miércoles, 21 de septiembre de 2016 0 comentarios

La bicefalia del CISO

Ya comenté en el post anterior "De mayor quiero ser CISO" que actualmente este puesto de trabajo debe gestionar la doble complejidad del escenario de batalla. Por un lado, el CISO debe establecer la estrategia de su propia defensa y considerar cómo construye la seguridad de su organización, pero a su vez, tiene que estar atento al contexto y cómo cambia el mapa de amenazas. Esto, en un entorno dinámico en donde los malos siempre van por delante y con ventaja, supone un reto que es necesario saber gestionar. 

Todo profesional de la seguridad debe aplicar una psicología muy particular. Hay un texto esencial sobre este tema de Bruce Schneier en el ensayo "Psychology of security" que describe el funcionamiento del ser humano cuando tiene que abordar el reto de la gestión de riesgos. En este sentido, un profesional de la seguridad piensa diferente cuando ve o le presentan un sistema. Por un lado, analiza las funcionalidades, la complejidad del entorno, los resultados que genera... pero también, otra parte de su cabeza, comienza a pensar en cómo el sistema podrá ser vulnerado. Debe empatizar con el agente hostil para pensar como él y buscar los mismos puntos débiles que él tratará de encontrar.

En este post quiero centrarme en los enfoques de gestión que tenemos que dar a ambas partes de nuestra cabeza para abordar la "construcción de la seguridad" en nuestra organización y la "vigilancia de nuestra seguridad" frente al enemigo.

Construcción de la seguridad.
En este frente, el CISO debe gobernar la gestión y construcción de la seguridad y para ello emplear las buenas prácticas y estándares internacionales existentes, todos enmarcados dentro de la serie ISO 27000. Las necesidades actuales han ido produciendo diferentes revisiones de la norma o la elaboración de normas específicas que han tratado de resolver aquellas cuestiones que la norma general ISO 27001 no ha resuelto bien como pueda ser la Cloud (ISO 27017) o las necesidades específicas de sectores como en financiero, el sanitario, etc. Para quien quiera conocer la situación actual de la serie, la web ISO27001security.com de Gary Hinson nos mantiene actualizados ya que éste autor pertenece a los comités ISO que se encargan de revisar o crear normas dentro de esta serie.

En el proceso de análisis, diseño, construcción y mantenimiento de la seguridad se emplea el famoso ciclo de Demming o modelo PDCA.  Bajo esta filosofía, hay una fase de planificación en donde se realiza el análisis de riesgos, la toma de decisiones y la selección de las medidas de seguridad que deben velar por la adecuada mitigación de los riesgos.

El ciclo de mejora continua garantiza la evolución del sistema porque o bien a través de incidencias (Que evidencia a las medidas de seguridad que no cumplen con sus objetivos o las cuestiones sin proteger) que deben generar las adecuadas correcciones o bien a través de propuestas de mejora (Que evidencia aquellos elementos que podrán obtener mejores resultados), el CISO debe ir obteniendo una mejor protección de su organización de forma progresiva.


Vigilancia de la seguridad.

En este frente, el CISO debe controlar al enemigo y reaccionar frente a nuevas amenazas o los cambios de estrategia que puedan tener como resultado el fallo o  fracaso de las medidas de seguridad que tiene implantadas. En este contexto, aplicamos otro ciclo de gestión diferente, llamado OODA Loop o ciclo de Boyd. Este es el criterio que adopta un piloto para tener conciencia situacional y tomar decisiones de evasión cuando está bajo la linea de fuego enemiga. Esto se aplica en el mundo de la ciberseguridad dado que nuestros sistemas de información están sometidos de forma constante a la presión de los agentes agresores que intentan el acceso a través de los diferentes vectores de entrada que hacen tener éxito a una intrusión. En este entorno, el CISO debe luchar por tener la mayor conciencia situacional posible, teniendo que identificar qué vulnerabilidades tiene, qué flujos de tráfico son anómalos, qué nivel de alerta están notificando las medidas de seguridad implantadas. Como vemos, el CISO se mueve en el terreno de las operaciones para evadir o defender los sistemas del enemigo. El ciclo OODA consta de las fases siguientes: Observación, Orientación, Decisión y Respuesta como muestra la siguiente figura:


Es en este nuevo escenario en donde actualmente se están poniendo a disposición de los CISOs las nuevas tecnologías de Threat Intelligence y correlación de eventos. Tener una visión clara de qué alertas tenemos y tratar de conocer las herramientas, tácticas y procedimientos de nuestro agresor nos da cierta ventaja a la hora de decidir cómo defendernos.

En este estudio continuo del adversario, existen varias aproximaciones que tratan de formalizar la metodología del atacante, de forma que permita al defensor establecer qué respuesta dar en cada fase. Explicaré en un siguiente post en qué consisten estos modelos de ataque... pero su esencia es que una intrusión o ataque no es nunca un hecho aislado. Para su consecución y éxito, el atacante ha tenido que hacer ciertas labores previas de investigación y rastreo que pueden ser detectables si tenemos los sensores adecuados para identificar estos indicios y que no pasen desapercibidos entre el resto de logs.

