Eddasec

LA PANDEMIAnipulación

2009-09-21T01:11:00.001-07:00

Nueva publicación en el remodelado blog de EDDASec.
Haz clic aquí para acceder.
Te recordamos que si quieres seguir recibiendo nuestros feeds tendrás que suscribirte desde el nuevo blog. Gracias.

www.eddasec.com

NO SALIMOS DE NUESTRO ASOMBRO.......

2009-09-17T05:57:00.000-07:00

www.eddasec.com

Lector DNIe "gratuito"

2009-09-10T08:13:00.000-07:00

www.eddasec.com

ICONOS DE SEGURIDAD

2009-09-09T07:46:00.000-07:00

www.eddasec.com

ESTACIONALIDAD E INCIDENCIAS

2009-09-04T05:18:00.000-07:00

www.eddasec.com

¿Será éste?

2009-09-01T12:31:00.001-07:00

Nueva publicación en el remodelado blog de EDDASec.

Haz clic aquí para acceder.

Te recordamos que si quieres seguir recibiendo nuestros feeds tendrás que suscribirte desde el nuevo blog. Gracias.

www.eddasec.com

DPP: Data Profit Prevention

2009-08-28T04:08:00.000-07:00

Nueva publicación en el remodelado blog de EDDASec.

Haz clic aquí para acceder.

Te recordamos que si quieres seguir recibiendo nuestros feeds tendrás que suscribirte desde el nuevo blog. Gracias.

www.eddasec.com

Estamos de reformas .....

2009-08-27T11:32:00.000-07:00

Como colofón de este primer año de supervivencia en la blogosfera hemos aprovechado para hacerle un lavado de cara al blog. Ya puestos a renovar dominios y alojamiento pues también nos ponemos con el aspecto del blog. Por un lado prescindimos de la plataforma blogger y nos pasamos a wordpress. Blogger está bien para iniciarse en el mundo de los blogs pero con el tiempo se perciben ciertas carencias (sobre todo en el formateo de las entradas).

Por otro lado y con objeto de no convertirnos en unos parias sociales también hemos abierto una cuenta en twitter. Nuestra intención es utilizarla para comentar aquellos temas que nos llamen la atención pero que no tienen suficiente entidad como para convertirse en una entrada del blog. De momento no le hemos encontrado la gracia a esto de tuitear pero todo se andará ........

Como podréis comprobar en los sucesivos días el blog seguirá sufriendo algunos retoques mientras aprendemos y descubrimos este nuevo entorno.

El blog alojado en blogger será desactivado (comentarios, suscripciones, etc.) en breve.

IMPORTANTE: Comentaros que os tendréis que suscribir a los feeds desde el nuevo blog (si lo creéis conveniente claro), ya que no hemos visto forma humana de traspasar los que tenemos en blogger.

WWW.EDDASEC.COM

CITA DEL DÍA: «Los incidentes de seguridad son inevitables. Lo importante es como se afrontan.»

¡¡¡ Primer aniversario !!! Gracias a tod@s

2009-08-12T15:10:00.001-07:00

Simplemente comentar que un caluroso día de agosto de hace exactamente un año nos estrenamos con este humilde blog. Quien nos lo iba a decir cuando al iniciar esta aventura dudábamos sobre si nos llegaríamos a comer los turrones con el blog activo :-)

Fotografía cortesía de Der Bettler

El balance, bajo nuestro criterio, no puede ser mejor. Independientemente de las estadísticas, porcentajes, etc. relativos a entradas publicadas, visitas, suscriptores, etc. estamos encantados de habernos embarcado en este blog. Para nosotros es un auténtico orgullo haber alcanzado el nivel actual, obviamente esperamos y deseamos que siga creciendo.

Si tuviéramos que hacer un análisis de este primer año destacaríamos los siguientes aspectos:

Hemos tenido la oportunidad de contactar y relacionarnos, por el momento de forma virtual, con otros bloggers en materia de seguridad, privacidad, etc.

En numerosas ocasiones es difícil encontrar un tema sobre el cual reflexionar. Tenemos unas premisas que intentamos cumplir a rajatabla. Básicamente son:

no comentar nada, directa ni indirectamente, sobre nuestra actividad profesional diaria. Os aseguramos que tendríamos bastante materia pero la ética es la ética ...............
en la medida de lo posible no repetir o mencionar temas ya tratados en otros blogs. Nuestra intención es la de ofrecer contenidos propios.

La periodicidad de publicación en el blog ha sido bastante aleatoria. No nos hemos marcado ningún ritmo de publicaciones aunque hay que reconocer que en determinados momentos lo hemos tenido un poco abandonado. En adelante intentaremos publicar con más asiduidad.

Para finalizar, deciros que tenemos previsto migrar el blog a otro gestor más cómodo, la verdad es que blogger no nos acaba de gustar.

Nada más, simplemente daros las gracias a todos y a todas por estar al otro lado !

CITA DEL DÍA: "En ocasiones los parches son imprescindibles, incluso en un traje nuevo ...."

APEP, DPI, ...... cuantos más seamos más reiremos !

2009-07-03T02:07:00.000-07:00

Gracias al eficiente, ágil y barato servicio de nuestras maravillosas operadoras de comunicaciones llevo más de 3 semanas sin ADSL ni línea de teléfono fija (y lo que queda...). La una por la otra siguen peleándose por la responsabilidad de una avería y yo que estoy en medio me estoy llevando los palos. Por el momento y de forma unilateral me han dado de baja de la compañía actual y todavía estoy a la espera de que la nueva compañía pueda iniciar los trámites del alta. Voy a obviar los nombres porque todas son igual de nefastas. En resumen, como no es serio esto de tener el blog abandonado me he hecho un hueco en el curro para colgar lo siguiente (me ha llamado bastante la atención).

El pasado día 4 de junio se constituyó oficialmente la Asociación Profesional Española de Privacidad (APEP). Hoy mismo se publica que también se ha creado el DPI - Data Privacy Institute (dependiente del ISMS Forum Spain). Por una parte no hay más que alabar y apoyar este tipo de proyectos en aras de fomentar todo lo relativo a la privacidad y confidencialidad de la información. No obstante, desde mi particular punto de vista no le veo mucho sentido que se diversifique, a mi juicio exactamente lo mismo, en distintos foros o lugares de encuentro.

Hay algo que nos hayamos perdido ?? Las personas visibles de la iniciativa que ha sido presentada hoy estuvieron en su momento activando la APEP (linkedin). Personalmente me resulta curioso. Seguramente habrán razones de peso pero por lo anteriormente dicho no creo que justifiquen esta duplicidad. No sería mejor aunar esfuerzos en un único proyecto?. Al final, tanto en un lugar como en otro van a estar prácticamente las mismas personas asociadas, interesadas o vinculadas. En este tipo de proyectos/iniciativas/etc., realmente se piensa en el objetivo de la profesión, el colectivo, etc. o se anteponen otros intereses ?

A nadie más le llama la atención o soy el único "rarito" ? Sin ningún ánimo de crítica, seguramente tendrá su lógica pero a mi se me escapa por completo.

Más info en:

CITA DEL DÍA: "No todas las nubes son hermosas, algunas esconden truenos y relámpagos"

Triplete en copas

2009-06-05T03:52:00.000-07:00

Supongo que todos estaréis esperando un artículo homenajeando a los ganadores de tan importante corona, pero NO!!, no es la temática de nuestro blog, y, aunque violemos sin ningún pudor la política de actualización, no vamos a hacer lo mismo con la de contenidos (por lo menos por ahora).

Si no es del Barça, ¿de qué más se puede hablar estos días con ese título? Pues de uno de nuestros temas favoritos, LOPD en situaciones cotidianas.

Hace pocos días quedé con un amigo en un bar bastante conocido en mi ciudad, el típico bar previo a la entrada a la discoteca. Pues bien, tres patadas bastante importantes a la ley coincidían en el establecimiento. Haciendo un símil futbolístico, os las voy a clasificar por importancia (así la decepción para los que esperaban una entrada deportiva no lo será tanto)

Copa: Una vez pagada la consumición, nos dan un folleto a rellenar para el sorteo de una camiseta del F.C.Barcelona o del R.C.D Espanyol firmada por los jugadores. Datos que recababan: nombre, apellidos, DNI (necesario?) Dirección para el envío, teléfono (supongo que para comunicarte que eres el ganador) y camiseta a la que optabas. Ni que decir tiene que no había ningún tipo de aviso legal al pie del folleto, es más, según la pericia del "concursante" al doblar el folleto, dentro de la urna, transparente, se podían ver todos los datos.

Liga: Dadas las dimensiones del local, y suponiendo que por un afán de seguridad, el local disponía de CCTV, sin la correspondiente advertencia. Haciendo un pequeño paréntesis, últimamente estoy viendo mucha concienciación en casos de este tipo, y para mi sorpresa, el otro día acudí a cenar a un restaurante de comida asiática donde se encontraba una placa con la advertencia y el lugar donde ejercitar tus derechos.

Champions: Para mí ésta es increíble. Una especie de tablón de anuncios de corcho, con fotos enganchadas, en las cuales se veían capturas del CCTV, y en el tablón rezaba la siguiente inscripción. BEBEN PERO NO PAGAN.

Se que no es fácil ir a un establecimiento de este tipo contándole las virtudes de la LOPD, y más difícil aún que lo intenten aplicar, qué hacer entonces? Complicado. En mi caso, y con gente muy cercana adopto la posición de "malo-malote", y los intimido con las posibles sanciones, muchas veces contrastando mis palabras con documentos de las ya impuestas por la AEPD.

CITA DEL DIA: "Cuando el personal que conoce el negocio no participa en el BIA mejor no empezar"

RECTIFICAR ES DE SABIOS

2009-06-04T01:50:00.000-07:00

Otra vez por aquí.... últimamente he estado bastante liado con el trabajo, final de semestre de la UOC y un par de marchas de resistencia de más de 50 Km que me han dejado pal arrastre..... ya no soy un crío y los excesos se pagan..... :-)

Como "es de bien nacido ser agradecido" y "rectificar es de sabios" sirva esta entrada como reconocimiento público de la iniciativa del INTECO en materia de formación. Al igual que en esta otra entrada "criticábamos", obviamente en tono constructivo, la excesiva centralización de determinadas actividades del INTECO, ahora toca reconocer que de cierto modo se está haciendo un esfuerzo en ampliar su ámbito de actuación. Como servicio público que es, está haciendo lo que ni más ni menos le corresponde.

En este enlace podéis el catalogo de cursos de formación disponibles. Como aspectos destacables comentar que son a distancia (on-line) y gratuitos. En cuanto tenga un momento de respiro me inscribiré a un par que he visto interesantes.

CITA DEL DÍA: "La seguridad no se compra, simplemente se define y se aplica"

LOPD & ACREDITACIÓN SOFTWARE

2009-05-13T05:56:00.001-07:00

Con objeto de cumplir debidamente con lo establecido en la Disposición Adicional Única del Real Decreto 1720/2007 he optado por solicitar a los distintos proveedores de software un documento a modo de acreditación del nivel de (in)seguridad que sus respectivos productos alcanzan. Como era de esperar esta información no aparece en la documentación que poseemos.

Disposición adicional única. Productos de software.
Los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en el título VIII de este reglamento.

Tras más de un año de vigencia del mencionado RD, y sin que NINGÚN proveedor se haya tomado la molestia de suministrarnos formalmente esta acreditación, hemos decidido tomar la iniciativa. Bajo mi particular criterio considero que el cumplimiento de esta cláusula es competencia absoluta del desarrollador, pero por lo visto la cosa parece que no va con ellos .......

Con objeto de facilitarles aún más el trabajo he hecho una especie de "trasposición" de las medidas de seguridad del RD en clave de desarrollo de software. Los criterios (acumulativos) por los que se debe regir la acreditación del software dependiendo del nivel de seguridad que le corresponde son:

NIVEL BÁSICO

Resulta obvio pero debe disponer de mecanismos de control de acceso (por algo será ...... yo me he encontrado con más de uno, de dos, de tres, .............)
Relación actualizada de usuarios y accesos autorizados (repositorio propio o integrado en uno externo, por ejemplo eledap)
Distintos privilegios de acceso según funciones/perfiles de usuario (dependiendo de la complejidad del producto)
Mecanismos que eviten el acceso datos o recursos con derechos distintos de los autorizados (obvio no?)
Identificación y autenticación personalizada (entre otras cosas no permitir sesiones simultáneas desde distintos equipos)
Características básicas de las contraseñas (repetición, secuencias, combinar caracteres numéricos/alfanuméricos, etc..)
Sistema de almacenamiento ininteligible de las contraseñas
Mecanismos de caducidad de las contraseñas
Posibilidad de bloqueo de los datos (no eliminación física)

NIVEL MEDIO

Control de accesos fallidos (bloqueo de cuenta tras superar el límite establecido)

NIVEL ALTO

Log de accesos reflejando usuario, hora, registro accedido, tipo de acceso, autorizado o denegado
Conservación de los logs durante 2 años
Si el software en cuestión efectúa directamente la transmisión de datos por redes de telecomunicación, ésta debe ser de forma cifrada

Hay bastantes puntos más como por ejemplo las copias de seguridad, usuarios genéricos, etc. pero según mi particular criterio corresponden al ámbito general o global de la LOPD (política de seguridad) y no son directamente dependientes del producto de software como tal. Esta lista hace referencia a las medidas mínimas que todo software de tratamiento de datos de carácter personal, para entendernos el típico software de alta/baja/modificación, debe cumplir.

Obviamente no pretende ser un conjunto de requerimientos para todo tipo de software, para eso ya están los common criteria y sus EAL1, EAL2, ..... El objetivo es que sea una relación de las características mínimas que cualquier producto de software debería poseer para poder tratar datos de carácter personal de acuerdo a lo especificado en el RD.

CITA DEL DÍA: "Durante un análisis de riesgos no hay lugar para el optimismo"

LOGS Y RENDIMIENTO: ¿LEYENDA URBANA?

2009-05-11T07:34:00.000-07:00

Desde hace muchos años siempre que los frikis del área de sistemas escuchan la frase "activación de los logs de auditoría" entramos en una situación bastante cercana al inicio de la 3ª Guerra Mundial. Lo habitual es que entren en un estado de cólera incontrolada llevándose las manos a la cabeza a la vez que vociferan ¡sacrilegio! ¡a la hoguera con él! pasando por un incontable número de recuerdos dirigidos a los diversos familiares del descerebrado que ha osado pronunciar, o simplemente pensar, semejante aberración.

Dejando de lado el espacio en disco necesario para guardar toda esa avalancha de datos siempre se antepone el grave impacto que supondrá, nótese que no digo supone, en el rendimiento. Para ser sincero, por suerte o por desgracia, en la práctica he estado alejado del área técnica más profunda (sistemas y comunicaciones), por lo que no soy nadie para afirmar si sus argumentos son fundados, demostrables y válidos. Lo que si puedo aportar es que en las muchas discusiones, como cliente, como auditor, etc. que he vivido con relación a este tema nunca se ha aportado información contrastable que permita adoptar una decisión razonada al respecto.

Que el rendimiento se verá afectado está claro que si, hasta ahí llegamos todos y todas, en esencia mi planteamiento de fondo es saber cuanto afecta. ¿Hay valores, cálculos, porcentajes, etc. concretos? Por más que he buscado información al respecto no he encontrado gran cosa. Siempre se da por supuesto que afecta pero nunca he visto reflejada la dimensión real de esa penalización. Particularmente creo que se trata de la típica respuesta automática o subconsciente, del tipo "leyenda urbana" (todo el mundo lo sabe pero nadie lo ha visto), que se va arrastrando generación tras generación. Este planteamiento es el que no me parece sensato en cuanto que en esta vida todo es relativo y siempre existe un punto de equilibrio.

Para salir de dudas he propuesto formalmente que se activen las directivas de auditoría (guindous 2003 server) para tener unos poquitos de datos empíricos. Obviamente empezaremos registrando poca cosa e iremos incrementando progresivamente. Ya os contaré.

CITA DEL DÍA: "La seguridad no tiene fin"

CRÓNICA II CONFERENCIA INTERNACIONAL BS25999

2009-05-07T11:40:00.000-07:00

Esta mañana he tenido el placer de asistir a la II Conferencia Internacional de Continuidad de Negocio organizada por The British Standards Institution (BSI). Desde aquí agradezco públicamente a BSI la invitación gratuita al evento.

En esta ocasión no se ha cumplido aquel dicho de "segundas partes no fueron buenas ...", la verdad es que particularmente esta segunda jornada me ha gustado más que la primera edición. No sé exactamente el motivo, quizás los contenidos tratados............ Aquí podéis ver la agenda del evento.

En la actualidad estoy metido de lleno en el desarrollo de un PCN (área TIC por el momento) para los hospitales y la verdad es que han habido un par de cosas que me han llamado la atención.

Como no todo va a ser bueno ;-), desde mi más particular opinión y afán constructivo, quisiera expresar públicamente algunos aspectos ni buenos ni malos, sino todo lo contrario, para que sean considerados en, tan esperadas desde ya, próximas ediciones:

Pasar un poco por alto la teoría de la norma. Creo que el público en general la conoce suficientemente bien. Me hubiera gustado ver aplicaciones prácticas concretas y detalladas (la de Bankinter ha sido la que ha profundizado más aunque ........). Tampoco es necesario la exposición de organizaciones que se hayan certificado en la BS25999 o BS25777.

Herramientas, la verdad es que en una de las ponencias esperaba ver algún demo o alguna captura de algún producto. Remarcar que al oír Strohl Systems me ha venido a la memoria que por casa tengo un CD de BIA Professional. Lo he encontrado pero iluso de mi .... se trata de una versión un "poco" anticuada (para Windows 3.1/95), como pasa el tiempo .......

Nada más, espero ansioso la convocatoria del año próximo. Mis más sinceras felicitaciones a BSI y a los ponentes. Con uno de ellos me he reído mucho al plantear si el Chelsea tenía PCN que cubriera una disrupción en el minuto 92 ...... :-)

CITA DEL DÍA: "La seguridad no lo es todo, es lo ÚNICO"

AUDITORIA LOPD BIENAL INTERNA

2009-05-06T03:29:00.000-07:00

Este año nos toca la auditoría bienal que establece la LOPD. Dada la situación de regularización actual nos estamos planteando la posibilidad de realizarla internamente. Como podéis apreciar me niego a llamarla "crisis", recesión, etc..., para mi no es más que una etapa necesaria y obligada para que se normalice la indecencia en la que estábamos inmersos. Desgraciadamente los que lo van a pagar en todos los sentidos somos los de siempre. En el presente ejercicio tenemos unas restricciones presupuestarias y un control del gasto abrumador, todo ello impuesto por el ministerio, que implican por ejemplo la imposibilidad de imputar ni un triste euro en determinadas rúbricas contables.

Al grano, internamente tenemos claro que la auditoría que hagamos será totalmente meticulosa y rigurosa. Desde el punto de vista legal no hay mayor problema ya que la LOPD contempla esta posibilidad. Con relación a este punto ya sabéis que "cualquiera" puede hacer auditorías de cumplimento de la LOPD por tanto, y muy a mi pesar, este punto es absolutamente irrelevante mientras no se regule semejante agujero negro. Por otro lado, periódicamente y desde hace ya tiempo, llevamos realizando auditorías por toda la red asistencial por lo que algo sabemos del tema. Aunque no es determinante ni representativo de nada soy CISA desde hace más de 10 años por lo que de algo debe servir ..... Señalar que en todas las auditorías externas que nos han realizado anteriormente no ha participado nadie con este perfil. A bote pronto es lo más parecido a un auditor LOPD (al menos en lo referente a las medidas de seguridad).

En el fondo nos inquieta la percepción o valoración que se pueda tener desde el exterior. Os cuento, en anteriores situaciones nos han requerido la presentación del informe de auditoría más reciente, y de modo expreso, se hacia referencia a que éste fuese de un entidad externa. En su momento ya comenté que por pedir que no quede pero si la LOPD dice blanco pues será blanco, por tanto, la auditoría interna es tan legitima como la externa. Otra cosa es que, de forma equivocada o no, se les da mayor o menor valor.

Como breve resumen intentaré detallar bajo mi criterio los pros y contras que supone llevar a cabo la auditoría LOPD internamente:

Pros
- mayor conocimiento del "negocio", en ocasiones la auditoría externa implica un curso formativo acelerado del auditor externo
- mayor transparencia/sinceridad de la parte auditada
- mayor nivel de autocrítica interna
- mayor dedicación en las carencias o puntos de mejora (perfectamente identificados)
- menor coste económico
- constitución de un equipo auditor multidisciplinar (a priori SS.II., RRHH, área sanitaria y área jurídica)

Contras
- dudas, por parte de terceros, acerca de su objetividad
- externamente poco valorada, quisiera remarcar que el "problema" lo tienen quienes opinan así no nosotros
- riesgo de ver un único árbol en lugar del bosque entero
- los componentes del equipo auditor deben hacer un esfuerzo por cambiar de rol

En esta otra entrada hablamos un poco más del tema. En definitiva, como lo veis ?? que nos dejamos ??

CITA DEL DÍA: "La elección final es aquella que implica menos inseguridad"

Las botnets en la Shmoocon

2009-05-01T07:16:00.000-07:00

Del 6 al 8 de Febrero se celebró en Washington la Shmoocon 2009, cita obligada para estar al día en seguridad.

Como siempre, me guardé las presentaciones para pegarles un vistazo, pero por la carga que últimamente tenemos de trabajo me ha sido imposible hasta este "fin de semana largo".

Como no, representando a España estuvieron Chema Alonso (MVP Microsoft) y Palako (Yahoo), hablando de su tema estrella, BLIND SQL.

Entre el repertorio de presentaciones, que podéis encontrar aquí, me gustaría destacar la de Julia Wolf, acerca del spam y las botnets, especialmente relevante este mes, que se ha descubierto la mayor botnet bajo MAC.

Como yo no os lo voy a explicar mejor que de lo que está en las diapositivas, os animo a verlas.

CITA DEL DIA : "No llores como usuario lo que no has podido defender como administrador"

De ti no me lo esperaba....

2009-04-15T07:15:00.000-07:00

Lo había oído de muchas otras, en algunos casos, me lo veía venir, por lo frescas que eran, porque se las veía descuidadas, a simple vista, ya sabía que no me podían traer nada bueno, pero de ti....

Todo lo que me pedías te lo daba!! Te tuve entre mis favoritas... y ahora esto...

No me importaron los preliminares, te seguí el juego, pero en el momento importante, cuando tuviste que tomar precauciones, no dudaste en dejármela al aire, me fallaste!!

Me lo volviste a pedir, una y otra vez, no te cansabas, te contestase lo que te contestase, ahí seguías, preguntando sin cesar.

Al final, hice lo que tenía que hacer, sin temblarme el pulso, te cerré las p...estañas e intenté olvidarte.

CITA DEL DÍA: "Era tan fe@ que me pasó su foto y la detectó el antivirus"

Metadatos ? pérdida de tiempo....

2009-04-10T11:19:00.001-07:00

Ayer veía esto en las noticias de la caja tonta y la verdad es que me quedé bastante sorprendido. Realmente hay un problema grave de concienciación en materia de seguridad. Lo peor de todo es que en este tipo de "personajes" es algo imperdonable. En su defensa hay que remarcar que tras el desliz ha actuado con un alto grado de responsabilidad y ha dimitido de inmediato.

Además, ya tuvieron experiencias idénticas no hace mucho.......

Como dice aquel dicho, el hombre/mujer es el único animal que tropieza 2 veces (y más!!) con la misma piedra........ De seguir así no vale la pena preocuparse en recuperar metadatos de documentos y demás, nos ponen la información en bandeja.

CITA DEL DÍA: "La seguridad es como Dios, no existe ......"

Todo por vosotros!

2009-04-06T09:09:00.001-07:00

Después de recibir una cantidad enorme de mails pidiéndonos una recopilación de las citas del día que se encuentran en cada entrada, la hemos hecho.

A disfrutar!!

1.- Cuanto más inseguro te sientes más seguro te haces
2.- El umbral de seguridad aceptable no existe
3.- Los mecanismos de cifrado únicamente retardan lo inevitable
4.- La seguridad, ¿se quiere o se necesita?
5.- Confianza no es sinónimo de seguridad
6.- Mi seguridad empieza donde empieza la tuya
7.- No desearás el firewall del prójimo
8.- No hay que matar moscas a cañonazos, olvida el formateo como primera opción
9.- La seguridad es directamente proporcional a los incidentes sufridos
10.- La seguridad es como un iceberg, la mayor parte no se ve pero está ahí
11.- Cuidado con lo que te entra por detrás, en informática también
12.- La puerta de la cocina sólo debe abrirse desde dentro ........
13.- Si tu sigues ahí, nosotros seguiremos aquí
14.- ¿Concienciar o imponer?, esa es la cuestión
15.- Los límites de la privacidad los establece cada uno
16.- La seguridad de la contraseña radica en el propio usuario
17.- Los logs ponen a todos en su sitio
18.- La seguridad es un puzzle en el que siempre falta una pieza
19.- La integridad y la confiabilidad no son sinónimos
20.- La seguridad de la información empieza por la formación
21.- La gestión de la seguridad debe ser tanto top-down como down-top
22.- La seguridad es idéntica a un tornillo sin fin
23.- La seguridad es un iceberg y sólo controlamos la parte visible
24.- La fuga de información es controlable, pero ¿y la entrada?
25.- Los datos son el escalón previo a la información
26.- Paquete rechazado, ¿amenaza resuelta?
27.- La seguridad es tan volátil como el mercado de valores
28.- Para los pesimistas no existe el concepto de seguridad
29.- Los PCN funcionan siempre antes de activarse, una vez activados ......
30.- La unión hace la fuerza
31.- Me siento seguuroooooooooo!!!
32.- En seguridad no hay margen de maniobra
33.- La anticipación es una buena aliada de la seguridad
34.- ¿Qué es la velocidad de la luz? El tiempo que tarda un ordenador sin AV en infectarse

Prueba de campo

2009-04-02T07:20:00.000-07:00

Hartos estamos, los que nos dedicamos a la seguridad de la información, de repetir la importancia sobre la protección de nuestros datos, hasta el extremo muchas veces de aburrir/cansar (hay que reconocerlo).

