Primero de todo aclarar que una de nuestras premisas es no publicar entradas cuyo contenido es ajeno a la temática del blog. No obstante, en este caso nos vemos obligados a hacer una excepción. Sirva esta breve entrada para transmitir públicamente nuestro más sincero agradecimiento a tod@s aquell@s que nos habéis dirigido, tanto de forma pública como privada, palabras de ánimo como respuesta a nuestro correo de presentación. Remarcar también que nos ha sorprendido enormemente el estupendo recibimiento en algunos de vuestros respectivos blogs.
Y por otro lado, transmitir cierto grado de decepción por aquellos que no se han dignado nisiquiera a responder. En parte quedan disculpados puesto que sabemos lo duro que es responder a un correo con un simple "gracias y que os vaya bien". Sinceramente no esperábamos nada más. Somos novatos en esto de la blogocosa y aún no tenemos claros según que convenios o pautas se siguen pero desde luego la educación y la gratitud entendemos que siguen vigentes, o no ??
Lo dicho, gracias a todos. Seguiremos aportando nuestro pequeño granito de arena en esto de la seguridad de la información.
CITA DEL DÍA: "La seguridad es un proceso y tu eres parte de él"
Spamos hasta arriba (y 2)
Sirva la presente entrada como complemento de lo ya expuesto en esta entrada. Simplemente dejar constancia del importante incremento de la cantidad de spam recibido (en un solo mes, de agosto a septiembre, ha sido del 158%). El incremento anual acumulado (de septiembre 07 a septiembre 08) es de un 381%.
Ahora solo falta esperar a que esta tendencia tenga fin, si es que lo tiene ..................
CITA DEL DÍA: "El único secreto para estar más seguro es sentirse inseguro"
Informe de INTECO sobre seguridad TIC
INTECO ha publicado un nuevo estudio sobre el sector de la seguridad TIC en España. Lo podéis encontrar aquí.
Los puntos que más nos han llamado la atención son:
Factores de impulso (página 7):
"La legislación constituye un poderoso instrumento para configurar la demanda y suplir, por la vía de la obligación legal, la falta de sensibilización y/o el desconocimiento de los usuarios."
Es un poco triste que la concienciación de los usuarios deba ser "impuesta" a través de reales decretos, leyes y/o similares. Aunque creemos que en lugar de usuarios deberían referirse a las organizaciones, que son las que directamente tienen contacto con los usuarios. Desde el punto de vista de usuarios finales (domésticos) poco o nada pueden/deben hacer a través de medidas legislativas (¿se "obligará" por RD que todo el mundo tenga un antivirus y/o un firewall?).
Demanda de seguridad TIC en grandes empresas (página 8):
"El concepto clave en la demanda de seguridad TIC en las grandes empresas es el de continuidad del negocio."
Es algo que se conocía o se intuía pero nos parece perfecto que salga de una manera u otra "oficializado" en este informe.
A lo largo del informe se detallan estos puntos clave y algunos otros más. Desde aquí recomendamos su lectura.
CITA DEL DIA: "La seguridad no es más que un aceptable nivel de inseguridad"
Los puntos que más nos han llamado la atención son:
Factores de impulso (página 7):
"La legislación constituye un poderoso instrumento para configurar la demanda y suplir, por la vía de la obligación legal, la falta de sensibilización y/o el desconocimiento de los usuarios."
Es un poco triste que la concienciación de los usuarios deba ser "impuesta" a través de reales decretos, leyes y/o similares. Aunque creemos que en lugar de usuarios deberían referirse a las organizaciones, que son las que directamente tienen contacto con los usuarios. Desde el punto de vista de usuarios finales (domésticos) poco o nada pueden/deben hacer a través de medidas legislativas (¿se "obligará" por RD que todo el mundo tenga un antivirus y/o un firewall?).
Demanda de seguridad TIC en grandes empresas (página 8):
"El concepto clave en la demanda de seguridad TIC en las grandes empresas es el de continuidad del negocio."
Es algo que se conocía o se intuía pero nos parece perfecto que salga de una manera u otra "oficializado" en este informe.
A lo largo del informe se detallan estos puntos clave y algunos otros más. Desde aquí recomendamos su lectura.
