Ubicación Seguridad de la Información

Aprovecho esta entrada para dar respuesta a la petición de Gianluca, presidente del ISMS Forum Spain, que ha realizado en el grupo de linkedin. La verdad es que me ha parecido una reflexión muy interesante y como Gianluca comenta, pocas disertaciones existen al respecto. Este es el tema planteado:

"Estimados amigos y socios del ISMS, Aprovechando este grupo de Linkedin me gustaría emplazaros a participar en un debate sobre la eterna cuestión de donde ubicar estratégicamente la función de Seguridad de la información. ¿Dentro o fuera de IT? Razones, ventajas y/o inconvenientes de las dos opciones. Personalmente creo que es una cuestión todavía poco debatida y analizada. Sin embargo es de crucial relevancia a la hora de planificar estrategias y objetivos. Os advierto que utilizaré vuestros argumentos, reflexiones y análisis (referenciados en la medida de lo posible) para redactar un editorial que será publicado en un medio de comunicación del sector. Gracias a todos de antemano por vuestras participación, Gianluca"

Pues de entrada diría que DEPENDE ..... cada organización tiene su propia idiosincrasia, cultura, política interna, etc. que con absoluta seguridad condicionan la ubicación de tan "sagrada" función. Me temo que no hay una formula universal. No obstante, en términos generales se podrían establecer las siguientes consideraciones con objeto de facilitar el posicionamiento de esta "unidad de negocio":

Estratégicamente: debería ser omnipresente. En cualquier proceso de negocio de cualquier área, departamento, dirección, etc. debe existir la óptica de la seguridad. Es obvio que SIEMPRE, en un soporte u otro, en un formato u otro, en una cantidad u otra, con una criticidad u otra, ..... hay información por medio, desde el diseño del último producto que saldrá al mercado hasta el email de un cliente al que se le envía un boletín de noticias. Todo es información, hasta las charlas espontáneas mientras se toma un café....... Se debe aplicar el habitual tópico de siempre: la Dirección debe estar implicada por completo.

Jerárquica/organizativamente: Creo que es un aspecto secundario. También influye mucho si hablamos de una pyme de 10 empleados o una megacorporación de 100.000 empleados. Es más debería ser un "ente" multidisciplinar, transversal a toda la organización y con suficiente "poder". Cuanta más cercanía y línea directa con la cúpula mucho mejor. En nuestro caso particular tenemos constituido un comité de seguridad para consensuar y acordar de forma global (distintas ópticas/implicaciones) los temas de cierta relevancia. La aplicación de las grandes decisiones y el día a día es otra historia.....

Tecnológicamente: Dependerá del grado de dependencia de la tecnología y de la propia infraestructura tecnológica (hablamos de un servidor de datos o de 2 cpds replicados con sus Hosts, sistemas críticos 24x7, SANs, cluster de servidores, entornos virtualizados, comunicaciones con miles de delegaciones, etc....), aunque en cualquier caso creo que la visión estratégica debería estar fuera de TI. Sólo mencionar que hay sectores en que la información más crítica e importante no está soportada en medios tecnológicos. En este punto también comentar que existen interesantes tendencias que apuntan hacia una gestión global de la seguridad, además de los aspectos de TI hay que contemplar la seguridad de las instalaciones, de las personas, de la imagen, de la reputación, etc. Por tanto, esa asociación tan directa a TI empieza a disolverse un poco.

Funcionalmente: también se deberían observar cuáles son las actividades que se realizan desde la función de Seguridad de la Información. Estas pueden pasar por la definición de normas y procedimientos corporativos, supervisión/revisión de su cumplimiento e implantación, concienciación, formación, monitorización, informes, métricas, LOPD, SGSI, PCN, etc. En ocasiones son aspectos muy relacionados pero su aplicación se gestiona desde puntos totalmente separados de la organización. En determinados escenarios es casi obligado segregar o especializar partes de la función de seguridad en unidades independientes, en cualquier caso todas ellas dependerían de un órgano único central (léase comité, staff, ......).