El otro día (bueno, hace ya 2 semanas, pero por estar hasta arriba de trabajo no he podido dedicarle tiempo a este hobby) me encontré por la calle un ordenador tirado, en bastante mal estado. Fruto de las ganas de investigar, y de ver como estaba ahí, impasible, el disco duro, me puse manos a la obra. Los cables no fueron problema, pero los tornillos.... es lo malo de no llevar herramientas encima habitualmente. Después de hacer varias pruebas con las llaves, la tarjeta de crédito, etc... conseguí hacerlo mío. Ahora venía lo más divertido.

Gracias a un adaptador externo de HD lo conecté a mi ordenador. ¿Estaría cifrado el HD? jajajaja, seguro que sí. Ahí estaba todo el árbol de ficheros, ahora había que centrarse en qué mirar. Un repaso rápido y podemos sacar diversas conclusiones. Era el único disco duro que poseía ese ordenador (tal vez si hubiera dispuesto de dos, el primer "ladrón" se los hubiera llevado ambos...), como no, usuario habitual del emule, con el incoming casi vacío, aquí vuelvo a imaginar, que antes de tirarlo sufrió problemas con el ordenador y se decidió a borrar cuantos más archivos mejor.

Existe una carpeta llamada documentos (no entiendo por qué la gente no utiliza la habitual y por defecto de Mis Documentos y crean otra paralela, pero esto ya será debate en otro post...). Que hay dentro? Pues bien, unos recibos de nómina escaneados (pobrete, es mileurista....), de aquí ya podemos extraer su sueldo, nombre, DNI, número de cuenta, empresa en la que trabaja, etc... Recibos de otra persona (fémina) escaneados, ummmm, ¿tal vez para pedir un préstamo o hipoteca al banco? Los apellidos no coinciden, a falta de pruebas, en mi imaginación pasan a ser pareja.

Dentro de la carpeta Documentos hay otra, llamada Fotos (no voy a repetir lo de la carpeta Mis Imágenes...), dentro de ésta, fotografías de... si si, Tenerife, no era reconocible por la playa, pero ver el Teide ha sido definitorio. Se van alternando, pero en casi todas salen las mismas dos personas, un hombre, le hecho unos 28-30, y una chica, de unos 25-26 (a ojo de buen cubero). Sigo mirando fotos. Ummm, coche nuevo pareja!! la verdad es que para ser mileuristas no han tenido reparos... Podrían estar las nóminas escaneadas para financiar el coche? (Se me está cayendo la teoría de la hipoteca)

Pero el documento definitivo es : CVXXXXX (dónde XXXX es el nombre de la señorita). Todo lujo de detalles, la verdad es que en cuanto a datos personales el currículum es bastante extenso. Me sirve para saber que no están casados, ¿vuelve a cobrar sentido la hipoteca? Como dirección consta la calle contigua a donde encontré el disco duro.

Continué con el escaneo, y las cosas que encontré seguían este patrón. Sirva esta entrada como recordatorio acerca de lo que debemos hacer antes de tirar un ordenador a la basura, darlo, venderlo o cualquier cosa que suponga un traspaso. No vamos a entrar a detallar qué cosas son, porque todos las sabemos.

P.D.: No, no había fotos guarras, que os veo venir.... (eso significaría que el ordenador es de ella ¿no?)

CITA DEL DÍA : "¿Qué es la velocidad de la luz? El tiempo que tarda un ordenador sin AV en infectarse"

LA INEVITABLE CURIOSIDAD DEL SER

2009-04-01T08:51:00.000-07:00

Leyendo esta noticia, bastante relacionada con esta otra, he de reconocer que es una situación bastante compleja y de difícil solución. La verdad es que es un enorme problema cómo discernir o discriminar cuándo el acceso a una información, formalmente autorizado, está o no justificado.

Voy a partir de la base de que si alguien actúa de forma decidida y con actitud maliciosa (interés económico, provocar daños de forma premeditada, etc.) poco se puede hacer. Personalmente creo que en la inmensa mayoría de ocasiones en las que alguien accede a información de forma injustificada se debe a motivos bastante inocentes e inherentes a la conducta humana. Los más habituales acostumbran a ser:

simple curiosidad puntual en momentos de ocio pasajero y/o circunstancial. Me gustaría comentar que hay personas que estos momentos son bastante prolongados y la dedicación es mayor ;-)
por el irrefrenable morbo que provoca saber determinado aspecto de la vida de otro u otra, poco que comentar no ?
algún "extraño" interés (por ejemplo amor, celos, etc.), ya sabéis que uno se ciega en estos casos y se comporta de forma irracional ....

En resumen, podéis comprobar que están muy relacionados con el comportamiento humano y normalmente se llevan a cabo de forma casi inconsciente (quizás ese sea el mayor problema, falta de concienciación en materia de confidencialidad y privacidad de la información).

En primera persona he vivido algunos casos interesantes aunque éstos estaban centrados en "personajes" famosos, llamémosles VIP. Para este tipo de entes es más fácil tratar el problema puesto que la información está muy localizada y los controles se pueden particularizar bastante (niveles de confidencialidad y de restricción de acceso muy detallados).

No obstante, desde mi particular óptica considero igual de improcedentes los accesos (o intentos) injustificados a información de personas "relevantes" como los accesos a la de personas "anónimas". En ocasiones, esas típicas charlas de pasillo comentando tal o cual cosa, comportan más de un problema convirtiendo ese "inocente y desinteresado" acceso a una información en una enorme bola de nieve, u otra sustancia, cuesta abajo.

En el entorno sanitario es una práctica muy grave puesto que el acceso y posterior mal uso, intencionado o involuntario, de este tipo de información puede acarrear serios perjuicios. Lamentablemente, este problema es independiente de la tipología de información accedida y se da en cualquier otro sector. Por poner algunos ejemplos prácticos y que con toda seguridad se dan cada 10 segundos aproximadamente:

empleado de banca que tiene curiosidad por saber si determinada persona que acaba de conocer es cliente de la entidad, y por consiguiente cuantos dineros tiene ?
empleado de RRHH (o informático con privilegios de admin, ummmmm suena mal no?) con una enorme curiosidad por saber cuanto cobra determinada persona, habitualmente el objetivo en primera instancia es el jefe supremo y/o el compañero de la mesa de al lado
empleado de una operadora de telecomunicaciones que sospecha de su novia y "consulta" el registro de llamadas de ésta .....

Relacionado con lo antes descrito no puedo más que sonreír cuando determinada información únicamente puede ser facilitada si hay un requerimiento judicial previo, recordáis esto? Lástima que no tenga ningún/a conocido/a en la compañía de telefonía móvil........

Soluciones ? sinceramente creo que no hay ninguna que sea aplicable en la vida real (autorizaciones bajo demanda y previamente justificadas?, monitorización on-line de accesos y contrastar necesidades?, etc.). Quizás el único camino posible sea insistir en la concienciación de la gente y apelar a su propia responsabilidad.

Para finalizar, sólo señalar que los casos que han motivado esta entrada, y asumiendo la falta de malintencionaldad, encuentro desmesuradas y fuera de lugar las sanciones aplicadas.

CITA DEL DÍA: "La anticipación es una buena aliada de la seguridad"

Como está el patio ......

2009-03-31T12:03:00.000-07:00

Por un lado tenemos:

y por otro:

Obviamente, el debate está servido. Hay muchísimas referencias más a este tema en infinidad de sitios pero tampoco es plan de recopilarlas todas, creo que la esencia está clara, además llega un momento que el debate aburre. La verdad es que los extremos opuestos siempre me han atraído, soy así de simple y para mi no hay demasiados puntos medios. Ambos puntos de vista son totalmente respetables pero es precisamente esta contraposición lo que me llama la atención. El bien y el mal, el Ying y el Yang, el blanco y el negro, .....

Llegados a este punto la verdad es que poco se puede hacer, personalmente creo que son posturas totalmente antagónicas y difícilmente pueden converger, al menos a día de hoy....... (me estoy refiriendo a las posiciones no a los postulantes de ellas).

Está claro que si tuviera que posicionarme por alguna opción lo haría por la visión más "paranoica" y a la vez más cercana a la realidad, creo yo vamos. La otra vertiente me resulta, sin acritud, demasiado cercana a los Mundos de Yupi y que todo es maravilloso (debajo de la nubes está la tierra y de vez en cuando conviene darse un paseo por ella). Quizás en estos momentos este tipo de "discusiones" pueden sonar a medio coña pero en un futuro no muy lejano me temo que tendremos que empezar a preocuparnos un poquito, unos más que otros claro.... supongo que la conclusión está en el valor que le das a tu privacidad, es así de simple.

Y no sólo es la omnipresente Google, si fuera así de fácil...... También está feisbuk, twitter, tuenti, youtube, flickr, etc. Yo creo que mucha mucha gente está esperando como loca que alguien empiece a correlacionar datos de todos estos "inventos" y empiece a generar perfiles ...... lo que hacen en la serie "Mentes criminales" es un juego de niños comparado con lo que está por venir :-).

CITA DEL DÍA: "En seguridad no hay margen de maniobra"

Firma tú que a mí me da la risa!!

2009-03-30T05:32:00.000-07:00

- "Dani, Dani, que he intentado hacer un amago de migración a Vodafone para ver si mi compañía me regalaba un movil mejor, y ahora no se cómo cancelarlo!"

- "No hay problema, entremos en la página de Vodafone y lo anulamos, seguro que hay una pestaña, un número de teléfono, algo..."

Et voilà!!!

URL : http://www.vodafone.es/cancela/

Que gran sorpresa, un formulario en el que tienes que firmar lo mejor que puedas con el ratón. Aparte de la dudosa legalidad que pueda amparar este funcionamiento, no me quiero imaginar la cantidad de firmas estrambóticas que pueden aparecer...

En lo referente a seguridad, espero que no haya algún gracioso, que después de comentarle mi portabilidad, y sabiendo mi DNI, algo no muy complicado, quiera cancelarme sucesivamente el cambio....

CITA DEL DÍA: "Me siento seguuroooooooooo!!!"

Asociación Profesional Española de Privacidad (APEP)

2009-03-27T05:32:00.000-07:00

Muy brevemente os hago extensible que en linkedin.com se está gestando una asociación de profesionales relacionados con la privacidad de la información.

El correspondiente grupo lo podéis encontrar aquí (obviamente tenéis que estar registrados en esta red profesional).

Desde aquí animo a todos l@s interesad@s a que participéis en ella.

CITA DEL DÍA: "La unión hace la fuerza"

CONFIDENCIALIDAD EXTREMO A EXTREMO

2009-03-26T02:57:00.000-07:00

De todos es sabido que día tras día es más habitual entregar los resultados de las pruebas diagnosticas (TAC's, resonancias magnéticas, ecografías, etc.) a los pacientes en formato electrónico (por lo general son imágenes en formato DICOM). Esta nueva modalidad está plenamente justificada por los costes económicos que representa. Por ejemplo, lo que cuesta generar la típica placa radiológica de toda la vida no tiene ni punto de comparación con el coste de grabar esa información en un CD/DVD o incluso remitirla por correo electrónico, FTP o similar.

Como es lógico, la confidencialidad de esta información debe ser garantizada. Desde el punto de vista de la LOPD deben adoptarse las medidas de seguridad de nivel alto. Entre otras medidas, el artículo 101.2 del R.D. 1720/2007 establece que "La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte."

En el caso planteado me surge la siguiente duda: la entrega del CD/DVD al paciente ¿forma parte de la distribución del soporte y por tanto sujeta al cumplimiento del mencionado artículo? En otras palabras, ¿debe entregarse esta información de forma cifrada? Con objeto de autoresponderme he estado investigando un poco y en la práctica totalidad de casos que directamente conocemos SIEMPRE se entrega la información "en claro". Podría contemplarse la alternativa de disociar los datos pero en la práctica no es demasiado factible.

Personalmente soy de los que piensan que por el simple hecho de que todo el entorno haga una cosa no implica que sea la correcta ni la mejor, normalmente es la solución más cómoda o fácil. En estos casos siempre me viene a la cabeza este conocido experimento.

Independientemente de los aspectos puramente legales, y suponiendo que este ejemplo no estuviese sujeto al artículo 101.2, considero que de todos modos debería anteponerse la protección de la confidencialidad de esta información entregándola de forma cifrada. Desde mi particular punto de vista, creo que la parte que "emite o genera" esta información es hasta cierto punto responsable de ella, tanto antes, durante como después de ser entregada al paciente. Una vez se hace entrega al paciente, previo acuse de recibo por si las moscas, éste es libre de hacer lo que quiera con los resultados, desde colgarlos en Google Health hasta en feisbuk incluso twitearlos, en definitiva, lo que considere necesario antes de ser clasificado como un "paria social". Bromas aparte, una forma de que se adquiera conciencia de la importancia de la confidencialidad de la información, especialmente sanitaria, es garantizarla a través de todos los medios que estén en nuestras manos.

Por otro lado, y de cara a poner en práctica este planteamiento, he estado comprobando las especificaciones de diversos productos de software de tratamiento de imágenes médicas (que se integran en los llamados PACS). Asombrado me he quedado cuando prácticamente ninguno de los productos que he comprobado disponen, ni siquiera como opción, de esta "funcionalidad". Lo más parecido que he encontrado en un producto es la posibilidad de grabar la información disociando los datos identificativos del paciente, algo es algo pero como he comentado antes esta opción no es viable.

Relacionado con esto último he aprovechado para solicitar a los distintos fabricantes de los distintos productos que tenemos, que de acuerdo a la disposición adicional única del RD 1720/2007, acrediten el nivel de seguridad que alcanzan en función de las medidas de seguridad que deben cumplirse. Espero con ansia a ver que se cuentan ......

Obviamente, esta propuesta no es tan trivial como parece en cuanto que hay otras implicaciones como el sistema de descifrado, que éste sea sencillo y casi transparente al paciente, mecanismos de comunicación de la contraseña de descifrado al paciente, etc. En esos temas estamos...........

CITA DEL DÍA: "Los PCN funcionan siempre antes de activarse, una vez activados ......"

Jazztel: Depuración o error?

2009-03-19T14:38:00.000-07:00

Estaba ahora mismo consultando el estado de una gestión de un familiar con Jazztel (no está muy puesto en esto de la nube) y me ha sorprendido ver el siguiente “error”:

De repente me he remontado al pasado (flashback) y me han venido recuerdos de cuando me dejaba los dedos programando. Aún tengo grabado el típico error nº 13 correspondiente a “Tipos no coinciden” (al menos en VB). Qué tiempos aquellos....

Al momento he vuelto al mundo real y sinceramente tengo serias dudas acerca del significado de este mensaje. Lo curioso es que todo funciona correctamente y acabas accediendo al estado del pedido. Únicamente se solicitan 2 datos (NIF y teléfono) por lo que la complejidad no debe ser mucha.

De no ser un error (bastante simple), diría que tiene pinta de la típica ventana de depuración de código. Si es así, tengo algunos interrogantes:

- Existen como mínimo otras 12 ventanas de este tipo?
- Se trata de un entorno con datos reales?
- Hacen “experimentos” en este entorno?
- Qué control de calidad del código hay?
- Qué autorizaciones/validaciones de traspaso de código hay implantados?
- Se cumple con lo dispuesto en el artículo 94.4 del RD 1720/2007?

Ummmmm, creo que detrás de este inofensivo mensaje se esconden muchas preguntas.

Todo esto escrito desde el punto de vista más constructivo y a modo de simple anécdota.

CITA DEL DÍA: ”Para los pesimistas no existe el concepto de seguridad”

El "valor" de la información

2009-03-18T09:00:00.000-07:00

Hablando en términos de análisis de riesgos y/o impacto en el negocio queda patente que, por encima de todos los activos de una organización, la INFORMACIÓN es por lo general y con diferencia el más importante. La anterior afirmación está hecha desde una perspectiva "material", en el plano un poco más humano consideraríamos a todas las personas, o casi ;-), como lo más importante. En todas las ocasiones en que me ha tocado "adivinar" (cualquier "cálculo" es una pura y mera aproximación totalmente subjetiva), tanto de forma cuantitativa como cualitativa, el "valor" de este tipo de activos he acabado debatiendo acerca del sexo de los ángeles y su relación con el eterno dilema de si primero fue el huevo o la gallina, estoy seguro que como much@s de vosotr@s.

Este tipo de activo, totalmente intangible e indeterminado, no puede ser valorado de forma totalmente objetiva por lo que irremediablemente hay que estimar su valor de forma aproximada (como se mediría de ser viable?, en Gb?, en número de registros?, en Kg de papel? en número de hojas?, ......).

Por otro lado, creo que no se debe relacionar el valor del activo como tal con el impacto que supondría la pérdida de éste (coste de reposición, lucro cesante, multas, etc.). En muchas ocasiones se intenta valorar la información pensando únicamente en lo que cuesta "reponerlo". Personalmente creo que son temas completamente ajenos e independientes. Hay información de mucho valor que es de fácil recuperación y otra, de mucho valor también, pero de complicada recuperación. En estos casos, ¿cuál tiene más valor para mi negocio? En mi particular opinión creo que las 2 por igual. Otra cosa es si hablamos de cual de ellas me representará mayores perjuicios en el supuesto de que se vulnere su confidencialidad, integridad o disponibilidad (os recuerdo que, a mi parecer, estos conceptos son de cierta obsolescencia).

Con objeto de facilitar, en el sentido más amplio, el cálculo del valor (entendido como "cuan valioso es") de un activo de información me he acostumbrado a calificar individualmente una serie de atributos (objetivos) para luego obtener, a partir de todos ellos, un resultado global que justifique el mayor o menor valor del activo. Los atributos que habitualmente contemplo son:

Volumen/Cantidad: expresa la "cantidad" de información. Típicamente se expresa en unidades conocidas. Dependen en gran parte del soporte (número de documentos en caso de papel, Tb cuando se trata de soporte informático, etc.).

Genera ingresos: si la organización "vive" de esa información hay que mimarla.

Soporte: No es lo mismo la documentación en soporte papel (originales) que bases de datos en un servidor.

Tipología: Determina de cierta manera el tipo de información desde el punto de vista de visibilidad (por ejemplo pública/reservada/confidencial o nivel básico/medio/alto).

Centralización: Si tienes toda la carne en el asador y empieza a llover la barbacoa será un fracaso.........

Estacionalidad: Es un factor a tener en cuenta. Si el 80% de la información se trata (crea, actualiza, etc.) en periodos concretos y limitados resulta necesario prestar especial atención, dicho de otro modo, te juegas todo el curso en un único examen en lugar de una evaluación continuada.

Dinamismo: cuanto mayor sea el grado de actualización de la información más relevancia tiene (cambios diarios, mensuales, anuales, estática, ....).

Accesibilidad: El número de usuarios que accede a la información es determinante para su valoración.

Todos estos atributos pueden ser expresados con cantidades o valores totalmente objetivos, homogéneos y repetibles (algunos pueden ser rangos de valores). Algunos de ellos serán del tipo lógico (si/no), en estos casos simplemente serán un factor multiplicativo de todo el conjunto. Puestos a complicarse la existencia se puede llegar a ponderar el peso específico de cada uno de los atributos en el total. En resumen, la esencia de todo esto es la integración de todos estos valores objetivos a través de fórmulas, cálculos, ponderaciones, etc. hasta conseguir un resultado por cada activo de información. Me reservo el derecho de mostraros mi particular "excel" dado que se trata de información corporativa y muy personalizada a mi entorno.

El resultado final no puede ser expresado en ninguna unidad exacta (en €? en gallifantes? en infos? .....), por tanto, pueden ser expresados en % sobre el total. Con ello se consigue una finalidad añadida que permite comparar/ordenar valores entre los distintos activos de información. Como conclusión sirva el presente ejercicio como una forma más de cuantificar lo incuantificable y contextualizarlo en cualquier organización.

CITA DEL DÍA: "La seguridad es tan volátil como el mercado de valores"

Crisis en la construcción? Voy a acabar con ella!

2009-03-13T02:40:00.000-07:00

No se por qué, pero hay algo en lo que me fijo demasiado en las auditorías, quizás en exceso incluso, y es la insonorización de las instalaciones.

Este apartado es especialmente importante en un entorno sanitario, ya que no sería de recibo estar en un reconocimiento médico, teniendo a un compañero de trabajo en la sala contigua y que el sanitario te comente que tienes la tensión muy alta (por ser suaves). En estos casos, la confidencialidad médico-paciente se ha roto completamente, y en cuestión de minutos muy probablemente lo conocerá toda la empresa.

Como comprenderéis me he unido a la plataforma "Enemigos del Pladur", así como a "Los biombos son bonitos pero inútiles en el trabajo", no creo que haga falta explicaros el por qué.

Algunas veces hemos conseguido solucionar este tema con la instalación de un hilo musical, ya que, aunque no es mi solución preferida, hay que reconocer que en determinadas situaciones es válida. En otras se ha llegado al extremo de reubicar la mesas en las que se atiende a los pacientes.

En el escenario que hemos comentado es viable esa solución, pero... ¿habéis extrapolado esta pensamiento a otras situaciones en las que la vulneración de la confidencialidad pasa más inadvertida?

Tienda de telefonía : damos nuestros datos a la dependienta teniendo a otra persona a unos 20 cm realizando el alta de su teléfono
Sucursal bancaria : ¿Quién respeta las distancias marcadas en el suelo? Por no hablar de lo próximas que están las mesas de atención.
Gimnasio : Cuando nos damos de alta en un gimnasio, hay un degoteo incesante de socios que entran /salen, es muy difícil que nos lleven a una sala aparte a realizar todos los trámites.
Concesionarios de vehículos : Estamos diciéndole al comercial cual es nuestra cuenta de ahorro, nuestro dni, etc... y tenemos a curiosos que miran el coche que está a nuestro lado.

Esto nos llevaría a redefinir el término espacio vital. Leyendo varios estudios podemos llegar a la conclusión que el espacio vital se tasa en una media de 1'5 metros alrededor nuestro, variando según la procedencia de la persona (los latinos nos gusta más el roce y la rebajamos ;-) ). ¿Es ésta distancia óptima cuando tratamos la seguridad de la información? Pues depende en que aspectos, lo que si podemos tener claro es que al menos es la mínima.

CITA DEL DIA: "Paquete rechazado, ¿amenaza resuelta?"

Acciones formativas INTECO, globales?

2009-03-12T07:42:00.000-07:00

Me gustaría destacar la reciente convocatoria de acciones formativas que se han publicado desde el INTECO. En concreto corresponden a:
- Segunda edición del Máster Profesional en Tecnologías de Seguridad
- Curso de desarrollo avanzado de aplicaciones en C++

Me parece una estupenda iniciativa que hay que alabar y apoyar en beneficio de la seguridad de la información y áreas afines. A pesar de ello, no comparto en absoluto las características de estas convocatorias puesto que restringen y limitan en exceso la posibilidad de acceso a las mismas (régimen presencial). Los objetivos del INTECO, según lo expuesto en su web, son:
INTECO tendrá un doble objetivo: contribuir a la convergencia de España con Europa en la Sociedad de la Información y promover el desarrollo regional, enraizando en León un proyecto con vocación global.

Por un lado no tengo nada que objetar en cuanto a la promoción del desarrollo regional, en concreto León (ojalá hubiera algo similar en cada provincia). La parte final, con vocación global, es la que no me cuadra demasiado. Personalmente, teniendo en cuenta que el INTECO es un ente público promovido por el Ministerio de Industria, Turismo y Comercio siendo dependiente de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, y por tanto financiado por tod@s nosotr@s, creo que debería empezar a contemplar la posibilidad de "globalizar" este tipo de iniciativas. Revisando las convocatorias anteriores podemos observar que ya llevan unas cuantas, todas ellas de similares características.

Por otro lado, es obvio que algunas de estas acciones formativas podrían ser impartidas de modo online, virtual o como queramos llamarle. Además de "globalizar" el acceso a las mismas, creo yo que también se estaría contribuyendo al desarrollo de la Sociedad de la Información. Por cierto, la dimensión "espacio" en el contexto de la Sociedad de la Información queda relegada a un segundo o tercer plano.

Particularmente no estoy interesado en la realización de ninguno de estos cursos. Ya me gustaría pero ya tengo bastante con el grado de psicología en el que me he metido........ Hay gente cercana a mi, al igual que en muchos otros sitios, que estaría encantada si pudiera acceder a este tipo de convocatorias. Tampoco me gustaría que nadie malinterpretara esta reflexión viendo conflictos regionales y sandeces similares. Si tuviera el INTECO al lado de mi casa pensaría igual.