CITA DEL DIA: "La seguridad no es más que un aceptable nivel de inseguridad"
Predicar con el ejemplo....
Esta entrada la vamos a dedicar a hablar brevemente de Telvent, pero evitaremos darle más palos de los que ya han recibido estos días, como por ejemplo aquí. En nuestro caso nos centraremos en la parte que nos interesa en este blog, su plan de continuidad de negocio (PCN).
Haces unos meses, el BSI (British Standard Institute) nos invitaba a la presentación de la versión en castellano de su nueva norma, la BS25999, en la cual participaba Telvent como ponente.
Allí Telvent nos explicó como era su plan de continuidad, un plan perfectamente probado y “a prueba de bombas”, nos hablaron de la importancia capital que le dieron los directivos a su creación, no nos extraña, ya que se ha calculado que una hora de inactividad de Telvent equivale a mucho dinero, puesto que dan servicio de hosting a empresas en las que la inactividad se mide en millones de euros.
Recordando lo que nos expusieron en la mencionada jornada, y dado el suceso que ahora nos ocupa, nos hace plantearnos diferentes cuestiones:
- ¿Estaba realmente probado el PCN?
- ¿Qué eslabón falló?
- ¿Sabía la gente que debía hacer en esas circunstancias?
- ¿?
Y una cosa más, que para nosotros merece un punto para ella sola. ¿Qué importancia tiene la certificación obtenida por Telvent ? ¿Son las certificaciones una diferenciación en el mercado más de cara a la galería que a la producción? ¿Qué tipo de pruebas se hacen para certificar un PCN?
No vamos a decir nada nuevo con esto, pero estamos hartos de ver PCN muy buenos, casi rozando la perfección, si es que existe, pero que… NO ESTÁN PROBADOS, y eso, les quita todo el valor.
CITA DEL DIA : "Si te sientes seguro, es que no has entendido nada"
Haces unos meses, el BSI (British Standard Institute) nos invitaba a la presentación de la versión en castellano de su nueva norma, la BS25999, en la cual participaba Telvent como ponente.
Allí Telvent nos explicó como era su plan de continuidad, un plan perfectamente probado y “a prueba de bombas”, nos hablaron de la importancia capital que le dieron los directivos a su creación, no nos extraña, ya que se ha calculado que una hora de inactividad de Telvent equivale a mucho dinero, puesto que dan servicio de hosting a empresas en las que la inactividad se mide en millones de euros.
Recordando lo que nos expusieron en la mencionada jornada, y dado el suceso que ahora nos ocupa, nos hace plantearnos diferentes cuestiones:
- ¿Estaba realmente probado el PCN?
- ¿Qué eslabón falló?
- ¿Sabía la gente que debía hacer en esas circunstancias?
- ¿?
Y una cosa más, que para nosotros merece un punto para ella sola. ¿Qué importancia tiene la certificación obtenida por Telvent ? ¿Son las certificaciones una diferenciación en el mercado más de cara a la galería que a la producción? ¿Qué tipo de pruebas se hacen para certificar un PCN?
No vamos a decir nada nuevo con esto, pero estamos hartos de ver PCN muy buenos, casi rozando la perfección, si es que existe, pero que… NO ESTÁN PROBADOS, y eso, les quita todo el valor.
CITA DEL DIA : "Si te sientes seguro, es que no has entendido nada"
¿ Autocontrol del usuario ?
Como todos sabéis existen infinidad de acciones y mecanismos para concienciar y/o educar ;-) a los usuarios en esto de la seguridad de la información. En esta entrada me gustaría plantearos el siguiente tema: ¿creéis que los usuarios por propia iniciativa llegarían a adoptar buenas prácticas (autoregulación) si tuvieran periódicamente información detallada acerca de su actividad?. Para nada me refiero a indicadores de desempeño y/o similares (esto es otra guerra) sino de su interacción pura y dura con los sistemas de información. No hace falta decirlo pero el target de esta propuesta son aquellos usuarios, que se caracterizan, de alguna manera, por un uso "avanzado e intensivo" de las herramientas de trabajo.