Si contamos con labores de Threat Intelligence, el defensor conoce mucha información sobre cómo el atacante (Cuando ya ha sido identificado por alguno de los laboratorios que tratan de desenmascarar estas campañas). Por tanto, podemos parametrizar nuestras defensas para que estén atentas a determinadas conexiones a rangos de IP concretos, la conexión a ciertos dominios o URLs, la presencia en nuestros sistemas de determinados ejecutables con ciertos Hash, etc.



Tal como he titulado al post, el CISO debe saber moverse bien en ambos mundos. Debe gobernar la seguridad de sus sistemas pero tiene que también vigilar al enemigo y el cambio en sus tácticas, de forma que siempre tenga garantías de tener cubiertos todos los flancos. Ambos ciclos, PDCA y OODA Loop pueden convivir perfectamente e incluso complementarse mutuamente. De hecho, los que nos hemos venido dedicando al mundo de la gestión hemos tenido como cimientos la ISO 27001 siempre... contemplando la vigilancia y respuesta como labores operativas que generan correcciones o mejora continua pero ahora vemos en el Threat Intelligence un nuevo ámbito a tener en cuenta para la toma de decisiones, que puede acelerar o priorizar mejor en dónde realizar esfuerzos por implantar medidas.




Este nuevo enfoque, más proactivo, basado en la anticipación ya no se centra en la filosofía de minimizar vulnerabilidades sino que asume que la amenaza es persistente y trata de lograr la intrusión en nuestros sistemas. Por este motivo, los soldados no están a la espera subidos en sus almenas sino que están monitorizando y vigilando continuamente al atacante para adecuar la respuesta de forma continua. En este entorno, es imprescindible contar con una adecuada centralización de logs que junte en un único punto toda la información recogida por los sistemas de seguridad de forma que las alarmas puedan ser correlacionadas y generen alertas al personal de seguridad que puedan ser gestionadas y gestionables (Es decir, el número de alertas a procesar debe ser razonable respecto al personal operativo que debe resolverlas). Este tipo de soluciones técnicas son proporcionadas por sistemas SIEM y complementandas con los dispositivos de seguridad que van siendo capaces de incorporar información obtenida por Threat Intelligence. 





miércoles, 14 de septiembre de 2016 0 comentarios

CISO, ¡ Enseñame la pasta !

En el post anterior estuve planteando cómo el CISO debe encontrar su misión y establecer las metas de su trabajo. Esa es la parte bonita del diseño de la estrategia de seguridad donde tenemos que pensar en cómo contribuimos al negocio y establecer el rumbo que luego sirva para medir nuestros logros. Como directivo, debemos diseñar cómo medir si nuestra gestión va alineada con las metas corporativas y si además estamos siendo productivos para el negocio.

Sin embargo, esa parte bonita del camino estratégico tiene que considerar también los factores internos que limitan nuestro campo de acción. No he estado presente en un Comité de Alta Dirección pero si me imagino planteando un Plan Director de Seguridad de la Información y ser interrumpido por el CEO o CIO de la organización para preguntar por el retorno de inversión. Una escena que puede caricaturizar esa situación pero que a la vez ilustra cómo "negocio" piensa y ve al área de seguridad es este trozo de la película "Jerry Maguirre" cuando el representante, desesperado, llama al deportista para tratar de convencerlo de que siga con él.


Me imagino al CISO con su Powerpoint, sus cuadrantes de riesgo y sus planes de acción esbozando la estrategia para gestionar todo eso y levantarse el CEO y espetarle: "Enseñame la pasta".

Una de las cosas que todo CISO debe tatuarse para recordar frecuentemente es que NEGOCIO sólo habla un lenguaje: Dinero. Por tanto, cualquier iniciativa, plan, actuación debe encarmarse en este contexto y debe contar con argumentos poderosos que justifiquen ese gasto/inversión.

Mucho se ha escrito sobre este tema, el famoso Return of Security Investment (ROSI) aunque todavía no existen formulas claras para responder.Algunas de las mejores reflexiones donde se plantea la cuestión se encuentran en los documentos Introduction to Return on Security Investment de ENISA  y Return On Security Investment (ROSI): A Practical Quantitative Model de Infosecwritters.

El CEO o el CIO de toda empresa, frente a un plan de seguridad, perfectamente puede preguntar en qué medida es rentable o cómo se amortizará la inversión. Es la pregunta envenenada contra la que debemos estar preparados de alguna forma. Como ya dije en el post anterior, nuestro mayor logro será evitar que algo interrumpa al negocio... pero ¿cómo medir aquello que somos capaz de evitar? ¿Cómo se rentabiliza la seguridad?