Para finalizar, mi más sinceras felicitaciones al INTECO por tan loables iniciativas pero no estaría de más intentar hacerlas extensibles al resto de la Sociedad de la Información. Todo ello desde el más completo espíritu constructivo y de igualdad de oportunidades.

CITA DEL DÍA: "Los datos son el escalón previo a la información"

Seguridad y nube

2009-03-11T04:44:00.000-07:00

Totalmente identificados con esta entrada de TAO Security. La verdad es que suscribimos y compartimos 100% el tema que cuestiona.

Viene perfectamente a colación de esta otra entrada en la que, de mejor o peor manera, intentamos exponer esta misma cuestión.

La verdad es que da que pensar acerca de lo que a día de hoy se asocia con el concepto más amplio de "seguridad de la información". A veces tenemos la sensación que todo aquello que no está directamente vinculado a la nube no existe ni importa. Más aún cuando el día a día, al menos en nuestro caso, difiere bastante de lo que flota en la nube.

CITA DEL DÍA: "La fuga de información es controlable, pero ¿y la entrada?"

Uso de contraseñas según Sophos

2009-03-10T14:32:00.000-07:00

Interesantes resultados de una encuesta que ha elaborado Sophos acerca del uso de contraseñas en la nube. La cuestión planteada y los resultados son:

En esencia viene a decir que el 19% de los encuestados no usa la misma contraseña en las distintas webs que visita. Un 33% afirma que siempre utiliza la misma contraseña y el 48% restante ni fu ni fa (utiliza una serie de contraseñas distintas). Remarcar que estos resultados han mejorado sensiblemente los obtenidos 3 años atrás (41% frente 33% y 14% frente 19%). Personalmente creo que el porcentaje de los que usan la misma contraseña correspondería al 48%.

Más información aquí. Tal y como refleja el disclaimer que encontraréis al final del artículo esta encuesta no tiene ningún valor científico ni las debidas garantías acerca de la rigurosidad de los resultados.

Incluye un vídeo, con un método un tanto paranoico o rebuscado, que aconseja cómo escoger una buena contraseña.

Cisco Security: The Realm

2009-03-06T12:45:00.001-08:00

Buena iniciativa han tenido los CISCO boys. Se han sacado de la chistera una especie de cómic sobre superheroes encarnando diversos elementos de seguridad. Para desconectar un poco y pasar un buen rato ......

Más info aquí.

En youtube podéis ver el primer capítulo.

Periódicamente irán sacando el resto de episodios (hasta 4).

Que los disfrutéis.

CITA DEL DÍA: "La seguridad es un iceberg y sólo controlamos la parte visible"

ESPARTANOS !!! AAAUUUU !!!!!!

2009-03-05T13:26:00.000-08:00

Durante un periodo de tiempo bastante corto nos han sido sustraídas cinco de esas pequeñas "joyas" llamadas Black Berry. Como todos sabéis es totalmente imprescindible e indispensable disponer de uno de estos artefactos a menos que no te importe demasiado ser tildado de "paria social", lo mismo pasa si no estas en feisbuk y similares...... ;-)

A diferencia del enorme revuelo que se ocasionó con la BB de Obama, nuestro caso no se trata de un asunto de seguridad nacional pero obviamente es una incidencia de seguridad importante. Tras descubrir el "hecho delictivo" pusimos en marcha el correspondiente protocolo de actuación. En esencia consiste en:

denunciar el robo
contactar con nuestro proveedor de la infraestructura tecnológica para el borrado remoto del contenido de la BB (si todavía tiene la SIM)
contactar con la operadora para el bloqueo del terminal (IMEI)
registrar la incidencia como buenos cumplidores de la eleopede
esperar a que aparezca sana y salva ;-)

Por casualidad, nuestra estimada operadora de telefonía móvil nos ha comentado que uno de los terminales está siendo utilizado. Por todos los medios hemos intentado que únicamente nos facilite el número de teléfono asociado al IMEI en cuestión. Según una reciente sentencia de la Audiencia Nacional, así como una resolución y un informe jurídico de la AEPD, el criterio aplicado es que el número de teléfono por sí solo NO constituye un dato de carácter personal. Acogiéndonos a esta interpretación, favorable a nuestros intereses, entendemos que no se estaría infringiendo la Ley.

Aún así, la operadora, evitaré nombrarla aunque creo que todas actúan igual, se cierra en banda y se niegan a facilitar datos a menos que exista un requerimiento judicial. No entraré a valorar si actúan bien o mal desde el punto de vista legal. Independientemente de ello, no concibo porqué, nada más comunicarles que bloqueen el terminal y constatando un uso fraudulento de éste, no actúan de “oficio” sin más.

Ni siquiera tienen la voluntad de enviar un SMS a su “cliente” advirtiendo de esta irregularidad. En definitiva, actúan como si la cosa no va con ellos y en lugar de colaborar únicamente ponen palos en las ruedas. En fin, la verdad es que estas cosas además de cabrearme me entristecen bastante.

Acudir a la justicia nos lo hemos planteado pero siendo sincero, dudo muy mucho de que la demanda que podamos interponer (basada en un IMEI, que es lo único que sabemos) sirva de mucho. Me temo que los juzgados, y nosotros, tenemos mejores cosas que hacer......

Para finalizar comentar que , habida cuenta de los avances tecnológicos, dentro de cuatro días tendremos en la palma de la mano más y mejores dispositivos con prestaciones equivalentes, salvo en el tamaño, a lo que hoy en día entendemos por un ordenador portátil (almacenamiento de información, accesibilidad a todo tipo de redes, ...). Esto obligará ineludiblemente a la necesidad de combatir de forma más proactiva, y desde aquellos entes que tienen los medios necesarios y la información adecuada, esta particular modalidad de "adquisición y disfrute de bienes".

Perdonar por desahogarme con esto pero hay cosas que no puedo evitar que me pongan a 300 .......

El de la foto no soy yo pero me parezco, en la actitud claro ..... :-)

CITA DEL DÍA: “La seguridad es idéntica a un tornillo sin fin”

¿Dónde está el límite?

2009-03-04T00:28:00.000-08:00

El otro día, haciendo repaso a la prensa digital, nos sorprendió la siguiente noticia.

El motivo de nuestro interés es, primero el tema, el cual todos sabéis es uno de nuestros favoritos, y por otra parte, el ámbito, el sanitario, en el que pasamos la mayor parte de nuestro tiempo.

No vamos a ser nosotros los que hablemos de la importancia que tiene la protección de datos, y de lo contentos que estamos de que casos como éste se sancionen, ¿pero con qué sanción?

Estamos acostumbrados a ver las sanciones que impone la AEPD, y que, en muchos casos, son de 600€ para particulares (la sanción mínima), y no me habría extrañado que en este caso, de haber estado en manos de la Agencia, se hubiera resuelto con esta sanción, o a lo sumo, con 6.000€.

Estar hablando de penas de años de cárcel nos parece excesivo, no entendemos si han buscado un cabeza de turco o ha sido una "ida de olla" del juez de turno.

No vamos a hacer demagogia relatando casos aberrantes que terminan sin sanciones o con sanciones de risa, pero lo que si que queremos dejar claro es que ésta, nos parece excesiva.

CITA DEL DIA: "La gestión de la seguridad debe ser tanto top-down como down-top"

Anécdotas de auditorías (I)

2009-03-03T13:44:00.000-08:00

En toda auditoría de seguridad siempre se da alguna que otra anécdota o situación digna de mención. Además de rememorar buenos momentos, también aprovecharé para plantear algunas reflexiones acerca de estas experiencias. Espero que resulten de vuestro agrado.

Recuerdo una ocasión en que estábamos evaluando las medidas de control de acceso físico a uno de los CPD's de una organización. Aparentemente estaba todo muy controlado, para no aburrir obviaremos otros detalles como el tipo de cristal, características puerta, suministro eléctrico, sistemas de climatización, detectores, etc. En resumen, lo más destacable era que la puerta de acceso al CPD únicamente podía abrirse desde el interior. Este aspecto obligaba a la permanente presencia de personal en su interior. Remarcar que el puesto de trabajo de los operadores estaba aislado de toda la parafernalia técnica, entre el ruido y la temperatura era para volverse loco .....

Basándonos en esta particularidad es obvio que el punto más preocupante era el personal del CPD, podríamos decir que ellos mismos son la "llave" para abrir. Profundizando en este aspecto verificamos que las directrices de acceso al CPD eran claras y concisas. Únicamente abrirían el CPD salvo conocimiento con suficiente antelación (12h) y autorización por escrito del responsable de Explotación. Esto afectaba por igual tanto a personal interno como externo. Hicieron mucho énfasis en lo de personal interno. Adicionalmente, la persona que accedía al CPD debía estar permanentemente acompañada de alguien de la organización (normalmente alguien con galones).

De hecho en nuestra visita se cumplieron todos estos requisitos, quisimos improvisar una primera visita esa misma tarde y nos dijeron que hasta mañana nada de nada puesto que no habían transcurrido las 12 h de rigor (obviamente, en situaciones críticas, averías, emergencias, etc. esta planificación no era aplicable).

Pensamos que en esta ocasión sería complicado encontrar una disconformidad, ni siquiera una leve observación. Al día siguiente, en plan extremista por no decir otra cosa, y recordando lo antes mencionado acerca del personal interno sugerimos la siguiente prueba de cumplimiento: Contactamos con la Dirección General de la organización (tampoco era una empresa gigantesca, unos 250 empleados) y propusimos que el propio Director General, sin previo aviso ni nada similar, se fuese directo al CPD e intentara entrar. Dicho y hecho, al Director le encantó la idea y así lo hizo.

Obviamente no estábamos allí para verlo, quizás nuestra presencia hubiera delatado la "encerrona", pero el resultado de la prueba fue satisfactorio a medias. En primera instancia, el personal del CPD se negó y le "recordó" al Director General cual era el procedimiento a seguir, le argumentaron que no tenían constancia de su visita y no podían abrir. Hasta aquí todo bien, el "problema" o no según cómo se mire, fue que el Director se tomó demasiado en serio su papel y literalmente se le fue la "olla". Tenía tan interiorizado que debía entrar que empezó a esgrimir "sutiles" amenazas de despidos, abertura de expedientes, etc.

La persona en cuestión del CPD, creyendo que su empleo estaba seriamente en juego, abrió finalmente la puerta .......... ohh !!!! que lástima .... Finalmente decidimos no reflejar ninguna disconformidad en el informe final, eso si, esta prueba sirvió para tener las reglas de juego siempre presentes.

En resumen, aprovechando este verídico relato, que espero os haya hecho pasar un buen ratito, todavía hoy en día me pregunto si estas "maniobras" son aceptables, éticas, etc. en el marco de una auditoría de seguridad o de cualquier otra índole. Personalmente soy de los que intenta verificar de forma empírica el cumplimiento de loquesea y no suelo constar en acta nada por el simple motivo que lo diga una persona o esté escrito en un procedimiento. Menudo descubrimiento no ? la verdad es que toda auditoría debería realizarse con está premisa, aunque he podido participar en algunas que mejor acabar aquí y ahora .....

CITA DEL DÍA: "La seguridad de la información empieza por la formación"

Relevo generacional

2009-03-02T13:36:00.000-08:00

Mientras desarrollaba esta otra entrada he llegado a la radical conclusión de que los conceptos de confidencialidad, integridad y disponibilidad, tan y tan recurrentes en esto de la seguridad, empiezan a mostrar síntomas de obsolescencia y/o falta de adaptación a la realidad. Desde que me inicié en el mundillo de la seguridad, hace ya unos añitos, llevo oyendo, leyendo, oliendo ;-), etc. que todo órbita alrededor de estos 3 factores.

Desde una óptica eminentemente técnica, arrastrada históricamente, son conceptos perfectamente aplicables a la situación actual (quizás deberíamos plantearlos en otra dimensión “jerárquica” a modo de simples indicadores). El concepto de "seguridad de la información" que todos entendemos en la actualidad creo que implica otros atributos que la definen con mayor precisión. Personalmente creo que la famosa triada está más que superada a pesar de que de vez en cuando aparece en escena algún que otro “pequeño” desliz ...... (léase caídas de servicios, pérdida de información, etc.).

Por otro lado, durante estos últimos tiempos el tratamiento de la información, en su sentido más amplio, está siendo “regulado” a marchas forzadas. Todas estas normativas a cumplir, tanto nacionales como internacionales mediante estándares, leyes, etc., cubren en mayor o menor medida el respeto y observación de nuestros tres viejos conocidos. Partiendo de esta premisa, ¿qué sentido tiene seguir hablando de estos tres conceptos de forma concreta y específica? Algunos ejemplos en los que su consideración no me cuadra demasiado:
a) Si una empresa obtiene el certificado ISO27001, entiendo que de forma implícita está cumpliendo con estos tres puntos no? Por tanto, considero que un SGSI es una capa superior que engloba estos factores y no tiene ninguna lógica seguir haciendo referencia a estas tres características (a excepción de meros indicadores pero no como aspectos fundamentales del SGSI).
b) En plena época de la más que sobada “cloud computing” no me entra en la cabeza que la disponibilidad sea algo medible o valorable. Esta modalidad de “servicio” debe caracterizarse por una disponibilidad absoluta. El ejemplo que yo pondría es el Sol, la disponibilidad ha sido, es y será del 100% con toda garantía. Alguien se cuestiona este punto?

Por último dejaré para otra entrada cuales podrían ser los substitutos de nuestros queridos objetivos de la seguridad de la información. Creo que ya deben ir pensando en la jubilación .....

Todo esto viene motivado por este estupendo spot publicitario, de lo mejorcito que he visto en los últimos años.

CITA DEL DÍA: ”La integridad y la confiabilidad no son sinónimos”

Disponibilidad y/o Integridad y/o Confidencialidad

2009-02-26T15:26:00.000-08:00

Según la RAE, el verbo sacrificar vendría a significar (para el caso planteado) lo siguiente:
3. tr. Poner a alguien o algo en algún riesgo o trabajo, abandonarlo a muerte, destrucción o daño, en provecho de un fin o interés que se estima de mayor importancia.

Desde hace mucho tiempo me llama la atención la permanente y perfecta simbiosis que al parecer existe entre los tres pilares fundamentales de la seguridad de la información, Como ya sabéis, estoy hablando de la Disponibilidad, la Integridad y la Confidencialidad. Habitualmente son tratados como un pack indivisible y apenas se contemplan de forma separada. En pocas lecturas, por no decir ninguna, he visto que estos tres factores sean tratados de forma independiente. Dado mi carácter poco conformista, me apetece efectuar la presente disertación con objeto de exponer situaciones en las que no hay más remedio que prescindir de alguno de los 3 factores.

El caso clásico, y que se da con más frecuencia, es la indisponibilidad deliberada de un sistema debido a que la integridad y/o la confidencialidad han sido comprometidas. Un ejemplo real, que viví en primera persona, fue la parada total de la operativa online de valores de una entidad financiera, tanto en oficinas como a través de la web, motivada por un descuadre de las posiciones de las diversas cuentas. En esa situación, aún habría sido más desastroso haber permitido operar en cualquiera de los mercados con datos totalmente corruptos. Como podéis comprobar en este ejemplo, hay ocasiones en que se debe romper con los cánones establecidos y no se puede ni debe garantizar tanto la disponibilidad como la integridad y la confidencialidad de la información.

Otro ejemplo similar que puede ocasionar (de hecho hay casos) la no disponibilidad de forma controlada de un sistema, es la más que probable vulneración de la confidencialidad de la información como consecuencia de una amenaza recientemente descubierta. Hasta el momento en que se aplica el parche correspondiente, se modifica un error en el software, se actualiza la versión de determinado componente, etc. es posible que determinado servicio, sistema, etc. pase a un estado de indisponibilidad.

En cuanto a la disponibilidad de la información dejando de lado la integridad y/o la confidencialidad de la misma me temo que es algo totalmente injustificable, o al menos yo no he encontrado ningún motivo razonable.

Conocéis algún caso en que así sea? La interpretación que yo hago es que si algo está disponible debe estarlo en perfecto estado. Por otro lado, si algo no está en condiciones siempre queda la alternativa de no ponerlo a disposición de nadie.

CITA DEL DÍA: "La seguridad es un puzzle en el que siempre falta una pieza"

Hacia atrás, ni para coger impulso

2009-02-18T07:26:00.000-08:00

Ayer nos sorprendió mucho una noticia, la de la nueva política de Facebook, mediante la cual, se apropiaban de todo lo contenido en su portal. La estuvimos comentando Edgard y yo, pero no publicamos nada, ya que no somos muy partidarios de colgar temas que hemos visto en 10 entradas de nuestro lector de feeds. Por otro lado, no acostumbramos a comentar nada acerca de las redes sociales ya que entendemos que el uso de éstas es incompatible con la privacidad/seguridad de datos.

Hoy hemos visto que Facebook ha dado marcha atrás en su política, y siguiendo nuestra regla antes mencionada, tampoco vamos a publicar nada acerca de esta marcha atrás, pero si que nos da pie a comentar la "jugada".

Cuando una empresa toma tal iniciativa, ¿no puede imaginar que va a ser el centro de las críticas más airadas? ¿qué pretendían con esta medida? Estas dos medidas, que sólo distan 1 día entre ellas nos hacen creer que han tomado una medida demasiado a la ligera. Personalmente la vuelta atrás no ha hecho más que desacreditarlos en mayor o menor medida, e incluso, sembrar un cierto "miedo" en algunos de sus usuarios. En resumen, dan a entender que para ellos la privacidad / confidencialidad de los datos no es más que un juego.

Si esta noticia la publicaramos en un diario, seguramente la acompañaríamos de esta imagen:

No obstante, debemos reconocer que facebook está en su pleno derecho de estipular las condiciones que se le antoje. Sinceramente, si el "cliente" las acepta no vemos donde está el problema.

CITA DEL DIA: "Los logs ponen a todos en su sitio"

La AEAT y la eleopede

2009-02-16T12:58:00.000-08:00

Casualmente ha llegado a mis manos el modelo 145 de la AEAT (comunicación de datos al pagador). Por deformación profesional me he puesto a leer la advertencia que incorpora en materia de protección de datos. La verdad es que en primera instancia me ha sorprendido bastante. Aquí la tenéis:

De conformidad con lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, el perceptor tendrá derecho a ser informado previamente de la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información, de la identidad y dirección del responsable del tratamiento o, en su caso, de su representante, así como de la posibilidad de ejercitar sus derechos de acceso, rectificación o cancelación de los mismos.

Ya sé que es prácticamente inviable redactar una advertencia completamente genérica y que cumpla exactamente con los requisitos de la LOPD (en concreto el artículo 5). Ahora bien, de ese extremo a lo que en esta advertencia se dice hay un trecho. Bajo mi particular criterio se ha adoptado la postura de sacarse el marrón de encima como diciendo que se ocupe otro ........

De forma breve y sin entrar en mucho detalle jurídico, por no aburrir y porqué tampoco es mi fuerte, se podría llegar a aplicar la excepción del artículo 5.3 de la LOPD por lo que únicamente se debería informar (artículo 5.1 LOPD) de los puntos a y e:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

De todos modos, si se tuviera que informar del resto de puntos tampoco habría excesivo problema al no tratarse de información demasiado específica del pagador en cuestión (quizás el punto d, relativo al ejercicio de derechos debería quedar reflejado pero tengo serias dudas).

Dicho todo esto yo hubiera sido partidario de incluir esta otra advertencia o similar:

De conformidad con lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, la empresa o entidad pagadora (identificada en el punto 7) le informa de la existencia de un fichero o tratamiento de datos de carácter personal cuya finalidad es la aplicación de la correspondiente retención sobre la renta de las Personas Físicas. Esta información únicamente será comunicada a los organismos públicos competentes de acuerdo a la legislación vigente. Ud. tiene la posibilidad de ejercitar sus derechos de acceso, rectificación o cancelación de los mismos dirigiéndose a la empresa o entidad pagadora.

Obviamente, el redactado es mejorable pero creo que jugando un poco con el contenido del apartado “7 Acuse de recibo” se puede llegar a identificar claramente al Responsable del Fichero y por tanto cumplir con lo estipulado en el artículo 5. La verdad es que cualquier cosa sirve antes de tener que, por ejemplo, informar con otro documento adicional.

Por pura y simple curiosidad me ha dado por comprobar otros formularios similares (para nada de forma exhaustiva). A modo de ejemplo aquí tenéis otros modelos en los que no hay ningún problema puesto que directamente no incorporan ninguna advertencia de ningún tipo ...... Sinceramente no sé si es mejor o peor, o todo lo contrario ...............

Rendimientos del trabajo y de actividades económicas, premios y determinadas ganancias patrimoniales e imputaciones de renta

Deducciones por Maternidad y por Nacimiento o Adopción Solicitud del abono anticipado

Nacimiento o Adopción de Hijo Solicitud del Pago Único

Comunicación del desplazamiento a territorio español efectuada por trabajadores por cuenta ajena

En estos casos entiendo que el Responsable es la propia AEAT (al pie aparece “Ejemplar para la Administración”) por lo que no hay excusa alguna para que NO figure la pertinente advertencia legal. Como ya comenté en esta otra entrada una buena forma de fomentar el cumplimiento de la LOPD es aplicarse el cuento (ver punto Dar ejemplo).

Para finalizar, espero que estas observaciones, totalmente constructivas, no sean objeto de ninguna inspección por parte de nuestra querida AEAT..... :-)

CITA DEL DÍA: “La seguridad de la contraseña radica en el propio usuario”

BUSCAMOS VOLUNTARIO

2009-02-13T01:33:00.000-08:00

Buenas.

Estamos buscando a una persona con diversas cualidades técnicas, alto nivel de sacrificio, proactivo (esto siempre hay que pedirlo), etc...

Le ofrecemos 125.000$ de forma inmediata.

Lugar de trabajo: Guantanamo o cerca...

Si nos pasa sus datos, formará parte de este proceso de selección.

Pandemia: Continuidad de negocio

2009-02-12T13:32:00.000-08:00

Comentar brevemente que hoy hemos asistido a este evento:

Francamente ha sido muy interesante. En cuanto a la continuidad del negocio estrictamente hablando, no hay mucho que destacar puesto que desde hace tiempo vengo contemplando este tipo de situaciones en los BIA que realizo. No la amenaza concreta de una pandemia sino la ausencia de personal motivada por distintas y diversas causas.

Aprovechamos también para dejaros este documento que recientemente ha llegado a nuestras manos desde talkingbusinesscontinuity. Casualmente también está relacionado con pandemias.

Por último simplemente señalar que más vale empezar a tomarse este tema más o menos en serio. Ha quedado claro que la pregunta que debemos realizarnos no es si se producirá o no una pandemia, sino ¿CUANDO EMPEZARÁ? Aún así, yo soy de los que cree que por estos lares no nos impactará de lleno, o si??.

CITA DEL DÍA: “Los límites de la privacidad los establece cada uno”

Hablando de ..................

2009-02-10T03:53:00.000-08:00

En la edición que acaba de publicarse de la revista SIC podéis encontrar un artículo nuestro (por motivos de fuerza mayor únicamente podía ser firmado por uno de nosotros).

El artículo propone un modelo de gestión de la seguridad que se basa en la observación del comportamiento del usuario adecuar el grado de "vigilancia" a este comportamiento. No obstante, más que un modelo de monitorización o similar no es más que una forma de concienciar a los usuarios. Hemos querido plasmar algunas ideas que llevaban tiempo dando vueltas por nuestra cabeza. La revista SIC leyó nuestro artículo, les gustó y decidieron publicarlo. Desde aquí queremos agradecer públicamente a la revista SIC su publicación.

Para acceder al artículo pulsar AQUÍ.

CITA DEL DÍA: "¿Concienciar o imponer?, esa es la cuestión"

Nosotros (en cifras)

2009-02-06T03:25:00.000-08:00

Como consecuencia de esta entrada y de esta otra entrada, recalcar que son dos estupendos blogs amigos, también hemos decidido someternos a una sesión de "autopsicoanálisis". Para ello utilizaremos la siguiente información (en noviembre nos registramos en Google Analytics), os advertimos que mucha de ella no sabemos ni que significa ni como interpretarla :-):

A la vista de tan abrumadores resultados, tanto en suscriptores, páginas, lectores, etc., por cierto, aunque no lo indiquemos las cifras están expresadas en miles de millones ;-), os exponemos nuestras conclusiones:

Hemos recibido reiterados avisos del proveedor de hosting advirtiéndonos de la saturación de tráfico que le provocamos.
Mirando hacia el futuro estamos ultimando la adquisición de uno de éstos como hosting para el blog (seguramente me cabe en un rincón del garaje ......)
Puede que haya alguien que no conozca el blog, pero vamos, viendo el número de visitas lo dudamos.
Desde estas líneas nos gustaría saludar al visitante que tenemos en Polonia. Está claro que este blog ha llegado a todos los rincones del mundo.

Para finalizar, bromas aparte, nos gustaría comentar que el "éxito" del blog nos ha sorprendido. La verdad es que cuando iniciamos esta aventura, allá por el mes de septiembre, no confiabamos demasiado en comernos los turrones con el blog en marcha. Por otro lado, no nos dejamos influenciar por tener más o menos visitas (de hecho investigando para esta entrada es cuando hemos analizado "en detalle" estos datos). Sólo pensar que a 50 y pico "suscriptores" les interesa por un motivo u otro lo que plasmamos aquí nos llena de honda y profunda satisfacción. Es a estos "fieles seguidores" a los que nos debemos, a los que están por llegar no hay nada que decirles.

CITA DEL DÍA : "Si tu sigues ahí, nosotros seguiremos aquí."