A modo de caso práctico os expongo un posible método:
En lugar de dedicar tiempo y recursos a revisar, monitorizar, etc. determinados parámetros de la actividad de los usuarios, consideramos que esta supervisión podría ser transferida al propio usuario a modo de autocontrol y autoregulación cuando sea necesario. Para ello nos planteamos la posibilidad de elaborar mensualmente unos informes de actividad personalizados para ser distribuidos a todos y cada uno de los usuarios. Obviamente se trata de un informe de carácter confidencial que únicamente es conocido por el usuario en cuestión. El informe podría contener, a modo de ejemplo, algunos de los siguientes indicadores:
- Uso de internet (tiempo en horas, volumen de tráfico, total páginas accedidas, total páginas bloqueadas filtro contenidos, etc.)
- Acceso lógico (total accesos, número bloqueos acceso no autorizado, cambio password voluntario/caducidad, etc.)
- Uso correo electrónico (cantidad correos recibidos, enviados, volumen de datos, etc.)
- Incidencias (virus, malware, etc.)
Con objeto de que el usuario sea consciente de su situación estos indicadores deberían compararse con algún valor objetivo o de referencia. Dado que difícilmente se pueden establecer valores objetivos de, por ejemplo, cantidad de correos, accesos a la red/aplicación, etc. entendemos que junto al valor en cuestión podría figurar el valor medio del conjunto de usuarios. De esta forma, el usuario, comparándose con la mencionada media de la organización, podría comprobar si está alineado o no con los niveles de uso "habituales", que no aceptables!.
Sobre el papel todo funciona y parece idílico pero dado que el comportamiento humano es imprevisible ¿podemos tener la certeza de que el usuario llegue a captar el mensaje y actúe en consecuencia? En ocasiones, si se percibe que se deposita toda la confianza en uno mismo se actúa de forma muy distinta a como se haría en caso de estar permanentemente "vigilado" (que no es el caso!). No obstante, también puede convertirse en una malinterpretación de la finalidad básica y convertirse en un "todo vale".
También existen otros inconvenientes añadidos como ¿qué pasa si la media colectiva es ya de por si elevada o fuera de valores aceptables? Aún así, habría que tener muy claro cuales son los valores aceptables de algunos de los indicadores ...... por ejemplo, ¿alguien se atreve a exponer cuantas horas de navegación mensuales son permisibles? ¿2 h? ¿10 h? ¿50 h? ¿depende? Otro caso, ¿Cuantas veces al mes sería razonable que un usuario se equivocara en sus credenciales y se le bloqueara la cuenta? ¿0? ¿2? ¿5? Señalar que hay algunos indicadores que de ninguna forma están vinculados a un mal uso o similar, son simplemente informativos.
Para finalizar, tampoco es objeto de esta entrada la más que trillada disquisición acerca de los recursos de la empresa y su uso por los trabajadores.
CITA DEL DIA: "Si el estado de seguridad absoluta existiese no harían falta las copias de seguridad"
Bloqueo según la LOPD ................
En el día de hoy me apetece plantearos un aspecto relativo a la LOPD que desde hace mucho tiempo me ronda la cabeza. Al igual que lo hacia el difunto RD 994/1999, el RD 1720/2007 establece en su artículo 98, y dicho coloquialmente, la necesidad de bloquear el acceso reiterado a los SI (niveles medio y alto). Exactamente viene a decir lo siguiente:
Artículo 98. Identificación y autenticación.
El responsable del fichero o tratamiento establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.
Por otro lado, según las definiciones (artículo 5) del RD 1720/2007 se considera sistema de información el conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carácter personal.
Pues bien, esta medida que para todo profesional que más o menos se dedica a esto lo tiene más que claro, creo que requiere de ciertas consideraciones a la hora de cumplir con ella.
Primero de todo hago una pregunta al aire: ¿Cuál es el objetivo básico y primordial que pretende conseguir el legislador? Obviamente, limitar o restringir la posibilidad de accesos no autorizados, pero ........... ahora viene lo interesante: ¿Qué mecanismo considerará válido el legislador?
En este asunto se puede adoptar una solución fácil, digamos de compromiso, o por el contrario, uno se puede complicar la vida de forma notable. A modo de ejemplo os expongo algunas de las cuestiones que me he planteado a la hora de adoptar una solución:
Si hay control de acceso a distintos niveles (equipo, plataforma, aplicación, etc.), ¿cuál es el más indicado para habilitar el control del limite de accesos? ¿en el de equipo? ¿en todos?