Esta pregunta, es envenenada por los siguientes motivos:

  • Exigen que se valore el esfuerzo por reducir el riesgo ... pero a menudo no se cuantifica el coste de "aceptarlo". Esta es una de las cosas con las que más frecuentemente tengo que luchar. Cuando planteamos un análisis de riesgos y el Comité de Seguridad/Dirección "Decide" no hacer nada, esa opción, es en sí misma también una decisión... y por tanto, tiene consecuencias. Lo que es dificil calcular es su coste aunque de alguna forma tendríamos que poder valorar el coste de la "inseguridad". Para ello, la materia prima esencial sobre la que trabajar para poder hacer alguna aproximación y cuantificar qué factura se paga por no estar adecuadamente protegidos son las incidencias. Todo fallo puede deberse a una ausencia de control consciente o inconsciente. Si por ejemplo, tenemos una oleada de correos con malware y generan determinados incidentes, deberíamos calcular cuanto gasto ha supuesto a la empresa cada uno de ellos. De esa forma, un plan de formación podría plantearse como un coste concreto que tendría por objetivo una reducción del número de incidentes y por tanto, una reducción del coste (Que ya se ha sufrido por esta casuística). Por desgracia, no es frecuente calcular qué cuesta la no prevención.
  • Tenemos que valorar cosas que no han sucedido pero podrían suceder. En muchas situaciones, conocer a priori el impacto es complejo porque un incidente tiene diferentes factores que calcular para tener una valoración completa de daños. Según el tipo de incidente y los activos afectados, los costes pueden ser directos como paradas operativas, cese de servicio, lucro cesante por caída de sistemas... pero también puede haber costes intangibles como daño reputacional, posibles sanciones legales, etc... que pueden engordar la factura a pagar una vez está resuelto del caso. Valorar lo que no ha sucedido no es trivial y debe tener unas ecuaciones claras que hagan racional y comprensible el criterio de estimación utilizado.
El reto no es trivial y cualquier valoración que proporcionemos será cuestionada. Por ese motivo, usemos el criterio que usemos, debemos tener claro cómo se justifica y tratar en la medida de lo posible de hacer fácilmente comprensible el modo de cálculo. En otras disciplinas también se emplean este tipo de estimaciones de futuro y son consideradas razonables. Este es básicamente el modelo de negocio de los seguros, hacer a priori un cálculo de daños a cubrir y definir la cuantía de las pólizas que debe cobrar. En cualquier caso, voy a plantear mi visión sobre el tema. Para ello, es necesario introducir algunos términos que serán necesarios a la hora de realizar estimaciones.

  • Single loss expectancy (SLE), es el coste de un incidente asumiendo una única ocurrencia en términos económicos. Es necesario destacar que cada tipo de incidente tendrá un SLE diferente.
  • Annual rate of occurence (ARO), número esperado de ocurrencias de un incidente durante un año. De nuevo, el ARO es diferente según el tipo de incidente. Respecto a aquellos incidentes que nunca han sucedido (cisnes negros), cada organización debe establecer una posición (pesimista u optimista) que valore cuantos incidentes de este tipo quiere considerar y cuantas veces al año.
  • Annual loss expectancy (ALE), coste de la ocurrencia anual de incidentes de un tipo, en unidades monetarias. Es por tanto el producto del SLE y ARO de un tipo de incidente.
A priori, con estos tres elementos ya se pueden hacer estimaciones de los costes anuales de todos los incidentes. Esto es lo que se conoce como Total ALE (TALE). Con estos factores claros y un buen análisis de incidencias, a priori se podría calcular ya el coste de los incidentes ya sufridos. Para ello, se tendrían que hacer las siguientes consideraciones:
  • El ARO vendría determinado por la frecuencia de los incidentes registrados (No sería una estimación sino un dato calculado del histórico registrado).
  • El SLE de cada incidente tendría que objetivarse y cuantificarse. Para ello, los factores a considerar, por CADA TIPO de incidente, serían:
    • Coste operativo directo: debe cuantificar el coste directo que produce el incidente, valorando para ello cuestiones como tiempos de parada del personal, lucro cesante por interrupción de servicios.
      Coste operativo indirecto: debe cuantificar el coste que tienen todas las actividades de resolución del incidente y el sobre esfuerzo que debe hacerse para volver a la normalidad valorando para ello cuestiones como los tiempos de dedicación del personal TI para resolver la incidencia, las horas dedicadas por el área de atención al usuario para informar o resolver cuestiones surgidas por la ocurrencia de la incidencia, acciones de comunicación o marketing que tengan por objetivo la contención del daño reputacional, etc. Son costes operativos que no se habrían producido si la incidencia no hubiera ocurrido.
Respecto a la toma de decisiones, el CISO también debe entender cuales son los flujos de información que condicionan las inversiones y qué papel debe desempeñar como punto intermedio entre la capa estratégica y la operativa. Para ello es de gran ayuda el marco de ciberseguridad para infraestructuras críticas publicado por el NIST, que he osado traducir.
Tal como muestra la pirámide y de forma resumida, las diferentes iteraciones podrían resumirse en lo siguiente: 
El primer ciclo debe iniciarse en el análisis de riesgos para plantear a Dirección el mapa de cuestiones que se deben gestionar. Con ese contexto, es la Dirección la que asume, como propietaria de los riesgos su rol respecto a las 4 opciones de gestión: Aceptar, Reducir, Evitar o Transferir. 
Acorde con esas opciones, el CISO puede elaborar el Plan Director de Seguridad y plantear un esfuerzo de inversión que el Comité dotará de recursos. Con esta orden de ejecución, deben comentarse los trabajos de puesta en marcha de medidas y traslada la operación y mantenimiento de las medidas de seguridad al área operativa. Esta, además de administrar y gestionar, debe suministrar información de rendimiento que sirva para valorar la eficacia de las medidas.
Con estos datos, el CISO debe retroalimentar su mapa de riesgos y plantear en una segunda fase qué cuestiones se pueden dar por resueltas, qué cuestiones deben mejorar y qué nuevas cuestiones no han sido contempladas y requerirán nuevos esfuerzos inversores.
Teniendo esta pirámide en mente y los conceptos ya explicados para hacer estimaciones, los cálculos del ROSI ya pueden empezar a cimentar en base a una serie de criterios que las áreas de gestión y alta dirección van a ser capaces de entender.

