Logs de seguridad, la verdad está ahí fuera...

Este verano pude dedicar un rato a leer el manual de operaciones de información del ejercito americano (Information warfare) al que había llegado a través de un post del blog Aerópago. Me resultó curioso y a la vez muy relevante estudiar cómo se manejan en situaciones de guerra las operaciones del campo de batalla de la información/desinformación.

Es imprescindible leer el Capitulo I, de Introducción porque aporta una nueva perspectiva al concepto de "información" y sus dimensiones. Y tal como deja claro el manual, la información esencial, la importante donde se pueden perder batallas, es aquella que se emplea en la toma de decisiones. Este fue el mensaje que quedó en mi mente tras leer el documento.

Hace unos días publicaba en twitter (@javiercao) una entrada sobre el top en los informes de logs de seguridad que debería tener una organización. Aparqué ese tweet para extenderme hoy más en un post sobre el tema.

Es curioso que todas las organizaciones, grandes o pequeñas, disponen de esta materia prima para poder establecer un puesto de vigilancia y conocer de primera mano qué ocurre en sus sistemas de información. En algunos casos por tiempo, en otros por desconocimiento sobre las problemáticas a analizar, esos datos no sirven para tomar decisiones que en un momento dado pueden luego costar una factura muy cara. El ejemplo en el mundo físico es como quien coloca cámaras de vigilancia y sensores volumétricos en todos los rincones a vigilar de su empresa, centralizando toda esa información en un cuarto de control y luego no pone vigilantes las 24 horas del día para que monitoricen lo que sucede en esas pantallas y centrales de alarma. 

A mi mente vino de nuevo la idea de que no podemos llamar "información" sino "datos" a aquello que no sirve para tomar decisiones. Y ese es el verdadero problema/drama de los logs, que no llegan a ser información sino datos sobre la situación de seguridad de la empresa que son guardados o borrados sin que de ellos se extraigan conclusiones o decisiones que pueden evitar o mejorar en mucho la seguridad de los sistemas. El post con los datos del top 7 de informes de seguridad los tenéis en este enlace de Anton Chuvakin, un "security warrior".

Juntando esto con las diferentes áreas que aparecen en ese top  de informes de seguridad se puede construir el siguiente escenario de vigilancia e inteligencia de red. 

Tal como establece el maestro Sun Tzu, "La tierra puede ser alta o baja, ancha o estrecha, lejana o cercana, desnivelada o plana, propicia para la muerte o para la vida".  Todo  general debe estudiar el contexto en el que se plantea el conflicto y tratar de moldearlo o dirigirlo para que le proporcione las mejores opciones y decisiones. El terreno tiene ciertas restricciones que no pueden alterarse, pero se debe ser consciente de todas estas limitaciones a la hora de plantear la táctica de combate. En nuestro caso, el terreno viene condicionado por la infraestructura TI de nuestra organización, pero también por los eventos y servicios que ésta suministra. En este sentido, una de las fuentes que mejor describen el campo de batalla son los eventos del sistema o logs. Como decía el agente Mulder de Expediente-X, "la verdad está ahí fuera". Todo administrador de sistemas o responsable de seguridad debería adecuar esa frase a "la realidad de lo que pasa en nuestros sistemas está en los logs".

Para empezar también me parece interesante comentar, tal como establece la norma  "ISO 27035 sobre gestión de incidentes" publicada el año pasado, la separación entre evento de seguridad e incidente. Todo incidente es generado por un evento de seguridad pero no todo evento de seguridad se transforma en un incidente. En el terreno de los logs nos movemos básicamente sobre el análisis de eventos que posteriormente hemos de decidir si son clasificados como incidentes. Ahora veamos los diferentes campos de batalla a gestionar. Los he separado en tres grandes áreas como ilustra este gráfico que atiende también a los diferentes tipos de escenarios y su hostilidad:

Personas:

• Escenario de la gestión de usuarios: en este terreno los eventos a vigilar de cerca están relacionados con el ciclo de vida del usuario (alta, baja y modificación de permisos), los registros de acceso fallidos y con éxito, la elevación de privilegios y las conexiones con usuarios con los máximos privilegios.
• Escenario de accesos a recursos: en este terreno los eventos a vigilar tienen que ver con los registros de auditoría de acceso del personal legítimo o interno sobre elementos muy protegidos que deben notificar cada intento de acceso a ellos para disponer de trazabilidad sobre el uso del recurso.

Recursos:

• Escenario del cambio en recursos TI:en este escenario los eventos más relevantes son los relacionados con la instalación de software, la actualización, los cambios relevantes para la seguridad sobre parámetros de configuración, la modificación de las directrices de auditoría y la deshabilitación de las medidas de seguridad instaladas. También se pueden controlar desde este escenario el funcionamiento de las medidas de seguridad como pueden ser la actualización de las firmas de patrones del antivirus, la aplicación de parches sobre los sistemas y los resultados de los chequeos de vulnerabilidades.
• Escenario de los problemas detectados: los eventos vinculados con este escenario están relacionados con la monitorización del funcionamiento de los recursos, su disponibilidad, incidencias de caída o fallo de componentes, errores en los sistemas, errores en sistemas de copia de seguridad, alertas sobre la gestión de la capacidad, eventos de reinicio y parada de sistemas, etc.
• Escenario de la actividad interna de nuestra red: en este terreno, los eventos a vigilar están relacionados con los patrones de comportamiento de nuestra red y nuestros usuarios, los protocolos más utilizados, el consumo de ancho de banda, el volumen de tráfico demandado y recibido, la carga de nuestras conexiones, etc.

Enemigos:

• Escenario del malware detectado: en este escenario, los eventos a vigilar deben provenir de las medidas de protección perimetral y antivirus. Se debe vigilar el número de infecciones recogido, los archivos en cuarentena, las estadísticas sobre el tipo de malware que se detecta (gusanos, troyanos, virus, hacking tools) así como la fuente de infección (descargas en la red, dispositivos USB, correo electrónico).
• Escenario de la actividad externa sobre nuestra red: en este terreno, la información relevante proviene de las medidas de protección perimetral que inspeccionan el tráfico y que detienen aquellas peticiones que no superan la política de filtrado de tráfico y contenido. Sirve para poder detectar intentos de ataque, abusos sobre recursos accesibles desde el exterior, vulneración de las medidas de seguridad. Es necesario también atender a los volúmenes de información recibidos y salientes para detectar si hay elementos en la red interna comprometidos y que están siendo controlados desde el exterior.

Sobre todos ellos campos de batalla debe trabajar una pieza esencial en la linea de defensa de toda organización: la monitorización y gestión de eventos de seguridad.

Reflexiones sobre tendencias del 2011 y pronósticos para el 2012

Como anunciaba en el post anterior y como viene siendo tradicional en el cambio de año, toca revisar las tendencias detectadas del año saliente 2011 y hablar de lo que puede verse en el año 2012.