¿Se considera válido, por ejemplo, el simple cierre de la aplicación (acceso a datos) o por el contrario debe forzarse el bloqueo de la cuenta del usuario?
En el supuesto de intentos de accesos reiterados en que tanto la cuenta del usuario como el password no son válidos, ¿qué cuenta se debería bloquear? ¿debería bloquearse el equipo entonces?
En el caso de poder bloquear una cuenta o equipo, ¿cómo sería el bloqueo? ¿temporal? ¿cuánto tiempo? ¿5 min.? ¿30 min.? ¿indefinida hasta la intervención del administrador?
Y una vez claro cómo y qué bloquear, ¿cómo se desbloquea? ¿incidencia a soporte usuarios? ¿sistemas de autoservicio (robustos y fiables) que el propio usuario puede desbloquear (preguntas clave)?
Si tuviéramos medidas de control de acceso biométrico (por ejemplo portátiles), ¿que haríamos? ¿bloquear el equipo por completo? Este es un caso especial, puesto que mi criterio es que un ordenador portátil pertenece a un usuario en concreto, por lo que a priori, no encaja que alguien no autorizado intente acceder al mismo.
Otros factores que deben ser considerados también:
Evaluar el impacto que tendrían estas medidas en soporte a usuarios: volumen de incidencias, dimensionamiento equipos, coste, ....
Considerar la posibilidad del bloqueo premeditado por terceros. “Típicas” gracias o bromas entre compañeros y/o otros motivos que no son de carácter lúdico-festivo, es decir, con perdón “mala leche”.
Lo dicho, algo muy fácil de definir pero que su puesta en práctica no es tan trivial como parece. Lamentablemente, en no todos los sitios se dispone de un sistema SSO (Single Sign On), de esta forma la solución a adoptar sería mucho más fácil, rápida y sencilla.
CITA DEL DIA: "Si la seguridad plena no existe, ¿qué hacemos aquí?"
Artículo 98. Identificación y autenticación.
El responsable del fichero o tratamiento establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.
Por otro lado, según las definiciones (artículo 5) del RD 1720/2007 se considera sistema de información el conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carácter personal.
Pues bien, esta medida que para todo profesional que más o menos se dedica a esto lo tiene más que claro, creo que requiere de ciertas consideraciones a la hora de cumplir con ella.
Primero de todo hago una pregunta al aire: ¿Cuál es el objetivo básico y primordial que pretende conseguir el legislador? Obviamente, limitar o restringir la posibilidad de accesos no autorizados, pero ........... ahora viene lo interesante: ¿Qué mecanismo considerará válido el legislador?
En este asunto se puede adoptar una solución fácil, digamos de compromiso, o por el contrario, uno se puede complicar la vida de forma notable. A modo de ejemplo os expongo algunas de las cuestiones que me he planteado a la hora de adoptar una solución:
Si hay control de acceso a distintos niveles (equipo, plataforma, aplicación, etc.), ¿cuál es el más indicado para habilitar el control del limite de accesos? ¿en el de equipo? ¿en todos?
¿Se considera válido, por ejemplo, el simple cierre de la aplicación (acceso a datos) o por el contrario debe forzarse el bloqueo de la cuenta del usuario?
En el supuesto de intentos de accesos reiterados en que tanto la cuenta del usuario como el password no son válidos, ¿qué cuenta se debería bloquear? ¿debería bloquearse el equipo entonces?
En el caso de poder bloquear una cuenta o equipo, ¿cómo sería el bloqueo? ¿temporal? ¿cuánto tiempo? ¿5 min.? ¿30 min.? ¿indefinida hasta la intervención del administrador?
Y una vez claro cómo y qué bloquear, ¿cómo se desbloquea? ¿incidencia a soporte usuarios? ¿sistemas de autoservicio (robustos y fiables) que el propio usuario puede desbloquear (preguntas clave)?
Si tuviéramos medidas de control de acceso biométrico (por ejemplo portátiles), ¿que haríamos? ¿bloquear el equipo por completo? Este es un caso especial, puesto que mi criterio es que un ordenador portátil pertenece a un usuario en concreto, por lo que a priori, no encaja que alguien no autorizado intente acceder al mismo.
