Noticias como estas son las que interesan especialmente comentar en este blog. Si bien ayer, a bombo y platillo se presumía en diferentes fuentes de que el precio del Iphone era el secreto mejor guardado por parte de Telefónica, ya tenemos hoy los blogs cotillas de turno que desvelan información supuestamente confidencial donde se describe la estrategia de mercado y de precios del fenómeno "Iphone".
Con las últimas noticias que he comentado, uno ya debe dudar casi de todo. ¿Es la fuga de esta información parte de la estrategia comercial y utilizan "lo prohibido" como una estrategia de marketing viral?
Pues, sinceramente no lo sé.
La gente de Xataca cuelga hoy un post sobre las Tarifas del contrato del iPhone con Telefónica y para ser convincentes y como buen autor que confirma sus fuentes, aporta las evidencias que muestran la información comprometida.
Se cumple de nuevo el principio de la cadena, "La cadena es tan fuerte como el más débil de los eslabones". En este caso, airear que esa información es objeto de deseo seguro que ha convencido a alguién para dejarse seducir por tentaciones y finalmente filtrar los datos. ¿Se procederá a depurar responsabilidades e identificar la fuente de la filtración? o por el contrario, ¿somos todos víctimas de una estrategia inteligente de marketing que busca el boca a oreja para difundir lo más rápido posible que el Iphone tiene un precio muy interesante?
Nadie que no pertenezca al departamento de marketing de Telefónica podrá obtener respuesta.
viernes, 27 de junio de 2008
Noticias
0
comentarios
iPhone, el 'Top Secret' de Telefónica ¿El top qué?
Da gusto disfrutar del deporte cuando da una lección de vida. Hoy hemos podido ver a once cuerpos jugando con una sola cabeza, al igual que ya hiciera nuestra selección de baloncesto cuando logró ser campeona del mundo.
Con una organización que es realmente un equipo, solidarios, compenetrados, juntos por un objetivo comun y compartiendo el sacrificio, los sueños acaban, no sin esfuerzo, haciéndose una realidad.
Así podemos, y si no se logra, habrá sido un orgullo intentarlo con tanta clase, disciplina y elegancia.
Con una organización que es realmente un equipo, solidarios, compenetrados, juntos por un objetivo comun y compartiendo el sacrificio, los sueños acaban, no sin esfuerzo, haciéndose una realidad.
Así podemos, y si no se logra, habrá sido un orgullo intentarlo con tanta clase, disciplina y elegancia.
De nuevo la revista (IN)secure Magazine viene cargada de contenidos en su número 17. Los temas que se tratan en este ejemplar son:
- Security standpoint by Sandro Gauci: when best intentions go wrong
- Review: Red Condor Hosted Service
- Reverse engineering software armoring (part 1)
- Security training and awareness: strengthening your weakest link
- Hacking Second Life
- Building a secure wireless network for under $300
- Assessing risk in VoIP/UC networks
- Open redirect vulnerabilities: definition and prevention
- Migration from e-mail to web borne threats
- Bypassing and enhancing live behavioral protection
- Point security solutions are not a 4 letter word
- The future of security is information-centric
- Corporate due diligence in India: an ICT perspective
- E-mail encryption service: a smart choice for SMBs
- Securing the enterprise data flow against advanced attacks
- How to prevent identity theft
- Security flaws identification and technical risk analysis through threat modeling
Podéis descargarlo pulsando (IN)Secure Magazine Número 17.
- Security standpoint by Sandro Gauci: when best intentions go wrong
- Review: Red Condor Hosted Service
- Reverse engineering software armoring (part 1)
- Security training and awareness: strengthening your weakest link
- Hacking Second Life
- Building a secure wireless network for under $300
- Assessing risk in VoIP/UC networks
- Open redirect vulnerabilities: definition and prevention
- Migration from e-mail to web borne threats
- Bypassing and enhancing live behavioral protection
- Point security solutions are not a 4 letter word
- The future of security is information-centric
- Corporate due diligence in India: an ICT perspective
- E-mail encryption service: a smart choice for SMBs
- Securing the enterprise data flow against advanced attacks
- How to prevent identity theft
- Security flaws identification and technical risk analysis through threat modeling
Podéis descargarlo pulsando (IN)Secure Magazine Número 17.
