuentas de aplicaciones que usan los privilegios del
administrador de dominio. — STEVE GLYNN, CISO,
ANZ BANKING GROUP LIMITED
• Sea realista en cuanto a abordar el volumen de cuentas: Trabaje rápidamente para aplicar algunos controles
y haga mejoras con el tiempo
–– Por ejemplo, de manera ideal, las cuentas para los usuarios de estaciones de trabajo no deben tener
privilegios administrativos, pero los sobrevivientes a vulneraciones aseguran que esta es una de las
prácticas más difíciles de implementar y mantener debido al enorme volumen de estaciones de trabajo.

10

MARCO DE TRABAJO PARA UN SPRINT DE 30 DÍAS
Controles recomendados
• Vuelva a configurar las cuentas para aplicar
la segregación de controles
• Conserve las contraseñas de administrador
en una bóveda
–– Automatice la rotación y selección de
contraseñas (p. ej., contraseñas únicas)
–– Supervise el uso de las contraseñas
• Exija autenticación de varios factores cuando
se acceda a las contraseñas en la bóveda
• Distribuya al azar las contraseñas para las
cuentas administrativas a fin de que sean únicas
• No conceda acceso de administrador a los
activos confidenciales desde las estaciones
de trabajo conectadas a Internet
–– Use un servidor de acceso directo o una
estación de trabajo dedicada con derechos de
administración que no se conecten a Internet
• Limite el uso de las cuentas de administrador
solo a tareas administrativas
–– No las utilice para actividades diarias
• Minimice el uso de cuentas administrativas
asignadas de manera individual (lo que genera
la proliferación de cuentas)
–– En cambio, haga que los administradores usen
las cuentas predefinidas y que accedan a las
contraseñas a través de la bóveda (consulte
la página 9 para obtener más detalles)
LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS
PRIMERO: Aborde estas cuentas en primer lugar LUEGO: Aborde estas cuentas a continuación
Pretenda implementar los controles para estas cuentas Según la organización, estos controles pueden
en un breve período de tiempo; por ejemplo, 30 días. requerir más tiempo.
Cuentas de administrador de dominio (solo deben usarse
para iniciar sesión en las controladoras de dominio)
Cuentas de administrador de servidores (solo deben
usarse para iniciar sesión en los servidores)
Cuentas de administrador de estaciones de trabajo (solo
deben usarse para iniciar sesión en las estaciones de trabajo)
Cuentas de administrador de dominio Cuentas de administrador locales de estaciones
de trabajo
Cuentas de administrador de servidores
Todas las cuentas para las cuales las contraseñas se
guardaron en una bóveda Como las contraseñas están
almacenadas en una bóveda, las organizaciones
continuarán implementando la autenticación de varios
factores (MFA) con el transcurso del tiempo.
Cuentas de administrador locales de estaciones de trabajo
Cuentas de administrador de dominio
Cuentas de administrador de servidores
Cuentas de administrador de estaciones de trabajo
Cuentas de administrador de dominio Cuentas de administrador de estaciones de trabajo
Cuentas de administrador de servidores
Para algunas organizaciones, tal vez no sea posible quitar
a corto plazo las cuentas de administrador asignadas de
manera individual. Un enfoque inicial es almacenar las
contraseñas para estas cuentas en una bóveda y luego,
con el tiempo, comenzar a usar las cuentas predefinidas.
Continúa en la siguiente página
11
 LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS

MARCO DE TRABAJO PARA UN SPRINT DE 30 DÍAS

Continúa de la página anterior

Controles recomendados PRIMERO: Aborde estas cuentas en primer lugar LUEGO: Aborde estas cuentas a continuación
Pretenda implementar los controles para estas cuentas Según la organización, estos controles pueden
en un breve período de tiempo; por ejemplo, 30 días. requerir más tiempo.