  • Eficiencia operativa: Toda medida de seguridad tiene dos costes, el de inversión (o CAPEX) y el operativo (U OPEX). En el Post "Ciberseguridad, minuto y resultado: Los malos 3, Los buenos 0 ya comenté como una inversión en prevención puede ser rentable si es capaz de reducir el coste operarativo (OPEX) generado por los incidentes que es capaz de evitar. El coste de la inseguridad genera a menudo un OPEX de "apagar fuegos" que sería evitable o reducible. Ese debe ser el objetivo de toda inversión técnica para mitigar un problema que se deben concretar en una reducción de ARO.
  • Reducción de riesgos: Contar con medidas de prevención o detección temprana también tiene como beneficio evitar sucesos indeseados. Ello debe reducir los factores SLE o ARO dado que las mejoras en la gestión de riesgos deben disminuir la vulnerabilidad o limitar el impacto. Por tanto, los beneficios en la adecuada gestión del riesgo deberían traducirse en un descenso de las estimaciones dadas para el TALE.
  • Mejoras al negocio: Este es quizás uno de los factores más complejos de cuantificar, pero una adecuada gestión de la seguridad debe mejorar la disponibilidad, integridad y confidencialidad de los procesos, y por ende, generar una mayor confianza y reputación en los clientes. Estas cuestiones son contribuciones al negocio que sólo puede proporcionar el área de seguridad.

 Para aquellos que queráis profundizar más en el tema y jugar a realizar cálculos sobre los incidentes, el ENISE tiene en la sección de formación para CSIRT un taller práctico sobre cómo hacer estas cosas en diferentes tipos de incidentes. Podéis acceder a estos materiales en el siguiente enlace Cómo calcular el coste de un incidente de seguridad.





sábado, 10 de septiembre de 2016 2 comentarios

De mayor quiero ser CISO.


Ahora que muchas organizaciones y empresas se están planteando ya más en serio esto de la ciberseguridad, llegan las dudas para muchos técnicos o responsables de TI sobre cómo abordar esta problemática de forma holística. Si se sigue planteando como un tema tecnológico donde las soluciones técnicas son el único remedio, el barco hará aguas.

Una de las cosas más bonitas pero también su mayor reto es que es una disciplina en continuo cambio. Una carrera de buenos y malos que se están haciendo continuamente la zancadilla. El objetivo de los malos es maximizar lucro o impacto sobre sus víctimas y el objetivo de los buenos es contrarrestar y reducir al máximo cualquiera de estas fechorías.

Esta batalla tiene ganadores temporales. Hay momentos donde uno de los bandos domina la situación hasta que el contrario reacciona y consigue igualarlo. Quizas, una de las cosas que más influye en el bando de los que defienden es que su mayor logro será garantizar la normalidad, algo a veces no muy visible y premiado por la Alta Dirección que no entiende que preservar la cadena de valor gestionando riesgos es también una forma necesaria de contribuir al negocio. Esto ocurre con cualquiera de las disciplinas que tienen como objetivos la prevención: seguridad física, seguridad alimentaria, prevención de riesgos laborales.

Pero entrando de lleno en la materia es importante destacar que un entorno tan cambiante implica tener claro en marco de gobierno y exige una muy buena gestión. Ambos retos implican tres cosas:


Pensar y decidir es la estrategia, actuar es la táctica. Es de nuevo Sun Tzu y su "Arte de la guerra" la referencia a tener en cuenta. Tal como resume esta frase:
 "La estrategia sin táctica es el más lento camino a la victoria. La táctica sin estrategia es el ruido que precede a la derrota".

Para poder "pensar" como CISO dentro de tu organización, lo primero que tendrás que responder es a lo siguiente:
  • ¿Cuál es el valor que genera mi organización? ¿Qué bien es el que debe protegerse? La respuesta a esta cuestión nos llevará a encontrar nuestra misión en relación a qué activos tenemos que preservar.

La segunda cuestión relevante para tener una visión holística del problema debe ser la siguiente:
  • ¿En qué contexto o entorno estoy situado? Esta respuesta debe servir para calibrar escenarios y valorar posible hostilidad. Hay sectores que sufren una mayor presión por parte de los malos porque existe una mayor motivación o interés, el botín en caso de tener éxito es más alto.