Ubicación Seguridad de la Información

2009-02-05T12:13:00.000-08:00

Aprovecho esta entrada para dar respuesta a la petición de Gianluca, presidente del ISMS Forum Spain, que ha realizado en el grupo de linkedin. La verdad es que me ha parecido una reflexión muy interesante y como Gianluca comenta, pocas disertaciones existen al respecto. Este es el tema planteado:

"Estimados amigos y socios del ISMS, Aprovechando este grupo de Linkedin me gustaría emplazaros a participar en un debate sobre la eterna cuestión de donde ubicar estratégicamente la función de Seguridad de la información. ¿Dentro o fuera de IT? Razones, ventajas y/o inconvenientes de las dos opciones. Personalmente creo que es una cuestión todavía poco debatida y analizada. Sin embargo es de crucial relevancia a la hora de planificar estrategias y objetivos. Os advierto que utilizaré vuestros argumentos, reflexiones y análisis (referenciados en la medida de lo posible) para redactar un editorial que será publicado en un medio de comunicación del sector. Gracias a todos de antemano por vuestras participación, Gianluca"

Pues de entrada diría que DEPENDE ..... cada organización tiene su propia idiosincrasia, cultura, política interna, etc. que con absoluta seguridad condicionan la ubicación de tan "sagrada" función. Me temo que no hay una formula universal. No obstante, en términos generales se podrían establecer las siguientes consideraciones con objeto de facilitar el posicionamiento de esta "unidad de negocio":

Estratégicamente: debería ser omnipresente. En cualquier proceso de negocio de cualquier área, departamento, dirección, etc. debe existir la óptica de la seguridad. Es obvio que SIEMPRE, en un soporte u otro, en un formato u otro, en una cantidad u otra, con una criticidad u otra, ..... hay información por medio, desde el diseño del último producto que saldrá al mercado hasta el email de un cliente al que se le envía un boletín de noticias. Todo es información, hasta las charlas espontáneas mientras se toma un café....... Se debe aplicar el habitual tópico de siempre: la Dirección debe estar implicada por completo.

Jerárquica/organizativamente: Creo que es un aspecto secundario. También influye mucho si hablamos de una pyme de 10 empleados o una megacorporación de 100.000 empleados. Es más debería ser un "ente" multidisciplinar, transversal a toda la organización y con suficiente "poder". Cuanta más cercanía y línea directa con la cúpula mucho mejor. En nuestro caso particular tenemos constituido un comité de seguridad para consensuar y acordar de forma global (distintas ópticas/implicaciones) los temas de cierta relevancia. La aplicación de las grandes decisiones y el día a día es otra historia.....

Tecnológicamente: Dependerá del grado de dependencia de la tecnología y de la propia infraestructura tecnológica (hablamos de un servidor de datos o de 2 cpds replicados con sus Hosts, sistemas críticos 24x7, SANs, cluster de servidores, entornos virtualizados, comunicaciones con miles de delegaciones, etc....), aunque en cualquier caso creo que la visión estratégica debería estar fuera de TI. Sólo mencionar que hay sectores en que la información más crítica e importante no está soportada en medios tecnológicos. En este punto también comentar que existen interesantes tendencias que apuntan hacia una gestión global de la seguridad, además de los aspectos de TI hay que contemplar la seguridad de las instalaciones, de las personas, de la imagen, de la reputación, etc. Por tanto, esa asociación tan directa a TI empieza a disolverse un poco.

Funcionalmente: también se deberían observar cuáles son las actividades que se realizan desde la función de Seguridad de la Información. Estas pueden pasar por la definición de normas y procedimientos corporativos, supervisión/revisión de su cumplimiento e implantación, concienciación, formación, monitorización, informes, métricas, LOPD, SGSI, PCN, etc. En ocasiones son aspectos muy relacionados pero su aplicación se gestiona desde puntos totalmente separados de la organización. En determinados escenarios es casi obligado segregar o especializar partes de la función de seguridad en unidades independientes, en cualquier caso todas ellas dependerían de un órgano único central (léase comité, staff, ......).

Operativamente: otro punto a considerar es la forma de llevar a cabo esta función. Recursos internos, externos (permanentes/eventuales) presencialmente, externalización, mix de todo, ..... en función de la tipología y la magnitud de la estructura necesaria para el desarrollo de las actividades relacionadas con la seguridad de la información dependerá su ubicación/dependencia.

Un inciso final, personalmente creo que bajo ningún concepto puede contemplarse la posibilidad de que la función "estratégica" de Seguridad de la Información sea depositada en terceros, ya sea asesores consultores, gurús, expertos o afines (por muy buenos, eficientes, fieles, independientes, etc. que sean o parezcan).

En resumen, recapitulando creo que la solución es ............ ni dentro ni fuera sino todo lo contrario :-) Hay muchos y diversos factores intrínsecos a toda organización que intervienen en esta "decisión". No obstante, más que dónde estoy ubicado me preocupa mucho más cómo alcanzar los objetivos de inculcar, concienciar, implantar, etc. la seguridad de forma eficiente y global en una organización.

Lo siento pero no puedo aportar referencias de nada, para bien o para mal, todo es de cosecha propia.... soy muy poco dado a utilizar normas, estándares, etc. como dogma de fe. Son muy útiles como modelos de referencia pero son muy teóricos, ambiguos, generalistas, etc. que no son aplicables en todos los casos, siempre hay particularidades específicas. Hay tanta literatura referente a estos temas (COBIT, ITIL, BS, ISO, SANS, etc.) que es fácil encontrar referencias a lo comentado, o no ! :-)

CITA DEL DÍA: "La puerta de la cocina sólo debe abrirse desde dentro ........"

Jugando a Pádel

2009-02-04T08:47:00.000-08:00

Está claro que la LOPD es bastante desconocida para "la gente de a pie", pero hay que reconocer que cada día más gente empieza a oír hablar de ella, que se interesa e incluso se plantea dudas.

En el club deportivo al que pertenezco, el personal de administración sabe a qué me dedico y muchas veces me ha caído alguna que otra pregunta. Habitualmente de ofimática, usabilidad de windows e incluso como descargar más rápido de redes P2P (está claro que si trabajas con un ordenador tienes que ser el que sepa acelerar las descargas y bajarte los estrenos de cine antes que nadie).

Pues el otro día la pregunta me sorprendió, no os voy a engañar, hasta se me caía la lagrimilla y todo... y fue la siguiente:

"Dani, una cosa. Mira, estamos organizando un torneo de paddel, y nos gustaría poner en la web los participantes, con su foto, su posición en el ranking y su nombre, ¿habría algún problema ?"

La respuesta no os la voy a exponer porque de sobras sabéis que hay que hacer en estos casos, lo destacable de la historia es ver como una persona ajena por completo a estos temas de privacidad, confidencialidad, etc... ha llegado a preocuparse por un tema que la LOPD toca de lleno. Por supuesto que desconocía la Ley, pero algo en su interior le dijo que a lo mejor no estaba actuando del todo bien.

¿Estará cambiando algo o me pilló con la defensa baja?

CITA DEL DIA: "Cuidado con lo que te entra por detrás, en informática también"

¡ Vendo leña barata !

2009-02-02T11:28:00.000-08:00

Por fin he dejado de ser un paria social (desde ayer vuelvo a tener acceso a la red) ...... :-). Tras la disrupción vivida creo que se puede dar por finalizada la fase de recuperación/restablecimiento de mi particular PCN.

Con relación a la entrada de Samuel en su blog quisiera compartir con todos vosotros y vosotras los daños que la brisa de estos últimos días ha causado en mi humilde morada (sólo el muro exterior y el suelo destrozado ya que el pino fue arrancado literalmente de raíz). Haciendo referencia a la continuidad de las infraestructuras críticas simplemente indicar que en situaciones como la vivida poco o nada se puede hacer. Como se puede ver en la fotografía el poste que sostiene el tendido eléctrico también murió en acto de servicio.

Por "suerte" estamos acostumbrados ya que no es el primer pino ni el último que cae (el último fue por el peso de la nieve.......). Un poste no es gran cosa pero cuando hablamos de unos cuantos postes en cada calle e incluso torres de alta tensión totalmente retorcidas me temo que no hay PCN que valga. A pie del campo de batalla las cosas no son tan fáciles. Pinos y más pinos bloqueando calles, se precisan grúas, cortar un pino de más de 50cm de diámetro y más de 20m de alto os aseguro que no es nada fácil, ..... En fin, sólo decir que en el momento en que la infraestructura física más básica (cables, postes, etc.) está completamente aniquilada no hay más que tener paciencia.

Desconozco cual es el contenido de los "PCN" de las partes implicadas pero me atrevería a decir que es bastante más sencillo de lo que podemos pensar. Me temo que la fase de recuperación en concreto debe ser algo así como: "a ponerse las pilas y a currar como poseídos para volver a la normalidad cuanto antes". En definitiva, improvisación.

Desde aquí agradecer a las brigadas del suministro eléctrico, Parcs i Jardins, Telefónica, etc. el curro que se han pegado (los primeros días estaban 24 horas dando el callo).

CITA DEL DÍA: "La seguridad es como un iceberg, la mayor parte no se ve pero está ahí"

ESEGESEI INTECO

2009-02-02T11:06:00.000-08:00

El pasado miércoles asistí, en calidad de indirecto beneficiario, a la reunión de lanzamiento de un proyecto de implantación+certificación de un ESEGESEI subvencionado por INTECO. Para ser sincero os expondré mi opinión del tema desde dos perspectivas, lo que pensé 2 minutos después de acabar la reunión y lo que pienso mientras escribo (estando más sosegado).

Nada más salir de la reunión tuve una gran decepción, más o menos esperada dadas las bases de la convocatoria. En varios foros, por ejemplo el grupo ISO 27001-SGSI Spanish Group de linkedin.com (creado por Javier Cao), ya se había comentado que el límite de las 20 semanas para desarrollar el proyecto es muy pero que muy justo (obviamente hay diversidad de opiniones). Mi inicial desencanto está basado en los siguientes aspectos:

El enfoque es puramente de mínimos. Análisis de riesgos reducido a la mínima expresión, se habló de un objetivo (sin tener el ámbito definido) de 25-30 activos y 2-3 amenazas por cada uno. Supongo que es un cálculo rápido de las magnitudes más o menos asumibles. No me considero ningún experto en análisis de riesgos pero alguno que otro he hecho por lo que personalmente me resulta escaso (y más conociendo de cerca el entorno objeto de certificación).
Mucha dependencia de los procedimientos existentes. Si la empresa está más o menos madura en términos de seguridad de la información es un factor que facilitará las cosas (aunque me temo que la revisión de los protocolos existentes será bastante reducida). En caso contrario supondrá dedicar mucho del poco tiempo a la documentación de procedimientos.
Se dejó entrever que los procedimientos serán bastante genéricos por no decir "estándar" (me gustaría ver el resultado final de 3-4 empresas, me aventuro a decir que visto uno vistos todos).- También tuve la sensación de que muchos controles se caerían argumentando, rozando el límite, la no aplicabilidad en el flujo de negocio en concreto.
Muy orientado a la certificación pura y dura. En realidad es el objetivo final pero durante el camino apenas se profundizará en muchos puntos fundamentales (formación, cultura de esegesei, etc.). Focalizado al cumplimiento de los puntos que el certificador verificará.
Si a todo eso le sumamos que el equipo de trabajo (1 persona para el trabajo de campo) del implantador debe multiplexarse en n proyectos en paralelo (así expuesto por su parte) pues la verdad es que la dedicación por parte de los que saben la anticipo como escasa.

Resumiendo y haciendo un símil con el mundo del ladrillo, me temo que la "constructora elegida" se encargará del esqueleto de la vivienda pero las paredes, instalación eléctrica, puertas, ventanas, etc. hasta la completa decoración de la casa irá a cargo del "comprador". Esperemos que no se asemeje a la infinidad de casas que en la vida real se han quedado a medias...........

En ningún caso se puede reprochar nada a nadie, ni a las empresas implantadoras en particular ni a INTECO en general. El tiempo y el trabajo a realizar es el que hay, para bien o para mal, y poco se puede hacer al respecto. A pesar de que lo anteriormente expuesto sigue siendo, bajo mi criterio, aplicable, quiero decir que aún estando más sosegado pienso igual ;-).

Para finalizar, me atrevería a decir que este interesante y positivo proyecto podría ser articulado de distinta forma, ni mejor ni peor, sólo diferente. A tal efecto, y de cara a sucesivas convocatorias, que espero se produzcan, propondría lo siguiente:

El famoso plazo de 20 semanas debería ser algo más extenso y/o adaptable a cada caso. Aún certificando el mismo proceso de negocio NO es lo mismo una compañía de 50 empleados, con un negocio muy vertical claramente candidato a "securizar" y con una infraestructura "simple" (servidor en red), que una empresa de más de 200 empleados, diversidad de "líneas de negocio" certificables tanto verticales como transversales, infraestructura "compleja" (2 CPD's, desarrollo, sistemas, explotación, comunicaciones, etc.). Cuanto mayor sea la empresa hay mayores implicaciones organizativas, operativas, funcionales, etc. y el flujo de negocio a certificar no se puede aislar del resto tan fácilmente. Y a la inversa también ocurre, habrán empresas que con 20 semanas tendrán de sobra.
Personalmente creo que el éxito del esegesei radica en la interiorización y aplicación de todo lo que en él se haya definido. No me cuadra que la certificación tenga que ser inmediatamente posterior a la “implantación”. ¿Qué valor tiene certificar algo que en el mejor de los casos tendrá 4-5 semanas de vida? Quizás el periodo entre implantación y auditoría de certificación deba ser mayor para que el esegesei realmente funcione.
La participación de implantadores en n proyectos simultáneamente debería estar limitada/controlada de alguna forma. Se corre el riesgo de que las grandes consultoras/empresas de servicios acaparen el mercado (por razones obvias) y no tengan capacidad suficiente para prestar un buen servicio (como ya he dicho antes, este punto fue expuesto abiertamente por parte del implantador).

En definitiva, quizás mi opinión sea un poco precipitada pero de entrada me ha parecido algo bastante descafeinado .......................... ojalá tenga que retractarme de mis palabras :-)

CITA DEL DÍA: "La seguridad es directamente proporcional a los incidentes sufridos"

El teléfono tutor

2009-01-30T03:08:00.000-08:00

Ayer me encontraba en casa viendo la televisión y apareció él, delante de mí, como si nada, el TELÉFONO TUTOR.

¿De qué se trata? Pues es un teléfono movil en apariencia normal, con la particularidad de que es capaz de replicar todos los mensajes y llamadas que reciba y enviarlos a otro teléfono.

Usos que le atribuían: pues lo consideraban una buena medida para prevenir a los hijos de la actuación de los pederastas, poder tenerlos controlados y ver con quien se mensajean y en qué tono. También sería útil para temas de bulling, ya que por desgracia ambos están a la orden del día.

Está claro que dicho de esta forma parece que estamos haciendo un mal menor (vulnerar la intimidad del menor) para evitar un mal mayor (acto de pederastia), no iremos al infierno ya que el catolicismo nos lo ampara, pero, ¿y la ley? estamos vulnerando la intimidad de una persona (habrá que tener en cuenta también la edad del menor).

Yo, de mente perversa como ya sabéis, he estado pensando en otras posibilidades para este teléfono, y entre ellas me ha surgido una bastante interesante: podríamos hacer un regalo, amparándolo en que es un cliente preferente de alguna tienda, por ejemplo Carrefour (aquí entra la imaginación y la investigación de cada uno) y dárselo a un directivo de la competencia, que tentado por su bonito aspecto, lo utilice a diario, ¿qué os parece? Luego tenemos la variante de dárselo a un ejecutivo de nuestra propia empresa, como movil corporativo, veremos si nuestras sospechas sobre este trabajador están fundadas o no.

He oído rumores de que los espías del PP lo utilizan, jejeje.

La parte negativa de todo esto es que el juguetito se va a los 2.000€

CITA DEL DÍA: "No hay que matar moscas a cañonazos, olvida el formateo como primera opción"

Estás en las nubes!!!

2009-01-22T12:10:00.000-08:00

A día de hoy si hay alguna palabra que define la última moda en internet es : nube.

No voy a explicaros en que consiste porque lo sabéis sobradamente. Actualmente se está debatiendo sobre la utilización de aplicaciones/servicios que residen en la nube, un ejemplo claro y tratado en varios sitios es el uso de plataformas de cloud mail como correo corporativo (lo podemos hacer extensivo a documentos, presentaciones…). Desde este pequeño púlpito me declaro contrario a estas acciones, ya que para mí, no ofrecen las suficientes garantías de seguridad. La idea de tener documentación confidencial y, en muchos casos crítica, en servidores de "vete tu a saber dónde", administrados por "vete tu a saber quién" y que te pueda pasar "vete tu a saber qué" no me convence en absoluto.

En ningún momento entiendo el correo corporativo como el súmmum de la seguridad, pero si que lo considero un medio completamente controlado por los administradores de seguridad de la empresa, sabemos cuando está down y podemos responder claramente a nuestro director de la situación actual del correo/documento o lo que sea. No me imagino diciéndole a mi director " Lo siento, pero no sé que pasa hoy en la plataforma de cloudmail que usted no podrá enviar ese correo importantísimo".

Antes de "pasar" a esta nube, os planteo algunas preocupaciones, y luego si veis que no lo son tanto pues a volaaaarrr...

- Falta de transparencia : no tenemos ni idea de como están los servidores en los que se aloja nuestra información, ¿están actualizados? ¿son seguros?
- Nulo poder de decisión o influencia : está claro que una "mega" empresa que ofrezca este servicio no se va a amoldar a nosotros, seremos nosotros los que nos amoldaremos a ellos.
- Sometimiento a las decisiones del proveedor : en el momento que decidan algún cambio, ¿nos consultarán? yo creo que no.
- ¿Necesidades cubiertas? : ¿Qué pasará, por ejemplo, cuando queramos recuperar unos correos borrados hace 6 meses? No es algo tan extraño, todos lo sabemos.
- Y si un día decido cambiar de nube o volver a la tierra, ¿me ayudarán? ¿cómo migraré toda la ingente información que tendré en la nube?

Tampoco quiero dar la impresión de que me opongo totalmente al cloud computing, no es así, lo único que debe delimitarse su campo de acción; para un particular, BIEN, para una empresa, MAL (siempre desde mi punto de vista claro!!).

Yo nunca sabré a que huelen las nubes...

CITA DEL DÍA: "No desearás el firewall del prójimo"

Hay vida más allá de www ?

2009-01-21T12:42:00.001-08:00

Tras un considerable periodo de tiempo sin aparecer por aquí ya va siendo hora de compartir algo con todos y todas. No voy a extenderme mucho pero entre vacaciones, gripazo e inicio de año movidito en el curro (encuentro cara a cara con W32.Downadup.B) pues apenas he tenido tiempo para dedicarme a este humilde oráculo de conocimiento ;-).

Para inaugurar el nuevo año, por cierto os deseo todo lo mejor (básicamente salud puesto que el resto no sirve de mucho sin ella), os propongo una disertación acerca de la percepción actual que tengo del mundo de la seguridad. Me gustaría remarcar que este fue uno de los motivos por los que me apetecía iniciar este blog.

En los tiempos en que me inicié en esto de la seguridad y la auditoría de sistemas, allá por el año 95, las medidas de seguridad a adoptar se reducían, en el mejor de los casos, a los aspectos más básicos y rudimentarios (seguridad física elemental, control de acceso lógico, copias de seguridad y poco más). Hay que tener en cuenta que en aquella época no habían demasiadas normativas (BS7799-1 es del 95), estándares (COBIT es del 96) y/o leyes (LORTAD del 92).

Las auditorías que por entonces realizaba estaban esencialmente centradas en la infraestructura informática (usando una “metodología” propietaria). Remarcar que lo habitual eran sistemas operativos DOS y/o Windows 3.x bajo redes Novell (las empresas “avanzadas” empezaban a tener Windows 95). En cuanto a bases de datos todavía habían organizaciones que tiraban de dbase. Los sistemas de "verdad" no eran más que enormes hosts (IBM, Bull, Unisys, NCR, etc) con sus pantallas tontas, algún que otro AS/400, escasos Unix (SCO, HP-UX, etc.) y por lo general se disponía de un “potente” servidor por allí escondido (con suerte tenía hasta 100 Mb de espacio en disco).

Por cierto, ¿internet? Pues va a ser que no ......... de hecho no se sabía gran cosa. En cuanto a comunicaciones en el mejor de los casos tenían líneas RTB para comunicarse vía módem con las delegaciones (en muchos casos de modo diferido mediante transferencias de archivos). Los más modernos tenían líneas X.25 a precio de oro por supuesto.

Aún recuerdo la cara de poker de algunos respetables directores de informática (el rol específico de seguridad era inexistente) al plantear temas como la custodia de copias de seguridad en otras ubicaciones, separación de entornos de desarrollo y explotación, controles en aplicaciones, segregación de funciones, etc. La verdad es que por aquel entonces había mucho que proteger además de aprender ........

Tras rememorar viejos tiempos deciros que, a mi juicio, la “gestión” de la seguridad (en su sentido más amplio) de la actualidad es idéntica a la de entonces. Ahora tenemos más complejidad, diversidad, etc. a la vez que más recursos, guías, etc., pero en el fondo, es más de lo mismo.

No obstante, a día de hoy me da la sensación que la seguridad, al menos “mediática” (blogs, web, prensa, tv, etc.), está única y exclusivamente centrada en internet y todo lo que la rodea. Con toda sinceridad, salvo casos muy muy puntuales, me temo que internet no es para nada la principal preocupación de los “chicos y chicas” de seguridad.

Al igual que a much@s de vosotr@s intento ir a jornadas, charlas, seminarios, etc. relacionadas con la seguridad con objeto de aprender, estar al día, descubrir nuevas ideas o puntos de vista, etc. No obstante, últimamente estoy dejando de ir a muchos eventos dado que la inmensa mayoría están focalizados en la seguridad de internet.

No digo que se haga caso omiso a la seguridad en internet pero llega un momento que me resulta excesivamente aburrido que todo gire alrededor de ella. Parece que lo único que nos incumbe sea: virus, Sql Injection, phishing, botnet, rootkit, privilege escalation and XSS, malware, 0-days, pentest, exploit, etc (términos extraídos de los últimos feeds almacenados en google reader).

Como he dicho antes, uno de los motivos que me estimuló a esta aventura bloguera fue la de aportar mi pequeño grano de arena a la seguridad de siempre, a la del día a día. Desde aquí reivindico mayor divulgación de ideas, experiencias, buenas prácticas, etc. relativas a la seguridad de ayer y de siempre.

Será que tengo el día tonto y melancólico .............. ;-)

CITA DEL DÍA: "Mi seguridad empieza donde empieza la tuya"

Aprender jugando.

2008-12-19T02:06:00.000-08:00

Habitualmente, no se si os pasa a vosotros, acabo cansado y aburrido cuando miro mi lector de feeds, siempre hay muchas noticias repetidas, copiadas, etc… pero de vez en cuando hay alguna a la que prestas más atención. Eso me suele pasar con los casos prácticos que con cierta periodicidad plantea la página de Security Art Work.

Como ya nos decían desde pequeñitos, no hay mejor manera de aprender que tomándolo como un juego, y eso es lo que hacemos, retarnos a nosotros mismos, y esperar los comentarios de otras personas para ver donde hemos fallado o qué se nos ha escapado.

Ayer, leyendo el nuevo reto, me sentí bastante cómodo, ya que se plantea un tema que me toca muy de cerca al estar muy ligado con la actividad que realizo cada día, así que me decidí a jugar!!

Os dejo aquí el enlace al caso planteado, y empiezo a dar mi opinión. Esta relación no pretende ser una guía completa, si no una serie de medidas básicas. Contadme que os parece, que veis, que se me ha escapado….

Primero, definiremos bien el escenario, no sea que hayamos entendido algo mal y nos condicione la "auditoría".

La empresa Plásticos Cremallera contrata a Atmedsa para que preste el servicio de Vigilancia de la Salud en la empresa. El despacho del médico está contiguo al del señor Botón. El caso es reciente y se auditará en base al RD 1720/2007.

Por nuestra amistad con el señor Botón, además de comentarle los problemas que hay en relación al escenario planteado, le vamos a comentar a grandes rasgos, algunos aspectos generales de la LOPD que debe tener solventados para superar la auditoría con éxito.

Inscripción de ficheros en la AEPD
Creación de un Documento de Seguridad
Identificación del responsable de seguridad
Identificación y registro de soportes
Registro de incidencias
Registro de E/S de soportes y autorizaciones

Ahora, entraremos más en detalle basándonos en las circunstancias que nos relatan:

1.- La sala en la que pasa consulta el médico residente está justamente al lado de la del señor Botón. Queremos creer que la pared está lo suficientemente insonorizada de forma que no se oiga lo que acontece en la consulta de "nuestro" médico, y así mantener la confidencialidad y el deber de secreto en la relación médico-paciente.

2.- La información que recoge el médico es de nivel alto, y por supuesto, no debe ser accedida por el Señor Botón, de forma que la custodia de las llaves debe ser realizada exclusivamente por el médico. Entendemos que a la sala anexa no tiene acceso el señor Botón, de no ser así, deberíamos evitarlo, por ejemplo con una puerta con cerradura.

3.- Si bien el ordenador nos indica que está en la zona usuarios, recomendamos encarecidamente que Atmedsa proporciones a su médico todo el material informático, y que de la misma forma se encargue de la gestión de su información, copias, etc...