• Quite a los usuarios finales los privilegios de Cuentas de administrador locales de estaciones
administrador para las estaciones de trabajo de trabajo
–– Proporcione privilegios elevados Las cuentas de usuario final deben quitarse del
temporales cuando sea necesario grupo local de administradores. Si los usuarios
necesitan realizar tareas en sus estaciones
que trabajo, las cuales requieren privilegios
de administrador, solo proporcione privilegios
elevados temporales para llevar a cabo las
actividades específicas.

• Implemente herramientas de detección Cuentas de administrador de dominio

para buscar signos de movimiento lateral Cuentas de administrador de servidores
o escalación de privilegios en tiempo real
Cuentas de administrador de estaciones de trabajo

• Si cualquier aplicación usa privilegios de Cuentas de aplicaciones

administrador de dominio, como derechos Para algunas organizaciones, tal vez no sea posible
de dominio para varios servidores, quite abordar a corto plazo la totalidad de estas aplicaciones,
esos privilegios por lo que las tareas para volver a configurar o escribir las
aplicaciones continuarán con el transcurso del tiempo.

Notas de la tabla:
• Cuentas de administrador de dominio: Cuentas en AD que se usan para administrar dominios y controladores de dominio
–– Por ejemplo, administradores empresariales y administradores de dominio
• Cuentas de administrador de servidores: Cuentas en AD que se usan para administrar servidores
–– Por ejemplo, cuentas utilizadas por el personal del centro de datos para dar mantenimiento a varios servidores
• Cuentas de administrador de estaciones de trabajo: Cuentas en AD que se usan para administrar una gran cantidad de estaciones de trabajo
–– Por ejemplo, cuentas utilizadas por soporte técnico y otro personal para brindar asistencia técnica
• Cuentas de administrador locales de estaciones de trabajo: Cuentas en el grupo local de administradores en cada estación de trabajo
–– Por ejemplo, cuentas utilizadas para realizar actividades administrativas en estaciones de trabajo individuales
• Cuentas de aplicaciones: Cuentas que no pertenecen a usuarios y que se usan en aplicaciones para ejecutar sistemas o procesos
–– Por ejemplo, cuentas utilizadas para realizar respaldos o instalaciones de software