Estas dos simples preguntas ya revelan cómo debe pensar un CISO para decidir. En primer lugar, debe mirar para dentro, hacia el lado en el que él se sitúa como garante pero no puede olvidar el otro bando. La gestión del riesgo implica siempre la tupla (Activo, Amenaza).

Otro gran reto del CISO es su propia organización. Cada casa tiene sus particularidades pero en la toma de decisiones nunca se está completamente solo. Para actuar y desplegar tácticas, es necesario recursos y presupuesto. Por tanto, contar con el respaldo interno y el apoyo para la toma de decisiones es fundamental. Como resultado de la fase de pensar, el CISO debe proporcionar a la organización un adecuado diagnóstico de situación, es decir, debe plantear los riesgos que hay que gestionar y tener preparados para  ellos cuales son a nivel técnico, los posibles marcos de actuación que mitigan esos peligros.

Llegados a este punto y para resumir las reflexiones planteadas, el CISO debe pensar como ingeniero y establecer unos cimientos sólidos que le permitan construir un edificio robusto y que además, sea lo suficientemente ágil y flexible como para ir reaccionado con el paso del tiempo a los nuevos cambios que se puedan producir.  Para ello, la arquitectura del mismo debe contar con unas bases robustas que establezcan una adecuada estrategia y que permitan ir resolviendo en la táctica, las cuestiones de medio y corto plazo que se vayan planteando. La seguridad debe ser siempre un habilitador, un medio para alcanzar objetivos y no un obstáculo. Por ese motivo, la alineación con los objetivos de negocio es fundamental. Si la Alta Dirección, como propietaria de riesgos, quiere desarrollar actividades en escenarios de mucho peligro, el CISO debe aportar su criterio técnico para que esa travesía transcurra sin el menor de los incidentes... Pero no puede convertirse en el Doctor "NO" que para evitar problemas no permite avanzar hacia la meta planteada. Por ese motivo, debe adoptar una actitud proactiva y estar al tanto de todas las decisiones estratégicas para ir avanzando la identificación y evaluación de riesgos.

Un BUEN CISO deben proporcionar:
  • Un marco para la toma de decisiones, donde toda cuestión debe ser valorada como riesgo y tener en cuenta siempre las necesidades de negocio.
  • Una visión de los sistemas de información desde la perspectiva de seguridad, pensando más en la dependencia entre negocio y tecnología y analizando siempre la cadena de fallo, aunque sea solo en escenarios hipotéticos de riesgo.
  • Un plan de tratamiento frente a riesgos, en donde el coste/beneficio se maximice y en donde los criterios de priorización de inversiones tengan por objetivo la mitigación de aquellos riesgos que la Alta Dirección entiende como no asumibles.


Como resume la frase, "o formas parte del problema, o formas parte de la solución". Un CISO debe ser siempre SOLUCIÓN planteando siempre las 4 opciones de gestión del riesgo: Aceptar, evitar, reducir o transferir.

Cuando se traslada a la Dirección un resultado de analizar los riesgos y dado que no son problemas tangibles y reales sino escenarios hipotéticos de todo lo que puede suceder, es tentador guardar la cartera y optar por la opción de máximo ahorro: ACEPTAR. Sin embargo, es necesario hacer ver que está opción es también una decisión con consecuencias.
"La planificación a largo plazo no es pensar en decisiones futuras, sino en el futuro de las decisiones presentes". Peter Drucker.

Cuantas veces hemos visto facturas muy caras en el largo plazo por no haber planificado bien inversiones en prevención modestas que no dan lugar a efectos "bola de nieve". Actualmente nos encontramos en varios escenarios que ejemplifican bien este comentario y me estoy refiriendo a los siguientes:
  • Ransomware: Su éxito, respecto al factor humano,  se debe principalmente a la ausencia de acciones de formación entre el personal para ponerles en conocimiento de cuáles son las formas en las que los malos intentan hacer daño a través de correo electrónico o en navegación Web.  El éxito en la parte técnica es debido en muchos casos a la obsolescencia tecnológica de los sistemas afectados. Las medidas de seguridad de un Windows 10 cuentan con la experiencia y el conocimiento acumulado de Microsoft en seguridad. Windows XP tiene ya 16 años y estaba capacitado para gestionar las amenazas de aquella época... Pero las cosas han cambiado mucho desde entonces.
  • Ataques Web: Las técnicas actuales que se centran en explotar los errores a nivel de aplicación ya no se pueden evitar con políticas de filtrado de conexiones basadas en IP y puerto. Cuantas empresas tienen solamente firewalls con estas capacidades y no son capaces de detectar ataques Web. Actualmente, existe ya tecnología especializada que se centra en resolver exclusivamente ese problema como el WAF (Web Application Firewall) y que permite, entre otras cosas, el parcheo virtual de aplicaciones vulnerables cuando el entorno no puede ser actualizado. ¿Qué significa esto? Que aunque la aplicación que está accesible desde Internet puede tener un bug, el WAF va a detectar su intento de explotación y va a parar el tráfico malicioso que intente entrar a nuestros sistemas por esa vía.