Operativamente: otro punto a considerar es la forma de llevar a cabo esta función. Recursos internos, externos (permanentes/eventuales) presencialmente, externalización, mix de todo, ..... en función de la tipología y la magnitud de la estructura necesaria para el desarrollo de las actividades relacionadas con la seguridad de la información dependerá su ubicación/dependencia.

Un inciso final, personalmente creo que bajo ningún concepto puede contemplarse la posibilidad de que la función "estratégica" de Seguridad de la Información sea depositada en terceros, ya sea asesores consultores, gurús, expertos o afines (por muy buenos, eficientes, fieles, independientes, etc. que sean o parezcan).

En resumen, recapitulando creo que la solución es ............ ni dentro ni fuera sino todo lo contrario :-) Hay muchos y diversos factores intrínsecos a toda organización que intervienen en esta "decisión". No obstante, más que dónde estoy ubicado me preocupa mucho más cómo alcanzar los objetivos de inculcar, concienciar, implantar, etc. la seguridad de forma eficiente y global en una organización.

Lo siento pero no puedo aportar referencias de nada, para bien o para mal, todo es de cosecha propia.... soy muy poco dado a utilizar normas, estándares, etc. como dogma de fe. Son muy útiles como modelos de referencia pero son muy teóricos, ambiguos, generalistas, etc. que no son aplicables en todos los casos, siempre hay particularidades específicas. Hay tanta literatura referente a estos temas (COBIT, ITIL, BS, ISO, SANS, etc.) que es fácil encontrar referencias a lo comentado, o no ! :-)

CITA DEL DÍA: "La puerta de la cocina sólo debe abrirse desde dentro ........"

Jugando a Pádel

Está claro que la LOPD es bastante desconocida para "la gente de a pie", pero hay que reconocer que cada día más gente empieza a oír hablar de ella, que se interesa e incluso se plantea dudas.

En el club deportivo al que pertenezco, el personal de administración sabe a qué me dedico y muchas veces me ha caído alguna que otra pregunta. Habitualmente de ofimática, usabilidad de windows e incluso como descargar más rápido de redes P2P (está claro que si trabajas con un ordenador tienes que ser el que sepa acelerar las descargas y bajarte los estrenos de cine antes que nadie).

Pues el otro día la pregunta me sorprendió, no os voy a engañar, hasta se me caía la lagrimilla y todo... y fue la siguiente:

"Dani, una cosa. Mira, estamos organizando un torneo de paddel, y nos gustaría poner en la web los participantes, con su foto, su posición en el ranking y su nombre, ¿habría algún problema ?"

La respuesta no os la voy a exponer porque de sobras sabéis que hay que hacer en estos casos, lo destacable de la historia es ver como una persona ajena por completo a estos temas de privacidad, confidencialidad, etc... ha llegado a preocuparse por un tema que la LOPD toca de lleno. Por supuesto que desconocía la Ley, pero algo en su interior le dijo que a lo mejor no estaba actuando del todo bien.

¿Estará cambiando algo o me pilló con la defensa baja?

CITA DEL DIA: "Cuidado con lo que te entra por detrás, en informática también"

¡ Vendo leña barata !

Por fin he dejado de ser un paria social (desde ayer vuelvo a tener acceso a la red) ...... :-). Tras la disrupción vivida creo que se puede dar por finalizada la fase de recuperación/restablecimiento de mi particular PCN.

Con relación a la entrada de Samuel en su blog quisiera compartir con todos vosotros y vosotras los daños que la brisa de estos últimos días ha causado en mi humilde morada (sólo el muro exterior y el suelo destrozado ya que el pino fue arrancado literalmente de raíz). Haciendo referencia a la continuidad de las infraestructuras críticas simplemente indicar que en situaciones como la vivida poco o nada se puede hacer. Como se puede ver en la fotografía el poste que sostiene el tendido eléctrico también murió en acto de servicio.