Por las fechas en las que estamos, la comunidad bloguera ya ha hecho este tipo de reflexiones y voy a tratar de aportar algo nuevo al respecto hablando más de tendencias que de lo sucedido. De los resumenes del año, el que más me gusta por lo exhaustivo y pormenorizado es que el que ha hecho Hispasec en sus Una-al-dia y que ha segmentado en trimestres en los post 1, 2, 3 y 4. Respecto a lo sucedido a lo largo del 2011, se pueden destacar los siguientes puntos:

• Este ha sido el año en el que peligrosamente los virus informáticos han saltado del mundo de la informática del PC a las tecnologías SCADA. Los especímenes Stuxnet y Duqu han hecho temblar ahora a los sectores industriales que pueden verse afectados por malware. 
• Stuxnet y Duqu también son representativos de una nueva tendencia que es la especialización y orientación de los ataques hacia objetivos selectivos. En este año hemos podido ver como la amenaza de la intrusión informática a afectado a empresas muy emblemáticas como Sony, Google o  RSA o Startfor. El objetivo de los ataques selectivos básicamente han sido dos: En primer lugar el robo de grandes volúmenes de datos de carácter personal, sobre todo vinculados a información que permita acceso a servicios financieros o pago mediante tarjetas de crédito para realizar fraude y en segundo lugar el robo de propiedad intelectual muy concreta que además en el caso de RSA ha comprometido la seguridad de un mecanismo de autenticación empleado por las empresas más concienciadas y que como consecuencia ha podido generar como efecto colateral el robo de información en empresas que se pensaban protegidas por emplear metodos de autenticación fuerte empleado las tecnologías de RSA-id.
• Este año también hemos podido ver en el lodazal de los incidentes de seguridad a Entidades emisoras de certificados (PKI). Primero Comodo y posteriormente Diginotar han visto comprometidas diferentes piezas de la infraestructura de clave pública y se han tenido que revocar ramas enteras del árbol de certificación. En el caso de Diginotar además, al verse comprometido el certificado raíz, ha supuesto el cese de actividad de esta Entidad que ya no se ha recuperado del incidente.
• En España este año ha sido especialmente importante en materia de regulación de la seguridad. El vencimiento de plazos del R.D. 3/2010 del Esquema Nacional de Seguridad, la reforma del Código Penal que puede afectar en materia de fuga de datos a las personas jurídicas también  y la publicación de la Ley 8/2011 por la que se establecen medidas para la Protección de las Infraestructuras Críticas  y el R.D. 704/2011 por la que se aprueba el Reglamento para la Protección de las Infraestructuras Críticas seguramente darán mucho que hablar en este 2012.
• Por último destacar que este año el hacktivismo (yo lo llamaría mejor cibercrimen) ha empezado a mostrar que se quiere erigir como un cuarto poder amenazando o publicando información delicada que compromete a organismos o revela datos sobre gestiones irregulares que éstos realizan. Anonymous es quizás la red más popular aunque Luzsec también ha tenido un papel destacado. Lo que si pone de manifiesto este hecho es que la "información es poder" y si ciertos ciudadanos con unas habilidades y conocimientos técnicos son capaces de acceder a las cloacas de las empresas y administraciones públicas pueden obtener datos sensibles, muchas instituciones pueden tener que dar explicaciones de cosas que hasta la fecha manejaban como "secretos".  Además cuentan con servicios como Pastebin.com que se prestan al juego de dar difusión de la información robada a modo de Wikileaks del hacking. En algunos de estos casos la información robada puede acabar comprometiendo la vida de personas, como publicó Chema Alonso en la entrada Hackers publican la BBDD de escoltas de Presidencia.

En cuanto a los pronósticos, me ha gustado mucho el post de Paolo Paseri donde aparece una tabla resumen de predicciones de los principales fabricantes de productos de seguridad y un diagrama de barras con las tendencias pronosticadas que más se repiten.

Las estadísticas sobre las predicciones realizadas tiene esta gráfica:

Yo como en estos últimos años solo puedo extraer una conclusión: los malos irán allá donde haya dinero facil y donde el crimen tecnológico de guante blanco les permita generar unos ingresos rápidos con poco esfuerzo y de difícil investigación. 

¿Los medios? Los que sean fáciles de aplicar y sencillos de emplear para estos fines. Seguramente veremos bastantes cosas en materia de aplicaciones en smartphones porque su uso está creciendo de forma vertiginosa y son plataformas donde todavía no hay cultura de la prevención proactiva. Serán pocos los que instalen en sus terminales aplicaciones antimalware. En este sentido, el Android Market por su ausencia de controles y su gran crecimiento en número de usuarios será en este caso "el Microsoft del mundo PC", con la desventaja de que a Google esta guerra le pilla relativamente de nuevas y tendrá que aprender rápido la necesidad de la gestión de la seguridad sobre sus plataformas.

Otra novedad posiblemente sea Cibercrimen as Service (CaaS) del que ya se empiezan a ver algunos ejemplos. Si los malos montan sus plataformas de hacking para sus usos particulares, ¿por qué no alquilarselas a terceros y seguir ingresando dinero por ello?

Además, todos estos servicios obviamente contarán con material didáctico sobre cómo emplearlos con sus videos explicativos en Youtube y sus tarifas con precios por duración de la denegación de servicio.

Los que nos dedicamos a este mundo a lo largo del 2012 seguiremos oyendo por parte de nuestros clientes que eso de la seguridad y el hacking es ciencia ficción, que nunca pasa nada y que la seguridad no tiene retorno de inversión. El problema es simplemente una "gestión de la incertidumbre" o "el riesgo" pero la causa que subyace detrás de todo esto es que el ser humano del siglo XXI sigue pensando con los instintos del mundo primate y sólo es capaz de valorar las amenazas que afectan a su integridad física. No somos capaces de estimar los riesgos que nos pueden venir por un cable Ethernet. Se seguirán ignorando estos hechos a pesar de que las tendencias de los últimos años empiezan a revelar que al "iceberg de la seguridad" ya se le empieza a ver su verdadero tamaño, que el mundo del cibercrimen es cada vez más consciente de este "nuevo poder" y que toda organización puede ser una víctima directa del hacking o un efecto colateral en unas pruebas de concepto. Y para aquellos que siguen pensando que nunca pasa nada y que todo esto sigue siendo algo muy "irreal", sólo hay que consultar el time-line del hacking del 2011 que ha recogido Paolo Paserí donde se pueden ver los costes de la inseguridad. Los daños que pueda sufrir una empesa superan en mucho y de forma inmediata los costes de las medidas preventivas. Sólo evitando un incidente se pueden justificar la aplicación de las medidas.

Sin embargo, para aquellos que se siguen manteniendo en el discurso de que la seguridad no tiene retorno de inversión y que no tiene sentido protegerse frente a algo que sencillamente no ocurre, yo les haría una pregunta, ¿Por qué se invierte en Defensa? ¿No hace más de 50 años que en España no hay una guerra? 

Los datos sobre el coste del programa Eurofighter por ejemplo, son para poner los pelos de punta y muy envidiables para el mundo de la seguridad lógica. 

El coste inicial del Programa Eurofighter para España asciende a 10.795,4 millones de euros, de los que 1.598,7 millones corresponderían a la fase de I+D y los restantes 9.196,7 millones a la de producción de las aeronaves. El coste unitario de un EurofighterTyphoon de la llamada trancha 2 – segunda fase de producción – se estima en unos 80,3 millones de euros (algo más de 13.360 millones de las antiguas pesetas)

Posiblemente el despliegue de toda la infraestructura necesaria para la cyberdefensa de España (Un SOC gubernamental con un despliegue de tecnologías SIEM a lo largo de las diferentes instituciones más relevantes) podría ser similar al de UN SOLO AVION EUROFIGHTER. Y cual de las dos piezas de defensa protege más al pueblo español, ¿Un avión surcando el cielo o un "Security Operation Center" (SOC) vigilando todas nuestras infraestructuras críticas? 

Carta a los Reyes Magos de un Responsable de Seguridad

Iba a postear sobre el repaso al 2011 y los pronósticos del 2012 pero en las fechas que estamos me parece más pertinente escribir la carta a los Reyes Magos y aplazar las reflexiones anteriores para la semana próxima. Así que allá voy, esta sería mi carta a los Reyes Magos como "responsable de seguridad de la información" o "CISO" o "DPO".