Este es el primero de una nueva serie de post que van a reactivar la actividad de mi blog, que casi tras un año sabático, ha servido para identificar qué temática puede ser de interés y merece la pena compartir con el objetivo de saciar el interés de los actuales y futuros lectores. Cierto es que con el paso de los tiempos ha crecido exponencialmente el número de blogs de seguridad pero no son tantos los que se centran en aconsejar en materia de Dirección y gestión del Área de seguridad de la información. Además, este es uno de los más antiguos que celebrará su 14 aniversario el próximo octubre. Toca ahora restaurar el hábito de buscar cuestiones interesantes a comentar pero al menos, ya he identificado la temática a tratar. En próximos artículos hablare de las siguientes cuestiones:
  • Estrategias de ataque: Modelo de diamante y la Ciber Kill-Chain.
  • Estrategias de defensa basadas en conocer las estrategias de ataque.
  • Threat Intelligence: Conociendo lo que hace tu enemigo y utilizarlo para la prevención.
  • Compliance como un aliado del área de seguridad.

Lo que si habrá como véis, es un estudio desde los dos lados. El "Threat Intelligence", una nueva y potente herramienta es y será una tendencia en uso. Por fin es posible conocer al enemigo... y eso empieza a dar cierto equilibrio en el pulso de "fuerzas". 

El bando que hemos elegido es el más difícil. No tenemos que encontrar el punto débil, tenemos que considerar la protección de todos los elementos. Y además, seremos juzgados el día en que algo ocurra. Por tanto, al menos hay que demostrar diligencia y resultados aunque algo pueda suceder.

jueves, 6 de agosto de 2015 0 comentarios

Construyendo "conciencia situacional" para evitar o detectar incidentes.

Llevo ya unos meses dedicados a profundizar en la capa operativa de la seguridad. Para mi esta bajada al MUNDOREAL™ está siendo un viaje apasionante dado que me está permitiendo conocer herramientas SIEM que tratan de juntarlo todo con un objetivo único, proporcionar una visión aproximada de lo que puede estar sucediendo para tomar la mejor de las decisiones posibles en materia de detección temprana.

Para ello, he ido dedicando los ratos de ocio a profundizar en la materia tratando de leer (aunque no de la forma sosegada y centrada que me hubiera gustado) diferentes fuentes de información contando para ello con apoyo de diferente bibliografía que a continuación voy a resumir:

Este es un libro esencial dado que fija los conceptos más importantes que deben estar claro en un plan de despliegue de monitorización. Es necesario aplicar criterios de diseño a dónde situar los sensores, qué tipo de información recoger, cuanto tiempo retenerla, valorar los ratios entre cantidad de información y capacidad de proceso, etc.


Este libro complementa al anterior ya que empieza a sentar las bases de la telemetría del estado de seguridad de la red y plantea ya cuestiones más avanzadas sobre cómo procesar la información para obtener conclusiones. Tiene una parte importante centrada en el análisis de datos usando R como lenguaje.







Este tercer libro también es un apoyo importante dado que si en los dos primeros obtenemos una visión del qué es importante conocer, en este se obtiene una visión de "cómo" transmitir aquello que se va conociendo para hacer procesable de forma más rápida y sencilla la información. Este libro no se centra en la monitorización sino que plantea la visualización de todo tipo de datos vinculados a la seguridad.






Hay algunas referencias más que he ido consultando pero a nivel teórico estos son unos buenos pilares para tener claro cómo enfocar el tema. Justo a mitad del proceso, principios de junio, me llegó una invitación a participar en la primera jornada de Ciberseguridad organizada por la Escola de Policia de Catalunya en Mollet del Vallés (Resumen del evento en el blog de empresa que podéis consultar un este enlace

Este seguramente será el primero de algunos post dedicados a describir el proceso de construcción de un SOC pero mis primeras impresiones, tras conocer ya herramientas y sus capacidades me plantean de nuevo la gran importancia que tiene la capa estratégica y lo verdes que están muchas empresas en "conocerse a si mismas".

Todo se resume en la frase de Federico II el Grande "Quien trata de defenderlo todo, no logra proteger nada". En este sentido, el despliegue de cualquier tecnología orientada a la prevención va a platear preguntas sobre la infraestructura TI de la organización y su impacto en el negocio que sólo pueden ser resueltas desde la visión holística y completa que proporciona un análisis de riesgos. Incluso en las herramientas SIEM existe un importante aspecto a configurar vinculado con los activos en donde la relevancia o severidad de las alarmas está condicionada por el valor de los activos o las redes en las que se producen los eventos. Sin un inventario completo de qué aspectos clave son los que inicialmente deben centrar el despliegue, el equipo de seguridad está perdido y desorientado. Cualquier sistema, con la cantidad de ruido existente en la red, va a empezar a disparar alarmas que habrá que priorizar y ponderar en función de a qué afecta, en qué momento, con qué tipo de ataque. Si a esto sumamos que también de repente aparecen eventos potencialmente peligrosos que eran desconocidos para la organización, tenemos un carajal de cuidado en donde es difícil poner orden y concierto.