Sin duda una de las novedades en el sector de las tecnologías de la seguridad de la información va a ser la aparición de los productos DLP (Data Lost Prevention). El enfoque de este tipo de dispositivos es bastante reciente e innovador. Tanto es así que hasta en la Wikipedia todavía no se dispone de una descripción sobre el tema, aunque ya puede consultarse la entrada.
La primera noticia que tuve de ellos llegó de la mano de David Ramón en su sección de Infonomía dedicada a herramientas útiles. Como bien describe él en su artículo, dice:
Aquel producto comentado en enero del 2004 era Vontu, un appliance de una empresa desconocida. Hoy esta empresa pertenece a Symantec. La tecnología ha madurado y este tipo de productos cada vez tienen más sentido. Vontu fue el primero en cambiar el enfoque. La protección no se limitaba a establecer qué servicios podían o no pasar sino que iba más allá. Para Vontu, las restricciones se establecen sobre el contenido, la información sensible que bajo ningún concepto puede salir de las instalaciones de la organización.
Los productos actualmente más representativos de esta tecnología son:
Quien desee ampliar la información técnica sobre esta tecnología, puede consultar el artículo publicado en Searchsecurity.com o en este otro artículo.
De esta manera, parece que por fin los Responsables de seguridad volvemos a poder establecer el "perimetro de protección" pero en vez de hablar sobre qué recursos se encuentran dentro de la protección, ahora definiremos qué contenidos son los que hay que custodiar.
El tema actualmente inquieta como refleja el informe que Sergio Hernando comentó en su post "Un tercio de las grandes compañías leen y analizan el correo saliente de los empleados.
La primera noticia que tuve de ellos llegó de la mano de David Ramón en su sección de Infonomía dedicada a herramientas útiles. Como bien describe él en su artículo, dice:
La seguridad en la gestión de la información es cada vez más importante. Diariamente gestionamos multitud de información (emails, documentos, ...), que puede ser sensible a la empresa, y que terceras personas accedan a esta información confidencial suele ser más habitual de lo deseado. Accesos no deseados, empleados no contentos que envían esta información a terceras empresas, virus informáticos que envían documentación via email, son algunos de los ejemplos que algunas empresas se han encontrado. Si bien existen muchos sistemas de seguridad, destacando en este sentido los cortafuegos, es cierto que es un campo complejo y que va evolucionando con rapidez. De todas maneras, los cortafuegos habituales funcionan desde un punto de vista pasivo: analizan quién quiere entrar en nuestros sistemas de información, y evitan dicho acceso en la medida de lo posible. Pero la empresa que comentamos está desarrollando un sistema que aplica un principio diferente: se trata de una solución que intentarán evitar que la información ?sensible? salga de nuestra empresa. Se trata de una actitud activa que evita ante todo que la información más valiosa llegue a salir de nuestra empresa. Para ello, su producto analiza todo el tráfico que sale de la empresa. Si por ejemplo, un empleado desea enviar un correo electrónico a una tercera persona con alguna información confidencial, el sistema lo evitará. Un claro ejemplo de la posibilidad de ofrecer nuevos productos innovadores partiendo de un punto de vista diferente a la solución tradicional.
Aquel producto comentado en enero del 2004 era Vontu, un appliance de una empresa desconocida. Hoy esta empresa pertenece a Symantec. La tecnología ha madurado y este tipo de productos cada vez tienen más sentido. Vontu fue el primero en cambiar el enfoque. La protección no se limitaba a establecer qué servicios podían o no pasar sino que iba más allá. Para Vontu, las restricciones se establecen sobre el contenido, la información sensible que bajo ningún concepto puede salir de las instalaciones de la organización.
Los productos actualmente más representativos de esta tecnología son:
- Vontu adquirido por Symantec.
- Provilla adquirido por Trend Micro bajo la marca TrenMicro™ LeakProof™ 3.0
- Onigma adquirido por McAfee bajo el producto McAfee Data Loss Prevention
Quien desee ampliar la información técnica sobre esta tecnología, puede consultar el artículo publicado en Searchsecurity.com o en este otro artículo.
De esta manera, parece que por fin los Responsables de seguridad volvemos a poder establecer el "perimetro de protección" pero en vez de hablar sobre qué recursos se encuentran dentro de la protección, ahora definiremos qué contenidos son los que hay que custodiar.