12
 LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS

ANTES DEL SPRINT

Al inicio del sprint, deberá conformar un equipo y haber seleccionado las tecnologías para bóvedas de
Implementar controles de seguridad
contraseñas, autenticación de varios factores y detección. Un pequeño equipo puede aplicar los controles
en torno a las cuentas privilegiadas más importantes con bastante rapidez. En un caso, como consecuencia en medio de un ataque informático
de una vulneración, un equipo de tan solo ocho miembros que trabajaba con un asesor de seguridad es como colocar refuerzos a las
almacenó en bóveda las cuentas de administrador para 20 dominios y 6500 servidores en cuatro semanas. ventanas de su casa en medio de
Si hacemos una comparación con la implementación de controles en un entorno hostil tras una vulneración, un huracán. Es mucho más fácil
es probable que, si realiza el trabajo de manera proactiva, el avance será relativamente fluido.
implementar los controles a fin de
proteger las credenciales privilegiadas
DESPUÉS DEL SPRINT de alto riesgo ahora que recuperarse
de una vulneración más adelante.
Por lo general, las organizaciones emergen de un sprint con una lista de tareas pendientes que abarca los
siguientes puntos. — JOHN GELINNE, DIRECTOR GENERAL,
ASESORÍA DE SERVICIOS DE RIESGOS
Agregar controles a más cuentas: Para obtener cobertura más allá de las cuentas de Windows, comprenda
INFORMÁTICOS, DELOITTE & TOUCHE
el alcance de todas las cuentas privilegiadas. Estas cuentas existen para una amplia gama de tecnologías,
como bases de datos de Oracle, computadoras Unix y Apple, dispositivos de almacenamiento NAS y SAN,
cualquier dispositivo con una dirección IP, hipervisores y servicios operativos en entornos virtualizados,
y servicios en la nube.
Aumentar la profundidad de los controles: Analice mejorar los controles para supervisar el uso de cuentas.
Por ejemplo, para las cuentas más confidenciales, agregue una grabación en video de las sesiones
privilegiadas o analítica sobre el comportamiento de los usuarios.
Cómo medir el progreso
Ejemplos de métricas útiles:
Continuar con la refactorización de aplicaciones: Las aplicaciones, sobre todo las heredadas, a menudo
están diseñadas para solicitar privilegios de administrador y tienen contraseñas integradas de formas que §§ Use pruebas de penetración para medir
dificultan la rotación de contraseñas. En general, asegúrese de que a todas las aplicaciones se les otorgue la cantidad de tiempo que los atacantes
la cantidad mínima necesaria de privilegios y use las contraseñas de manera segura. Para abordar estos necesitan para comprometer las cuentas
problemas, normalmente es necesario volver a configurar o escribir las aplicaciones. Esto incluye no solo de gran valor antes y después de la
las aplicaciones desarrolladas por la empresa, sino también las aplicaciones de terceros. En algunos casos, implementación de los controles.
las organizaciones deberán trabajar con los proveedores para realizar modificaciones.
§§ Escanee la red mediante herramientas
Formalizar el programa: Establezca procesos para mantener y respaldar los nuevos controles y analice automáticas que identifiquen a las cuentas
preguntas como: “¿Cuáles son los procesos para agregar nuevos activos al sistema y cancelar el que necesitan una mejor protección.
aprovisionamiento de los obsoletos?”. Asegúrese de que los procesos puedan estar a la altura de los Luego de la implementación de los controles,
cambios en la empresa y, a menudo, controle que se cumplan esos objetivos comerciales y de seguridad. escanee la red una vez más para mostrar
Los CISO y sus equipos de seguridad pueden emplear el impulso del sprint para llevar a cabo la transición la reducción en las cuentas vulnerables.
a un programa empresarial más amplio, lo cual puede ser una iniciativa de varios años. El informe
sobre la visión de los CISO titulado El acto de balanceo: La visión de los CISO sobre cómo mejorar
los controles de acceso privilegiado ofrece sugerencias de pares en tres áreas clave:
• Las decisiones estratégicas que los CISO y sus equipos deberán tomar
• Las conversaciones que los CISO deben impulsar en toda la organización
• Los componentes esenciales para lograr un programa exitoso
13
 LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS

CONCLUSIÓN

Los atacantes han perfeccionado el uso de la ruta privilegiada en Windows para Para acceder a otros informes
llegar a los activos críticos y robar datos confidenciales. Sin los controles adecuados sobre la visión de los CISO, visite
para proteger las cuentas administrativas, las organizaciones quedan expuestas. www.cyberark.com/cisoview
El marco de trabajo para sprint ofrece una iniciativa rápida para implementar un
conjunto de controles con el objetivo de cerrar la ruta privilegiada.

Para tener éxito, el equipo de seguridad deberá obtener el respaldo de toda la

organización. Será fundamental convencer a los administradores de TI. Es posible
que se resistan a las modificaciones en el flujo de trabajo o a la reducción de Haga de cuenta que ha sufrido
privilegios. No obstante, los mejores controles de seguridad no solo protegen una vulneración. Si le hubiese
a la organización, sino que también los protegerán a ellos a nivel personal. Si ocurre ocurrido, estaría forzado a resolver
un incidente en el que un atacante toma el control de una cuenta privilegiada, la situación. La mentalidad cambia
los administradores pueden desvincularse con rapidez de la infracción. El capítulo de “Es demasiado difícil, no podemos
sobre “Cuatro conversaciones cruciales” en el informe sobre la visión de los CISO hacerlo” a “Debemos hacerlo” porque
titulado “El acto de balanceo” ofrece más sugerencias sobre persuasión y manejo ahora es un imperativo.
de objeciones.
— COLABORADOR INVITADO
Otro grupo clave para convencer son los ejecutivos. Deberán ayudar a establecer
las prioridades de la organización y crear un sentido de urgencia. Para obtener
orientación sobre cómo comunicarse con los directores ejecutivos o la junta
directiva, consulte la sección de Preguntas frecuentes en el siguiente apéndice.