Otros factores que deben ser considerados también:
Evaluar el impacto que tendrían estas medidas en soporte a usuarios: volumen de incidencias, dimensionamiento equipos, coste, ....
Considerar la posibilidad del bloqueo premeditado por terceros. “Típicas” gracias o bromas entre compañeros y/o otros motivos que no son de carácter lúdico-festivo, es decir, con perdón “mala leche”.
Lo dicho, algo muy fácil de definir pero que su puesta en práctica no es tan trivial como parece. Lamentablemente, en no todos los sitios se dispone de un sistema SSO (Single Sign On), de esta forma la solución a adoptar sería mucho más fácil, rápida y sencilla.
CITA DEL DIA: "Si la seguridad plena no existe, ¿qué hacemos aquí?"
De la candidez a la segurcracia
Según la Real Academia Española de la lengua:
-cracia.
(Del gr. -κρατία, de la raíz de κράτος, fuerza).
1. elem. compos. Indica dominio o poder. Bancocracia, fisiocracia
Partiendo de la definición anterior, en primer lugar, definimos “segurcracia” como un modelo de gestión en el que, por encima del resto, predominan y prevalecen los aspectos básicos de la seguridad de la información en sus tres vertientes: disponibilidad, integridad y confidencialidad.
De todos es sabido que la seguridad de la información ha ido evolucionado de forma constante desde tiempo atrás. Para nada vamos a exponer ni descubrir está evolución, sirva únicamente para contextualizar esta reflexión.
Las medidas, que tiempo atrás se aplicaban a lo que hoy en día equivaldrían al concepto de seguridad de la información, se limitaban prácticamente a controlar de forma severa el acceso a una enorme sala en la que se ubicaba un cacharro inmenso repleto de bombillas y cables. A medida que todo evolucionaba, las necesidades, las prestaciones, la accesibilidad, el mercado, etc., el ámbito de la seguridad de la información fue ampliándose a lo que en día de hoy conocemos.
En la actualidad, en concreto allí donde preocupan estas cuestiones, la “lucha” se centra en alcanzar el máximo equilibrio entre seguridad y operatividad, esto se traduce en que la seguridad no condiciona en gran medida la solución de todo proceso, funcionalidad, operativa, etc. En algunos lugares, los CIO’s, CISO’s o como queramos llamarles (si con suerte existe esta figura), viven en un estado de casi aislamiento con poca o nula participación en la definición de soluciones. Básicamente se constituye como una línea de trabajo vertical (muy centrada en temas técnicos) y no transversal a toda la organización.
Obviamente hay excepciones y en determinados casos la estrategia se basa en la seguridad (en una entidad financiera especialmente, PERO con diferencia está centrada únicamente en canales como internet, banca telefónica, etc.). En definitiva, desde una visión pragmática, aún queda mucho trayecto para que la seguridad tenga voz y voto en cualquier órgano de decisión, tanto en el día a día como en grandes foros estratégicos de la organización.
Pensar durante 2 minutos cuantas reuniones, para tratar temas de carácter funcional, operativo, etc., se realizan a diario en vuestros respectivos trabajos en las que por regla general también asista alguien que pueda aportar implicaciones en términos de seguridad de todo tipo (legales, técnicas, operativas, etc.). Haberlas haylas! pero, enfatizo, ¿es por norma general y para toda clase de cuestiones?
Desde aquí queremos proyectar nuestra reflexión sobre la relevancia de lo que vendría a ser la “segurcracia” (ver definición). A priori, suena algo muy rígido, duro, etc. pero en el fondo la idea es muy simple y consiste en transmitir que la seguridad se convierta en un factor (de importante peso dadas las repercusiones que puede tener) a considerar en toda decisión operativa, estratégica, funcional, etc. de cualquier ámbito de la organización.
Hoy en día, unicamente encontramos como aplicación práctica (con salvedades) lo que sería la aplicación de un sistema de gestión basado en la norma ISO 27001. No obstante, nuestra particular interpretación es que la organización debería regirse por completo bajo esta norma. Las normas restantes (sin ánimo de ofender) como la 9001 Calidad, la 14001 Ambiental, etc. quedarían supeditadas a ésta.