El tema actualmente inquieta como refleja el informe que Sergio Hernando comentó en su post "Un tercio de las grandes compañías leen y analizan el correo saliente de los empleados.
viernes, 20 de junio de 2008
Bri-consejo de seguridad
2
comentarios
Novedades de seguridad en Firefox 3
Iba esta semana a comentar las novedades de seguridad del nuevo FireFox 3 pero en esto de los blogs quién no se da prisa, enseguida puede ver sus pensamientos publicados.
La gente de Genbeta lo ha detallado muy bien y por tanto, no merece la pena repetir lo mismo si no se va a aportar algo extra. Para lo que quieran conocer las nuevas advertencias de seguridad puede leerlo en Especial Firefox 3: novedades de seguridad.
Entre las cosas que valoro muy positivamente de esta nueva versión están:
- No deja continuar si hay problemas con el certificado de servidor. Es el usuario quien explícitamente debe crear una "excepción".
- La verificación del certificado se intenta hacer directamente consultando vía OCPS el estado del certificado.
Esta es la ventana donde se configura la validación de los certificados.
Entre las cosas que no me han gustado, está la famosa ya "barra acusadora" llamada oficialmente Awesome Bar. Para quien no sepa en qué consiste, Awesome Bar es el nombre de la nueva barra de direcciones de Firefox 3, que busca entre las URLs, los títulos de las páginas y las etiquetas de tu historial y tus marcadores todas las webs que coincidan con la palabra o palabras escritas en la barra de direcciones, y ordena los resultados según la frecuencia con la que entramos en esas webs y el tiempo pasado desde el último acceso. Lo más importante, es que el Awesome Bar ahora aprende de nuestros hábitos. Ya no se trata del mejor “match” de texto, sino de acuerdo a nuestro comportamiento anterior. Las páginas que visitamos más seguido. aparecerán encima del resto.
En la Web de Fayerwayer.com también ya está resuelto el cómo deshabilitar la nueva barra acusadora.
Se resume en seguir los siguientes pasos:
1- En la barra de direcciones escribimos about:config
2- Hacer clic en "Seré cuidadoso, lo prometo"
3- En el campo de Filtro, escribimos browser.urlbar.matchonlytyped
4- Hacer doble clic sobre la opción que buscamos para resetearlo en true
Si además de la Awesome Bar queremos también que no nos muestre direcciones que hayamos tecleado anteriormente, o sea, que no memorice los resultados de navegaciones anteriores, entonces a lo anterior habría que añadir:
5- En el campo de Filtro, escribimos browser.urlbar.maxRichResults
6- Ponemos el campo a 0, indicando así que no memorice ningún resultado anterior. Si pusieramos el valor a 5, por ejemplo, recordaría solo las últimas 5 direcciones.
Una vez finalizado, reiniciamos Firefox.
El resto de elementos, están ya muy bien explicados en el artículo de Genbeta. Dado que son mas los pros que contras, aunque yo utilizo indistintamente los dos navegadores, por ahora voy a usar Firefox 3 como el preseleccionado.
La gente de Genbeta lo ha detallado muy bien y por tanto, no merece la pena repetir lo mismo si no se va a aportar algo extra. Para lo que quieran conocer las nuevas advertencias de seguridad puede leerlo en Especial Firefox 3: novedades de seguridad.
Entre las cosas que valoro muy positivamente de esta nueva versión están:
- No deja continuar si hay problemas con el certificado de servidor. Es el usuario quien explícitamente debe crear una "excepción".
- La verificación del certificado se intenta hacer directamente consultando vía OCPS el estado del certificado.
Esta es la ventana donde se configura la validación de los certificados.
Entre las cosas que no me han gustado, está la famosa ya "barra acusadora" llamada oficialmente Awesome Bar. Para quien no sepa en qué consiste, Awesome Bar es el nombre de la nueva barra de direcciones de Firefox 3, que busca entre las URLs, los títulos de las páginas y las etiquetas de tu historial y tus marcadores todas las webs que coincidan con la palabra o palabras escritas en la barra de direcciones, y ordena los resultados según la frecuencia con la que entramos en esas webs y el tiempo pasado desde el último acceso. Lo más importante, es que el Awesome Bar ahora aprende de nuestros hábitos. Ya no se trata del mejor “match” de texto, sino de acuerdo a nuestro comportamiento anterior. Las páginas que visitamos más seguido. aparecerán encima del resto.