Por "suerte" estamos acostumbrados ya que no es el primer pino ni el último que cae (el último fue por el peso de la nieve.......). Un poste no es gran cosa pero cuando hablamos de unos cuantos postes en cada calle e incluso torres de alta tensión totalmente retorcidas me temo que no hay PCN que valga. A pie del campo de batalla las cosas no son tan fáciles. Pinos y más pinos bloqueando calles, se precisan grúas, cortar un pino de más de 50cm de diámetro y más de 20m de alto os aseguro que no es nada fácil, ..... En fin, sólo decir que en el momento en que la infraestructura física más básica (cables, postes, etc.) está completamente aniquilada no hay más que tener paciencia.

Desconozco cual es el contenido de los "PCN" de las partes implicadas pero me atrevería a decir que es bastante más sencillo de lo que podemos pensar. Me temo que la fase de recuperación en concreto debe ser algo así como: "a ponerse las pilas y a currar como poseídos para volver a la normalidad cuanto antes". En definitiva, improvisación.

Desde aquí agradecer a las brigadas del suministro eléctrico, Parcs i Jardins, Telefónica, etc. el curro que se han pegado (los primeros días estaban 24 horas dando el callo).

CITA DEL DÍA: "La seguridad es como un iceberg, la mayor parte no se ve pero está ahí"

ESEGESEI INTECO

El pasado miércoles asistí, en calidad de indirecto beneficiario, a la reunión de lanzamiento de un proyecto de implantación+certificación de un ESEGESEI subvencionado por INTECO. Para ser sincero os expondré mi opinión del tema desde dos perspectivas, lo que pensé 2 minutos después de acabar la reunión y lo que pienso mientras escribo (estando más sosegado).

Nada más salir de la reunión tuve una gran decepción, más o menos esperada dadas las bases de la convocatoria. En varios foros, por ejemplo el grupo ISO 27001-SGSI Spanish Group de linkedin.com (creado por Javier Cao), ya se había comentado que el límite de las 20 semanas para desarrollar el proyecto es muy pero que muy justo (obviamente hay diversidad de opiniones). Mi inicial desencanto está basado en los siguientes aspectos:

• El enfoque es puramente de mínimos. Análisis de riesgos reducido a la mínima expresión, se habló de un objetivo (sin tener el ámbito definido) de 25-30 activos y 2-3 amenazas por cada uno. Supongo que es un cálculo rápido de las magnitudes más o menos asumibles. No me considero ningún experto en análisis de riesgos pero alguno que otro he hecho por lo que personalmente me resulta escaso (y más conociendo de cerca el entorno objeto de certificación).
• Mucha dependencia de los procedimientos existentes. Si la empresa está más o menos madura en términos de seguridad de la información es un factor que facilitará las cosas (aunque me temo que la revisión de los protocolos existentes será bastante reducida). En caso contrario supondrá dedicar mucho del poco tiempo a la documentación de procedimientos.
• Se dejó entrever que los procedimientos serán bastante genéricos por no decir "estándar" (me gustaría ver el resultado final de 3-4 empresas, me aventuro a decir que visto uno vistos todos).- También tuve la sensación de que muchos controles se caerían argumentando, rozando el límite, la no aplicabilidad en el flujo de negocio en concreto.
• Muy orientado a la certificación pura y dura. En realidad es el objetivo final pero durante el camino apenas se profundizará en muchos puntos fundamentales (formación, cultura de esegesei, etc.). Focalizado al cumplimiento de los puntos que el certificador verificará.
• Si a todo eso le sumamos que el equipo de trabajo (1 persona para el trabajo de campo) del implantador debe multiplexarse en n proyectos en paralelo (así expuesto por su parte) pues la verdad es que la dedicación por parte de los que saben la anticipo como escasa.