"Queridos Reyes Magos,

Este año, como en años anteriores he sido bueno y he logrado que en mi organización no haya ocurrido ningún incidente. Mis compañeros no lo valoran pero he tenido que trabajar mucho para que esto sea así. Sin embargo, como la rutina habitual es que no ocurra nada parece que yo no hago mi trabajo. Aun con eso, tengo que pedir algunas cosas para el año 2012. Mi lista sería:

• Pediría que en mi Organización entiendan que aporto valor. Que las cosas funcionen y que no hayan imprevistos no es una situación que se logre no haciendo nada. Es necesario que yo esté vigilante y atento del día a día y sobre todo, del funcionamiento de los sistemas para detectar cuando sospecho que algo extraño está sucediendo o puede suceder y avisar para mitigar el posible problema. Este año he tenido que notificar la existencia de bastantes vulnerabilidades en los entornos de producción que estaban sin parchear, he descubierto tráfico extraño desde portátiles internos que estaban infectados aunque por suerte no se habían conectado a la red corporativa. Creo que no pasan más cosas porque tenemos mucha suerte. La cantidad de pendrives y discos USB que veo por las mesas de mis compañeros dan miedo. Por las noches tengo pesadillas y no duermo tranquilo. Sueño con una llamada de la gente de guardia a las 3 de la mañana diciendome, "-Javier, vente para acá que se ha liao parda". En fin, sólo espero que mi Organización entienda que la seguridad, una vez que se ponen en marcha medidas, es una tarea de mantenimiento y supervisión continua que no puede desfallecer nunca. Es como estar aguantando una barrera con los brazos para evitar que la gente pase. En cuanto no haces lo que toca, la barrera cae y la gente se cuela. Yo solo espero disponer de información que me permita tener la tranquilidad de saber que las cosas funcionan y pueda así dormir tranquilo sabiendo que hago mi trabajo lo mejor posible. No podré evitar todos los incidentes pero al menos, no lo pongo fácil para que éstos ocurran.
• Pediría que los usuarios sean buenos y contribuyan a facilitar mi labor. Aunque tengo desplegadas acciones de concienciación sobre la materia, la gente pulsa antes de leer y eso suele generar problemas. También quiero hacerles conscientes de que nuestra Organización trata con datos de carácter personal sensibles y que existe una legislación que respetar. Yo no estoy para proteger las cosas sino para lograr que todas las medidas funcionen según lo previsto pero esta guerra es cosa de todos. Con que un usuario cometa un error y ciertos datos acaben en Internet mi trabajo se verá frustrado y mi puesto cuestionado. Asumo que siempre ando en la cuerda floja porque al más minimo fallo se me apuntará con el dedo de la culpabilidad pero necesito que todos entiendan que en esta guerra todos somos soldados. 
• Pediría que la Dirección de mi Organización entienda los resultados de mi análisis de riesgos y obre en consecuencia. Yo como responsable de seguridad estoy para detectar y diagnosticar problemas pero las decisiones y sus prioridades no son cosa mia. Yo puedo aconsejar o asesorar respecto a lo que entiendo debe ser tratado pero los riesgos de mi Organización deben ser asumidos por la Dirección, no por mi. Yo no tengo tanto poder para tomar decisiones de ese calado.
• En relación con lo anterior, también necesitaría que la Dirección de mi Organización me proporcione algunos recursos cuando decide poner en marcha algún plan de tratamiento de riesgos. Para poder tomar decisiones y sobre todo, para detectar anomalías necesito tener 1000 ojos y eso implica desplegar ciertas tecnologías de centralización de logs, correlación de eventos y tiempo para poderlas ajustar atendiendo a nuestro contexto y nuestros riesgos de negocio. Mi único objetivo es poderles proporcionar una información de mayor calidad que les lleve a tomar decisiones más correctas y precisas pero eso implica invertir un poco. Evitar y prevenir problemas siempre es más barato que tener que sufrir un incidente y reparar los daños. Este año 2011 además hemos visto retozar en el lodazal de las empresas hackeadas o con incidentes a organizaciones de todo tipo y supongo que en esa lotería algún día nos puede tocar a nosotros.
• También pediría a mis compañeros de Sistemas que no me vean como un enemigo o alguien que se mete en sus asuntos. Yo soy consciente que la prioridad es que todo funcione pero a veces, por poner en producción demasiado rápido las cosas se cometen errores que luego pasan facturas muy caras. Obviamente esas facturas, si suponen un incidente de seguridad las voy a tener que pagar yo pero no debemos olvidar que estamos todos en el mismo barco que es nuestra Organización y aquí todos queremos que los incidentes no nos sorprendan.
• A mis compañeros de Desarrollo les pediría un poco más de prudencia y de concienciación respecto a las aplicaciones que mi Organización vaya a hacer accesibles desde el exterior. Hoy en día es de ingenuos pensar que todo el mundo en Internet es bueno. Hay gente que se dedica a buscar agujeros o fallos que luego les permiten llegar más lejos. Por tanto, las aplicaciones deben ser programadas con una mentalidad defensiva y las baterías de pruebas de desarrollo no solo deben probar funcionalidades operativas, deben también superar pruebas de estrés y resistencia frente a los ataques más comunes.
• En materia de Protección de Datos de Carácter Personal pediría también a muchos departamentos que comprendan que esto de la LOPD no es una tortura o el multazo que nos puede pegar la Agencia Española de Protección de Datos. Nuestros clientes se merecen, como parte de los servicios que les damos, una adecuada y diligente gestión de su información. Al fin y al cabo, a nosotros nos prestan ciertos datos para que les podamos dar servicios pero la información es suya, no nuestra.
• Por terminar y ya en relación al área de auditoría, sólo deseo que mis compañeros sean capaces de hacer lo mejor posible su trabajo y me puedan reportar las máximas deficiencias posibles. En el momento se que me escocerá el informe pero entendiendo que ellos buscan lo mismo que yo, cuanto más barran ellos la casa y más alfombras se levanten, menos riesgo de sustos o incidentes tendré que asumir yo. Cuatro ojos ven más que dos y por tanto, es bueno que de vez en cuando alguien ajeno a mi día a día me revise y me recomiende cosas a cambiar. Yo creo profundamente en el ciclo de mejora continua y lo que no te mata te hace más fuerte.

En fin, queridos Reyes. Se que éste es un año difícil y que las Organizaciones todavía no valoran/comprenden/entienden qué pinta la seguridad de la información y cómo eso les ayuda a ser mejores y más competitivas, pero esperemos que con los años y no a base de incidentes, las cosas vayan cayendo por su propio peso. No pido para este año tener presupuesto para certificar mi SGSI con la ISO 27001 porque todavía soy consciente de que necesito mejorar algunas áreas de control aunque será el deseo para el año que viene casi seguro."

¿Cómo debiera ser la Auditoría técnica que establece el R.D. 1720/2007 de desarrollo de la LOPD?

Antes de cerrar el año y pendiente del ya tradicional post de revisión del año 2011 y el de análisis de tendencias para el 2012, quiero referenciar el material que he publicado a través del blog de Inteco con reflexiones sobre cómo debiera ser la auditoría del Titulo VIII del R.D. 1720/2007.

Este año ha sido un año duro en el ámbito LOPD dado que la crisis siempre hace que aparezcan los oportunistas y los pícaros que tratan de lucrarse de la ignorancia o el desconocimiento de la gente. En este sentido, la Asociación Española de Profesionales de la Privacidad ha tenido que luchar contra las llamadas  "Empresas de coste cero" que venden servicios de consultoría camuflados bajo subvenciones de formación a través de la Fundación Tripartita.
Estas empresas han empezado con los servicios de adecuación/adaptación pero seguro que pronto extenderán sus garras hacia la auditoría obligatoria establecida por los artículos 96 y 110. Para luchar contra esta "lacra" la única arma es la información y la explicación de qué debieran ser considerados servicios correctos.

Con este objetivo he publicado los dos siguientes artículos que aparecen en el blog de Inteco:

• ¿Cómo debe ser la Auditoría técnica que establece el R.D. 1720/2007 de desarrollo de la LOPD? (Parte I)
• ¿Cómo debe ser la Auditoría técnica que establece el R.D. 1720/2007 de desarrollo de la LOPD? (Parte II)

A continuación anexo el texto integro de ambas partes para el que quiera realizar una lectura continuada del mismo.