Para finalizar, ¿creéis que llegará el día en que realmente tengamos que adoptar un modelo “segurcrático”? Por un lado puede estar muy bien desde el punto de vista profesional ;-), pero por otro lado, también implica que todo irá a peor (ataques mejor elaborados, amenazas nisiquera imaginadas hoy en día, riesgos mayores, etc.).
CITA DEL DIA: "La seguridad únicamente existe en un estado de inconsciencia"
-cracia.
(Del gr. -κρατία, de la raíz de κράτος, fuerza).
1. elem. compos. Indica dominio o poder. Bancocracia, fisiocracia
Partiendo de la definición anterior, en primer lugar, definimos “segurcracia” como un modelo de gestión en el que, por encima del resto, predominan y prevalecen los aspectos básicos de la seguridad de la información en sus tres vertientes: disponibilidad, integridad y confidencialidad.
De todos es sabido que la seguridad de la información ha ido evolucionado de forma constante desde tiempo atrás. Para nada vamos a exponer ni descubrir está evolución, sirva únicamente para contextualizar esta reflexión.
Las medidas, que tiempo atrás se aplicaban a lo que hoy en día equivaldrían al concepto de seguridad de la información, se limitaban prácticamente a controlar de forma severa el acceso a una enorme sala en la que se ubicaba un cacharro inmenso repleto de bombillas y cables. A medida que todo evolucionaba, las necesidades, las prestaciones, la accesibilidad, el mercado, etc., el ámbito de la seguridad de la información fue ampliándose a lo que en día de hoy conocemos.
En la actualidad, en concreto allí donde preocupan estas cuestiones, la “lucha” se centra en alcanzar el máximo equilibrio entre seguridad y operatividad, esto se traduce en que la seguridad no condiciona en gran medida la solución de todo proceso, funcionalidad, operativa, etc. En algunos lugares, los CIO’s, CISO’s o como queramos llamarles (si con suerte existe esta figura), viven en un estado de casi aislamiento con poca o nula participación en la definición de soluciones. Básicamente se constituye como una línea de trabajo vertical (muy centrada en temas técnicos) y no transversal a toda la organización.
Obviamente hay excepciones y en determinados casos la estrategia se basa en la seguridad (en una entidad financiera especialmente, PERO con diferencia está centrada únicamente en canales como internet, banca telefónica, etc.). En definitiva, desde una visión pragmática, aún queda mucho trayecto para que la seguridad tenga voz y voto en cualquier órgano de decisión, tanto en el día a día como en grandes foros estratégicos de la organización.
Pensar durante 2 minutos cuantas reuniones, para tratar temas de carácter funcional, operativo, etc., se realizan a diario en vuestros respectivos trabajos en las que por regla general también asista alguien que pueda aportar implicaciones en términos de seguridad de todo tipo (legales, técnicas, operativas, etc.). Haberlas haylas! pero, enfatizo, ¿es por norma general y para toda clase de cuestiones?
Desde aquí queremos proyectar nuestra reflexión sobre la relevancia de lo que vendría a ser la “segurcracia” (ver definición). A priori, suena algo muy rígido, duro, etc. pero en el fondo la idea es muy simple y consiste en transmitir que la seguridad se convierta en un factor (de importante peso dadas las repercusiones que puede tener) a considerar en toda decisión operativa, estratégica, funcional, etc. de cualquier ámbito de la organización.
Hoy en día, unicamente encontramos como aplicación práctica (con salvedades) lo que sería la aplicación de un sistema de gestión basado en la norma ISO 27001. No obstante, nuestra particular interpretación es que la organización debería regirse por completo bajo esta norma. Las normas restantes (sin ánimo de ofender) como la 9001 Calidad, la 14001 Ambiental, etc. quedarían supeditadas a ésta.
Para finalizar, ¿creéis que llegará el día en que realmente tengamos que adoptar un modelo “segurcrático”? Por un lado puede estar muy bien desde el punto de vista profesional ;-), pero por otro lado, también implica que todo irá a peor (ataques mejor elaborados, amenazas nisiquera imaginadas hoy en día, riesgos mayores, etc.).
CITA DEL DIA: "La seguridad únicamente existe en un estado de inconsciencia"
Suscribirse a:
Entradas (Atom)
Entradas