4.- El acceso al ordenador debe ser exclusivo del médico.

5.- Sería recomendable que el ordenador que utiliza nuestro médico, en caso de ser de sobremesa, tuviera mecanismos de cifrado de datos, para protegerlos en caso de un posible robo. Recordar que en caso de ser un portátil la medida es obligatoria.

6.- En el momento en el que los datos "circulan" por Internet entendemos que están convenientemente cifrados, por ejemplo mediante una VPN.

7.- La empresa del señor Cremallera únicamente deberá recibir de la parte médica los certificados de APTITUD laboral, en ningún momento análisis clínicos ni nada por el estilo.

8.- Como conocemos a Atmedsa y sabemos que son unos grandes profesionales, nunca enviarán una factura detallando las pruebas realizadas a cada paciente, ya que esto puede dar una noción de la patología del trabajador.

9.- Por si aún no nos había quedado claro, Atmedsa es una gran empresa, y en el momento que recogen los datos de salud de los trabajadores se les informa del tratamiento que se va a realizar, así como se contempla una posible cesión de datos en el caso de que fuese necesario contactar con un médico especialista, o realizar alguna prueba complementaria de la que no disponga Atmedsa, por ejemplo unas placas RX.

10.- Suponemos que el médico dispone de una impresora propia, ya que de estar compartida deberíamos implementar un mecanismo a fin de que sólo él pueda recoger sus copias, por ejemplo un PIN que al introducirlo empiece a imprimir la documentación que ha enviado.

11.- El reciclaje de papel por parte del médico, se hará, o bien con una destructora de papel, o bien en cajas que protejan el acceso a los papeles depositados, con el consiguiente contrato de encargado de tratamiento y confidencialidad con la empresa encargada de recoger las cajas.
y por el momento esto es todo, con estas recomendaciones creemos que Cremalleras superará la auditoría con suma facilidad .......................

CITA DEL DÍA: "Confianza no es sinónimo de seguridad"

H2O

2008-12-14T13:19:00.000-08:00

Aquellos y aquellas que hayáis tenido alguna experiencia reparando, o estropeando aún más según lo manazas que seáis :-), algún tipo de fuga, escape, etc. de agua sabréis lo complicado y difícil que resulta que el agua no se filtre por cualquier pequeña fisura o junta. Siempre he pensado que el flujo de la información es bastante similar, por no decir idéntico, al caso del agua (en el contexto de la seguridad estaríamos hablando de la tan de moda DLP Data Loss Prevention aunque este concepto como tal lleva ya años entre nosotros). Haciendo un interesante, profundo, imprescindible y determinante ejercicio de "pérdida de tiempo" :-) he intentando reflejar los distintos estados por los que pasa el agua y su equivalencia en el caso de la información.

Rememorando aquellas interesantísimas clases de naturales durante la EGB, periodo en el que nosotros llevábamos pantalón corto y vosotras coletas, nos decían que el agua puede presentarse en 3 estados distintos: sólido, líquido y gaseoso. En primer lugar, y partiendo de las características de cada uno de estos estados, he establecido su equivalente en cuanto al concepto de información:

Estado sólido: forma y volumen constante, rigidez y regularidad de sus estructuras
En este estado podrían encajar todos aquellos repositorios de información "estáticos", para entendernos, las tablas maestras, los ERP, las bases de datos corporativas, etc. En definitiva toda aquella información de mucho volumen que reside en servidores centrales y que actúa como un todo (muchas relaciones entre tablas, integraciones entre entornos/aplicaciones, etc.). El flujo o transmisión global de este tipo de información resulta prácticamente imposible.

Estado líquido: sin forma fija pero si volumen. Variabilidad de formas y propiedades específicas
Aquí tendríamos la misma información antes descrita (formato electrónico) pero residiendo en dispositivos, soportes, etc. que permiten su flujo de forma rápida y fácil. Estaríamos hablando de memorias USB, discos duros externos, CD/DVD, archivos uploadeados y/o emaileados, etc. que contienen fragmentos (consultas, vistas, extracciones, volcados, etc.) de la información original. Toda esta diversidad de formas, tamaños, colores, etc. de la información son las que, volviendo al inicio de la entrada, son muy escurridizas y difíciles de controlar. Individualmente no representan una gran amenaza pero en su conjunto pueden ocasionar perjuicios importantes.

Estado gaseoso: Ni forma ni volumen fijos
La información en este estado podríamos calificarla de etérea, es decir, está por ahí pululando pero no se percibe como tal. Nos referimos a información que no existe de forma estructurada ni en formato electrónico sino que reside en otros “soportes” como imágenes, documentos, know-how en alguna neurona, etc. A modo de ejemplo sería algo similar a información "escuchada" en conversaciones telefónicas, información filtrada en conversaciones "informales", un dato que alguien ha podido ver durante un trayecto en el AVE, deber de secreto y confidencialidad vulnerados, rumorología diversa, información tergiversada o fuera de contexto, etc. Este tipo de información es prácticamente imposible de controlar y de detectar su origen. Normalmente es una parte ínfima de la información corporativa pero, por lo general, puede suponer un gran perjuicio (imagen, reputación, mercado, etc.).

A continuación he intentado encontrar similitudes en cuanto a los distintos “procesos” que originan los distintos intercambios de estados (como sabéis, son evaporación, condensación, sublimación, congelación y fusión). Nada mejor que un gráfico para hacerse una idea (hacer clic para ampliar):

Espero que os haya gustado. La verdad es que he disfrutado mucho "perdiendo" el tiempo con esto.

CITA DEL DÍA: “La seguridad, ¿se quiere o se necesita?”

La Caja Negra

2008-12-11T13:05:00.000-08:00

Tras unos cuantos días festivos y otros tantos de vacaciones pendientes vuelvo a estar por aquí. La verdad es que tantos días de desconexión total y absoluta pasan factura, casi no recuerdo ni como se mueve el ratón. Como ya va siendo hora de poner algo en el blog con objeto de satisfacer a nuestros millones de lectores ;-), en esta ocasión me he decantado por una "preocupación" que me ronda a menudo por la neurona. En esencia se reduce a clarificar el papel que tiene el CIO, CISO, CSO, ... o como se quiera llamar al responsable o encargado o browneater de los aspectos de seguridad en escenarios de elevada externalización. En concreto me refiero a aquellas situaciones en las que las funciones típicas asociadas a la función informática (explotación, sistemas, comunicaciones, desarrollo, soporte, etc.) son encomendadas por completo a un tercero.

Como es habitual, la relación que se establece con el tercero está basada en la prestación de determinados servicios con sus SLA's, sus sanciones por incumplimiento, sus compromisos, etc. etc. etc. Del mismo modo, y gracias a Santa Eleopede, también se formalizan los pertinentes contratos de encargado de tratamiento y demás. En resumen, en todo el maremágnum de burocracia existente se definen, en el mejor de los casos, algunos indicadores directamente relacionados con la seguridad (disponibilidad, incidencias, etc.). No podemos olvidar que la finalidad básica de estos acuerdos es regular la prestación de un servicio y desde luego no están centrados en los aspectos de seguridad precisamente (en cualquier caso estos puntos quedan relegados a un segundo plano o se dan por ¿supuestos? e inherentes a la prestación). También pueden añadirse todo tipo de cláusulas permitiendo todo tipo de revisiones, auditorías, etc. por parte del “cliente”, pero siendo sinceros no tengo muy claro si se llegan a materializar.

En determinadas tareas relativas a la seguridad de la información tales como Análisis de Riesgos, Planes de Continuidad, Sistemas de Gestión de Seguridad de la Información, definición de procedimientos/protocolos, etc. muchos de los aspectos más cruciales, y por lo general los más divertidos de tratar, quedan reducidos a una simple CAJA NEGRA de la que bien poco o nada se sabe. A menudo, por no decir siempre, la práctica totalidad del proceso de negocio que se está tratando depende de la famosa caja negra y de lo que hay (o no hay!) dentro.

La clave de mi planteamiento no radica tanto en poder “asegurar” (o creer) que la caja negra es un reloj suizo, sino la sensación de tener las manos absolutamente atadas y que desde el punto de vista del cliente nada o poco vale. Siempre que he intentado profundizar en algún aspecto concreto de seguridad he topado con las paredes de la caja, totalmente opacas, que me impiden ver más allá (entiéndase la metáfora como que sólo se nos permite conocer el qué y no el cómo; en ocasiones se aporta un documento, un anexo, una cláusula o algo similar donde se estipula que determinado servicio es, precisamente eso, un servicio que hace algo).

Las auditorías bianuales obligatorias que establece la LOPD son un claro ejemplo de lo expuesto. En el momento en que topamos con la caja negra siempre se solicita la posibilidad de “auditar” su contenido, como no podía ser de otra forma nos entregan “su” certificado de auditoría y a otra cosa mariposa. Menos mal que con el nuevo reglamento de la LOPD, el responsable del fichero tiene la obligación de velar por el cumplimiento de las medidas de seguridad por parte del encargado. Ya veremos si acogiéndonos a este punto podemos entrar hasta la cocina.......

Volviendo al inicio, queda patente que los gestores de la seguridad en entornos muy externalizados están de cierta manera vendidos y no tienen más remedio que confiar ciegamente en la caja negra. Esta forma de ver las cosas es hasta cierto punto razonable pero cuando se está hablando en términos de seguridad tengo serias dudas.

CITA DEL DÍA: “Los mecanismos de cifrado únicamente retardan lo inevitable”

Limites a la libertad individual

2008-12-02T11:35:00.000-08:00

Como complemento de una respuesta a uno de los comentarios de aquí he decidido publicar una nueva entrada dada la extensión que estaba alcanzando la mencionada respuesta. Con objeto de argumentar mi posicionamiento relativo al tema de referencia he creído conveniente exponer algunas vivencias personales como demostración del nivel de interiorización de todo aquello relativo a la confidencialidad, privacidad, intimidad, etc.. A todo este conjunto de aspectos le podríamos llamar “libertad individual”.

Dicho esto, decir que soy un defensor convencido de la libertad individual y de la privacidad de cada uno. Como anécdotas (ni por asomo habían LOPD's ni afines y por supuesto no tenía ni la más mínima idea de que iba a ser de mayor) totalmente reales contar que:

- El día de la primera comunión (1981) teníamos que confesarnos, dejando de lado los aspectos religiosos que no vienen a cuento, ni se me pasó por la cabeza contarle nada a aquel pobre hombre. No sé muy bien como me lo monté para saltarme el turno pero lo conseguí, básicamente un ayudante del párroco preguntó a quien le toca y yo dije que le tocaba al niño de detrás mio.... como éste no insistió demasiado en que me tocaba a mi pues así quedo la cosa...... A posteriori se descubrió el "engaño" y querían que repitiese la "celebración". No creo que estén esperándome a que vuelva.............
- Hará como 25 años más o menos, cuando aparecieron las primeras pizzerias a domicilio tipo telepizza, pizzaworld, etc., nunca me identifique con mi nombre real. Asociado al número de teléfono de mi casa (y de mis padres) vivía un tal Xavi Fernández (este nombre no tiene nada en especial, fue el primero que se me pasó por la cabeza el primer día que llamé pidiendo una pizza). La verdad es que fue algo totalmente inconsciente, en las sucesivas ocasiones si que ha sido de forma intencionada. A día de hoy lo sigo haciendo cuando llaman de cualquier call center ofreciendo loquesea a un precio irresistible.
- Actualmente mi nombre es más o menos conocido, pero os aseguro que tiempo atrás era casi imposible que a alguien ni siquiera le sonara. Esto facilitaba las cosas porque al pronunciar mi nombre escribían de todo menos eso, algunos ejemplos: Etkart, Elgar, Esgart, etc. A día de hoy tengo algunos cabroncetes como amigos que me siguen llamando "Ijnart". Al igual que hay gente que se ofende por si le escriben el nombre de forma errónea os aseguro que yo estaba encantado de que mi nombre fuese de cierta manera "manipulado".
- Otra costumbre que tenía era la de firmar de distintas formas, tenía la firma “auténtica” y otras aleatorias según el día. No obstante, esta iniciativa tuve que dejar de ponerla en práctica no hará mucho cuando en una ocasión hubo un pequeño problema con la entidad bancaria al retirar cierta cantidad de dinero. Aquel día estaba despistado y firmé con la que no tocaba....... la verdad es que me costó bastante convencer al director de la sucursal (no se trataba de la habitual) ya que me quería retener hasta que llegará la policía.

En la actualidad estoy seguro que todo lo anterior puede ser hasta razonable pero hace 25 años os aseguro que hasta yo mismo me sorprendía de mis "pensamientos". En esa época ni conocía lo que significaba la privacidad, ni había oído hablar ni nada similar. Simplemente tenía presente que determinada información relativa a mi persona no debía tenerla ni conocerla según quien.

La evolución de este planteamiento, y que en ocasiones como esta despierta de nuevo en mi interior, es la posibilidad de “desaparecer” de la sociedad. He pensado muchísimo en como se podría llegar a no constar en ningún sitio, algo similar a un “apagón de la identidad”. Hará como 2 años se publicó esta noticia que me dio esperanzas de nuevo....... no obstante este tema da para otra entrada :-)

CITA DEL DÍA: "El umbral de seguridad aceptable no existe".

Y las notas hijo ?? Toma papá, rellena esta solicitud......

2008-11-28T05:11:00.000-08:00

Hoy ha llegado a nuestras manos una propuesta promovida por la Agencia de Protección de Datos de Madrid (APDCM). Habitualmente las entradas del blog las realizamos, independientemente del que la firma, de forma conjunta puesto que los dos mantenemos puntos de vista similares. En este caso, que tarde o temprano tenía que suceder, no ha habido entendimiento entre ambos por lo que compartimos entrada pero no opinión. Os dejamos aquí la noticia y nuestros puntos de vista. ¿De qué parte estáis?

NOTICIA

DANI:

Si bien muchas veces hemos creido que la Agencia (aunque en este caso hablemos de la Agencia de Madrid) ha estado a punto o incluso ha sobrepasado la raya en algunas resoluciones, en caso de dar trámite a esta norma, considero que habrá pisado con los dos pies en el otro lado. No voy a negar que gracias a la AEPD se ha avanzado y mucho en un camino correcto, pero ahora estamos caminando sobre arenas movedizas.

Si un alumno puede "esconder" las notas a sus padres a los 16 años, mucho me temo que para una parte de los adolescentes en esa edad, este hecho hará que la educación a partir de esa edad que se convierta en un "todo vale". Aunque no esté relacionado con la LOPD, y tal vez nos apartemos un poco de nuestra temática, hemos de pensar que la enseñanza en la juventud no está pasando por sus mejores momentos: alumnos "rebeldes", gran fracaso escolar... Una de las pocas medidas que un padre puede tomar es su seguimiento escolar, ligado a premios/reprimendas según los resultados obtenidos. Si este único punto de control lo perdemos también, acentuaremos aún más esta fractura que hay en nuestra sociedad actualmente.

Por otro lado, si actualmente consideramos que hasta los 18 años una persona no es mayor de edad y sigue estando "tutelada", ¿por qué debemos hacer una excepción en este tema? Por supuesto debemos ser conscientes que los datos son personales, pero en este caso entrarían en conflicto con el deber de los tutores.

Si bien la Agencia declaró tiempo atrás que no se podían colgar las calificaciones de los alumnos en tablones públicos, el caso en el que nos encontramos difiere mucho de aquel, ya que la única persona a la que se haría conocedora sería al tutor.

Entonces, en estos casos, ¿qué debemos hacer? Al apuntar al "niño" al colegio, ¿hacemos que firme un consentimiento de cesión de datos para que sus calificaciones lleguen al tutor por parte del colegio?

EDGARD:

Pues en contraposición de mi amigo Dani este planteamiento me parece de lo más acertado. CUALQUIER individuo tiene pleno derecho sobre todos aquellos datos que son inherentes a su persona. El argumento de la edad no me parece un criterio determinante puesto que es un juicio totalmente subjetivo. Hay gente de 40 años que parece que tenga 16 o menos, y viceversa. Siempre nos lamentamos de que no hay concienciación, conocimiento, etc.. relativo a la privacidad y/o la protección de los datos de carácter personal, por tanto, me parece estupendo que desde jovencitos tengan claro que poseen plena potestad sobre sus datos y el consiguiente uso. De ser así estoy seguro que las próximas generaciones harán un uso mucho más responsable de sus datos. Obviamente esto tendrá efectos negativos sobre todos aquellos que hacen un uso ilegítimo y/o bordeando la ilegalidad de los datos de las personas. La propia sociedad exigirá el pleno cumplimiento y respeto en orden de garantizar su propia intimidad.

Probablemente esté tirándome piedras sobre mi propio tejado y me arriesgo a que mis dos hijas, aún lo suficientemente pequeñas por suerte, se lo tomen al pie de letra......... aunque con toda sinceridad me parecerá absolutamente perfecto y legítimo. Otra cosa es que me guste o no.

En cuanto al tema de fondo, que es la educación, considero que las calificaciones sólo son la culminación y el reflejo de como ha ido o como va el curso escolar. En otras palabras, la educación debe ser continua y permanente por lo que siendo unos progenitores responsables deberíamos saber en todo momento como está yendo la educación y formación de los "niños". Hay muchos otros temas relacionados como la comunicación padres-hijos, la confianza, el respeto, los valores, la propia escuela, etc. que dependiendo de como se encuentren este tema no dejara de ser una anécdota. En definitiva, estoy convencido de que la solución está en la casa particular de cada uno, es un asunto a solventar entre padres e hijos. Como es lógico no voy a entrar en más detalle puesto que no es para nada la temática del blog.

CITA DEL DIA: "Cuanto más inseguro te sientes más seguro te haces"

Para reflexionar.........

2008-11-27T08:03:00.000-08:00

A pesar de que inicialmente no habíamos contemplado hacer nada especial con las citas del día que cierran la práctica mayoría de entradas del blog, hemos pensado que quizás sería interesante recopilarlas de forma periódica. Detrás de cada cita se esconden momentos de reflexión, más o menos profunda, que en algunos casos nos ha servido como idea para futuras entradas del blog. A pesar de la brevedad de ellas creemos que hay muchas que pueden dar, para bien (ejercitar neuronas) o para mal (dolor de cabeza), mucho juego al intelecto de cada uno .........

Sin más aquí las tenéis en su totalidad. Obviamente están sujetas a vuestras alabanzas, críticas, consultas, dudas, etc.

1.- La seguridad únicamente existe en un estado de inconsciencia.
2.- Si la seguridad plena no existe, ¿qué hacemos aquí?
3.- Si el estado de seguridad absoluta existiese no harían falta las copias de seguridad.
4.- Si te sientes seguro, es que no has entendido nada.
5.- La seguridad no es más que un aceptable nivel de inseguridad.
6.- El único secreto para estar más seguro es sentirse inseguro.
7.- La seguridad es un proceso y tú eres parte de él.
8.- y recuerda que la seguridad no existe, es sólo una sensación...
9.- El ordenador más seguro es aquel que está apagado.
10.- La seguridad es un valor en alza, invierte en ella!
11.- La seguridad ni se crea ni se destruye, sólo evoluciona.
12.- No te quedes en el primer nivel, investiga!
13.- ¿Qué diferencia hay entre la inseguridad y la seguridad? Ninguna, se trata simplemente de una sensación.
14.- De la seguridad a la inseguridad apenas hay distancias, a la inversa es todo un abismo.
15.- Si tu sistema es seguro es que no lo ha atacado la persona adecuada.
16.- Sentirse seguro es un error, sentirse inseguro es una virtud.
17.- Tu controlas la seguridad pero la inseguridad te controla a ti.
18.- Seguridad o inseguridad, esa es la cuestión...
19.- El que mucho abarca... sufrirá para defender...
20.- El desconocimiento es el caldo de cultivo de la inseguridad.
21.- Un incidente de seguridad no es un error sino una oportunidad de mejora.
22.- A quién buen firewall se arrima buena seguridad le cobija.
23.- Las modas pasan, la seguridad queda, no te dejes llevar por lo que ves en las pasarelas.
24.- El que siembra vientos, recoge tempestades!!!, en seguridad también.

CITA DEL DIA: "¿Qué no has tenido suficiente?;-)"

Lo bueno y lo malo de la "crisis"

2008-11-20T05:32:00.000-08:00

Mucho se está hablando acerca de la crisis, recesión, "tenemos lo que nos merecemos" o como queramos llamar a la coyuntura económico-social-financiera actual y su impacto en el sector que nos ocupa, es decir, la seguridad de la información. El dilema se centra básicamente en determinar si la inversión o gasto en seguridad puede/debe verse afectada por esta situación.

Siendo realista, no confundir con pesimista, hay que aceptar que va a ser así, en unos casos por necesidad (reducción de presupuesto, caída de las ventas, etc.) y en otros por prudencia (o por la más que renombrada "falta de confianza") a la espera de tiempos mejores.

Para clarificar ideas entendemos que este asunto debe ser contemplado desde diversas ópticas bien distintas. De forma simple nos centraremos en los que venden (proveedor) y en los que compran (cliente) "seguridad", y por otro lado cómo les afecta de forma negativa y también de forma positiva, ya sabéis que siempre se puede aplicar aquello de que "no hay mal que por bien no venga". Como podréis ver un mismo hecho puede ser bueno y malo a la vez, tanto como vendedor/proveedor a la vez como de forma recíproca.

Para intentar que os sea más fácil y comprensible de leer lo hemos reflejado gráficamente mediante la siguiente matriz: (click sobre la imagen para ampliar)

Esperemos que tanto para lo bueno como para lo malo os sirva de ayuda o como mínimo para reflexionar respecto a lo que se avecina (o que ya está entre nosotros ..., la verdad es que ya no sabemos si está bien, mal, va a peor, se ha tocado fondo, lo peor está por venir, etc.....).

CITA DEL DÍA: "El que siembra vientos, recoge tempestades!!!, en seguridad también"

Crónica IV Jornada ISMS Forum Spain (tarde)

2008-11-14T01:59:00.000-08:00

Tras el deseado y a la vez espléndido refrigerio servido, la sesión vespertina ha comenzado con cierto retraso con la ponencia de Pablo Pérez, gerente del Observatorio de la Seguridad de la Información de INTECO. Su turno ha sido casi monopolizado por la preocupación que se tiene hacia las PYMES, su casi nulo cumplimiento de la LOPD, y, de forma más general, el gran desconocimiento de las Tecnologías de la Información por parte de muchas de ellas.

Dentro de las PYMES se ha focalizado bastante en las microempresas, todas aquellas con menos de 10 trabajadores, la gran mayoría son incluso empresas de 1 trabajador. Este tipo de empresas suelen disponer de menos de 5 ordenadores, su conexión a la red se basa en una línea ADSL "corriente", la cuál suele ser la única inversión en TI.

Ante este panorama es muy difícil plantearse una implantación exhaustiva de normativas de seguridad. La solución habitual pasa por mantener un anti virus/troyanos/spyware activado y actualizado. Referente a este punto, muchas de las incidencias (un 85%) se habrían resuelto teniendo los programas actualizados, ésto deja patente la poca preocupación que muestran los empresarios en el tema de la seguridad TI.

Pablo ha propuesto diversas medidas que ayudarían a mejorar el panorama de la seguridad en las PYMES, entre las cuales se encontraba, como no, el importe económico, haciendo referencia a las actuales subvenciones que proporciona el Gobierno mediante el Plan Avanza. También remarcar que la industria de la seguridad al completo debe amoldar sus productos, servicios y precios a las particularidades de las PYMES.

Acto seguido, y modificando el orden previsto, hemos "disfrutado" de la ponencia de Guido Stein, profesor del IESE. No conocía a Guido, y la verdad es que me ha sorprendido muchísimo, es un orador nato, consigue lo que todo el mundo busca, "enganchar" al oyente, y mantenerlo atento hasta el final. Sus armas: don de palabra fluido, diapositivas/peliculas muy gráficas, sencillas y perfectamente entendibles.

Guido ha titulado su presentación "De la información a la comunicación pasando por la confianza". Tal vez la relación de esta ponencia con el hilo conductor de la jornada estaba cogida por los pelos, pero no por eso ha dejado de ser interesante. Guido nos explicaba como la comunicación, o la falta de ella, puede generar comportamientos muy diversos. Mediante una matriz (formato no muy del agrado de Guido) nos dejaba claro la relación entre una buena y mala actitud enfrentada a una buena y mala aptitud, y de que manera afectan a la confianza.

Otro aspecto a remarcar de esta ponencia ha sido la entrega de una hoja, en la que debíamos ir apuntando los frenos y motores que creíamos que tenía la confianza en nuestras empresas y medidas que podrían revertir esas situaciones.

La jornada ha terminado con otra mesa redonda, compuesta por:

- Tomás Roy: Director de Calidad, Seguridad y relaciones con proveedores del Centro de Telecomunicaciones y Tecnologías de la Información (CTiTI) de la Generalitat de Catalunya.
- Andreu Bravo: Responsable de Seguridad de la Información del Grupo Gas Natural.
- Cristina Segura: Directora de Sistemas de Información Corporativos, ASERCO (Grupo Agbar).
- Xavier Serrano: Director de Seguridad Tecnológica del Grupo Banco Sabadell.
Y como moderador de la mesa, Albert Lladó Palau, Presidente del capítulo de Barcelona de ISACA.