Ante la reiterada preocupación del sector profesional de la privacidad sobre la ausencia de consenso respecto a cómo debe ser realizado el proceso de auditoría establecido por los artículos 96 y 110 del R.D. 1720/2007, creo adecuado explicar en este post en qué debe consistir el proceso de auditoría, cuál es su finalidad, qué resultados deben esperarse y cuáles son las mejores prácticas a la hora de planificar, desarrollar y realizar un informe de auditoría del Título VIII del R.D. 1720/2007 de desarrollo de la LOPD.
Para una adecuada lectura de este documento deben tenerse en cuenta dos advertencias:

1. Este post se limita de forma exclusiva a la auditoría del cumplimiento de las medidas de seguridad establecida en los artículos 96 y 110, por lo que no se contempla en la realización de este proceso aspecto alguno que no esté relacionado con la valoración del funcionamiento de las medidas de seguridad descritas en el Título VIII del R.D. 1720/2007.
2.  Este post no pretende establecer los criterios o técnicas a emplear. Simplemente describe la importancia y necesidad del proceso de auditoría, su finalidad y qué es entendido pudieran ser buenas prácticas en la realización de estas actividades.

¿Qué es una auditoría de sistemas de información? 

La auditoría de sistemas de información tiene como misión ser un mecanismo de control interno para evaluar la CONFIANZA que se puede depositar en los sistemas de información basada en evidencias. Las actividades, procesos, tareas requieren de una revisión periódica para evaluar su funcionamiento y realizar los ajustes que sean necesarios. Las medidas de seguridad establecidas por el R.D. 1720/2007 establecen y determinan una serie de actividades periódicas que la organización debe realizar para garantizar la adecuada protección de la información de carácter personal que es procesada. Estos mecanismos de protección definidos por los procedimientos obligatorios deben estar documentados y forman parte del contenido del Documento de seguridad establecido por el Art. 88 del R.D. 1720/2007.Para entender este extremo emplearemos un símil ilustrativo. El mantenimiento y la revisión de todo vehículo requiere, una vez se alcanza ciertos años de funcionamiento, de una revisión periódica cada dos años realizada por la Inspección Técnica de Vehículos (ITV). Estos organismos de revisión realizan una serie de chequeos, comprobaciones y pruebas sobre diferentes elementos del coche con el objetivo de garantizar que está en las mínimas condiciones necesarias para seguir en circulación.  Este ejemplo sirve perfectamente para ilustrar la misión del proceso de auditoría ya que el proceso de revisión realizado en la ITV es una revisión sobre el funcionamiento del vehículo que tiene por objetivo establecer si el coche es apto, no apto o apto con deficiencias a subsanar como resultado de la información obtenida durante la batería de pruebas realizadas. Esta actividad de revisión es una auditoría formalizada y normalizada que comprueba de forma exhaustiva todos los elementos básicos del vehículo y determina el grado de confianza que el dueño del vehículo puede otorgar al mismo en relación a su seguridad y correcto funcionamiento.
De igual forma, la auditoría de sistemas de información es un proceso metódico de revisión que pretende conocer la eficacia y fiabilidad de los controles o mecanismos de seguridad instalados para evitar o reducir los riesgos que pudieran afectar al buen funcionamiento de los sistemas de información o alterar su seguridad.

¿Por qué es necesaria la auditoría de las medidas de seguridad del R.D. 1720/2007?

El R.D. 1720/2007 introduce en los artículos 97 y 100 da necesidad de auditar el “TÍTULO VIII. DE LAS MEDIDAS DE SEGURIDAD EN EL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL” del R.D. 1720/2007. Esta obligación queda establecida para los ficheros de datos de carácter personal que tienen que garantizar el cumplimiento de las medidas de nivel medio o alto. Conviene recordar que las medidas de seguridad establecidas por el Título VIII del Reglamento determinan los MINIMOS a garantizar. Ello quiere decir que la auditoría perfectamente puede ser planteada para ser realizada sobre ficheros de nivel básico si la Organización considera adecuado la ejecución de este proceso interno de revisión. Además, es necesario destacar que la auditoría aparece como una de las medidas de seguridad más del citado Titulo VIII. ¿Por qué es la auditoría una medida de seguridad? La respuesta es sencilla dado que este proceso de inspección y revisión permite detectar deficiencias antes de que éstas se produzcan. También la auditoría puede servir para averiguar si se han producido o no irregularidades en el uso de los sistemas de información. Es un mecanismo de ajuste que detecta el deterioro en la efectividad o rendimiento de las medidas de seguridad y asegura que el nivel de protección deseado se sigue garantizando.

¿Qué finalidad debe perseguir una buena auditoría de las medidas de seguridad del R.D. 1720/2007?

Tal como hemos comentado hasta este punto, la misión el proceso de auditoría es la búsqueda de todas aquellas deficiencias que pudieran suponer un problema real o potencial antes de que este se produzca. Por tanto, la auditoría es en sí misma una medida de seguridad de carácter preventivo que intenta evitar los daños antes de que éstos sucedan. También el proceso de revisión puede servir para introducir mejoras o indicar aquellos puntos que aun garantizando el cumplimiento de las medidas empieza a disminuir en su eficacia.Una buena auditoría debe suponer una revisión profunda y exhaustiva del funcionamiento de las medidas de seguridad que protegen los tratamientos de datos de carácter personal. Cuando mayor sea el trabajo de campo empleado en la revisión, más confianza podrá depositar la Organización en el correcto funcionamiento de las cosas, confirmado éste punto por los resultados obtenidos de la propia auditoría.El auditor tiene como misión principal emitir una opinión independiente y objetiva sobre este cumplimiento de tal forma que permita a los responsables correspondientes, tomar las medidas oportunas para subsanar las deficiencias identificadas, si las hubiera, y para satisfacerse internamente, o bien frente a terceros que pudieran estar relacionados, sobre el nivel de seguridad implantado.
El objetivo final de la auditoría es sustentar la confianza que merece el sistema auditado en materia de seguridad; es decir, calibrar su capacidad para garantizar la integridad, disponibilidad, autenticidad, confidencialidad y trazabilidad de los servicios prestados y la información de carácter personal que es tratada, almacenada o transmitida por la Organización  

Metodología de trabajo

El proceso de auditoría supone la realización de ciertas actividades que deben realizarse de forma metodológica y que permiten diseñar y organizar el trabajo de campo a realizar en la Organización de forma que sean alcanzados los objetivos planteados al realizar la auditoría. Podemos distinguir tres fases bien diferenciadas:·     

•     Pre auditoría.

Esta es la fase inicial del trabajo y permite al auditor conocer el entorno, contexto y sistemas de información que van a ser revisados durante la auditoría. En esta fase, la Organización y el auditor deben establecer cuál será el alcance a auditar, los ficheros de datos de carácter personal incluidos en la revisión, los niveles de seguridad de dichos ficheros, las dependencias de la Organización que deberán ser visitadas y la duración de la auditoría a contratar. Este último extremo condiciona la ejecución de la auditoría y según el volumen de trabajo que haya que realizar en la auditoría insitu, puede requerir la ampliación del equipo auditor de forma que se garantice la revisión de todos los puntos a contemplar en el tiempo previsto.En esta fase, el auditor debe preparar sus papeles de trabajo, documentos que le ayudarán en la ejecución in situ de la auditoría y que contienen información propia sobre qué cuestiones hay que revisar, qué tipo de pruebas debe contemplar en las comprobaciones técnicas pertinentes y qué preguntas debe realizar tanto al personal de la Organización como al responsable de seguridad. Estos papeles de trabajo del auditor actúan de registro, para no olvidar revisar ningún proceso o actividad importante y se preparan de antemano las preguntas o lista de comprobaciones que se quieren realizar. Dado que el R.D. 1720/2007 no es modificado de forma frecuente, lo habitual es que la empresa auditora tenga prediseñados unos papeles de trabajo base que debe adaptar a la Organización a auditar una vez    Para ello, suele ser habitual agrupar la revisión de los artículos del R.D. 1720/2007 en programas que aglutinan bajo un nombre todos aquellos artículos del R.D. que determinan una misma medida de seguridad que según el nivel deben satisfacer más o menos requisitos.Es habitual que para el diseño de esta documentación, el auditor solicite a la empresa auditada el Documento de Seguridad de los ficheros incluidos en el alcance, dado que en él se encuentra una descripción del tipo de ficheros, de los sistemas de información y de las medidas de seguridad que la Organización debe estar aplicando en la protección de los datos de carácter personal. El auditor parte de esta información inicial para el diseño de las pruebas técnicas que permitan verificar el nivel de cumplimiento de lo escrito en el documento de seguridad. También permite adecuar y configurar el equipo auditor si por el carácter de las pruebas a realizar o de los sistemas incluidos sea necesario contar con personal técnico de apoyo al auditor que permita la ejecución con éxito de las pruebas de auditoría contempladas o la recogida de información de forma directa en la Organización auditada.Con toda esta información ya procesada, el auditor puede diseñar el programa detallado de auditoría y enviar a la Organización cual será la planificación prevista durante los días que dure la auditoría in situ. Ello también permite a la Organización conocer cuál será el trabajo de campo que se realizará y planificar o adecuar los horarios y la disponibilidad del personal que será entrevistado o que deberá atender al auditor durante los días de auditoría.·        

• Auditoría in situ o ejecución de la auditoría.