Resumiendo y haciendo un símil con el mundo del ladrillo, me temo que la "constructora elegida" se encargará del esqueleto de la vivienda pero las paredes, instalación eléctrica, puertas, ventanas, etc. hasta la completa decoración de la casa irá a cargo del "comprador". Esperemos que no se asemeje a la infinidad de casas que en la vida real se han quedado a medias...........

En ningún caso se puede reprochar nada a nadie, ni a las empresas implantadoras en particular ni a INTECO en general. El tiempo y el trabajo a realizar es el que hay, para bien o para mal, y poco se puede hacer al respecto. A pesar de que lo anteriormente expuesto sigue siendo, bajo mi criterio, aplicable, quiero decir que aún estando más sosegado pienso igual ;-).

Para finalizar, me atrevería a decir que este interesante y positivo proyecto podría ser articulado de distinta forma, ni mejor ni peor, sólo diferente. A tal efecto, y de cara a sucesivas convocatorias, que espero se produzcan, propondría lo siguiente:

• El famoso plazo de 20 semanas debería ser algo más extenso y/o adaptable a cada caso. Aún certificando el mismo proceso de negocio NO es lo mismo una compañía de 50 empleados, con un negocio muy vertical claramente candidato a "securizar" y con una infraestructura "simple" (servidor en red), que una empresa de más de 200 empleados, diversidad de "líneas de negocio" certificables tanto verticales como transversales, infraestructura "compleja" (2 CPD's, desarrollo, sistemas, explotación, comunicaciones, etc.). Cuanto mayor sea la empresa hay mayores implicaciones organizativas, operativas, funcionales, etc. y el flujo de negocio a certificar no se puede aislar del resto tan fácilmente. Y a la inversa también ocurre, habrán empresas que con 20 semanas tendrán de sobra.
• Personalmente creo que el éxito del esegesei radica en la interiorización y aplicación de todo lo que en él se haya definido. No me cuadra que la certificación tenga que ser inmediatamente posterior a la “implantación”. ¿Qué valor tiene certificar algo que en el mejor de los casos tendrá 4-5 semanas de vida? Quizás el periodo entre implantación y auditoría de certificación deba ser mayor para que el esegesei realmente funcione.
• La participación de implantadores en n proyectos simultáneamente debería estar limitada/controlada de alguna forma. Se corre el riesgo de que las grandes consultoras/empresas de servicios acaparen el mercado (por razones obvias) y no tengan capacidad suficiente para prestar un buen servicio (como ya he dicho antes, este punto fue expuesto abiertamente por parte del implantador).

En definitiva, quizás mi opinión sea un poco precipitada pero de entrada me ha parecido algo bastante descafeinado .......................... ojalá tenga que retractarme de mis palabras :-)

CITA DEL DÍA: "La seguridad es directamente proporcional a los incidentes sufridos"

El teléfono tutor

Ayer me encontraba en casa viendo la televisión y apareció él, delante de mí, como si nada, el TELÉFONO TUTOR.

¿De qué se trata? Pues es un teléfono movil en apariencia normal, con la particularidad de que es capaz de replicar todos los mensajes y llamadas que reciba y enviarlos a otro teléfono.

Usos que le atribuían: pues lo consideraban una buena medida para prevenir a los hijos de la actuación de los pederastas, poder tenerlos controlados y ver con quien se mensajean y en qué tono. También sería útil para temas de bulling, ya que por desgracia ambos están a la orden del día.

Está claro que dicho de esta forma parece que estamos haciendo un mal menor (vulnerar la intimidad del menor) para evitar un mal mayor (acto de pederastia), no iremos al infierno ya que el catolicismo nos lo ampara, pero, ¿y la ley? estamos vulnerando la intimidad de una persona (habrá que tener en cuenta también la edad del menor).