En la Web de Fayerwayer.com también ya está resuelto el cómo deshabilitar la nueva barra acusadora.
Se resume en seguir los siguientes pasos:
1- En la barra de direcciones escribimos about:config
2- Hacer clic en "Seré cuidadoso, lo prometo"
3- En el campo de Filtro, escribimos browser.urlbar.matchonlytyped
4- Hacer doble clic sobre la opción que buscamos para resetearlo en true
Si además de la Awesome Bar queremos también que no nos muestre direcciones que hayamos tecleado anteriormente, o sea, que no memorice los resultados de navegaciones anteriores, entonces a lo anterior habría que añadir:
5- En el campo de Filtro, escribimos browser.urlbar.maxRichResults
6- Ponemos el campo a 0, indicando así que no memorice ningún resultado anterior. Si pusieramos el valor a 5, por ejemplo, recordaría solo las últimas 5 direcciones.
Una vez finalizado, reiniciamos Firefox.
El resto de elementos, están ya muy bien explicados en el artículo de Genbeta. Dado que son mas los pros que contras, aunque yo utilizo indistintamente los dos navegadores, por ahora voy a usar Firefox 3 como el preseleccionado.
jueves, 19 de junio de 2008
Documentación de interés
1 comentarios
Guía para la recogida de evidencias forenses
Apareció a finales del mes pasado en el blog de Schneier la noticia de la publicación de la "Electronic Crime Scene Investigation: A Guide for First Responders" y verlo de nuevo en el blog de Sergio Hernando y de Xabier Caballé me han hecho recordar que debía referenciarlo también.
El contenido del documento es:
El documento puede ser descargado en:
Electronic Crime Scene Investigation: A Guide for First Responders
Esta información puede ser una buena base para elaborar o bien una norma de seguridad o bien un procedimiento en nuestra organización para dar un adecuado cumplimiento al control ISO 27001-A.13.2.3 donde "Cuando una acción contra una persona u organización después de un incidente de seguridad de la información implique medidas legales (tanto civiles como penales), deberían recopilarse pruebas, que deberían conservarse y presentarse de manera que se ajusten a las normas establecidas en la jurisdicción pertinente con respecto a las pruebas."
Evidentemente las organizaciones españolas en general, no gozan todavia de la suficiente madurez al respecto como para plantearse cosas así. El problema es que sin saberlo, proporcionan relativa "impunidad" frente al delito informático.
Tanto es así que un reciente estudio del tema ha concluido que “El 97% de las empresas españolas carecen de pruebas electrónicas fiables para defender sus intereses en posibles cuestiones litigiosas”. La noticia puede ser completada aquí.
En esta presentación el comandante de la Benemérita Juan Salom explica el protocolo policial que se sigue en la investigación del delito informático. Está consultable en http://www.rediris.es/cert/doc/reuniones/af05/delitos-telematicos.pdf
El contenido del documento es:
- Introducción
- Tipos de dispositivos electrónicos
- Herramientas y equipo de investigación
- Aseguramiento y evaluación de la escena del crimen
- Descripción de la escena
- Recolección de evidencias
- Empaquetado, transporte y almacenamiento de evidencias digitales
- Delitos tecnológicos y pruebas digitales, en función del tipo de crimen
El documento puede ser descargado en:
Electronic Crime Scene Investigation: A Guide for First Responders
Esta información puede ser una buena base para elaborar o bien una norma de seguridad o bien un procedimiento en nuestra organización para dar un adecuado cumplimiento al control ISO 27001-A.13.2.3 donde "Cuando una acción contra una persona u organización después de un incidente de seguridad de la información implique medidas legales (tanto civiles como penales), deberían recopilarse pruebas, que deberían conservarse y presentarse de manera que se ajusten a las normas establecidas en la jurisdicción pertinente con respecto a las pruebas."
Evidentemente las organizaciones españolas en general, no gozan todavia de la suficiente madurez al respecto como para plantearse cosas así. El problema es que sin saberlo, proporcionan relativa "impunidad" frente al delito informático.
Tanto es así que un reciente estudio del tema ha concluido que “El 97% de las empresas españolas carecen de pruebas electrónicas fiables para defender sus intereses en posibles cuestiones litigiosas”. La noticia puede ser completada aquí.