14
 LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS

APÉNDICE 1: PREGUNTAS FRECUENTES PARA LOS DIRECTORES EJECUTIVOS

O LA JUNTA DIRECTIVA

Está sección de preguntas frecuentes está diseñada para ayudar a los ejecutivos o la junta directiva a comprender los riesgos
y el plan de mitigación.

1. ¿Por qué necesitamos un esfuerzo intensivo para proteger las credenciales

privilegiadas?
Sin la protección adecuada, nos arriesgamos a una vulneración de datos similar a los principales ataques que se han dado
a conocer en las noticias y que afectan a muchas organizaciones a gran escala. En estos casos, los atacantes usaron técnicas
que explotaron las vulnerabilidades en el entorno Windows para robar credenciales privilegiadas y moverse en la red sin ser
detectados con el objetivo de obtener un control completo de los sistemas informáticos de la organización.

El riesgo de estos ataques está aumentando. Los atacantes tienen acceso a kits de herramientas ampliamente disponibles que
les permiten crear de manera fácil métodos adaptados para realizar los ataques. Microsoft recomienda implementar mejores
controles a fin de reducir el riesgo.

Según la investigación que analizó estas importantes vulneraciones de datos, conocemos las mejoras que se necesitan en
nuestros controles de seguridad. En un esfuerzo intensivo que durará aproximadamente 30 días, implementaremos controles
que les dificultarán mucho más a los atacantes la posibilidad de llevar a cabo estos tipos de ataques contra nuestra empresa.

2. ¿Por qué las credenciales privilegiadas son una prioridad en comparación con
otros objetivos de seguridad?
Las credenciales privilegiadas les brindan a los adversarios niveles muy altos de acceso a los sistemas informáticos. Por lo
general, se trata de contraseñas que utilizan los empleados, como los administradores de TI, para operar y administrar los
recursos informáticos en toda la empresa.

Con las credenciales privilegiadas, un atacante puede acceder a propiedad intelectual, secretos comerciales e información
de clientes. El atacante también puede desactivar cualquier tecnología de seguridad, como el cifrado de datos, los firewalls
y los sistemas de detección, que la organización haya implementado.

3. ¿Cuáles son las técnicas que están usando los atacantes para robar las
credenciales privilegiadas?
Un primer paso muy conocido en la mayoría de estos ataques es la suplantación de identidad. Se engaña a los usuarios para
que hagan clic en un vínculo o abran un archivo adjunto en un correo electrónico, que luego descarga malware en la estación
de trabajo. Los estudios demuestran que las tasas de éxito a nivel mundial para estos ataques de hecho han aumentado,
a pesar de los grandes esfuerzos, como la capacitación de usuarios para detectar la suplantación de identidad.

Una vez que el malware se descarga en una estación de trabajo, los atacantes logran entrar en el entorno Windows y
pueden aprovechar la forma en que las máquinas de Windows almacenan las credenciales. Windows almacena los “hash”
de contraseña (es decir, codificaciones de longitud fija de las contraseñas) en la memoria de la computadora para todos los
usuarios que han iniciado sesión recientemente en esa máquina. Al robar el hash para una contraseña de administración,
los atacantes pueden obtener acceso a varias máquinas. Luego, buscan en la memoria de cada máquina otros hash de
contraseña que, a su vez, les proporcionarán acceso a máquinas más valiosas, como servidores de bases de datos o,

15
 LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS

el premio mayor, el controlador de dominio que se utiliza para administrar el acceso a todos los recursos informáticos. Una vez
que llegan al controlador de dominio, pueden crear “tickets” para iniciar sesión en cualquier activo crítico de la red, desactivar
sistemas de seguridad y tomar todo el control de los sistemas informáticos.

4. ¿Cómo aumentará la protección de las credenciales privilegiadas?