Yo, de mente perversa como ya sabéis, he estado pensando en otras posibilidades para este teléfono, y entre ellas me ha surgido una bastante interesante: podríamos hacer un regalo, amparándolo en que es un cliente preferente de alguna tienda, por ejemplo Carrefour (aquí entra la imaginación y la investigación de cada uno) y dárselo a un directivo de la competencia, que tentado por su bonito aspecto, lo utilice a diario, ¿qué os parece? Luego tenemos la variante de dárselo a un ejecutivo de nuestra propia empresa, como movil corporativo, veremos si nuestras sospechas sobre este trabajador están fundadas o no.

He oído rumores de que los espías del PP lo utilizan, jejeje.

La parte negativa de todo esto es que el juguetito se va a los 2.000€

CITA DEL DÍA: "No hay que matar moscas a cañonazos, olvida el formateo como primera opción"

Estás en las nubes!!!

A día de hoy si hay alguna palabra que define la última moda en internet es : nube.

No voy a explicaros en que consiste porque lo sabéis sobradamente. Actualmente se está debatiendo sobre la utilización de aplicaciones/servicios que residen en la nube, un ejemplo claro y tratado en varios sitios es el uso de plataformas de cloud mail como correo corporativo (lo podemos hacer extensivo a documentos, presentaciones…). Desde este pequeño púlpito me declaro contrario a estas acciones, ya que para mí, no ofrecen las suficientes garantías de seguridad. La idea de tener documentación confidencial y, en muchos casos crítica, en servidores de "vete tu a saber dónde", administrados por "vete tu a saber quién" y que te pueda pasar "vete tu a saber qué" no me convence en absoluto.

En ningún momento entiendo el correo corporativo como el súmmum de la seguridad, pero si que lo considero un medio completamente controlado por los administradores de seguridad de la empresa, sabemos cuando está down y podemos responder claramente a nuestro director de la situación actual del correo/documento o lo que sea. No me imagino diciéndole a mi director " Lo siento, pero no sé que pasa hoy en la plataforma de cloudmail que usted no podrá enviar ese correo importantísimo".

Antes de "pasar" a esta nube, os planteo algunas preocupaciones, y luego si veis que no lo son tanto pues a volaaaarrr...

- Falta de transparencia : no tenemos ni idea de como están los servidores en los que se aloja nuestra información, ¿están actualizados? ¿son seguros?
- Nulo poder de decisión o influencia : está claro que una "mega" empresa que ofrezca este servicio no se va a amoldar a nosotros, seremos nosotros los que nos amoldaremos a ellos.
- Sometimiento a las decisiones del proveedor : en el momento que decidan algún cambio, ¿nos consultarán? yo creo que no.
- ¿Necesidades cubiertas? : ¿Qué pasará, por ejemplo, cuando queramos recuperar unos correos borrados hace 6 meses? No es algo tan extraño, todos lo sabemos.
- Y si un día decido cambiar de nube o volver a la tierra, ¿me ayudarán? ¿cómo migraré toda la ingente información que tendré en la nube?

Tampoco quiero dar la impresión de que me opongo totalmente al cloud computing, no es así, lo único que debe delimitarse su campo de acción; para un particular, BIEN, para una empresa, MAL (siempre desde mi punto de vista claro!!).

Yo nunca sabré a que huelen las nubes...

CITA DEL DÍA: "No desearás el firewall del prójimo"

Hay vida más allá de www ?

Tras un considerable periodo de tiempo sin aparecer por aquí ya va siendo hora de compartir algo con todos y todas. No voy a extenderme mucho pero entre vacaciones, gripazo e inicio de año movidito en el curro (encuentro cara a cara con W32.Downadup.B) pues apenas he tenido tiempo para dedicarme a este humilde oráculo de conocimiento ;-).

Para inaugurar el nuevo año, por cierto os deseo todo lo mejor (básicamente salud puesto que el resto no sirve de mucho sin ella), os propongo una disertación acerca de la percepción actual que tengo del mundo de la seguridad. Me gustaría remarcar que este fue uno de los motivos por los que me apetecía iniciar este blog.