El título del debate fue: "Las políticas internas: generación de actitudes proactivas y contramedidas a las amenazas". La mesa se basó principalmente en el comportamiento de los trabajadores, comentando muchos de ellos anécdotas vividas, como la comentada por Cristina, en la que un directivo de su empresa se quejó de la recepción de un correo electrónico en el que le pedían el cambio de domiciliación de los recibos. Tras este grave incidente de "seguridad", se investigó hasta encontrar que la dirección de correo del directivo se encontraba en infinidad de presentaciones realizadas por él mismo y que se encuentran colgadas por la red. Otra prueba más de la importancia que tienen los datos y de cómo muchas veces los "entregamos" sin tener mucha consciencia de ello.

Andreu nos comentó que eventualmente ofrece charlas de concienciación en colegios, a los tres colectivos, alumnos, profesores y padres de alumnos, y constata como, de entrada, nadie considera tener información importante en el PC, pero conforme van desgranando la conversación, llegan a la conclusión que si contiene datos personales y de gran valor, por ejemplo, tarjetas de crédito, facturas, declaración de renta, etc. Destacar que el control que cuesta menos, y a la vez más valioso, es el propio usuario, lo cual lleva a la obligación de concienciar, concienciar y concienciar.

Por Tomás Roy siento una especial debilidad (profesional claro), ya que ameniza mucho sus charlas, las convierte casi en "informales", añadiendo puntos de humor, lo cual hace distendir el ambiente. Tomás, desde su posición de Responsable del CTiTI, nos comentó varias anécdotas "sufridas" por la Generalitat, como por ejemplo los problemas que sufren cuando aparecen las direcciones gencat.cat y gencat.net en listas negras de correo, la saturación de los servidores de correo, el intento de extorsión por los propietarios de las listas (qué somos un gobierno y tenemos policia ja ja ja).

Al finalizar esta mesa, se dio por cerrada la IV Jornada Internacional del ISMS Forum, y al salir al hall, nos esperaba un regalo, el libro "Patrolling Cybersapce, Lessons Learned from a lifetime in Data Security" de Howard A. Schmidt, el cual ya está en mi mesita de noche para empezarlo hoy mismo. Además tiene 5 créditos CPE para el CISSP..........

Ahora, desde la comodidad de mi casa, me gustaría exponer unos detalles sobre la jornada:

a) En la antesala del auditorio habían espacios reservados para posters promocionales de diversos partners. Nos llamó la atención los numerosos espacios vacíos que estaban reservados a empresas concretas y de renombre. Omitiremos sus nombres. No tiene más importancia pero provocaba un poco de daño a la vista, no por el aspecto visual sino por la reputación de las empresas que no tenían nada puesto.

b) Respeto de horarios, personalmente me resulta una falta de respeto, educación y consideración enorme por parte de los asistentes el hecho de llegar tarde. Hubo un momento que sentí vergüenza ajena puesto que Gianluca estaba empezando la jornada de la tarde y había tanta gente de pie charlando a viva voz que ni siquera se le escuchaba. En fin, me temo que en estos temas aún estamos más lejos de algunos de los aspectos de la seguridad de la información a mejorar.

c) Dar las gracias y recuerdos a sus familiares a la gente que acude a estos eventos para charlar con su compañero de asiento, haciendo muy difícil oir las ponencias a la gente de su alrededor.

Nuestras más sinceras felicitaciones a isms por la invitación, a todos los participantes y colaboradores en la organización del evento, a los ponentes y a todos los asistentes ya que sin ellos (nosotros) nada de lo relacionado con la seguridad de la información tendría sentido.

Crónica IV Jornada ISMS Forum Spain (mañana)

2008-11-13T13:49:00.000-08:00

En esta entrada y la siguiente expondremos, bajo nuestro particular criterio, los aspectos más remarcables de lo que ha sido la IV jornada del ISMS Forum Spain. Esperamos que aquellos y aquellas que no habéis podido asistir os sirva para tener una pequeña visión de los principales temas allí tratados. Sin más preámbulos empezamos .....

Llegada puntual a las 9:00 para obtener la pertinente acreditación. Mientras esperamos el inicio de la jornada tomamos un primer cafetito con pastas. Con cierto retraso, como es habitual en este tipo de actos, Gianluca D’Antonio, Presidente de ISMS Forum Spain, da la charla de bienvenida, objetivos de la jornada y presentación de los primeros ponentes.

La “estrella invitada“, Howard A. Schmidt, toma la palabra e inicia la Conferencia Inaugural. Los puntos que más nos han llamado la atención han sido:

Las amenazas actuales deben considerarse como un tema de seguridad nacional, concretamente, de índole financiero.
Iniciativa internacional IMPACT – International Multilateral Partnership Against Cyber-Terrorism.
Mayor relevancia de las certificaciones en seguridad (por ejemplo las de ISC2, será porqué tiene cierto vínculo con esta organización .......).
Se estima que a día de hoy hay unos mil millones (1.000.000.000) de dispositivos de todo tipo conectados a la red (cifra alcanzada en los últimos 25 años). En aproximadamente los próximos 5 años habrán mil millones más.
Como anécdota curiosa menciona que existe o está en estudio un marcapasos que tendrá conexión wifi para controlar en tiempo real su estado y poder actuar en consecuencia. Por motivos de seguridad no querría tener uno “instalado”....
Dar más relevancia a los aspectos positivos de la seguridad (por ejemplo buenas prácticas, iniciativas, etc.) en lugar de resaltar lo negativo (ataques, vulnerabilidades, etc.).
Risk Governance no es un problema exclusivo de tecnología, en todo caso de Personas+Procesos+Tecnología.
El phishing lleva como unos 12 años en activo. Los delincuentes dedican muchos esfuerzos ya que cada vez tiene más barreras (filtros en servidores, filtros en navegadores, filtros en gestores de correo, etc..), aún así siguen teniendo éxito.
Como conclusión expone que el escenario global de seguridad es como el Taj-Mahal. Está compuesto por infinidad de pequeños mosaicos, que extrapolado al escenario de la red, se pueden considerar como dispositivos individuales que están securizados individualmente.

En el turno de preguntas surgen los siguientes temas:

Impacto de la crisis en la seguridad: No debe reducirse la inversión en seguridad. Como principal argumento destacar que posteriormente costará mucho más alcanzar los niveles correctos.
Seguridad en internet: Comenta que la migración de IPv4 a IPv6 debe realizarse en un máximo de 2 años (temas de seguridad y carencia de direcciones IP).

Tras la Conferencia Inaugural se celebra una mesa redonda con distintos participantes. Esto fue lo más relevante:

Juan Miguel Velasco (Telefónica)

a) Desde el SOC de Telefónica se monitoriza el tráfico de la red y de correo electrónico. Desde este observatorio privilegiado de todo lo que acontece nos aporta datos interesantes. Para empezar algunas cifras al respecto:

Total correos 2004: 700.000.000
Total correos 2008 (septiembre): 5.000.000.000
El 96% en 2008 y un 98% en 2007 corresponde a malware en general (virus, spyware, spam, etc.)
El phishing en España se ha duplicado en 2008.
El phishing en UK se ha multiplicado por 10.

Este incremento en UK está motivado por una nueva normativa financiera mediante la cual se regula una modalidad de transferencias rápidas. Con anterioridad a la entrada en vigor (septiembre) se estuvieron capturando muchos datos financieros, no obstante, éstos no eran usados. En el momento en que la mencionada normativa entró en vigor se usaron de forma masiva. La moraleja es que los “malos” están al corriente de normativas, leyes, etc. y están muy bien organizados y profesionalizados.
b) Los robos de identidad van en aumento.
c) Como respuesta a una pregunta de los asistentes, relativa a aspectos de trazabilidad, se expone que hay un desfase importante entre la tecnología y la parte legal. Transcurre mucho tiempo entre el delito y la investigación del mismo. El estado de la evidencia electrónica en el mundo jurídico está todavía en un estado embrionario (falta de formación, entender que las reglas y el terreno de juego han cambiado, etc.).
d) Como curiosidad destacar que en el año 2004, a posteriori de la famosa foto de las Azores, se produjeron ataques de DoS (tráfico de 14 Gb) dirigidos a las correspondientes webs gubernamentales (Casa Blanca, Downing Street y La Moncloa).

Juan Salom (Guardia Civil)

a) Todas las amenazas externas que identifican tienen como finalidad un beneficio económico.
b) Por el momento no se han detectado ataques a infrasestructuras estratégicas (suministros, organismos públicos, etc.) similares a lo sucedido en Estonia o Georgia. Aún así, desde el Ministerio de Interior se ha creado un comité que está trabajando en como afrontar este tipo de amenazas, para estar preparados cuando sucedan ......
c) Como curiosidad del tráfico de datos comenta que el precio de una tarjeta de crédito oscila de 1 a 5 $ y un PC zombi de 5 a 20 $.
d) La inmensa mayoría de phishing y fraude e-commerce está monopolizado en los países del Este y Sudamerica.
e) Al igual que el anterior ponente en el tema de la trazabilidad se corrobora el desconocimiento del mundo de la adjudicatura de estos temas. Añade que la ley de conservación de datos de tráfico choca con el derecho a la intimidad y con el secreto de las comunicaciones.
f) Concluye que el delincuente se siente impune al no haber represalias legales frente al delito cometido (cooperación con otros países, lentitud justicia, recursos limitados, etc.).

Tras la mesa redonda y un buen desayuno, las siguientes ponencias y lo más relevante de las mismas:

Chris Kenworthy (McAfee)

a) Centrada en protección de datos (“Data Leakage”).
b) Descripción y datos de la compañía.
c) Algunos productos y utilidades de la compañía.
d) Ejemplo de “desprotección” de datos: Foto captada por la prensa de una persona del gobierno que entraba a Downing Street con un documento en la mano. En la foto se lee perfectamente información confidencial.
e) La tecnología sin políticas alrededor no sirve de nada.

Cormac Callanan (Council of Europe)

a) Muchos problemas burocráticos, de procedimientos, de idiomas, de coordinación, de entendimiento, etc. entre los departamentos de investigación de delitos informáticos de distintos países. Esto hace que la investigación de estos incidentes no sea tan efectiva como debiera.
b) En su etapa como activista contra la pornografía infantil destaca que dentro de lo malo este tema puede considerarse como un aspecto positivo. Al haber constancia en la red se tiene conocimiento de la magnitud, de la existencia y del comportamiento de los pederastas/pedófilos, aspectos que hasta su aparición en la red eran desconocidos.

Fernando Aparicio (PayPal)

a) Descripción de la pasarela de pago PayPal.
b) Remarcar la confidencialidad y privacidad de los datos financieros de los clientes.
c) Iniciativas contra el fraude en el pago electrónico (phishing).

En breve, lo acontecido durante la tarde ...................................

Abandono de la empresa .....

2008-11-12T13:46:00.000-08:00

Recientemente nos hemos tenido que plantear como proceder cuando un usuario es, digámoslo de forma políticamente correcta, invitado a abandonar la empresa con objeto de que otra persona ocupe su lugar. Antes de nada hay que distinguir si estamos hablando de una invitación inmediata/fulminante o de una crónica de una muerte anunciada.

Desde la estricta óptica de la seguridad, la modalidad inmediata tiene la ventaja de que nos permite bloquear al instante todo acceso a los sistemas de información. Obviamente, tiene otras contrapartidas pero desde nuestro punto de vista, y perdón por la brusquedad, no nos interesan (por ejemplo traspaso de "poderes").

La situación "interesante" se da en la invitación programada, es decir, en aquellos casos en que se informa al trabajador que en 15 días deberá abandonar la empresa (ya sea por finalización de contrato, por no superar el periodo de prueba, etc.). En estos casos no es de extrañar que se intente llevar a cabo un acto poco ético, fraudulento y/o malicioso como "venganza" hacia la empresa. Esta reacción puede ir desde un ácido y explosivo correo de despedida hasta la introducción deliberada de virus y malware primo-hermano, pasando por la ya típica sustracción o desaparición de información. Remarcar también que la mayoría de problemas acostumbran a llegar el "día después".

En estos casos ¿qué medidas/acciones se pueden adoptar con objeto de detectar, evitar y/o minimizar estos incidentes?

Como paso inicial y totalmente imprescindible hay que remarcar que el área de seguridad (o la competente en cada caso) debería estar al corriente incluso antes que el propio afectado. De no ser así, y como lamentablemente sucede en muchas organizaciones, ésta es la última en enterarse y poco o nada puede hacer ya.

Cumplido el anterior punto se activa el "surveillance mode" del usuario en cuestión. Esto se consigue con la supervisión "casi permanente" de los distintos logs o fuentes de monitorización, básicamente nos fijaremos en las acciones que se realizan y el volumen de datos que se "mueven" (acceso a informacion de la red, uso de dispositivos de memoria extraíbles, acceso a aplicaciones, internet, correo, generación de .zip's, etc.). De forma muy breve, os planteamos posibles medidas/acciones con objeto de detectar/evitar la materialización de algunas amenazas (muchas de ellas son permanentes ya que forman parte de la política de seguridad existente mientras que algunas deben activarse cuando se da la situación planteada):

• Firma de acuerdos de confidencialidad, je je .... perdón pero nos entra la risa. Firmar se puede tener firmado lo que sea pero sinceramente no evita nada
• Bloqueo de los puertos USB del equipo para evitar la conexión de dispositivos de almacenamiento extraíbles (por ejemplo con Sanctuary)
• Dispositivos de grabación de CD/DVD de uso restringido y previa autorización (relacionado con la gestión de soportes de la LOPD)
• Bloqueo de las páginas de almacenamiento masivo (megaupload, rapidshare & cia), en casos extremos bloquear el acceso a internet
• Monitorizar tráfico atípico de correo corporativo (tanto en cantidad como en tamaño), límite de tamaño de archivos anexados (5 Mb por ejemplo), .... en casos extremos bloquear el correo externo
• Bloqueo de las páginas de proveedores de correo (gmail, yahoo, hotmail, etc.) y webmail.
• Modificar privilegios de acceso a la red y aplicaciones (permitir únicamente la consulta)
• Revisión de los logs de actividad de las aplicaciones/bases de datos
• Verificar registros de impresión para identificar impresiones masivas
• Restricción de acceso a la documentación en papel
• Supervisar que no se extrae documentación de la empresa (“cacheos”). Suena a exageración pero en una entidad financiera de gran renombre lo he vivido en primera persona.
• ¿Control de las llamadas telefónicas efectuadas?
• Devolución de dispositivos corporativos (portátil, BB, PDA, memoria USB, etc...)
• Inhabilitar accesos remotos (webmail, teletrabajo, VPN, etc.)

Hay usuarios especiales en los que deben tomarse medidas extraordinarias, el caso típico es el administrador de red o de sistemas o de loquesea (ver entrada). La opción drástica pero infalible es retirarle los privilegios e incluso "regalarle" los 15 días de vacaciones. Como simple reflexión para vosotros: ¿de verdad hay algún responsable de seguridad que se arriesgaría a tener un administrador de red con sus privilegios, y que además sabrá mucho más que él, siendo consciente de que en 15 días se va a la p...... calle? Aún pareciendo demasiado radical, cabría plantearse la aplicación de este mecanismo en todos los casos considerando que los 15 compensaría de sobra los posibles daños o perjuicios que nos podría llegar a causar un único usuario "descontento".

Aparte del caso anterior también nos encontramos con otro tipo de usuarios cuyo tratamiento en estas situaciones también es digno de mención. Nos referimos al personal directivo que, como es natural, tienen acceso a información muy pero que muy privilegiada de la organización. ¿Qué hacer con ellos? Buena pregunta, sinceramente haríamos exactamente lo mismo, o más, que con un usuario “normal y corriente”.

Para finalizar, y dado el vínculo existente, trataremos aparte el caso de las bajas voluntarias. Para ser sincero son los casos que nos producen más respeto y especialmente cuando se trata de usuarios con cierta relevancia o “poder”. Dando por sentado que no se trata de una decisión que se toma de forma espontánea debemos asumir, pensando mal y/o siendo realista, que desde bastante tiempo atrás se ha podido estar preparando el terreno.

Como conclusión, y basándonos en este último planteamiento, decir que esta “vigilancia” debe ser llevada a cabo de forma permanente por el simple hecho de que no se sabe nunca cuando ni por donde te van a entrar o salir los problemas.

CITA DEL DÍA: “Las modas pasan, la seguridad queda, no te dejes llevar por lo que ves en las pasarelas”

La cuenta de administrador, esa gran desconocida .......

2008-11-11T11:09:00.000-08:00

A menudo, los administradores de sistemas, en su sentido más amplio, distan mucho de la figura perfectamente controlada que se nos intenta vender. En diversas normativas y/o buenas prácticas, como la ISO 27001, los CBK del CISSP (isc2), ... se da un especial tratamiento y consideración a este tipo de perfiles. A pesar de ello, cualquier coincidencia con la realidad es pura casualidad ya que, por regla general, el perfil de administrador y todos aquellos aspectos asociados a éste es muy diferente de lo que debería ser. En las siguientes líneas vamos a comentar, bajo nuestra experiencia, algunos puntos clave sobre el tema.

En grandes instalaciones pueden existir, de hecho existen, varias personas que por sus funciones necesiten privilegios de administrador (de red, de entornos/plataformas, de bases de datos, etc.). Habitualmente, se dispone de una cuenta genérica de administrador. Esto conlleva que la contraseña es más que conocida y compartida por varias personas, a priori, para el desarrollo de sus legítimas funciones aunque también debemos señalar que nos hemos encontrado con usuarios finales que eran conocedores de ésta, ¿cómo? mejor no saberlo ....... :-(. Intentar explicar el porqué de esta situación no es tarea fácil, salvo mejor criterio creemos que se trata simplemente de perpetuar una costumbre adquirida y así "ahorrarse" el tener que definir/modificar, en definitiva gestionar, distintos perfiles.

Por otro lado, mencionar que esta práctica estaría en cierto modo vulnerando el reglamento (art. 93.2) que desarrolla la LOPD puesto que no permite identificar de forma inequívoca y personalizada quien accede a los sistemas. Esto es especialmente grave al tratarse de cuentas con los máximos privilegios.

Sin ninguna duda, un administrador de "loquesea" debe ser considerado como un usuario más pero con ciertos privilegios de índole técnico. Para ello, entendemos que las cuentas del estilo "admin", "administrador", "root", etc. deberían ser, siempre que sea posible, revocadas y forzar que los distintos administradores accedan con sus cuentas personales e intransferibles. De esta forma, es posible obtener el rastro o evidencia de las acciones realizadas por cada uno de los administradores, cosa que con un usuario genérico sería imposible. A destacar también que así se podrían delimitar los ámbitos de actuación de los distintos administradores de forma individual sin tener todos ellos el máximo de privilegios al compartir una misma cuenta.

Este hecho nos lleva a tener que determinar que hacer con la cuenta de administrador, ¿la dejamos en poder del responsable del departamento de TI? En principio parece la opción más acertada. De esta forma, su conocimiento estará debidamente restringido y su uso se podrá limitar a situaciones excepcionales y/o de emergencia.

Otro concepto que no se suele poner en práctica es la adecuada rotación de funciones. Esto no es bueno ni malo pero aumenta el riesgo de que los administradores lleven a cabo acciones fraudulentas o maliciosas de forma totalmente transparente. Durante una jornada sobre análisis forense a la que asistimos hace tiempo se planteó un caso real en el que un administrador de red, a instancias de un ex-jefe invitado a dejar la empresa, actuaba de mala fe sustrayendo información privilegiada de la mencionada empresa. A pesar de que la rotación de funciones suena muy bien, la verdad es que su aplicación no es nada trivial, en esencia estamos hablando de personas y no de servidores que los pones aquí o allá.

Si siempre hemos defendido que la rotación de contraseñas es importante en todo tipo de cuentas, en las de administradores, aún lo es más. Deberemos establecer una política de contraseñas fuertes, recurriremos a los requisitos habituales: caducidad de 2-3 meses, longitud mínima 6-8 caracteres, combinación letras/números, no repetición, no patrones, .... Relativo a este punto también hemos vivido casos reales como aquel en que, por motivos históricos y de antigüedad, nos encontramos con 2 personas que seguían accediendo como administradores de red cuando hacía mucho mucho tiempo que ya no tenían encomendadas esas funciones. Aunque parezca una incongruencia con el punto anterior, si que se llevo a cabo una rotación de funciones espléndida pero con el pequeño fallo de que se mantuvieron los privilegios de administrador :-).

Para finalizar, aunque todas estas medidas, recomendaciones, buenas prácticas, etc. son de sentido común, habitualmente se suele recurrir a la profesionalidad de los administradores depositando grandes dosis de confianza en ellos. Siempre debemos tener en cuenta que, en potencia, los administradores pueden actuar de mala fe, ya que técnicamente están capacitados, de ahí que una de las labores de los responsables de seguridad es no pecar de ingenuos y "auditar" más o menos de cerca sus actos. A nuestro entender, la poca atención y control que se presta a este tipo de perfiles son un claro ejemplo de la distancia que todavía existe entre el escenario ideal y la cruda realidad.

CITA DEL DÍA: "A quién buen firewall se arrima buena seguridad le cobija"

¿ No soy de confianza ?

2008-11-05T15:08:00.000-08:00

El otro día nos vinieron a presentar un servicio con la finalidad de obtener garantía jurídica de toda transacción electrónica. A modo de ejemplo se habló de emails, SMS's, acreditación de contratos "virtuales", publicación de un documento en la web, etc. etc. etc. en resumen, como buenos asesores (no digo comerciales ni vendedores, esa denominación ya no se estila...) pueden acreditar cualquier contenido comunicado entre dos puntos. Para ser sincero, la empresa en cuestión, de suficiente renombre y prestigio, ofrece un servicio altamente competitivo tanto en precio como en calidad (este último aspecto lo presuponemos).

De toda la presentación que nos hicieron sólo hubo un aspecto, básico por cierto, que no me encajó demasiado. En concreto era referente a la práctica "obligación" de que un tercero (ellos mismos claro) tiene que acreditar toda transacción. En esencia es un planteamiento lógico y razonable puesto que uno de los implicados no puede actuar como "juez y parte" aportando pruebas o evidencias electrónicas obtenidas de sus propios sistemas. Al menos así nos lo expusieron argumentando que en un proceso judicial cualquier prueba aportada por nosotros sería rápidamente tirada por los suelos.

En primera instancia lo vi sensato pero por otro lado no dejaba de pensar en que si se dispusiera de un sistema robusto de obtención y custodia de evidencias electrónicas, es decir una cadena de custodia totalmente confiable, considero que en un juicio, con peritos y expertos en estas lides, no habría mayor problema y nuestras pruebas no podrían ser tan fácilmente repudiadas al verificar que son tan confiables como las que puede aportar un tercero independiente.

Esta reflexión también venía motivada por un documento que leí días antes para estar al corriente de otras alternativas. El documento en cuestión, lo siento pero es en catalán, está firmado por Nacho Alamillo, experto en estos temas, y está a disposición pública en la Agencia Catalana de Certificación.

En este documento se proponen algunas recomendaciones técnicas con objeto de garantizar la publicación de un documento en la sede electrónica que se determine. A mi entender considero que son propuestas confiables (básicamente encriptación y secuenciación de entradas de los logs) y únicamente aparece, a modo de recomendación, la figura del tercero de confianza como agente para la conservación de los logs y en escenarios de alto riesgo. También resaltar que estas recomendaciones están dirigidas a las administración pública por lo que algo de validez y fundamento legal tienen.

Antes no lo he mencionado expresamente pero nuestro interés primordial por el cual solicitamos conocer los servicios que he comentado al inicio es precisamente la publicación de los concursos públicos en la web de acuerdo a la Ley 30/2007 de Contratos del Sector Público. A pesar de ello, los servicios ofertados por la empresa en cuestión son francamente interesantes en cuanto a costes por publicación acreditada. Cualquier desarrollo informático propio con objeto de garantizar y probar la publicación de un documento en la web nos resultará, con diferencia, mucho más caro.

Aquí queda esta reflexión por si alguien se encuentra en esta situación o similar.

CITA DEL DÍA: "Un incidente de seguridad no es un error sino una oportunidad de mejora"

Guía de seguridad de datos

2008-11-03T11:15:00.000-08:00

Hoy mismo la AEPD ha publicado esta guía para facilitar la adecuación a la LOPD. Por lo poco que he leído me ha parecido un mix de varios temas ya publicados, por ejemplo, se ha incluido el modelo o plantilla del documento de seguridad, el cuadro resumen de medidas del RD 1720/2007, un check-list o comprobaciones para verificar el nivel de cumplimiento y un conjunto de preguntas-respuestas habituales.

En momentos de crisis .....

2008-10-31T14:04:00.000-07:00

hay que ahorrar como sea ............... :-)

Leyendo esta resolución de la AEPD no he podido evitar una carcajada pensando sobre la posibilidad de que se trate de un ejemplo más de la típica picaresca que desde siempre nos caracteriza.

En esencia, se trata de una ciudadana que reclama ante la AEPD que no se ha atendido una solicitud de ejercicio de derecho de acceso a su historia clínica. Según la afectada la historia clínica entregada estaba incompleta.

Para no extenderme más, sirva este párrafo de la resolución como conclusión de la situación planteada:

"En segundo lugar, en relación a las pruebas realizadas con posterioridad al 03/01/2007 y que la reclamante afirma no haber recibido, éstas se encuentran en el mencionado Hospital a disposición de la misma, previo abono del importe de su realización, hecho éste ajeno a las competencias de la Agencia Española de Protección de Datos."