Nuestra estrategia consiste en implementar los siguientes controles, a modo de ejemplo:

• Selección y rotación automática de contraseñas únicas y complejas para todas las cuentas de administrador
–– Limita la capacidad de los atacantes para comprometer varias máquinas en caso de que conozcan una contraseña
• Segregación de las cuentas que se usan para administrar controladores de dominio, servidores y estaciones de trabajo
–– Reduce la capacidad de los atacantes para usar una credencial robada en diferentes tipos de máquinas
• Utilización de una bóveda de contraseñas, lo que automáticamente aplica las políticas de contraseñas y permite la supervisión
de las actividades administrativas a fin de detectar el robo de credenciales

–– La bóveda digital es a prueba de manipulación y usa cifrado de nivel militar para almacenar las contraseñas
• Utilización de una autenticación de dos factores para que los usuarios autorizados accedan a las credenciales en la bóveda

Esta estrategia se alinea con las recomendaciones de Microsoft para evitar el robo de credenciales en entornos empresariales
de Windows.

5. ¿Cómo se compara esta iniciativa con lo que están haciendo otras

organizaciones?
Muchas organizaciones afectadas por los ataques informáticos durante los últimos 24 meses se han enfocado en implementar
mejores protecciones en torno a las credenciales privilegiadas como parte de sus iniciativas para resolver vulneraciones.
Al mismo tiempo, otras organizaciones en todo el mundo han mejorado proactivamente los controles de seguridad para
las credenciales privilegiadas (en lugar de hacerlo tras una vulneración). Un panel de CISO de las empresas del grupo
Global 1000 ha publicado pautas para desarrollar un amplio programa con el objetivo de mejorar los controles de acceso
privilegiado. El conjunto de empresas incluye ING Bank, CIBC, Rockwell Automation, Lockheed Martin, Starbucks, ANZ Bank,
CSX, Monsanto, Carlson Wagonlit Travel, News Corp y McKesson. Consulte El acto de balanceo: La visión de los CISO sobre cómo
mejorar los controles de acceso privilegiado.

6. ¿Qué necesita de los ejecutivos directivos de la empresa para que esta

iniciativa sea exitosa?
Si se establece el tono adecuado desde la dirección ejecutiva, esto puede ayudar a asegurarnos de que podremos implementar
de forma rápida y con éxito un nuevo conjunto de controles de seguridad en toda la empresa. Si bien la seguridad liderará
el proyecto, los sistemas afectados son propiedad de la empresa. Por lo tanto, se requiere un respaldo interdisciplinario.

Adoptar una “mentalidad de sprint” es uno de los factores más importantes para poder lograr una rápida reducción de riesgos.
Estamos tratando de lograr el mismo sentido de urgencia y progreso que a menudo se aplica tras las vulneraciones reales,
sin la presión general de tener que resolver una vulneración. Algunos se resistirán a los cambios que deben hacerse; por ejemplo,
deberán renunciar a derechos de acceso o tendrán que seguir nuevos procesos. El apoyo de los directivos de la empresa
es crucial para avanzar con rapidez.