Antes de entrar en pánico, debemos volver a los principios, a los cimientos y situar cada pieza de la seguridad en su sitio. 

Para poder vigilar es necesario que existan primero decisiones. Tener políticas y normativas de seguridad facilitan las respuestas a cuestiones relevantes sobre lo que está permitido, no lo está, es tolerable pero indeseable o lo que será permitido por cultura de la organización. 



Por tanto, dado que los sistemas son complejos y grandes, tenemos que bajar de nuevo al papel y lápiz, aplicar estrategia militar y diseñar con el plano de red, cuales serán los puntos críticos donde vamos a poner centinelas.



También es importante conocer el entorno cambiante de las amenazas que forman el campo de batalla y ser conscientes de cual es el caldo de cultivo en el que se produce una intrusión. Al igual que existe el triángulo del fuego, una intrusión requiere de tres factores: Datos, un punto de entrada o exploit y una forma de robarlos que es a través de la red. De estos tres elementos, dos son gestionados por el que defiende.


En un mundo ideal, las estrategias preventivas como la establecida por el Gobierno australiano con sus 35 actuaciones básicas para evitar una intrusión, que finalmente quedaron reducidas a cuatro aspectos esenciales no funcionan. Pese a ser muy básico, estas cuatro "decisiones" de seguridad son complicadas de desplegar en organizaciones grandes. A menudo es difícil decidir qué se puede ejecutar, tener control sobre el parque de aplicaciones para garantizar que están parcheadas al igual que sobre el parque de sistemas operativos. Lo único que sueles encontrar funcionando es el principio de mínimos privilegios pero como se muestra, es la última de las 4 actuaciones urgentes.



Por ello, es necesario un cambio de enfoque al problema. Migrar la estrategia de pensar que somos capaces de cerrar todos los agujeros a pensar que la intrusión se va a producir seguro aunque no sabemos cuando. Nuestra misión, como responsables de seguridad es tratar de detectar de forma más temprana posible que existe dicha intrusión y expulsar de los sistemas al extraño antes de que sea capaz de recolectar un volumen alto de información que es realmente lo que causa impacto.


El problema principal de los APT no es que existan, sino su persistencia.


En próximos post iré desgranando aspectos importantes a resolver para poder construir conciencia situacional.


sábado, 11 de julio de 2015 0 comentarios

Nativos digitales y Padres 2.0: La factura digital de tener pasado enla red

En esta época del año cuando el cole finaliza muchos padres asistimos con orgullo a las fiestas fin de curso y otras actividades similares que ponen fin al año escolar. Muchos padres, plenamente conscientes del peso que tiene Internet en nuestras vidas y de las tendencias tecnológicas que van a condicionar su futuro vemos con preocupación la ligereza y frecuencia con la que los progenitores vuelcan sin control las hazañas de sus peques con las finalidades vinculadas a la difusión entre sus conocidos. Los más prudentes utilizan enlaces a carpetas de servicios de almacenamiento en nube como Dropbox y los menos los cuelgan en sus canales propios de Youtube totalmente en abierto. Además, quienes somos conscientes de la problemática existente tenemos que sufrir agresiones virtuales al ver que a pesar de nuestros esfuerzos por evitar este tipo de situaciones, nuestros menores aparecen acompañando a otros en actividades como fiestas de colegio o celebraciones de cumpleaños.

Aunque este tema lo aborda de forma completa el artículo Festivales de fin de curso: ¿Debe permitirse hacer fotos?  lo más significativo, como comentó Ricard Martinez  hace unas semanas en el III Congreso Nacional de la Asociación de Profesionales de Privacidad (APEP) son los comentarios de muchos padres al pie del mismo. En ellos se mezcla en muchos casos, el enfado por las medidas a tomar y lo ridícula que les suena la preocupación de los autores.

Quizás, lo que muchos padres no son capaces de ver o entender es la importancia o trascendencia que tienen los hechos que ahora cuelgan en la red para sus hijos ... en el futuro. En un mundo donde el crecimiento de la tecnología es brutal, donde la incorporación de la innovación tiene cada vez ciclos más cortos de penetración es complejo poder vaticinar qué importancia pueden tener los datos del hoy en el mañana. Aunque Gemma Galdon, socióloga y participante en el III Congreso APEP, ha colgado un excelente post titulado "La memoria obligatoria" planteando este nuevo escenario como un elemento que alterará nuestro concepto de libertad, creo necesario como experto en la materia intentar hacer ver de qué estamos hablando y cuales son las cuestiones que nos preocupan a los profesionales que entendenemos de esto y que podemos predecir, por el análisis de las tendencias tecnológicas en curso, cuales son las posibles situaciones que se plantearán en este siglo XXI. Para ello, he creído adecuado usar un relato futurista... al igual que ya hice en el post "El tsunami tecnológico que no pudimos evitar" en el año 2012 para contar la alta dependencia tecnológica en nuestro día a día y por qué la seguridad es una asignatura pendiente. Aquí comienza el relato.