Esta es la fase crucial de todo el proceso dado que es donde el auditor recoge las evidencias de auditoría, esto es, aquella información que será empleada posteriormente para argumentar y demostrar el cumplimiento o no cumplimiento de las medidas de seguridad. El auditor, como se ha dicho ya, debe proporcionar una opinión profesional, independiente y objetiva del funcionamiento de las medidas de seguridad. Por tanto, toda afirmación que incluya en su informe debe basarse en datos, hechos u observaciones como explícitamente establece el punto 2 del Artículo 96. Auditoría.“2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.”Por tanto, en esta fase el auditor debe ir recopilando toda aquella información que ha establecido previamente en la fase de pre auditoría como necesaria y que sirva para contrastar o comprobar el correcto funcionamiento de las medidas de seguridad. De esta forma, el auditor también deja rastro de su propio trabajo y permite posteriormente a la Organización evaluar la exhaustividad y profundidad del trabajo de campo realizado por el propio auditor. Este mecanismo de transparencia del proceso de auditoría es otro de los pilares en los que se cimienta la confianza que se puede depositar sobre la auditoría realizada.Según la complejidad del entorno, el tiempo disponible para el proceso de auditoría y el tamaño del equipo auditor, es posible que la ejecución de ciertas pruebas no puedan revisar de forma completa y exhaustiva todos los registros de ejecución o rastros de funcionamiento de las medidas de seguridad. En estos casos, es preciso recurrir al muestreo de auditoría que permite la selección de ciertas muestras y extrapolar las conclusiones observadas en ellas para el resto de elementos de la población. El muestreo introduce cierto margen de error en la realización de conclusiones pero permite adecuar la revisión al tiempo disponible para el proceso de auditoría. En todo caso, este margen de error puede ser previamente definido lo que condicionará los tamaños de las muestras a examinar.
Una vez finalizada esta fase, el auditor debe contar con todas aquellas evidencias de auditoría que ha obtenido de la realización de pruebas técnicas, entrevistas, inspección visual de las instalaciones y dependencias así como de la revisión de todos aquellos documentos que hayan sido solicitados a lo largo de la ejecución de la auditoría.·     

•     Realización del informe de auditoría.

El resultado final del proceso de auditoría debe quedar plasmado en el informe de auditoría que incluye la conclusión del auditor respecto del funcionamiento de las medidas de seguridad y constata los hechos, datos u observaciones en los que se basa dicha conclusión. Llegado este punto, el auditor debe examinar y valorar las evidencias obtenidas y seleccionar aquellas que considera relevantes en la demostración del cumplimiento o no cumplimiento del funcionamiento de las medidas de seguridad. El informe debe proporcionar al auditado una imagen fiel y real de cuál es la situación de las medidas de seguridad revisadas y si suponen o no un incumplimiento del citado Reglamento.

"Privacy by design", nos jugamos mucho.

Hoy se ha celebrado en Murcia el Seminario La incidencia en la normativa española sobre protección de datos personales de la proyectada reforma en la Directiva en la que he tenido el gusto de participar como ponente en la sesión de la tarde.

El tema asignado era la "Privacy by design" de la que había leído alguna cosa en blogs pero sobre el que no había todavía podido profundizar. Sin embargo, estas dos últimas semanas recopilando información y reflexiones para la presentación he podido ser consciente del gran cambio que esconden estos tres términos y que pudiera suponer un antes y un después en materia de protección de datos y en el diseño de sistemas y productos tecnológicos en general. Para tratar de contextualizar estos hechos, viajemos durante unas líneas al futuro y pensemos en cómo serán las cosas en unos años, pongamos 20 por ejemplo.

"Suena el despertador. Te levantas y tras la ducha matutina te diriges a la cocina a prepararte un rico desayuno. Abres la nevera y tras coger la mortadela y la leche, la voz sintética de tu nevera te dice:

- Buenos días, señor Cao, Le notifico que ayer envié la orden del pedido mensual de leche a su centro comercial. Le llegará en breve la factura de compra porque en mi inventario interno tengo registrado que la botella que acaba de coger es la última. Además, he podido consultar la información de Google Health y acaba de recibir los resultados de su analítica, por lo que le aconsejo que cambie la mortadela por pechuga de pavo que tiene menos grasa y mejorará su colesterol.

 Vaya, mi nevera parece mi madre. ¿Cómo hemos podido llegar a esto?"

Estamos en un momento de cambio. La transición a IPv6 empieza y cada vez será más cotidiano que electrodomésticos ahora pasivos puedan ser proactivos y puedan autogestionarse o al menos, planificar ciertas decisiones en base a un conjunto de parámetros que podremos introducir en su sistema. Además, todos estos elementos formarán seguramente un todo dentro del centro de control domótico de tu casa y el usuario podrá predefinir ciertas reglas o decisiones basadas en la correlación de eventos que vayan siendo recogidos por los diferentes electrodomésticos. ¿Y cómo los electrodomésticos detectarán eventos o cambios de estados? Seguramente las tecnologías RFID aportarán la capacidad de generar información sobre transiciones de estado basándose en nuestro comportamiento normal en casa. Cuando vayas a la nevera a coger algo, el sistema podrá conocer cual es el número de unidades restantes de ese producto, si debe o no realizar alguna notificación respecto a la reposición de stock. Si además dispone de otras informaciones podrá valorar la acción del sujeto y recomendar cambios de decisión.

Hasta aquí, sinceramente todo parecen ventajas. ¿Dónde está el problema? La amenaza se plantea cuando no se determine dónde está la frontera respecto a la gestión y acceso de esa información. Si el usuario tiene el control de todo esto y es él quien decide qué quiere que sepa su centro comercial, qué información de su estado de salud debe procesar Google, qué datos no será recogidos aunque tengan identificadores RFID, etc, la privacidad seguirá bajo el control del afectado. Pero si los sistemas de información domóticos y domésticos se diseñan para incrementar los beneficios de las empresas potencialmente interesadas en esa información, sin contemplar restricciones y tratando más de hacer un análisis proactivo de demanda de bienes para disminuir los costes de marketing o satisfacer necesidades creadas sobre el cliente la cosa pintará mal. Porque en estos casos, los intereses creados por las empresas pueden pervertir o condicionar la toma de decisiones o el asesoramiento, y en vez de buscar el beneficio del afectado pueden simplemente atender a los intereses comerciales de las compañías suministradoras.

¿Y cómo está relacionado esto con la "Privacy by design"?

Este término establece 7 principios básicos que deben orientar el diseño y desarrollo de sistemas y tecnologías que traten datos de carácter personal. Son los siguientes:

1. Proactivo, no Reactivo; Preventivo no Correctivo
El enfoque de Privacidad por Diseño (PbD por sus siglas en Inglés) está caracterizado por medidas proactivas, en vez de reactivas. Anticipa y previene eventos de invasión de privacidad antes de que estos ocurran. PbD no espera a que los riesgos se materialicen, ni ofrece remedios para resolver infracciones de privacidad una vez que ya ocurrieron – su finalidad es prevenir que ocurran. En resumen, Privacidad por Diseño llega antes del suceso, no después.