16

APÉNDICE 2: BIOGRAFÍAS DE LOS PANELISTAS DE “LA VISIÓN DE LOS CISO”
Panel de “La visión de los CISO”: Principales ejecutivos de seguridad de las empresas del grupo Global 1000
Rob Bening
Gerente General de Seguridad Informática (CISO), ING Bank
Rob Bening es CISO de ING Bank. Antes, fue Arquitecto Principal
de Tecnología y Director de Tecnología del Grupo, y estuvo a cargo
del desarrollo de los estándares de TI del grupo y varios programas
globales de estandarización. Su última tarea comprendió la definición
de la función de arquitectura en los sectores de Operaciones y Banca Electrónica,
para lo que lideró los equipos de arquitectura e ingeniería en el área de Infraestructura.
Desde 1985, Rob ha desempeñado distintas funciones en RR. HH., Auditoría,
Seguridad, Infraestructura y Arquitectura en ING.
David Bruyea
Vicepresidente senior y Gerente General de Seguridad
Informática (CISO), CIBC
David Bruyea es responsable de inteligencia en seguridad informática,
estrategias, políticas, estándares, evaluación de riesgos, arquitectura
y administración de programas en CIBC. Con una perspectiva de
arquitectura empresarial, sus tareas incluyen brindar su visión sobre tecnología y liderazgo
en la definición e implementación de las iniciativas relacionadas con TI. Con más de
25 años de experiencia, David también se desempeñó en distintos cargos técnicos,
de asesoría y administración en CIBC en la División de Tecnología y Operaciones.
Dawn Cappelli
Vicepresidenta senior y Gerente General de Seguridad Informática
(CISO), Rockwell Automation
Dawn Cappelli dirige el programa global de seguridad informática
para garantizar que los productos y la infraestructura de Rockwell
sean seguros. Su equipo emplea un enfoque basado en riesgos
para ejecutar su estrategia de seguridad informática y trabaja en estrecha colaboración
con las unidades de negocios, los sectores de TI y los líderes de áreas funcionales.
Antes, Dawn fue fundadora y directora del Equipo de Respuesta ante Emergencias
Informáticas (CERT) en el Centro para Amenazas Internas en la Universidad Carnegie
Mellon y fue coautora de la Guía del CERT para Amenazas Internas. También desarrolló
software en Westinghouse. Dawn participa en la asociación Domestic Security Alliance
Council (DSAC) y en el Comité de Programación de RSA Conference.
LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS
Jim Connelly
Vicepresidente senior y Gerente General de Seguridad Informática
(CISO), Lockheed Martin
Jim Connelly es responsable de estrategia general de seguridad
informática, políticas, ingeniería en seguridad, operaciones, detección
de amenazas informáticas y respuesta ante éstas para el entorno
informático mundial de Lockheed. Con más de 25 años de experiencia, supervisa
las operaciones de Defensa Impulsadas por Inteligencia de Lockheed y dirige
un equipo de profesionales en seguridad informática reconocidos en la industria
que administra la infraestructura de seguridad de la empresa de punto a punto,
defiende la organización contra amenazas persistentes avanzadas (APT) y permite
la colaboración abierta y el intercambio de información con los socios de Lockheed.
Dave Estlick, CISSP, CSSLP, CISA, CISM, CIPP
Vicepresidente senior y Gerente General de Seguridad Informática
(CISO), Starbucks
Dave Estlick dirige las iniciativas de protección de información
y seguridad informática a nivel mundial, lo que incluye operaciones,
ingeniería, arquitectura, administración de identidades y accesos,
al igual que riesgo y cumplimiento de TI. Antes, Dave dirigió la infraestructura
global de tecnología de Starbucks. Fue responsable de estrategia y ejecución en
la estandarización de tecnología, trabajó en la convergencia de la infraestructura
y estableció la nube privada de Starbucks. Antes de trabajar en Starbucks, Dave
se desempeñó en cargos de liderazgo de seguridad en PetSmart y Amazon, dirigió
servicios de infraestructura para Icebox y ePods, y tuvo cargos técnicos clave en
Sun Microsystems y Boeing.
Steve Glynn
Gerente General de Seguridad Informática (CISO), ANZ Banking
Group Limited
Steve Glynn lidera las funciones de Seguridad Informática y
Aseguramiento de Tecnología en ANZ. Es responsable de ofrecer
una estrategia de seguridad informática creada en torno a las personas,
la capacitación, la confianza y la comunidad a fin de garantizar que ANZ esté protegida
contra las amenazas informáticas en evolución en 34 mercados en todo el mundo.
Steve tiene casi 20 años de experiencia. Antes de trabajar en ANZ, se desempeñó varios
cargos senior de liderazgo en Tecnología, Riesgo de Tecnología y Seguridad Informática
en ABN AMRO y Royal Bank of Scotland en Australia y Singapur.
17