En esta presentación el comandante de la Benemérita Juan Salom explica el protocolo policial que se sigue en la investigación del delito informático. Está consultable en http://www.rediris.es/cert/doc/reuniones/af05/delitos-telematicos.pdf
martes, 17 de junio de 2008
Noticias
2
comentarios
Medios de comunicación tradicionales y marketing viral
El comentario de un lector anónimo en el post "un día de furia" me ha hecho reflexionar de nuevo en torno al tema del marketing viral y el peligro de estas "inofensivas" acciones de marketing. Este tema ya lo traté en su momento en el post Marketing viral y sus efectos secundarios pero hoy quiero hablar de otras cuestiones al respecto.
Como apunta Anónimo, aparece hoy en Microsiervos información sobre quienes han sido los creadores de estas campañas y cómo desmienten que ambos vídeos sean veraces, dejándonos a todos incluido yo mismo con cara de tontos y pensando "¡Cachis, he caído de nuevo!".
En el año 2005 ya comenté que no tardaría en aparecer como amenaza lo que denominé "Contaminación de contenidos". En el 2006 apareció de nuevo y el año pasado ya lo traté dentro del fenómeno conocido como marketing viral.
La idea es sencilla. Si se consigue infiltrar información veraz e información incorrecta de manera que el poseedor de la misma no pueda distinguir una de otra, se genera desconfianza y acaba por dudarse de todo. Por tanto, una porción pequeña de información incorrecta contamina a información veraz haciendo que toda sea tratada como falsa.
Al respecto de los bloggeros se viene últimamente hablando sobre la necesidad de cierta regulación. Tanto es así que la Unión Europea se está planteando un registro oficial de "bloggers" para controlar la credibilidad y fiabilidad de la información que se publica en Internet, como apunta la noticia publicada por El País en "La Eurocámara sienta las bases para regular los blogs"
La iniciativa no me parece del todo mal, aunque creo que sigue siendo intentar ponerle puertas al campo.
Pero quizás lo que si me enfada como "bloggero" es que aunque pudiéramos ser origen de noticias falsas, corresponde a los medios tradicionales la responsabilidad de verificar las fuentes y contrastar las noticias antes de darles difusión. Ellos, como profesionales de la información son quienes deben responsabilizarse de garantizar que los contenidos son correctos y dudar de todas aquellas fuentes que no les pudieran parecer fiables.
Sin embargo, vemos de manera continua como muchas veces son también víctimas de estas campañas virales. Quizás por la competitividad tan agresiva que existe en los medios, quizás por la necesidad desesperada de rellenar con contenidos, finalmente son ellos quienes se hacen "eco" de una noticia falsa, incrementando la credibilidad a partir de ese momento y transformando un "rumor" o "chuchicheo" en una noticia "de fiar".
Al respecto del marketing viral que habla de poder hacer palomitas con móviles, he podido capturar en la Web de Antena3Noticias, el texto donde se hacen eco del asunto. La noticia a fecha de publicación de este comentario está accesible en Antena3Noticias (Este contenido probablemente dejará de estar operativo).
Esta imagen es una captura de la Web a modo de evidencia. En cuanto se empieza a dudar de la fuente, siempre surgen los comentarios que intentan acreditar la noticia y normalmente se indica que el contenido aparece también publicado en un medio de comunicación tradicional. Por tanto, quizás los blogs sean origen, pero quién acredita el contenido suelen ser los medios que están dotados de la credibilidad necesaria para que quien retransmite, no dude de la certeza de los mismos.
Como apunta Anónimo, aparece hoy en Microsiervos información sobre quienes han sido los creadores de estas campañas y cómo desmienten que ambos vídeos sean veraces, dejándonos a todos incluido yo mismo con cara de tontos y pensando "¡Cachis, he caído de nuevo!".
En el año 2005 ya comenté que no tardaría en aparecer como amenaza lo que denominé "Contaminación de contenidos". En el 2006 apareció de nuevo y el año pasado ya lo traté dentro del fenómeno conocido como marketing viral.
La idea es sencilla. Si se consigue infiltrar información veraz e información incorrecta de manera que el poseedor de la misma no pueda distinguir una de otra, se genera desconfianza y acaba por dudarse de todo. Por tanto, una porción pequeña de información incorrecta contamina a información veraz haciendo que toda sea tratada como falsa.