Desde luego lo primero que me viene a la cabeza es que se trata de una buena estratagema para intentar ahorrarse unas perrillas. Una anécdota más de como la LOPD puede ser utilizada como arma arrojadiza o como mecanismo para intentar obtener "beneficios" personales .........

En cualquier caso, pido disculpas públicamente a la ciudadana en caso de que mi interpretación sea totalmente ajena a la realidad.

CITA DEL DÍA: "El desconocimiento es el caldo de cultivo de la inseguridad"

Evento INTECO : SGSI

2008-10-31T03:05:00.000-07:00

El martes dia 4, Inteco organiza en Barcelona una jornada sobre SGSI que parece interesante. Nosotros asistiremos, así que si alguien tiene pensado acercarse, es un buen momento para conocernos e intercambiar opiniones.

Los detalles del enlace están en catalán, ya que la jornada está organizada en colaboración con la Cámara de Comercio de Barcelona, lo sentimos.

Abra la boca y diga LOPD

2008-10-29T06:43:00.000-07:00

Vamos a relatar otro caso más (por desgracia no cesan) de incumplimento de la LOPD, y como si de una película americana de sobremesa se tratara, esta vez está "basado en hechos reales".

Ayer, por desgracia, acudí a un centro odontológico. Era la primera vez que acudía a esta clinica, y procedieron a "ficharme". Ni que decir tiene que el deber de información no había venido ese día a la consulta. Una vez que empezaron el cuestionario me sorprendió mucho que me preguntaran el DNI y el estado civil.

¿Es necesario mi DNI para tratarme una caries? A lo mejor es para facturarme...
¿Importará si estoy casado en el tratamiento que me den? Si no lo estoy, ¿será más cariñosa la enfermera? :-)

Uno, que lleva la deformación profesional siempre encima, no podía hacer otra cosa más que preguntarlo, la respuesta fue clara, y la que se suele recibir en estos casos: "a mí me han pasado el formulario y yo lo pregunto" con el tono claramente me estaba diciendo "¿No vendrás a tocarme las narices no?".

Como se puede comprobar estamos ante un flagrante caso de incumplimiento de los principios de información y de calidad de los datos. Se está recabando información excesiva y además no se informa, lo cual, vulnera de lleno la LOPD. Este anecdótico hecho hace que volvamos a acordarnos del informe de INTECO en el que se reflejaba la penosa, si se me permite la palabra, calidad y cantidad de implantaciones de la LOPD en las PYMES.

En estos casos, ¿qué podemos hacer? nosotros porque somos buena gente y no vamos a denunciar, pero otro usuario que salga enfadado por el trato, el desembolso o incluso el dolor, ¿qué le impide denunciarlo a la Agencia? Está claro que las empresas desconocen el riesgo que corren en estos casos, tal vez un aviso diciéndole al empresario "¿Sabes que estos incumplimentos te pueden suponer miles de euros de sanción?" le haga espabilar, o tal vez no...

No obstante, el empresario juega con ventaja puesto que el pobre ciudadano de a pie está todavía menos concienciado y puesto en estos temas.

CITA DEL DIA : "El que mucho abarca... sufrirá para defender..."

Las PYMES y su in-seguridad

2008-10-28T14:10:00.000-07:00

Desde aquí felicitar a Samuel y Nacho por la estupenda presentación que presentaron, valga la redundancia, en el II Encuentro Nacional de la Industria de la Seguridad en España (ENISE). Aquí os dejo el enlace a la entrada del blog de Samuel.

Se trata de un claro ejemplo que retrata como las soluciones/servicios en materia de seguridad de la información enfocadas a las PYMES no son las más adecuadas. En muchas ocasiones se intentan matar moscas utilizando misiles Tomahawk.

Por cierto, muy bueno el detalle del sello de la ITV en las certificaciones del Sr. Gómez-Cebolla :-).

Lo dicho, estupenda exposición, lástima de no haberla visto en vivo y en directo. Y felicidades por vuestra obra maestra IS2ME!

CITA DEL DÍA: "Seguridad o inseguridad, esa es la cuestión ...."

¿Hay que informar sí o sí?

2008-10-27T14:43:00.000-07:00

Os voy a plantear un tema que tengo sobre la mesa y ya no sé que hacer ante las negativas de la empresa X (página web de bolsa de trabajo que por motivos obvios mantendré en secreto, de momento ........). Os planteo brevemente el caso (sin términos ni referencias jurídicas para no aburrir) y el “problema” que se origina:

Existe una relación mercantil con la empresa X a través de la cual se publican las pertinentes ofertas de empleo. La empresa X informa al candidato en los términos que establece la LOPD. Con la empresa X se establece una comunicación/cesión de datos y a tal efecto recogen el debido consentimiento.

Ahora bien, desde nuestro punto de vista en ningún momento se le informa claramente del destinatario de los datos, en este caso nosotros. Obviamente está implicito en la oferta a la cual se inscriben pero no se ajusta a los requisitos de la LOPD. A tal efecto, se ha propuesto incluir una advertencia legal con nuestros datos (en calidad de responsables “temporales” del tratamiento) en el correo de respuesta que automáticamente reciben todos/as los/as candidatos/as que se inscriben a las ofertas.

La empresa X no permite que se incluya este tipo de información puesto que aparece información de contacto (para el ejercicio de derechos) y sus condiciones de uso no permiten facilitar datos de contacto a los candidatos.

Pues eso es todo. ¿Os habéis encontrado en esta tesitura? ¿Creéis que, como destinatarios de los datos debemos informar a los/as candidatos/as? ¿Debería hacerlo en cualquier caso la empresa X?

Cualquier opinión, observación, matización, etc. será bienvenida. Gracias.

CITA DEL DÍA: "Tu controlas la seguridad pero la inseguridad te controla a ti"

El enemigo en casa y que dure .............

2008-10-27T11:13:00.000-07:00

De todos es sabido que muchos de los problemas o incidentes de seguridad tienen su origen en la propia organización. Por lo general, ya sea de forma accidental o malintencionada, el usuario acostumbra a estar implicado. Por ello, es lógico que se dediquen muchos recursos a campañas de concienciación, sensibilización, formación, etc. con objeto de "educar" a los usuarios en el uso de los sistemas de información y haciendo especial hincapié en aquellos aspectos relativos a la seguridad.

Lo anteriormente expuesto es lo más sensato aunque también debo decir que no va nada mal que existan "ovejas negras" en nuestro rebaño. Al igual que el cuerpo humano tiene que estar "infectado" previamente (vacuna) para combatir un virus y desarrollar las defensas adecuadas, en el caso que nos ocupa podríamos decir que se trata de una situación similar por no decir idéntica. Si pensásemos en un escenario utópico y las campañas antes mencionadas tuvieran un éxito absoluto podríamos asegurar que internamente nunca más tendremos problemas. No obstante, esto nos llevaría a una falsa seguridad puesto que no tendríamos la certeza de si disponemos o no de un entorno seguro.

Además, tarde o temprano, siempre que haya un usuario involucrado (comportamiento totalmente impredecible e imaginación sin límites) existe un riesgo directamente proporcional al espíritu investigador y afán de superación del susodicho. Por tanto, particularmente creo que es bueno que convivan usuarios “avanzados” que intenten saltarse las reglas, de esta forma podremos evaluar de forma empírica la robustez de nuestra seguridad.

Obviamente, detrás de este planteamiento deben haber mecanismos o herramientas de monitorización de amplio espectro con objeto de identificar que los usuarios no experimenten más de la cuenta. A lo largo de mi experiencia he podido comprobar como se desarrolla la “inteligencia” del usuario con objeto de saltarse las barreras que se le ponen delante. Os aseguro que en ningún momento se nos hubiera pasado por la cabeza contemplar según que métodos se han aplicado para vulnerar las reglas de uso.

Como caso destacable tuvimos a un ejemplar varios días “vigilado” para comprobar hasta donde era capaz de llegar. En concreto, su objetivo era navegar por Internet sin estar autorizado. Para ello, además de descargarse e instalar “utilidades” de captura de contraseñas también llego a instalarse el famoso Tor para navegar de forma anónima. Lástima que la jugada le saliera mal porque la verdad es que poquito a poquito iba avanzando en su empeño.

En resumen, tampoco es tan grave que hayan usuarios “rebeldes” ya que, viendo la parte positiva, nos ayudan a mejorar la seguridad de nuestros sistemas. Otra forma de verlo es que disponemos de un servicio de testeo permanente, no viciado y sin coste añadido. Evidentemente, siempre debe haber un límite y un control exhaustivo con objeto de que los experimentos no nos exploten en las manos.

CITA DEL DÍA: "Sentirse seguro es un error, sentirse inseguro es una virtud"

EEUU y su watch list

2008-10-22T03:06:00.000-07:00

Hace algún tiempo leí este artículo de Xavier Ribas que me llamó la atención, y hoy "discutiendo" con un compañero de trabajo me ha vuelto a la cabeza, y creo se merece unas cuantas líneas.

Anualmente Estados Unidos, a través del USTR (United States Trade Representative), confecciona una lista negra, en la que relaciona los paises más deficientes en cuanto a propiedad intelectual, con objeto de tomar las medidas adecuadas en cualquier transacción que se realice con ellos.

Este año ha sido incluida por primera vez España, y a ello le acompaña una descripción de que motivos han propiciado esta inclusión. Entre estos motivos nombran la preocupación que tienen por el pobre papel del gobierno español a la hora de atajar la piratería en Internet, relatando que en España el compartir archivos por internet mediante p2p es legal. Mientras el gobierno español no tome estas medidas, seguirá incluido en su watchlist.

SPAIN
Spain will be added to the Watch List in 2008. The United States is concerned by the Spanish government’s inadequate efforts to address the growing problem of Internet piracy, described by
U.S. copyright industries as one of the worst in Europe. There is also a widespread misperception in Spain that peer-to-peer file sharing is legal. While Spanish law enforcement authorities have taken some positive measures against pirate Internet websites, prosecutors have failed to pursue IPR cases, judges have failed to impose deterrent-level sentences against IPR infringers, and right holders do not have access to important legal tools needed to bring meaningful civil infringement suits. The United States will continue to work closely with Spain to address these IPR enforcement issues during the next year.

Desde aquí no vamos a opinar sobre si el Gobierno debería permitir o no estas descargas, pero si opinaremos sobre la posición de EEUU. Está claro que no es una postura nueva la de que los EEUU se consideren los mandamases del mundo, pero si nos sorprende ver con que "libertad" juzgan a la justicia española (valga la redundacia). ¿Es posible que esta catalogación venga motivada en gran medida por que las grandes industrias cinematográficas y musicales se encuentran allí? ¿Realmente España se encuentra al mismo nivel que paises como Indonesia, Líbano, Filipinas, Tajikistán....?

CITA DEL DIA : "Si tu sistema es seguro es que no lo ha atacado la persona adecuada"

Intimidad en el AVE

2008-10-21T11:55:00.001-07:00

Una breve entrada para comentar que el pasado miércoles tuve mi primera experiencia con el AVE y debo decir que me encantó. No obstante, me chocó bastante que desde mi asiento (clase preferente) se pudiera ver con todo lujo de detalles lo que hace el viajero de la fila delantera (en diagonal) en el portátil. Concretamente, había una persona que estuvo trabajando durante bastante tiempo con una hoja excel repleta de importes (ingresos, gastos, extras, ratios, etc.) por líneas de negocio y meses, es decir, un control presupuestario bastante detallado.

Obviamente no revelaré a que compañía pertenecían estos datos pero era una de las gordas del sector de productos de limpieza. Concluyendo, quería ponerme a mirar cosas con mi portátil pero desistí por completo. Tampoco es un aviso porque enseguida podréis experimentar, si no lo habéis hecho ya, esta incómoda situación.

CITA DEL DÍA: "De la seguridad a la inseguridad apenas hay distancias, a la inversa es todo un abismo"

¿Aumentar el cumplimiento de la eleopede?

2008-10-21T11:29:00.001-07:00

Al hilo de una presentación que tuve que preparar hace poco, y también influenciado por esta otra interesante reflexión, he decidido compartir con vosotros la siguiente disquisición acerca del bajo, por no decir patético, nivel de cumplimiento de la LOPD. Revisando el punto 7 del Estudio sobre el grado de adaptación de las PYMEs a la LOPD y el RDLOPD he comprobado que se esbozan algunas recomendaciones. Todas ellas se basan en los aspectos de concienciación, formación, sensibilización, etc. De forma muy breve mencionan ayudas y subvenciones aunque no se concreta gran cosa. También están reflejadas diversas iniciativas que se realizan desde INTECO.

Como me caracterizo por una actitud constructiva y bastante orientada a dar soluciones, pues simplemente me atrevo a exponer un conjunto de posibles medidas o acciones adicionales a las descritas en el mencionado estudio para ayudar a fomentar el cumplimiento de esta Ley. No siguen ningún orden de importancia ni priorización ni nada similar.

Obligatoriedad en cualquier trámite burocrático:
De forma similar a cualquier otro trámite burocrático en que se solicita la presentación de infinidad de documentos, certificados, formularios, etc. pues sería tan "fácil" como exigir en cualquier trámite con toda administración (central, autonómica, local, etc.) la aportación, por parte de la PYME, de un certificado o similar otorgado por la propia AEPD. En nuestro sector (matepss) existen diversos trámites oficiales en los que resulta obligatoria la acreditación, como mínimo, de tener los ficheros inscritos. Obviamente, esto punto está bastante limitado a la mera constancia de los ficheros inscritos pero algo es algo.

Códigos tipo:
Potenciar la definición de código tipos para diversos sectores de actividad. En esencia se trataría de seguir a rajatabla todo lo que se establezca en el código tipo. Personalmente me parece muy extraño que únicamente se hayan definido 12 códigos tipos. Puede que la definición y aplicación de códigos tipos se deba impulsar a nivel de asociaciones, cámaras de comercio, etc.

Dar ejemplo:
Pido disculpas de antemano por este punto pero me atrevería a decir que la Administración Pública en su conjunto es la que menos respeta y cumple la LOPD. Ya he perdido la cuenta de la cantidad de formularios oficiales en los que no aparece ni una sola referencia a la LOPD. Entiendo que en muchos casos estén exentos de cumplir algunos requisitos de la Ley pero como mínimo deberían informar al afectado y cumplir un mínimo de las medidas de seguridad. Por otra parte ni me imagino la complejidad que supone este tema en la administración pública pero a lo hecho pecho ..........

Concienciación del afectado:
Estoy convencido que el cumplimiento de la LOPD tiene que ser demandado por la ciudadania. A medida que el propio afectado “exija” a las empresas que cumplan con la Ley, éstas tomaran conciencia. Por si mismas poco harán, la prueba es el 16% de cumplimiento después de casi 10 años de vigencia de la Ley.

Hay otras acciones que se me ocurren pero las veo complicadas de materializar, como por ejemplo, intensificar el número de inspecciones sectoriales, subvenciones, etc., básicamente por el coste económico que supondrían.

Y por hoy nada más, espero que este pequeño granito de arena sirva para algo.

CITA DEL DÍA: ¿Qué diferencia hay entre la inseguridad y la seguridad? Ninguna, se trata simplemente de una sensación

La AGPD y la apostasía.

2008-10-15T14:42:00.000-07:00

Se lleva hablando muchos días acerca de la apostasía, o dicho de otra forma, de como darse de baja de la iglesia.

El Tribunal Supremo anuló una sentencia de la Audiencia Nacional que obligaba a anotar en la partida de bautismo de un apóstata su rechazo a la religión católica. ¿Por qué la Iglesia ha conseguido burlar la LOPD y no permitir los derechos de acceso, rectificación, cancelación y oposición? Pues por que el juez ha considerado que los libros de bautismo NO son un fichero, por lo cual no están sometidos a la LOPD.

Actualmente la AGPD tienen en su poder más de 600 peticiones de apostasía pendientes de resolución, y su director, Artemi Rallo está decidiendo si presentar una impugnación a la sentencia.

Desde aquí nos preguntamos qué consideración especial tiene la Iglesia para no considerar sus libros de bautismo como ficheros, si bien ellos se amparan en que únicamente es un libro ordenado cronológicamente, ¿desde cuándo ese ha sido un criterio válido?. Si se acepta ese argumento no me extrañaría ver a diversas empresas acogerse a ese precedente y cambiar la clasificación de sus datos para así ahorrarse un "mantenimiento" de datos, así como poder evitar la ejecución de los ejercicios de derechos, que todos sabemos que muchas veces se vuelven muy correosos.

CITA DEL DIA : "No te quedes en el primer nivel, investiga!!"

Auditoría interna vs externa

2008-10-14T10:36:00.000-07:00

En esta entrada no voy a plantear la eterna discusión relativa a si la auditoría de sistemas de sistemas de información debe ser interna o externa (o ambas). Ya que he tenido la suerte de haber vivido casi todos los roles posibles intentaré plantear, bajo mi experiencia, algunos aspectos clave según cada caso. Las distintas modalidades que he podido experimentar en materia de auditoría de sistemas de información son:

auditor interno
auditor externo integrado en departamento de auditoría interna
auditor externo
auditado por auditor externo
La única que me falta es ser auditado por un auditor interno. Doble nivel de auditoría interna?, esto existe? lo más parecido diría que es "Asuntos Internos" :-)

De este cúmulo de vivencias me gustaría remarcar los siguientes aspectos:

Planificación/Ámbito

Sin duda este es uno de los aspectos que más valoro en cuanto que uno mismo decide qué, cuándo y porqué auditar. A excepción del auditor interno, me temo que los auditores externos tienen ya establecido que área, departamento, infraestructura, etc. deben auditar. En definitiva, poco margen de maniobra queda ya que la demanda viene dada por el cliente. Por otro lado, la planificación, y consecuentemente el presupuesto, también está medianamente pactado por lo que pocas desviaciones en tiempo/coste pueden haber. Yo soy partidario de que las auditorías deben durar lo que tengan que durar, por tanto, no establezco ninguna fecha límite (exacta e inamovible) para su finalización.

Metodología/criterios

Al igual que en el punto anterior, un auditor interno pone en práctica el tipo de auditoría que mejor considera utilizando para ello aquellas metodologías, herramientas, pautas, etc. que cree mejor. Como auditor externo, he tenido que utilizar metodologías propietarias y altamente complejas (a la vez que desactualizadas), pasando, en el peor de los casos, por tener que improvisar y definir controles sobre la marcha. Otra ventaja es que como auditor interno puedes profundizar muchísimo en tu propio negocio y llegar a un detalle que difícilmente un auditor externo podrá llegar (tanto por conocimiento como por dedicación).

Transparencia/aceptabilidad auditado

Por lo general un auditor externo "impone" más, este hecho comporta que el auditado no sea todo lo transparente que debería ser, ya sea por "miedo" o por falta de confianza (hay mucho de psicología detrás de un auditor, es complicado "lidiar" con interlocutores que no salen del "si", "no", "a veces", "no lo se", "depende", ........ no obstante este tema más divertido lo aplazo para otra entrada). También hay que remarcar que como auditor externo no puedes elegir a tus "víctimas", por lo general los nombres ya vienen impuestos y acostumbran a ser roles de cierta responsabilidad que ya saben que cuento deben contar y cual no (no obstante, son fáciles de pillar al solicitar evidencias). En el caso opuesto, un auditor interno tiene bastante más libertad para escoger cual es la persona indicada para entrevistar (normalmente usuarios comunes). Por otro lado también me gustaría matizar que los auditados son mucho más transparentes y francos con uno que va en el mismo barco que con un extraño.

Independencia

Para ser sincero, la modalidad en la que se percibe una mayor independencia y en la que las valoraciones/conclusiones no están sujetas a ruidos o interferencias de fondo (que cada cual interprete lo que quiera) es la de auditoría interna. Tanto como auditor interno como auditor externo integrado en un departamento de auditoría interna he notado con diferencia que los resultados de la auditoría son mucho más acordes a la realidad y se caracterizan por poca, por no decir ninguna, sesión de maquillaje previa.

Credibilidad

Como no podía ser de otra manera este es el punto crucial de la entrada, desde siempre se aplica aquello de que las cosas se hacen o se corrigen cuando alguien de fuera así lo manifiesta. En cambio todo lo que diga el de dentro no sirve para mucho ............. Obviamente no hace falta que defienda mi postura no ??? Al igual que antes dejo para otra entrada alguna reflexión sobre lo que se puede hacer para que la auditoría interna tenga una posición aún más digna y respetable.

Y ahora hasta el lunes que mañana cojo el AVE muy muy temprano para auditar uno de nuestros centros en Madrid .............

Saludos,

CITA DEL DÍA: "La seguridad ni se crea ni se destruye, sólo evoluciona"

Robin Hood existe!

2008-10-13T08:23:00.000-07:00

Una vez descartados los Reyes Magos y Papa Noel, y a punto de caerse otro mito como Robin Hood, nos encontramos con esto.

Dan Wilder, a través del foro bcmix, nos comparte un whitepaper en el que explica el diseño, desarrollo e implantación de un Business Continuity Model (BCM), basándose en la BS25999 y metodologias como ITIL y COBIT.

Nos sorprende y agrada ver como todavía queda gente dispuesta a compartir sus conocimientos y su trabajo de forma altruista, algo extraño en un "negocio" tan competitivo como en el que nos encontramos.

CITA DEL DIA: "La seguridad es un valor en alza, invierte en ella!"

Aquí hubiera ido de fábula .......

2008-10-09T12:35:00.000-07:00

Lo sé! es deformación profesional, pero mientras estaba leyendo esta noticia no he podido evitar pensar en "lo bien que les hubiera venido" a estos comerciantes un buen Plan de Continuidad de Negocio.

No obstante, me gustaría pensar que la Administración (la que sea! el Ayuntamiento, la Generalitat, la Administración Central, etc......), como responsable última de todo lo que va a suponer el AVE y causante de estos graves perjuicios, ha planificado este tipo de consecuencias y las posibles compensaciones.

PD. Me parece que la Sagrada Familia ya puede ir desarrollando su PCN ...... :-)

CITA DEL DÍA: "El ordenador más seguro es aquel que está apagado"

Códigos de ética, conducta y afines

2008-10-09T11:43:00.000-07:00

Desde siempre, exactamente allá por 1997 año en que superé el examen CISA, he sentido curiosidad por todo aquello que implica la adhesión a códigos de conducta y/o ética que prácticamente todas las entidades certificadoras requieren. Para ser sincero debo confesar que en muchas ocasiones he estado con colegas de profesión que en mayor o menor medida respetan las mencionadas normas. Me gustaría aclarar que en esencia se vulnera el deber de secreto y/o confidencialidad aunque siempre con una finalidad no fraudulenta, se trata simplemente de exponer vivencias, experiencias, casos de éxito y/o fracaso, curiosidades, etc. En resumen, desde mi punto de vista no se falta para nada a la ética y buena conducta profesional, aunque en esta vida, como sabéis, todo es relativo.

Lo que realmente me tiene "preocupado" es la verdadera utilidad de estos decálogos y, por tanto, la aplicación de medidas disciplinarias en caso de incumplimiento o vulneración de los mismos.

Con objeto de conocer la realidad nos hemos puesto en contacto con ISACA, ISC2 y EC-COUNCIL para intentar averiguar de primera mano cual es la aplicación práctica de sus respectivos códigos. Básicamente y sin rodeos hemos preguntado sobre la cantidad de incumplimientos de los códigos y las acciones que se han emprendido contra los miembros implicados. Obviamente hemos enfatizado que únicamente nos interesan datos estadísticos, para nada queremos saber los nombres y apellidos de los afectados, tampoco nos los hubieran facilitado (ante todo confidencialidad!). Esta extraña petición la hemos justificado como imprescindible para la elaboración de un estudio sobre la seriedad y prestigio de las distintas certificaciones de seguridad.

Antes de solicitar la información hemos intentando, sin éxito, localizar información, tanto oficial como paralela, por la red. Por ejemplo, en la web de ISACA figura un Annual Report del año 2007 que no dice nada relativo a este tema. Tanto en la web de EC-COUNCIL como de ISC2 tampoco hay nada sobre este tema.

Pues bien, debemos decir que las "respuestas" no nos han sorprendido demasiado. Como era de esperar, ninguna de las instituciones mencionadas nos han facilitado datos. Dicho esto, comentar que no nos explicamos lo sucedido ;-) y creemos que no han respondido por alguno de los siguientes motivos:

no hay nada que comentar puesto que no hay ningún control y/o seguimiento sobre el cumplimiento de los códigos
a pesar de los exhaustivos controles que se llevan a cabo no se ha detectado ninguna violación del código por parte de ninguno de los miembros certificados
hay tal cúmulo de medidas disciplinarias que tienen pavor a hacerlas públicas, aunque eso en el fondo les honraría
"de qué van estos panolis (nosotros!) haciendo este tipo de preguntas", suponemos que aún se están riendo............ :-)

En el fondo creemos que se han hecho un flaco favor a ellas mismas ya que, al menos en nuestro caso, interpretamos que poco o nada se hace al respecto. Sinceramente creemos que si tienen por objeto mantener y/o alcanzar cierto prestigio, reconocimiento, etc. deberían actuar en consecuencia y velar por el cumplimiento de los distintos códigos éticos. Si realmente se toman medidas disciplinarias (revocar certificados) y/o se realizan advertencias serias a los diversos miembros creemos que publicitar este tipo de actuaciones, además de dignificar al sector, sería todo un ejemplo a seguir en materia de credibilidad, transparencia y profesionalidad.