Panel de “La visión de los CISO”: Principales ejecutivos de seguridad de las empresas del grupo Global 1000 (CONTINUACIÓN)
Mark Grant, PhD, CIPP
Gerente General de Seguridad Informática (CISO), CSX Corporation
Mark Grant protege la confidencialidad, la integridad y la disponibilidad
de los recursos informáticos de CSX. Sus responsabilidades incluyen
seguridad informática, control de accesos, recuperación de desastres
a nivel empresarial y desarrollo de la función y visión de la arquitectura
empresarial en todo el entorno de TI. Es miembro del Comité de Seguridad Informática
Rail y participa en varios grupos de trabajo sobre seguridad. Desde que comenzó
a trabajar en CSX, Mark se ha desempeñado en cargos clave y ha sido responsable
de la planificación, la entrega y la confiabilidad de los servicios de TI.
Gary Harbison
Gerente General de Seguridad Informática (CISO), Monsanto Company
Gary Harbison dirige la Oficina de Seguridad Informática que se centra
en administrar las amenazas informáticas y los riesgos de Monsanto
a nivel global y le brinda a la empresa soluciones pragmáticas de
seguridad. En sus cargos anteriores, se enfocó en el ámbito de la
seguridad informática, lo que incluyó funciones técnicas, de arquitectura, estrategia
y liderazgo en varias empresas del grupo Global Fortune 500 y en el Departamento
de Defensa. Gary es Profesor Adjunto de la Maestría en Seguridad Informática de
Washington University.
Kathy Orner
Vicepresidenta senior y Gerente General de Seguridad Informática
(CISO), Carlson Wagonlit Travel
Kathy Orner es responsable a nivel mundial de gobernanza, riesgo
y cumplimiento de seguridad informática; ingeniería y operaciones
de seguridad; seguridad física; auditorías y cumplimiento de TI.
Antes, fue VP de Servicios Empresariales y CISO para Carlson. Su vasta experiencia
en liderazgo de TI incluye cargos de CISO en United Health Group y Blue Cross and
Blue Shield of Minnesota. En la actualidad, se desempeña en la Junta de Asesores
de la organización Payment Card Industry (PCI).
LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS
Chun Meng Tee
Vicepresidente senior y Director de Seguridad Informática (CISO),
Bolsa de Valores de Singapur
Como Director de Seguridad Informática para SGX, Chun Meng
Tee es responsable a nivel funcional y operativo del programa de
seguridad informática de la Bolsa de Valores. Antes de trabajar en
SGX, Chun Meng asesoró a instituciones financieras y organismos gubernamentales
como profesional de seguridad informática de Ernst and Young. También se desempeñó
en cargos de Seguridad Informática en el sector público para el Ministerio de Defensa
y la Policía de Singapur, donde tuvo el cargo de Director de Seguridad Informática.
Munawar Valiji
Director de Seguridad Informática (CISO), News UK
Munawar Valiji es el CISO Regional de News Corp y es responsable
de la estrategia de seguridad para News UK, Dow Jones, Wall Street
Journal y HarperCollins Publishers en el Reino Unido y EMEA, lo que
incluye diseñar, crear y mantener plataformas de seguridad que sean muy
seguras y puedan mantenerse con facilidad. Antes, fue Director de Seguridad Informática
para Financial Times. La vasta experiencia de Munawar en seguridad informática incluye
cargos senior técnicos, de asesoría y administración en Morse Computers, Deloitte,
Citi Bank, JPMorgan Chase, National Australia Bank y Sun Microsystems.
Mike Wilson
Vicepresidente senior y Gerente General de Seguridad Informática
(CISO), McKesson
Mike Wilson lidera la administración de riesgo de TI y seguridad.
Su experiencia en administración de riesgo y TI abarca varios países
e industrias, lo que incluye servicios financieros, así como productos
de consumo y para el cuidado de la salud y su distribución. Antes de trabajar en
McKesson, Mike formaba parte de una organización global de servicios profesionales.
Mike respalda el liderazgo de opinión y las organizaciones de la industria, entre ellas,
NH-ISAC, Cloud Security Alliance y CSO Bay Area Council.
18
 LA VISIÓN DE LOS CISO SOBRE LA
RÁPIDA REDUCCIÓN DE RIESGOS