Al respecto de los bloggeros se viene últimamente hablando sobre la necesidad de cierta regulación. Tanto es así que la Unión Europea se está planteando un registro oficial de "bloggers" para controlar la credibilidad y fiabilidad de la información que se publica en Internet, como apunta la noticia publicada por El País en "La Eurocámara sienta las bases para regular los blogs"
La iniciativa no me parece del todo mal, aunque creo que sigue siendo intentar ponerle puertas al campo.
Pero quizás lo que si me enfada como "bloggero" es que aunque pudiéramos ser origen de noticias falsas, corresponde a los medios tradicionales la responsabilidad de verificar las fuentes y contrastar las noticias antes de darles difusión. Ellos, como profesionales de la información son quienes deben responsabilizarse de garantizar que los contenidos son correctos y dudar de todas aquellas fuentes que no les pudieran parecer fiables.
Sin embargo, vemos de manera continua como muchas veces son también víctimas de estas campañas virales. Quizás por la competitividad tan agresiva que existe en los medios, quizás por la necesidad desesperada de rellenar con contenidos, finalmente son ellos quienes se hacen "eco" de una noticia falsa, incrementando la credibilidad a partir de ese momento y transformando un "rumor" o "chuchicheo" en una noticia "de fiar".
Al respecto del marketing viral que habla de poder hacer palomitas con móviles, he podido capturar en la Web de Antena3Noticias, el texto donde se hacen eco del asunto. La noticia a fecha de publicación de este comentario está accesible en Antena3Noticias (Este contenido probablemente dejará de estar operativo).
Esta imagen es una captura de la Web a modo de evidencia. En cuanto se empieza a dudar de la fuente, siempre surgen los comentarios que intentan acreditar la noticia y normalmente se indica que el contenido aparece también publicado en un medio de comunicación tradicional. Por tanto, quizás los blogs sean origen, pero quién acredita el contenido suelen ser los medios que están dotados de la credibilidad necesaria para que quien retransmite, no dude de la certeza de los mismos.
viernes, 13 de junio de 2008
Noticias
0
comentarios
Galería de fotos de algunos NOC (Network Operations Centers)
Estamos acostumbrados a ver en las películas grandes centros de supercomputación con unas medidas de seguridad alucinantes.
Hoy he podido encontrar un enlace a fotografías de centros de operación de red de verdad, algunos muy grandes, en donde se gestionan una importante cantidad de servidores.
NOC de ATT.
NOC de AKAMAI.
El resto de fotos pueden consultarse en Royal Pingdom » Gallery of Network Operations Centers
Hoy he podido encontrar un enlace a fotografías de centros de operación de red de verdad, algunos muy grandes, en donde se gestionan una importante cantidad de servidores.
NOC de ATT.
NOC de AKAMAI.
El resto de fotos pueden consultarse en Royal Pingdom » Gallery of Network Operations Centers
Buscando sobre algo de información en torno a la nueva norma he podido hallar una presentación bastante interesante sobre el contenido de la misma y sus objetivos. Va a ser interesante puesto que fija los cimientos de quizás la actividad más crítica para garantizar la seguridad de la información (que no para lo que supone su gestión).
El documento está en francés y descargable en la siguiente dirección.
Pensar en aplicar la "mala" filosofía ISO 9001 sobre la ISO 27001 tiene su peligro. Si bien la mala gestión de la calidad tiene consecuencias en la balanza de resultados y buscar la mejora continua tiene una motivación económica clara, pensar en gestionar la seguridad sólo por poder poner un sello más es un riesgo mayor.
Lo que se puede conseguir con tener una certificación ISO 27001 que realmente no implique un buen funcionamiento de las medidas de seguridad es disponer de una "sensación de seguridad" que no se aproxime a la "seguridad real" de la que se disfruta.
Es por eso tan importante que en la construcción de SGSI participen profesionales del mundo de la seguridad de la información o la seguridad informática. Son los técnicos capaces de valorar si las medidas que se están recomendando son adecuadas, podrán ofrecer alternativas en los planes de manera que se de tanta importancia al proceso de gestión de la seguridad como a la propia "seguridad de la información". No es importante que haya un buen plan de seguridad sino que éste funcione y logre sus objetivos.
Utilizo la siguiente imagen para explicar las relaciones entre ISO 27001 e ISO 27002 y también para contar las diferencias entre gestionar la seguridad y la propia seguridad.