2. Privacidad como la Configuración Predeterminada
Todos podemos estar seguros de una cosa – ¡Lo predeterminado es lo que manda! La Privacidad por Diseño busca entregar el máximo grado de privacidad asegurándose de que los datos personales estén protegidos automáticamente en cualquier sistema de IT dado o en cualquier práctica de negocios. Si una la persona no toma una acción, aún así la privacidad se mantiene intacta. No se requiere acción alguna de parte de la persona para proteger la privacidad – está interconstruida en el sistema, como una configuración predeterminada.

3. Privacidad Incrustada en el Diseño
La Privacidad por Diseño está incrustada en el diseño y la arquitectura de los sistemas de Tecnologías de Información y en las prácticas de negocios. No está colgada como un suplemento, después del suceso. El resultado es que la privacidad se convierte en un componente esencial de la funcionalidad central que está siendo entregada. La privacidad es parte integral del sistema, sin disminuir su funcionalidad.

4. Funcionalidad Total – “Todos ganan”, no “Si alguien gana, otro pierde”
Privacidad por Diseño busca acomodar todos los intereses y objetivos legítimos de una forma “ganar-ganar”, no a través de un método anticuado de “si alguien gana, otro pierde”, donde se realizan concesiones innecesarias. Privacidad por Diseño evita la hipocresía de las falsas dualidades, tales como privacidad versus seguridad, demostrando que sí es posible tener ambas al mismo tiempo.

5. Seguridad Extremo-a-Extremo – Protección de Ciclo de Vida Completo
Habiendo sido incrustada en el sistema antes de que el primer elemento de información haya sido recolectado, la Privacidad por Diseño se extiende con seguridad a través del ciclo de vida completo de los datos involucrados – las medidas de seguridad robustas son esenciales para la privacidad, de inicio a fin. Esto garantiza que todos los datos son retenidos con seguridad, y luego destruidos con seguridad al final del proceso, sin demoras. Por lo tanto, la Privacidad por Diseño garantiza una administración segura del ciclo de vida de la información, desde la cuna hasta la tumba, desde un extremo hacia el otro.

6. Visibilidad y Transparencia – Mantenerlo Abierto
Privacidad por Diseño busca asegurar a todos los involucrados que cualquiera que sea la práctica de negocios o tecnología involucrada, esta en realidad esté operando de acuerdo a las promesas y objetivos declarados, sujeta a verificación independiente. Sus partes componentes y operaciones permanecen visibles y transparentes, a usuarios y a proveedores. Recuerde, confíe pero verifique.

7. Respeto por la Privacidad de los Usuarios – Mantener un Enfoque Centrado en el Usuario
Por encima de todo, la Privacidad por Diseño requiere que los arquitectos y operadores mantengan en una posición superior los intereses de las personas, ofreciendo medidas tales como predefinidos de privacidad robustos, notificación apropiada, y facultando opciones amigables para el usuario. Hay que mantener al usuario en el centro de las prioridades.


La otra reflexión que he podido extraer de todo esto es que parece ya plantearse si es necesario establecer ciertas restricciones al desarrollo tecnológico. Hasta la fecha, la tecnología es un fórmula uno que avanza sin parar, sin restricciones, sin límites, sin reglas tratando de producir mejoras en el día a día aunque estas muchas veces sean necesidades fictícias o creadas para satisfacer ciertos intereses.

En el "Privacy by design" se pone fin al "todo vale". Se determina que es necesario antes de la construcción de un nuevo aparato o servicio pensar en qué impacto potencial tiene para la privacidad. Es lo que se llama un "Privacy Impact Analysis (PIA)" que es una reflexión respecto a la finalidad de lo que se va a construir y las consecuencias posibles que pudiera tener para la privacidad del usuario. Obviamente esto no va a gustar a muchos modelos de negocio, actuales o futuros y la presión por evitar o minimizar la aplicación de este criterio de diseño sea importante. Por eso el titulo del post acaba con la coletilla "nos jugamos mucho". Porque ante una filosofía basada en la explotación voraz de información en beneficio de las grandes empresas orientadas a maximizar sus beneficios y una filosofía basada en el interés del afectado y el control a su gusto de su privacidad atendiendo a sus criterios o intereses, se crearán tensiones importantes que condicionarán seguramente los desarrollos reglamentarios de los marcos de protección de datos.
Habrá que ver si finalmente la futura directiva o cualquier otra regulación a nivel mundial defiende el interés de las personas o se somete a los intereses de los "mercados". Habrá que ver si es el hombre quien domina la tecnología o creamos un segundo Dios (La economía ya es el primero) que somete al hombre.

A continuación os dejo la presentación que he empleado para exponer estas conclusiones en un formato nuevo y experimental para mi pero a la vez innovador y atractivo por sus nuevas posibilidades. Tratando de huir de la "muerte por Powerpoint" de las filosofías tradicionales de presentación, he decidido probar el servicio "Prezi.com" que sinceramente y tras un periodo breve de adaptación mental en cuanto a la estructuración de contenidos, me ha parecido útil para reflejar una navegación basada en conceptos y no en la linealidad que proporciona el Powerpoint.

Postdata: Para los que hayáis visto en el ejemplo un pelín de exageración, en la presentación se acaba con un ejemplo real que supone un primer paso en esa linea.

Tratando de formalizar el análisis de seguridad sobre árboles de activos.

Tal como adelantaba en el post anterior, este verano he perdido bastante tiempo tratando de investigar sobre las posibles aplicaciones de las teorías de análisis de redes sociales a la seguridad de la información. Eran ideas que me rondaban hace años por la cabeza y que por fin he podido desarrollar y formalizar en un documento.

He tenido que estudiar conceptos de teoría de grafos y determinar qué criterios de medición de redes pueden ser relevantes a nuestro campo de estudio. 

En teoría de redes sociales se da una premisa que es bastante importante y que sin embargo no es aplicable a seguridad de la información: todos los nodos son iguales. Sin embargo, cuando construimos un árbol de activos, según la naturaleza del elemento, su relevancia puede ser mayor. También, en redes sociales lo que se analiza es la fluidez de la comunicación entre nodos, mientras que lo que yo he pretendido estudiar son las relaciones de dependencia en materia de seguridad.

En fin, por no enrollarme mas os resumo el contenido del texto y adjunto un enlace para su descarga dado que lo he licenciado como Creative Common. Si me gustaría recibir vuestro feedback respecto a si véis viable que esta linea de trabajo pueda finalmente ser aplicada para la formalización de análisis de seguridad de la información. Una de mis conclusiones tras el estudio es que este tipo de análisis puede tener sentido en el estudio de la continuidad de negocio y en la protección de infraestructuras críticas, dado que permite identificar nodos que aíslan o mutilan la funcionalidad de la organización.

Abstract:

Las tecnologías de la información son un elemento esencial para el funcionamiento de nuestra sociedad y cada vez más muchas actividades y servicios dependen de la robustez, fiabilidad y seguridad de los sistemas de información que dan soporte a servicios tan esenciales como la sanidad, la educación, la defensa, la Administración electrónica, etc. Por tanto, los sistemas de información son un cimiento indispensable en el funcionamiento y desarrollo de nuestra civilización moderna, la denominada sociedad de la información y el conocimiento.