BIOGRAFÍAS DE LOS CONTRIBUIDORES INVITADOS

Asesores y expertos técnicos que han trabajado

con importantes organizaciones tras una vulneración

John Gelinne
Director General, Asesoría de Servicios de Riesgos Informáticos,
Deloitte & Touche

John Gelinne forma parte del equipo de asesoría sobre Resiliencia

de Deloitte que ayuda a las organizaciones a prepararse para
los incidentes informáticos, responder a ellos y recuperarse.
Sus responsabilidades incluyen juegos de guerra cibernéticos y desarrollar resiliencia
técnica para que las organizaciones puedan adaptarse y responder con rapidez
a las amenazas, las interrupciones y los cambios dinámicos. John se retiró de la
Marina de los Estados Unidos luego de 30 años de servicio y desempeñó una función
central en la defensa de la red de la Marina contra amenazas informáticas avanzadas.
Tiene estudios de posgrado en Administración de Sistemas Informáticos y Seguridad
Nacional y es estudiante no graduado de la carrera de Ingeniería.

Gerrit Lansing, CISSP

Arquitecto Principal, CyberArk

Gerrit Lansing recientemente asumió el cargo de Arquitecto Principal

en CyberArk. Antes, dirigía los servicios de consultoría de CyberArk,
lo que incluía orientación estratégica, arquitectura y equipos de
servicios para grandes proyectos. Gerrit ha asesorado a muchas
de las empresas más grandes del mundo, entre ellas, varias compañías del grupo
Fortune 10. Aporta su experiencia en el diseño de los controles de seguridad
y en su trabajo con las organizaciones tras vulneraciones de datos a gran escala.
Antes de trabajar en CyberArk, Gerrit fue analista de seguridad informática en una
importante empresa de seguros donde sus responsabilidades incluían seguridad
de sistemas, análisis forense, respuesta a incidentes e investigaciones.

Ejecutivos de seguridad de importantes organizaciones que

han experimentado vulneraciones de datos a gran escala

Debido a las limitaciones legales, estos ejecutivos han contribuido a este informe
de investigación sin que se indiquen sus atribuciones.

19
ACERCA DE LA INICIATIVA DE LA INDUSTRIA “LA VISIÓN DE LOS CISO”

Compartir información sobre buenas prácticas de seguridad es más importante

que nunca, a medida que las organizaciones enfrentan amenazas informáticas
cada vez más sofisticadas. En CyberArk, creemos que si los equipos de seguridad
cuentan con la sabiduría líder de la comunidad de CISO, esto los ayudará a fortalecer
sus estrategias de seguridad y tendrá como resultado organizaciones mejor
protegidas. Por lo tanto, CyberArk le ha encargado a Robinson Insight, empresa
de investigación independiente, que suministre una iniciativa de la industria para
explorar las visiones de los CISO sobre temas relacionados con mejorar los controles
de acceso privilegiado. La iniciativa reúne a los principales CISO que comparten
su conocimiento sobre problemas críticos que enfrentan los profesionales en la
actualidad. Al desarrollar mesas redondas, estudios e informes con la participación
de los CISO, la iniciativa genera diálogo y orientación valiosos entre pares. Para
obtener más información sobre esta iniciativa, visite www.cyberark.com/cisoview.
CyberArk (NASDAQ: CYBR) es una empresa a nivel mundial que ofrece soluciones
de seguridad de cuentas privilegiadas. Para obtener más información sobre CyberArk,
visite www.cyberark.com.
Robinson Insight es una empresa de analistas de la industria enfocada en las
iniciativas de CISO. Para obtener más información, visite www.robinsoninsight.com.