En los tiempos en que me inicié en esto de la seguridad y la auditoría de sistemas, allá por el año 95, las medidas de seguridad a adoptar se reducían, en el mejor de los casos, a los aspectos más básicos y rudimentarios (seguridad física elemental, control de acceso lógico, copias de seguridad y poco más). Hay que tener en cuenta que en aquella época no habían demasiadas normativas (BS7799-1 es del 95), estándares (COBIT es del 96) y/o leyes (LORTAD del 92).

Las auditorías que por entonces realizaba estaban esencialmente centradas en la infraestructura informática (usando una “metodología” propietaria). Remarcar que lo habitual eran sistemas operativos DOS y/o Windows 3.x bajo redes Novell (las empresas “avanzadas” empezaban a tener Windows 95). En cuanto a bases de datos todavía habían organizaciones que tiraban de dbase. Los sistemas de "verdad" no eran más que enormes hosts (IBM, Bull, Unisys, NCR, etc) con sus pantallas tontas, algún que otro AS/400, escasos Unix (SCO, HP-UX, etc.) y por lo general se disponía de un “potente” servidor por allí escondido (con suerte tenía hasta 100 Mb de espacio en disco).

Por cierto, ¿internet? Pues va a ser que no ......... de hecho no se sabía gran cosa. En cuanto a comunicaciones en el mejor de los casos tenían líneas RTB para comunicarse vía módem con las delegaciones (en muchos casos de modo diferido mediante transferencias de archivos). Los más modernos tenían líneas X.25 a precio de oro por supuesto.

Aún recuerdo la cara de poker de algunos respetables directores de informática (el rol específico de seguridad era inexistente) al plantear temas como la custodia de copias de seguridad en otras ubicaciones, separación de entornos de desarrollo y explotación, controles en aplicaciones, segregación de funciones, etc. La verdad es que por aquel entonces había mucho que proteger además de aprender ........

Tras rememorar viejos tiempos deciros que, a mi juicio, la “gestión” de la seguridad (en su sentido más amplio) de la actualidad es idéntica a la de entonces. Ahora tenemos más complejidad, diversidad, etc. a la vez que más recursos, guías, etc., pero en el fondo, es más de lo mismo.

No obstante, a día de hoy me da la sensación que la seguridad, al menos “mediática” (blogs, web, prensa, tv, etc.), está única y exclusivamente centrada en internet y todo lo que la rodea. Con toda sinceridad, salvo casos muy muy puntuales, me temo que internet no es para nada la principal preocupación de los “chicos y chicas” de seguridad.

Al igual que a much@s de vosotr@s intento ir a jornadas, charlas, seminarios, etc. relacionadas con la seguridad con objeto de aprender, estar al día, descubrir nuevas ideas o puntos de vista, etc. No obstante, últimamente estoy dejando de ir a muchos eventos dado que la inmensa mayoría están focalizados en la seguridad de internet.

No digo que se haga caso omiso a la seguridad en internet pero llega un momento que me resulta excesivamente aburrido que todo gire alrededor de ella. Parece que lo único que nos incumbe sea: virus, Sql Injection, phishing, botnet, rootkit, privilege escalation and XSS, malware, 0-days, pentest, exploit, etc (términos extraídos de los últimos feeds almacenados en google reader).

Como he dicho antes, uno de los motivos que me estimuló a esta aventura bloguera fue la de aportar mi pequeño grano de arena a la seguridad de siempre, a la del día a día. Desde aquí reivindico mayor divulgación de ideas, experiencias, buenas prácticas, etc. relativas a la seguridad de ayer y de siempre.

Será que tengo el día tonto y melancólico .............. ;-)

CITA DEL DÍA: "Mi seguridad empieza donde empieza la tuya"