Un axioma básico de la seguridad de la información es el principio de cohesión que establece que "la seguridad es tan fuerte como el más débil de sus eslabones". El presente trabajo pretende aportar una nueva perspectiva en el estudio y análisis de la seguridad desde un punto de vista estático y basado en modelos matemáticos de la teoría de grafos que permitan identificar la presencia de debilidades estructurales que pueden poner en riesgo el funcionamiento de los sistemas de información por la propia arquitectura y conectividad de los diferentes tipos de elementos que constituyen el sistema de información. Supone extrapolar la aplicación de estas teorías en el análisis de redes sociales y otras estructuras modeladas mediante grafos al área de seguridad de la información con el objetivo de poder diagnosticar y reconocer potenciales problemas derivados de las relaciones establecidas entre los elementos que constituyen la Organización y los sistemas de información que dan soporte a todos sus procesos. Esta nueva visión supone un complemento al análisis de riesgos, la técnica habitualmente empleada en el estudio de los requisitos de seguridad que necesita un sistema de información y donde se contempla además de la estructura del sistema de información, el análisis de las amenazas posibles y la posibilidad de que éstas se manifiesten determinando así el nivel de riesgo a asumir.

Texto integro: Análisis topológico de sistemas de información.

Noveno cumpleaños del blog + teoría de grafos aplicada a la seguridad

Tal día como hoy con un escueto texto expresaba mi intención de compartir conocimiento e ideas a través de este blog así:

"Este es mi primer post de una serie de pequeños trucos y recetas, para hacer que usuarios inocentes o confiados no sufran el abuso de todos esos que navegan por la red con fines oscuros o ilícitos. 

Espero que los pequeños consejos que vaya dejando o las recomendaciones de software sean de ayuda para todos vosotros."

Aunque al principio la temática principal serían consejos sobre aplicaciones software y trucos que pudieran mejorar la seguridad del usuario, pronto se abrió el contenido hacia los aspectos que profesionalmente fueron formando parte de mi trayectoria centrada en la seguridad de la información y su gestión. Desde entonces este mundo ha dado muchas vueltas y el panorama futuro se anuncia prometedor. Las cosas se han ido profesionalizando, se ha normalizado la gestión de la seguridad en torno a las normas ISO 27000 y la complejidad de la gestión del riesgo va en aumento, con cada vez más preocupación por parte de gestores y responsables de las empresas por cuidar y salvaguardar sus activos. Aunque por desgracia la cultura de la prevención no forma parte de las prácticas habituales, la cotidianidad de los incidentes empieza a concienciar a la Dirección de las organizaciones sobre la importancia del tema y la necesidad de coger este toro por los cuernos.

Esperemos que pronto pueda normalizar la frecuencia de publicación y poder postear textos más elaborados y con más contenido, pensamientos y reflexiones. En breve subiré un documento con una idea que llevaba años planteándome y que he podido formalizar hace no mucho. El objetivo de mi trabajo ha sido intentar demostrar cómo algunas de las propiedades fundamentales de la seguridad de los activos de la organización están relacionadas con cómo están conectados los activos entre sí. La idea original surge del estudio de trabajos sobre análisis de redes sociales que entiendo son extrapolables a la seguridad de la información.

Una razón para la utilización de técnicas matemáticas y de grafos en el análisis de árboles de activos es que permite representar la descripción de una red de manera concisa y sistemática. El uso de métodos formales (particularmente matemáticos) en la representación de árboles de activos permite usar ordenadores en el análisis de la información. Esta nueva perspectiva puede ser una herramienta complementaria al estudio tradicional del riesgo que aporta un análisis estático de la organización basado en la arquitectura de los elementos que forman parte de la organización. El análisis del riesgo sin embargo contempla un análisis dinámico de la Entidad que estudia la organización respecto a su contexto, el alcance de amenazas posibles y las variaciones de estimación que pueden darse respecto a daños o vulnerabilidades a tenor de las circunstancias en las que la organización gestiona sus riesgos. Espero terminar pronto la ponencia y poderla colgar y compartirla con los lectores del blog.

Un saludo y gracias por estar leyendo estas líneas.

Javier Cao Avellaneda.

Steve Jobs, 1955-2011.

Hoy es un día triste para el mundo porque desaparece un creador que con su visión práctica y simple de las cosas ha conseguido que las personas seamos capaces de relacionarnos con las máquinas de otras formas. Como los grandes artistas, su legado durará en el tiempo y sus inventos que ya han cambiado en parte nuestro día a día, ocuparán un ilustre lugar en la historía del desarrollo tecnológico.

Soy cliente y usuario del mundo Apple desde hace poco, no llega a dos años, pero cuando me siento delante del iMac de casa no veo un ordenador, veo un electrodoméstico que abre una puerta al mundo de la creatividad. Aplicaciones como iMovie, iPhoto, iDVD y otras más que vienen instaladas en el sistema operativo forman un ecosistema adecuado para crear. Cierto es que al trabajar a diario con ordenadores (todos Windows), el cambio de entorno  siempre me hace sentir que no estoy trabajando y eso en mi caso es importante porque intento desconectar al llegar a casa. Además, el uso que doy al iMac está relacionado con la gestión de fotografías, de música y video nada más así que sentarme delante es puro ocio. La navegación por Internet ya es algo que hago casi siempre desde el iPad. De hecho, su llegada a casa mató al pequeño netbook que había adquirido un año antes. Una vez que termino algún video recopilatorio de fotos  me siento en el salón a verlo a través del AppleTV. Llevo poco tiempo en el mundo Apple pero me ha cautivado por la belleza de lo sencillo. Además mi filosofía de adquisición de tecnología busca siempre la máxima amortización y desde que compré mi primer y único iPod hace 6 años, todavía no he tirado ningún cacharro y todos están plenamente operativos y nada obsoletos. En el ecosistema Apple todo encaja, todas las piezas aportan, todo se relaciona con todo. Y lo mejor es que de vez en cuando llega una actualización software y te cambia de aparato, como seguramente ocurra la semana próxima cuando instale iOS5 en mi iPhone e iPad o como ya me ha pasado con Lion en el iMac. La unión de hardware+software como un todo es una idea que pasó una factura cara hace tiempo a Apple pero que ahora obtiene muy buenos resultados. El precio es quizás el factor limitante pero supongo que la innovación tiene que amortizarse muy poco a poco a base de incrementar los costes de los productos. No soy fanático de marcas o empresas pero me seduce el diseño, el talento, la innovación y creatividad. 

Todo lo anterior perfectamente puede hacerse con otros sistemas operativos y otras aplicaciones como solía hacer estos últimos años pero la gran diferencia es que ahora ya no pierdo ni un minuto en ser administrador de mi iMac, yo sólo quiero ser un humilde usuario que pierde tiempo en hacer cosas, no en instalar y pelear con la configuración de las aplicaciones. Y desde mi llegada al mundo Apple así ha sido. El equipo es estable, sencillo y robusto. Por tanto los resultados del ingenio y talento de Steve Jobs los disfruto a diario en mi casa y en parte si han cambiado mi manera de ver la tecnología y han hecho realidad su sueño de cambiar el mundo.

Seguramente es pronto pero su último invento, el iPad, creo que será una auténtica revolución en el entorno educativo que durará generaciones. Los Tablet PC existían hace tiempo pero con escasa penetración en la sociedad. De nuevo su producto reinventa el sector y extiende la tecnología entre los menos tecnólogos.

Como homenaje final es adecuado recordar sus palabras en el discurso de graduación de la Universidad de Standford que tanto me marcaron la primera vez que las vi.

Nuestro mundo sería mucho mejor si los modelos e ídolos de la sociedad fueran gente como Steve Jobs y no los grandes y avariciosos brokers y traders de Wall Street. Hacer dinero y ser rico no es malo si es fruto del ingenio, la inteligencia y la creatividad, no producto de la especulación y de la intermediación sin aportar ningún valor a la sociedad.

Descanse en paz, Steve Jobs.

La APEP poniendo los puntos sobre las ies en materia LOPD para luchar contra el "coste cero".

Si bien no soy socio (todavía) de la APEP (Asociación Profesional Española de Privacidad), si que he seguido con interés y proximidad el nacimiento y crecimiento de esta asociación desde sus comienzos. Entre sus más ilustres miembros hay mucho murciano y compañero de charlas de SICARM de estos últimos años.