Año 2031. Conversación entre padre e hijo.
- "¿Qué tal va tu búsqueda de trabajo, Pedro?."- Preguntó su padre.
-  "Pues no muy bien, Papá. No se qué está pasando pero en las diferentes ofertas online a las que me voy apuntando, en cuestión de minutos aparece la respuesta descartando mi candidatura."- Respondió el hijo.
- "¿Cómo dices? ¿En cuestión de minutos? ¿No te llaman ni siquiera para hacer la entrevista?"- Interrogó de nuevo el padre.
- "Claro Papá. Ahora los departamentos de Recursos humanos tienen algoritmos de selección y scoring automáticos que les permiten evaluar y ponderar las características del candidato. Aprovechan las tecnologías de Big Data y la cantidad de información colgada en la red para realizar en tiempo real un procesado de todo eso y construyen un timeline de los diferentes solicitantes. Luego aplican criterios de selección según ponderaciones que asignan a las actividades que el candidato ha ido evidenciando a lo largo de su vida (pertenencia a asociaciones, actividades deportivas, implicaciones políticas, etc.) Todo está en la Red y los algoritmos son capaces de pronosticar que capacidades, conocimientos, habilidades y aptitudes podría tener el candidato."- Explico Pedro a su padre.
- "Desconocía que hubiéramos llegado a este nivel de automatización."- respondió el Padre que quedó pensativo al conocer los nuevos métodos que se estaban aplicando.
En ese momento, el hijo preguntó al padre. "- ¿Por qué lo hacíais?."
"-¿El qué?"- respondió su Padre.
"-Colgar toda nuestra vida. ¿Era necesario?. Nunca he entendido porqué tienen que conocer mis compañeros de colegio que no sabía nadar con 3 años, que me caía de la bicicleta con 5, que bailaba tan mal cuando era pequeño en las diferentes actuaciones del colegio. Esos son recuerdos de familia pero que deberían haber quedado para nosotros y como mucho, nuestros conocidos más próximos. Ahora pongo mi nombre en Internet y me salen páginas que son capaces de localizar todo mi pasado y reconstruir mi vida."- espetó el hijo.
"-Todo aquello era nuevo. Cuando tu naciste, Youtube tenía pocos años y cualquier cosa que hacías era fácil subirla y compartirla con tus abuelos, primos y demás familia. Nos gustaba mostrar cómo crecías."- respondió su padre.
- ¿Pero Papá, todo accesible sin restriciones a nadie, todo colgado y visible para cualquier internauta en la red? - planteó de nuevo el hijo.
- "¿Cómo iba a saber que todo eso no quedaba en el olvido? ¿No tenía muchas visitas y eran cosas que poníamos para que las vieran en aquellos momentos solo."- respondió de nuevo el padre.
-"Pero eran indexables y estaban en la memoria de Internet para siempre Papá. Quedaban fuera de vuestro control. No podías garantizar que sólo estuvieran en los sitios en las que lo subías porque los contenidos una vez son públicos, ya dejan de poderse limitar."
-"Eramos muy ignorantes hijo. Ahora nos llamarían analfabetos digitales y en aquellas épocas de explosión de las redes sociales parecía que si no estabas metiendo tu vida en facebook o contando lo que hacías en twitter, eras un atrasado tecnológico."

Esta conversación ficticia, hoy en el año 2015 no tiene todavía mucho sentido aunque ya sabemos que los procesos de selección de personal se ven influenciados por las redes sociales. Sin embargo, la memoria eterna y la indexación continua de la red obligan a pensar no en el ahora, sino en lo que podrá suceder en el futuro. Dado que no sabemos los rumbos que pueden mover a las nuevas tecnologías ni cómo los derechos pasarán a ser regulados, es cuanto menos temerario volcar demasiado en un entorno inestable que no sabemos qué consecuencias puede acarrear. Como Padres, somos garantes de la educación de nuestros hijos y debemos preservar su intimidad y dignidad como un bien preciado dado que la reputación (online) ya es un valor en alza que cada vez más condicionará lo que son o pueden llegar a ser nuestros hijos en el futuro.



Si te parece descabellado o exagerado el relato, plantéate sólo como se daban préstamos bancarios hace 10 años. Para poderlo recordar puedes ver series como "Cuentamé como pasó" donde se relata la importancia del Director de oficina en algunos de los momentos más importantes de algunas familias a la hora de otorgar prestamos para cosas importantes y cómo se hace ahora ese proceso. El scoring bancario es una realidad... pero cuando realmente el potencial del Big data y las tecnologías cognitivas sean una realidad cotidiana... ¿de verdad crees que querrás haber colgado tanta información en la red?
Por eso es loable y necesario movimientos y ONG como Padres 2.0 que intentan mitigar el desconocimiento de los tutores y padres en estas materias, para evitar pagar facturas como las comentadas. La ignorancia tecnológica puede ser un elemento discriminador en el futuro y por eso nos toca a todos hacer ver la cara oculta del uso de los nuevos servicios que seducen al usuario con sus cantos de sirena, para atraparlos en una tela de araña de la que es difícil salir pese a existir el derecho al olvido y que nunca sabremos en qué momento podrá acabar devorándonos.















 
;