En fin, si algún día de estos nos responden (confiamos en que todavía están recopilando montañas de datos), os mantendremos informados.......

PD. Esperemos que nuestros nombres no aparezcan como candidatos "aleatorios" a someterse a una auditoría del certificado ...... será casualidad o causalidad ?

Relación de algunos códigos éticos:

ISACA - Code of Professional Ethics

ISC2 Code of Ethics

EC-Council Code of Ethics

CITA DEL DIA: "y recuerda que la seguridad no existe, es sólo una sensación .............."

Agradecimientos a la comunidad bloguera

2008-10-07T01:32:00.000-07:00

Primero de todo aclarar que una de nuestras premisas es no publicar entradas cuyo contenido es ajeno a la temática del blog. No obstante, en este caso nos vemos obligados a hacer una excepción. Sirva esta breve entrada para transmitir públicamente nuestro más sincero agradecimiento a tod@s aquell@s que nos habéis dirigido, tanto de forma pública como privada, palabras de ánimo como respuesta a nuestro correo de presentación. Remarcar también que nos ha sorprendido enormemente el estupendo recibimiento en algunos de vuestros respectivos blogs.

Y por otro lado, transmitir cierto grado de decepción por aquellos que no se han dignado nisiquiera a responder. En parte quedan disculpados puesto que sabemos lo duro que es responder a un correo con un simple "gracias y que os vaya bien". Sinceramente no esperábamos nada más. Somos novatos en esto de la blogocosa y aún no tenemos claros según que convenios o pautas se siguen pero desde luego la educación y la gratitud entendemos que siguen vigentes, o no ??

Lo dicho, gracias a todos. Seguiremos aportando nuestro pequeño granito de arena en esto de la seguridad de la información.

CITA DEL DÍA: "La seguridad es un proceso y tu eres parte de él"

Spamos hasta arriba (y 2)

2008-10-04T09:33:00.000-07:00

Sirva la presente entrada como complemento de lo ya expuesto en esta entrada. Simplemente dejar constancia del importante incremento de la cantidad de spam recibido (en un solo mes, de agosto a septiembre, ha sido del 158%). El incremento anual acumulado (de septiembre 07 a septiembre 08) es de un 381%.

Ahora solo falta esperar a que esta tendencia tenga fin, si es que lo tiene ..................

CITA DEL DÍA: "El único secreto para estar más seguro es sentirse inseguro"

Informe de INTECO sobre seguridad TIC

2008-09-27T04:10:00.000-07:00

INTECO ha publicado un nuevo estudio sobre el sector de la seguridad TIC en España. Lo podéis encontrar aquí.

Los puntos que más nos han llamado la atención son:

Factores de impulso (página 7):
"La legislación constituye un poderoso instrumento para configurar la demanda y suplir, por la vía de la obligación legal, la falta de sensibilización y/o el desconocimiento de los usuarios."

Es un poco triste que la concienciación de los usuarios deba ser "impuesta" a través de reales decretos, leyes y/o similares. Aunque creemos que en lugar de usuarios deberían referirse a las organizaciones, que son las que directamente tienen contacto con los usuarios. Desde el punto de vista de usuarios finales (domésticos) poco o nada pueden/deben hacer a través de medidas legislativas (¿se "obligará" por RD que todo el mundo tenga un antivirus y/o un firewall?).

Demanda de seguridad TIC en grandes empresas (página 8):
"El concepto clave en la demanda de seguridad TIC en las grandes empresas es el de continuidad del negocio."

Es algo que se conocía o se intuía pero nos parece perfecto que salga de una manera u otra "oficializado" en este informe.

A lo largo del informe se detallan estos puntos clave y algunos otros más. Desde aquí recomendamos su lectura.

CITA DEL DIA: "La seguridad no es más que un aceptable nivel de inseguridad"

Predicar con el ejemplo....

2008-09-24T14:37:00.000-07:00

Esta entrada la vamos a dedicar a hablar brevemente de Telvent, pero evitaremos darle más palos de los que ya han recibido estos días, como por ejemplo aquí. En nuestro caso nos centraremos en la parte que nos interesa en este blog, su plan de continuidad de negocio (PCN).

Haces unos meses, el BSI (British Standard Institute) nos invitaba a la presentación de la versión en castellano de su nueva norma, la BS25999, en la cual participaba Telvent como ponente.

Allí Telvent nos explicó como era su plan de continuidad, un plan perfectamente probado y “a prueba de bombas”, nos hablaron de la importancia capital que le dieron los directivos a su creación, no nos extraña, ya que se ha calculado que una hora de inactividad de Telvent equivale a mucho dinero, puesto que dan servicio de hosting a empresas en las que la inactividad se mide en millones de euros.

Recordando lo que nos expusieron en la mencionada jornada, y dado el suceso que ahora nos ocupa, nos hace plantearnos diferentes cuestiones:

- ¿Estaba realmente probado el PCN?
- ¿Qué eslabón falló?
- ¿Sabía la gente que debía hacer en esas circunstancias?
- ¿?

Y una cosa más, que para nosotros merece un punto para ella sola. ¿Qué importancia tiene la certificación obtenida por Telvent ? ¿Son las certificaciones una diferenciación en el mercado más de cara a la galería que a la producción? ¿Qué tipo de pruebas se hacen para certificar un PCN?

No vamos a decir nada nuevo con esto, pero estamos hartos de ver PCN muy buenos, casi rozando la perfección, si es que existe, pero que… NO ESTÁN PROBADOS, y eso, les quita todo el valor.

CITA DEL DIA : "Si te sientes seguro, es que no has entendido nada"

¿ Autocontrol del usuario ?

2008-09-23T03:29:00.000-07:00

Como todos sabéis existen infinidad de acciones y mecanismos para concienciar y/o educar ;-) a los usuarios en esto de la seguridad de la información. En esta entrada me gustaría plantearos el siguiente tema: ¿creéis que los usuarios por propia iniciativa llegarían a adoptar buenas prácticas (autoregulación) si tuvieran periódicamente información detallada acerca de su actividad?. Para nada me refiero a indicadores de desempeño y/o similares (esto es otra guerra) sino de su interacción pura y dura con los sistemas de información. No hace falta decirlo pero el target de esta propuesta son aquellos usuarios, que se caracterizan, de alguna manera, por un uso "avanzado e intensivo" de las herramientas de trabajo.

A modo de caso práctico os expongo un posible método:

En lugar de dedicar tiempo y recursos a revisar, monitorizar, etc. determinados parámetros de la actividad de los usuarios, consideramos que esta supervisión podría ser transferida al propio usuario a modo de autocontrol y autoregulación cuando sea necesario. Para ello nos planteamos la posibilidad de elaborar mensualmente unos informes de actividad personalizados para ser distribuidos a todos y cada uno de los usuarios. Obviamente se trata de un informe de carácter confidencial que únicamente es conocido por el usuario en cuestión. El informe podría contener, a modo de ejemplo, algunos de los siguientes indicadores:

Uso de internet (tiempo en horas, volumen de tráfico, total páginas accedidas, total páginas bloqueadas filtro contenidos, etc.)
Acceso lógico (total accesos, número bloqueos acceso no autorizado, cambio password voluntario/caducidad, etc.)
Uso correo electrónico (cantidad correos recibidos, enviados, volumen de datos, etc.)
Incidencias (virus, malware, etc.)

Con objeto de que el usuario sea consciente de su situación estos indicadores deberían compararse con algún valor objetivo o de referencia. Dado que difícilmente se pueden establecer valores objetivos de, por ejemplo, cantidad de correos, accesos a la red/aplicación, etc. entendemos que junto al valor en cuestión podría figurar el valor medio del conjunto de usuarios. De esta forma, el usuario, comparándose con la mencionada media de la organización, podría comprobar si está alineado o no con los niveles de uso "habituales", que no aceptables!.

Sobre el papel todo funciona y parece idílico pero dado que el comportamiento humano es imprevisible ¿podemos tener la certeza de que el usuario llegue a captar el mensaje y actúe en consecuencia? En ocasiones, si se percibe que se deposita toda la confianza en uno mismo se actúa de forma muy distinta a como se haría en caso de estar permanentemente "vigilado" (que no es el caso!). No obstante, también puede convertirse en una malinterpretación de la finalidad básica y convertirse en un "todo vale".

También existen otros inconvenientes añadidos como ¿qué pasa si la media colectiva es ya de por si elevada o fuera de valores aceptables? Aún así, habría que tener muy claro cuales son los valores aceptables de algunos de los indicadores ...... por ejemplo, ¿alguien se atreve a exponer cuantas horas de navegación mensuales son permisibles? ¿2 h? ¿10 h? ¿50 h? ¿depende? Otro caso, ¿Cuantas veces al mes sería razonable que un usuario se equivocara en sus credenciales y se le bloqueara la cuenta? ¿0? ¿2? ¿5? Señalar que hay algunos indicadores que de ninguna forma están vinculados a un mal uso o similar, son simplemente informativos.

Para finalizar, tampoco es objeto de esta entrada la más que trillada disquisición acerca de los recursos de la empresa y su uso por los trabajadores.

CITA DEL DIA: "Si el estado de seguridad absoluta existiese no harían falta las copias de seguridad"

Bloqueo según la LOPD ................

2008-09-21T14:41:00.000-07:00

En el día de hoy me apetece plantearos un aspecto relativo a la LOPD que desde hace mucho tiempo me ronda la cabeza. Al igual que lo hacia el difunto RD 994/1999, el RD 1720/2007 establece en su artículo 98, y dicho coloquialmente, la necesidad de bloquear el acceso reiterado a los SI (niveles medio y alto). Exactamente viene a decir lo siguiente:

Artículo 98. Identificación y autenticación.
El responsable del fichero o tratamiento establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.

Por otro lado, según las definiciones (artículo 5) del RD 1720/2007 se considera sistema de información el conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carácter personal.

Pues bien, esta medida que para todo profesional que más o menos se dedica a esto lo tiene más que claro, creo que requiere de ciertas consideraciones a la hora de cumplir con ella.

Primero de todo hago una pregunta al aire: ¿Cuál es el objetivo básico y primordial que pretende conseguir el legislador? Obviamente, limitar o restringir la posibilidad de accesos no autorizados, pero ........... ahora viene lo interesante: ¿Qué mecanismo considerará válido el legislador?

En este asunto se puede adoptar una solución fácil, digamos de compromiso, o por el contrario, uno se puede complicar la vida de forma notable. A modo de ejemplo os expongo algunas de las cuestiones que me he planteado a la hora de adoptar una solución:

Si hay control de acceso a distintos niveles (equipo, plataforma, aplicación, etc.), ¿cuál es el más indicado para habilitar el control del limite de accesos? ¿en el de equipo? ¿en todos?

¿Se considera válido, por ejemplo, el simple cierre de la aplicación (acceso a datos) o por el contrario debe forzarse el bloqueo de la cuenta del usuario?

En el supuesto de intentos de accesos reiterados en que tanto la cuenta del usuario como el password no son válidos, ¿qué cuenta se debería bloquear? ¿debería bloquearse el equipo entonces?

En el caso de poder bloquear una cuenta o equipo, ¿cómo sería el bloqueo? ¿temporal? ¿cuánto tiempo? ¿5 min.? ¿30 min.? ¿indefinida hasta la intervención del administrador?

Y una vez claro cómo y qué bloquear, ¿cómo se desbloquea? ¿incidencia a soporte usuarios? ¿sistemas de autoservicio (robustos y fiables) que el propio usuario puede desbloquear (preguntas clave)?

Si tuviéramos medidas de control de acceso biométrico (por ejemplo portátiles), ¿que haríamos? ¿bloquear el equipo por completo? Este es un caso especial, puesto que mi criterio es que un ordenador portátil pertenece a un usuario en concreto, por lo que a priori, no encaja que alguien no autorizado intente acceder al mismo.

Otros factores que deben ser considerados también:
Evaluar el impacto que tendrían estas medidas en soporte a usuarios: volumen de incidencias, dimensionamiento equipos, coste, ....
Considerar la posibilidad del bloqueo premeditado por terceros. “Típicas” gracias o bromas entre compañeros y/o otros motivos que no son de carácter lúdico-festivo, es decir, con perdón “mala leche”.
Lo dicho, algo muy fácil de definir pero que su puesta en práctica no es tan trivial como parece. Lamentablemente, en no todos los sitios se dispone de un sistema SSO (Single Sign On), de esta forma la solución a adoptar sería mucho más fácil, rápida y sencilla.

CITA DEL DIA: "Si la seguridad plena no existe, ¿qué hacemos aquí?"

De la candidez a la segurcracia

2008-09-20T04:24:00.001-07:00

Según la Real Academia Española de la lengua:

-cracia.
(Del gr. -κρατία, de la raíz de κράτος, fuerza).
1. elem. compos. Indica dominio o poder. Bancocracia, fisiocracia

Partiendo de la definición anterior, en primer lugar, definimos “segurcracia” como un modelo de gestión en el que, por encima del resto, predominan y prevalecen los aspectos básicos de la seguridad de la información en sus tres vertientes: disponibilidad, integridad y confidencialidad.

De todos es sabido que la seguridad de la información ha ido evolucionado de forma constante desde tiempo atrás. Para nada vamos a exponer ni descubrir está evolución, sirva únicamente para contextualizar esta reflexión.

Las medidas, que tiempo atrás se aplicaban a lo que hoy en día equivaldrían al concepto de seguridad de la información, se limitaban prácticamente a controlar de forma severa el acceso a una enorme sala en la que se ubicaba un cacharro inmenso repleto de bombillas y cables. A medida que todo evolucionaba, las necesidades, las prestaciones, la accesibilidad, el mercado, etc., el ámbito de la seguridad de la información fue ampliándose a lo que en día de hoy conocemos.

En la actualidad, en concreto allí donde preocupan estas cuestiones, la “lucha” se centra en alcanzar el máximo equilibrio entre seguridad y operatividad, esto se traduce en que la seguridad no condiciona en gran medida la solución de todo proceso, funcionalidad, operativa, etc. En algunos lugares, los CIO’s, CISO’s o como queramos llamarles (si con suerte existe esta figura), viven en un estado de casi aislamiento con poca o nula participación en la definición de soluciones. Básicamente se constituye como una línea de trabajo vertical (muy centrada en temas técnicos) y no transversal a toda la organización.

Obviamente hay excepciones y en determinados casos la estrategia se basa en la seguridad (en una entidad financiera especialmente, PERO con diferencia está centrada únicamente en canales como internet, banca telefónica, etc.). En definitiva, desde una visión pragmática, aún queda mucho trayecto para que la seguridad tenga voz y voto en cualquier órgano de decisión, tanto en el día a día como en grandes foros estratégicos de la organización.

Pensar durante 2 minutos cuantas reuniones, para tratar temas de carácter funcional, operativo, etc., se realizan a diario en vuestros respectivos trabajos en las que por regla general también asista alguien que pueda aportar implicaciones en términos de seguridad de todo tipo (legales, técnicas, operativas, etc.). Haberlas haylas! pero, enfatizo, ¿es por norma general y para toda clase de cuestiones?

Desde aquí queremos proyectar nuestra reflexión sobre la relevancia de lo que vendría a ser la “segurcracia” (ver definición). A priori, suena algo muy rígido, duro, etc. pero en el fondo la idea es muy simple y consiste en transmitir que la seguridad se convierta en un factor (de importante peso dadas las repercusiones que puede tener) a considerar en toda decisión operativa, estratégica, funcional, etc. de cualquier ámbito de la organización.

Hoy en día, unicamente encontramos como aplicación práctica (con salvedades) lo que sería la aplicación de un sistema de gestión basado en la norma ISO 27001. No obstante, nuestra particular interpretación es que la organización debería regirse por completo bajo esta norma. Las normas restantes (sin ánimo de ofender) como la 9001 Calidad, la 14001 Ambiental, etc. quedarían supeditadas a ésta.

Para finalizar, ¿creéis que llegará el día en que realmente tengamos que adoptar un modelo “segurcrático”? Por un lado puede estar muy bien desde el punto de vista profesional ;-), pero por otro lado, también implica que todo irá a peor (ataques mejor elaborados, amenazas nisiquera imaginadas hoy en día, riesgos mayores, etc.).

CITA DEL DIA: "La seguridad únicamente existe en un estado de inconsciencia"

Chrome y su posición en el mercado

2008-09-15T01:58:00.000-07:00

Tras unos cuantos días de tener a Chrome en el mercado, he estado analizando las estadísticas de la página web de mi empresa, y estos son los resultados:

Está claro que los resultados no han sido para tirar cohetes ni mucho menos, pero lo interesantes sería saber el por qué de esa escasa porción de mercado.

¿Lo consideran un browser muy inseguro? ¿Demasiado nuevo? ¿No aporta nada? Si estoy bien con el mío, ¿por qué lo voy a cambiar? ¿Falta la versión para linux?

Seguiremos informando...

Spamos hasta arriba

2008-09-04T14:00:00.000-07:00

Analizando el informe de indicadores que mensualmente emitimos nos ha llamado enormemente la atención el importante aumento de la cantidad de correos no deseados (spam) recibidos en comparación con el mes anterior. Como se puede ver en la siguiente gráfica el incremento es bastante significativo (aproximadamente un 120%).

Perdonar por no poner las magnitudes pero creemos que son irrelevantes, solo deciros que estamos hablando de millones de correos recibidos. En cuanto al ratio de spam es el valor habitual, un 97% aproximadamente.

Tras descartar la posibilidad de un error en los datos del informe nos ha picado la curiosidad de por qué este aumento y aún más en estas fechas de supuesta tranquilidad. Buscando y rebuscando en los sitios favoritos (algunos desde ahora por la calidad de la información encontrada) y demás, parece definitivo que el motivo principal ha sido el notable crecimiento (20-25%) del número de máquinas comprometidas e integradas en las ya archiconocidas botnets.

La segunda parte de la película es intentar saber a que se debe el aumento de las máquinas afectadas, no obstante, este aspecto ya nos ocuparía algo más de tiempo y tampoco es el objeto de esta entrada. En los links relacionados se apuntan algunos de los motivos.

Para corroborar esta incómoda situación, hoy mismo nuestro proveedor de servicios gestionados de seguridad email (antispam para los amigos) nos ha enviado un comunicado que viene a decir que "sobre las 10:40h de hoy se ha producido un ataque masivo de spam generándose un volumen de peticiones SMTP muy por encima de lo habitual. Esta carga de tráfico ha provocado saturaciones intermitentes en los servidores de seguridad: el sistema está diseñado para suspender de forma automática el filtrado anti-spam cuando se superan determinados niveles de carga. Esto es así debido a que primamos la entrega de emails por encima del análisis anti-spam. A las 11:50h los niveles de carga de tráfico y de filtrado anti-spam se han normalizado.".

En parte también ha venido motivado por haber recibido, en mi caso personal, 2 correos de spam (venta de fantásticos relojes) cuando la media de los últimos 6 meses aproximadamente ha sido 0.

Esperaremos a final de mes para comprobar cual es la tendencia.

Seguiremos informando ..........

Más info al respecto en:

http://www.sahw.com/wp/archivos/2008/09/03/incrementos-notorios-en-el-numero-de-maquinas-integradas-en-botnets/

http://www.messagelabs.com/resources/mlireports (ver informe Agosto)

http://arstechnica.com/news.ars/post/20080903-botnets-activity-saw-sudden-unexplained-surge-over-summer.html

Otro "error" de Chrome ......

2008-09-03T12:58:00.001-07:00

.... aunque no desde el punto de vista técnico sino funcional. Trasteando un poco me he percatado que el novedoso y "revolucionario" navegador permite ver en claro las contraseñas de acceso almacenadas. Además, esto ocurre independientemente de si se está autenticado o no en esas páginas.

Personalmente no encuentro demasiada lógica a esta "funcionalidad". Desde mi punto de vista desvirtúa por completo los aspectos de secreto, confidencialidad, uso personal e intransferible, etc. asociados a las contraseñas de acceso.

Confío en que simplemente se trate de una "utilidad" de la versión beta que en la versión definitiva no figurará ........

Desgranando la Defcon 16

2008-08-19T00:54:00.000-07:00

Revisando las presentaciones de la Defcon 16, me he encontrado con una (por ahora) que me ha parecido interesante comentar. Es la presentación de Taylor Banks y Carric que la podéis encontrar aquí : http://164.106.251.250/docs/dc2008/defcon-16-banks-carric.pdf

La presentación versa básicamente sobre los test de intrusión, historia, finalidad, evolución… Nos dan un paseo por los pentest desde los inicios de la informática, nos habla de películas en la que podemos ver a supuestos hackers en acción, libros interesantes…

También habla sobre las certificaciones y sus instructores, se plantea la utilidad de ellas, la importancia que le da mucha gente. Ellos se muestran claramente contrarios a estos títulos, y argumentan que muchos instructores de estas certificaciones asisten a charlas que ellos ofrecen.

Pero la parte interesante de la presentación viene cuando hablan del intrusismo que sufre esa rama, hoy en día cualquiera cree que puede hacer un pentest, tirando de nmap y nessus, como si fuese tan fácil. Hacer un pentest es algo laborioso, que conlleva mucho tiempo, que te obliga a tener unos conocimientos amplios y a saber separar la paja de los resultados realmente válidos que vas obteniendo. Te obliga a saber explotar vulnerabilidades con las cuales demostrar esa debilidad. De nada, o casi nada, le sirve al cliente que le entreguemos 1000 hojas de reports de nessus, necesitan algo más, un estudio de esos resultados, un análisis del código...

Lo importante es que, si queremos dedicarnos a hacer pentest, nos formemos bien, tengamos claro que detrás de las herramientas estamos nosotros, no podemos pretender hacerlo todo automatizadamente, el botón “Scan now” va muy bien, pero no lo es todo, el test de intrusión requiere de mucha parte humana, de saber interpretar los resultados y saber hacia donde moverse en cada momento.

Si somos la parte contratante, tener claro que tipo de pentest nos van a hacer, como nos van a presentar los resultados, dejar claro que no explotarán las vulnerabilidades DoS en entornos de producción. Para todo ello recomendamos firmar un contrato en el que estableceremos los límites del pentest y daremos nuestra aprobación para su realización.

De Massachusetts a la DEFCON 16 en metro.

2008-08-14T00:00:00.001-07:00

Durante el fin de semana pasado, del 8 al 10 de agosto, se realizó en Las Vegas el mayor evento hacking del mundo, la Defcon 16 (https://www.defcon.org/). Desde aquí nuestro reconocimiento a la representación española compuesta por Chema Alonso, José Parada y el equipo Panda with Gambas.

Esta edición, además de las habituales exposiciones, talleres, etc. de diversos expertos en seguridad (a destacar Dan Kaminsky y su “novedosa” vulnerabilidad en los DNS), se ha caracterizado por un “suceso” a nuestro entender, digno de interés.

Un grupo de chicos del MIT (Massachusetts Institute of Technology) se dirigían a la Defcon con la intención de presentar su “estudio” sobre el Metro de Boston, en el cual explicaban, entre otras cosas, vulnerabilidades en el sistema de acceso. Pues bien, esa charla fue “interceptada” por un juez, ya que las autoridades de tránsito de Boston demandaron a estos tres jóvenes alegando que la información que iban a exponer podría ser usada de forma fraudulenta (razón no les faltaba!). Curiosamente estos estudiantes presentaron su trabajo en la universidad consiguiendo una calificación de Excelente.

Estos hechos nos generan diversas preguntas:
¿Estos chicos no han pecado de cierta dosis de ingenuidad?
Incluso reconociendo la ilegalidad de sus actos ¿Qué pretendían realmente?
¿Dónde está el límite a la hora de exponer este tipo de “proezas”?
¿No habría sido mejor que las autoridades de tránsito hablaran directamente con estos chicos y aprovechándose de su trabajo mejoraran su sistema?
¿Este tipo de “descubrimientos”, no sería mejor tratarlos con cierta discreción?
¿Es ético explicar las vulnerabilidades de una empresa, aun siendo sin ánimo de lucro?
¿En qué momento traspasamos la barrera de la legalidad?
¿Es clara la diferencia entre un white hat y un grey hat?
Para estos “experimentos” ¿no deberíamos pedir consentimiento del afectado previamente?

En resumen, creo que hechos de este estilo convierten el "arte" del hacking (no confundir con cracking) en un vulgar circo que no beneficia en nada a la comunidad que actúa con cierta ética.

Como anécdota decir que en la presentación que iban a realizar, se podía leer “Todo esto es ilegal! Por lo tanto el material es para uso educativo”, así que argumentar un desconocimiento de la infracción les será difícil.

Para conocer los detalles de la historieta ver :
http://www-tech.mit.edu/V128/N30/subway/Defcon_Presentation.pdf

Primera entrada del blog con certificación incluida.

2008-08-13T00:14:00.001-07:00

Aunque hemos fijado como fecha de "inauguración" del blog el 1 de Septiembre, nuestras ganas por iniciar esta aventura hacen que incluyamos entradas desde hoy mismo (y así enmascaramos nuestras pruebas en blogger).

Tras varios meses preparándonos, el pasado jueves día 7 de Agosto nos presentamos al examen de certificación CEH (Certified Ethical Hacker) de EC-COUNCIL.

Nuestra motivación no fue la de convertirnos en unos hackers de película sino la de ampliar nuestros conocimientos en esta materia, además de obtener un certificado que tiene cierta reputación en el mundo de la seguridad.

Obviamos nuestra presentación, ya que la podéis encontrar en la sección de autores.