Este post tiene un solo objetivo: dar difusión al documento que han elaborado para establecer y definir qué es o qué debe ser un servicio de consultoría en materia de la LOPD. Tenía entre los borradores de "post congelados" comentar la problemática de la "LOPD-Coste cero" y la estafa que supone abusar del desconocimiento de las empresas para vender motos relacionadas con el cumplimiento de la normativa en protección de datos pero ya es más pertinente comentar el texto de la APEP.

La idea es sencilla, el cumplimiento de la LOPD es un proceso continuo que requiere de actividades puntuales como puede ser la declaración de los ficheros o la elaboración del documento de seguridad y de una serie de procesos internos que se deben ejecutar cuando sea pertinente y que velan por diferentes aspectos, entre otros los más esenciales como :

• Atender los derechos ARCO de los afectados.
• Garantizar las medidas de seguridad que protegen los sistemas de tratamiento de estos datos.
• Establecer las adecuadas relaciones contractuales con los terceros que puedan tratar datos de nuestros ficheros.
• Adecuar el dibujo legal declarado ante la AEPD frente a los cambios en el uso de los datos que se pudieran realizar una vez que se modifiquen finalidades, tipos de datos recogidos, etc.
• Otras.

En este sentido, no se acaba nunca al igual que ocurre con otras áreas de la seguridad y prevención. Se deben mantener unos mínimos y eso es un esfuerzo constante. Por tanto, todos estos "Servicios de consultoría" que venden una "actuación puntual" o una "adecuación/adaptación" y hacen entender el problema como la simple inscripción de los ficheros ante la AEPD o la elaboración del famoso Documento de seguridad simplemente no sirven para nada.

 ¿Por qué? Sencillo. Si la AEPD viene a visitarte será por alguna denuncia sobre unos hechos ocurridos que han lesionado los derechos de los afectados o comprometido la seguridad de los datos. En estos casos, la inspección de la AEPD tratará de investigar qué ha ocurrido y esclarecer las causas y los responsables. Las actuaciones puntuales de "declaración de ficheros" y "elaboración del documento de seguridad" son sólo el primer paso del camino pero para demostrar la "protección de los datos de carácter personal" hay que enseñar el trabajo continuo por garantizar el correcto funcionamiento de las actividades relacionadas con la protección misma. Por tanto, se necesitan "evidencias" o "registros" de lo que diaria, semanal o mensualmente se va haciendo para evitar que ocurran incidentes.

La APEP, con muy buen criterio está tratando de pelear contra esta "prostitución del mundo de la consultoría en materia LOPD" de la mejor manera posible: tratando de informar de lo que se considera un servicio adecuado y completo para dejar claro quien está vendiendo "un traje nuevo al emperador en materia LOPD". Es una manera de combatir en positivo esta lacra que carece de la profesionalidad necesaria para tratar siempre de hacer un trabajo completo y correcto. Claro que la lacra también vive de unos "clientes" que ven en la LOPD otra pega administrativa más, que los datos de carácter personal les importan tres pepinos y que la protección de la información de sus clientes no les preocupa lo suficiente como para hacer el esfuerzo que la ley impone. Prefieren asumir el riesgo y hacer frente a las multas que la AEPD pueda ponerles (porque creen realmente que nunca les tocará a ellos). 

El contenido del manifiesto de la APEP se puede leer y consultar en esta dirección. Solo queda dar felicitaciones a la APEP por establecer estas "buenas prácticas respecto a lo que deben ser servicios de consultoría para la adaptación a la LOPD.

Reflexiones sobre el caso DigiNotar

La estrella de incidentes de seguridad de la semana pasada de la llevó la PKI Diginotar. Aunque ya hay colgadas en la red múltiples reflexiones, yo quiero añadir un par de puntos de vista más a contemplar. Para el que no sepa de qué va el incidente, recomiendo leer los post de "Security by default", "Reflexiones sobre Diginotar" y de Hispasec "Otro certificado falso de Google" y "Conversaciones sobre certificados digitales, seguridad y pornografía".

El tema de las PKI es personalmente uno de los que más me encienden. Este mecanismo de seguridad utilizado extensamente como medio de generación de confianza no puede ser entendido como aspectos puramente técnicos relacionados con la generación y distribución de certificados. El éxito y robustez de estas infraestructuras se basan en la fortaleza de los tres elementos esenciales: personas, procesos y tecnología.

Ya postee extensamente sobre esta problemática cuando en marzo de este año fue conocido el problema con la PKI Comodo en el post "Incidente de Comodo, reflexiones sobre el uso de entidades de certificación". En aquel incidente, lo que acabó comprometida fue la autoridad de registro, una pieza clave en toda la infraestructura porque es la parte que acredita la identidad para que se genere y otorgue a un tercero un certificado.

El caso DigiNotar sin embargo es todavía mucho más grave. Como resultado del incidente ha acabado comprometida la Entidad Raíz de Certificación, lo que supone que todos los certificados generados por dicha empresa pasan a estar revocados. Esto, para una PKI es lo más grave que puede suceder dado que anula todos los certificados expedidos y supone que todos los navegadores coloquen este certificado raíz en la lista de certificados revocados.

Las tres reflexiones al respecto que quiero apuntar son:

• Una empresa cuyo proceso de negocio se fundamenta en la seguridad es la que menos puede permitirse un incidente, porque además del daño en imagen, acaba con su modelo de negocio. En este caso casi seguro que acabará sucediendo esto segundo porque DigiNotar ahora parte como PKI con el reto de recuperar la confianza y volver a ser admitida como un certificado raíz válido en los navegadores. Además, es difícil vender seguridad si no se da ejemplo.
• Es incompresible e intolerable que piezas tan delicadas y críticas de la infraestructura de confianza que suponen las PKI puedan estar gestionadas y administradas en las condiciones en las que revela el informe de FoxIT sobre el incidente que puede ser consultado en esta dirección. Las conclusiones no pueden ser más claras: mala política de contraseñas con passwords debiles, falta de parcheo en equipos, la CA Raíz en línea, etc... demasiadas papeletas compradas para que no les tocara el gordo del hacking. Quizás el fallo más grave de Diginotar que puede acabar hundiendo a la empresa es haber tenido el certificado raíz en linea, obligando a todos los navegadores a revocar el certificado raíz porque lo razonable es emplear entidades subordinadas para generar los certificados de forma que si hay cualquier problema se revocan los certificados de la rama de la entidad subordinada detectada pero la Entidad de certificación puede seguir operando.
• Las PKI son una pieza esencial en la sociedad del siglo XXI por así decirlo son el tercero en quien se delega la confianza de verificar que los dominios y las empresas son quienes dicen ser. Por tanto, todos (Usuarios y empresas) transferimos ciertos riesgos al buen hacer de estas empresas que prestan como servicio esa verificación de identidad y otorgan confianza. Debieran plantearse controles más estrictos sobre todas las empresas que son prestadores de servicios de certificación porque el compromiso de cualquiera de ellas pone en peligro la seguridad basada en el uso de certificados digitales. Aunque el post de Hispasec "Conversaciones sobre certificados digitales, seguridad y pornografía" cuenta bien que es complejo poder emplear un certificado falso para comprometer la seguridad del protocolo https, también es cierto que el fallo en cualquier PKI pone en peligro a cualquier certificado de cualquier organización porque puede ser perfectamente suplantado pasando desapercibido para el usuario. Además genera una sensación al usuario final de intranquilidad debido a que las precauciones habituales que se recomiendan para verificar que estás en el sitio correcto y que todo marcha bien en este caso no serían suficientes. Quizás una de las medidas de presión que pudiera establecerse sobre toda Empresa que se dedique al mundo de los certificados digitales sera la auditoría continua. En cualquier momento en cualquier lugar pueden aparecer unos auditores para valorar el funcionamiento de tu PKI y si no se cumplen los requisitos, perder la "licencia" de ser prestador por no garantizar suficiente seguridad. De esta forma, el poder ser inspeccionado en cualquier momento puede generar suficiente tensión como para no relajar las medidas necesarias.