En la norma ISO 27002, se establecen procesos y procedimientos de seguridad donde se incorporan una serie de medidas sobre los activos. Estas actividades deben generar los registros de seguridad. El correcto funcionamiento del SGSI se basa en que hay ciertos responsables que velan porque los procesos de seguridad estén operativos y dejando registros que permitan posteriormente su evaluación. Fruto de esa gestión dejan los registros propios del SGSI.
Por tanto, si quien gestiona el SGSI va evaluando lo que mantiene y opera la seguridad de los activos va generando, se tiene la certeza de que las medidas están operativas y sus resultados son los esperados. De esa manera tenemos "seguridad de la información" sobre nuestros activos. La labor de gestión del SGSI es velar por el funcionamiento correcto de los procesos de seguridad definidos para proteger a los activos.
Reflexiones similares se plantean en los post de los siguientes blogs:
- Blog S21Sec.
- Mejora continua de un SGSI según ISO 27001.
Esperemos que el efecto pernicioso que tiene ya la ISO 9001, donde se busca la certificación por el sello y no por los beneficios que produce, no se extienda hacia la ISO 27001, donde obtendríamos un reconocimiento a la gestión de la seguridad de la información aunque ésta no se manifieste. Esperemos también que las entidades de certificación no contribuyan a ello, otorgando el reconocimiento a quien no lo merece.
El documento está en francés y descargable en la siguiente dirección.
Pensar en aplicar la "mala" filosofía ISO 9001 sobre la ISO 27001 tiene su peligro. Si bien la mala gestión de la calidad tiene consecuencias en la balanza de resultados y buscar la mejora continua tiene una motivación económica clara, pensar en gestionar la seguridad sólo por poder poner un sello más es un riesgo mayor.
Lo que se puede conseguir con tener una certificación ISO 27001 que realmente no implique un buen funcionamiento de las medidas de seguridad es disponer de una "sensación de seguridad" que no se aproxime a la "seguridad real" de la que se disfruta.
Es por eso tan importante que en la construcción de SGSI participen profesionales del mundo de la seguridad de la información o la seguridad informática. Son los técnicos capaces de valorar si las medidas que se están recomendando son adecuadas, podrán ofrecer alternativas en los planes de manera que se de tanta importancia al proceso de gestión de la seguridad como a la propia "seguridad de la información". No es importante que haya un buen plan de seguridad sino que éste funcione y logre sus objetivos.
Utilizo la siguiente imagen para explicar las relaciones entre ISO 27001 e ISO 27002 y también para contar las diferencias entre gestionar la seguridad y la propia seguridad.
En la norma ISO 27002, se establecen procesos y procedimientos de seguridad donde se incorporan una serie de medidas sobre los activos. Estas actividades deben generar los registros de seguridad. El correcto funcionamiento del SGSI se basa en que hay ciertos responsables que velan porque los procesos de seguridad estén operativos y dejando registros que permitan posteriormente su evaluación. Fruto de esa gestión dejan los registros propios del SGSI.
Por tanto, si quien gestiona el SGSI va evaluando lo que mantiene y opera la seguridad de los activos va generando, se tiene la certeza de que las medidas están operativas y sus resultados son los esperados. De esa manera tenemos "seguridad de la información" sobre nuestros activos. La labor de gestión del SGSI es velar por el funcionamiento correcto de los procesos de seguridad definidos para proteger a los activos.
Reflexiones similares se plantean en los post de los siguientes blogs:
- Blog S21Sec.
- Mejora continua de un SGSI según ISO 27001.
Esperemos que el efecto pernicioso que tiene ya la ISO 9001, donde se busca la certificación por el sello y no por los beneficios que produce, no se extienda hacia la ISO 27001, donde obtendríamos un reconocimiento a la gestión de la seguridad de la información aunque ésta no se manifieste. Esperemos también que las entidades de certificación no contribuyan a ello, otorgando el reconocimiento a quien no lo merece.
Hoy quiero dar dos buenas noticias en relación a la disciplina del análisis y gestión de riesgos de la seguridad de la información.
La primera de ellas la anuncia Joseba Enjuto en su blog, donde nos comunica que desde el día 4 de Julio se dispone de la nueva norma ISO 27005:2008,"Information security risk management". Esta norma
ISO/IEC 27005:2008 proporciona directrices para la gestión de riesgos de seguridad de la información. Esto apoya los conceptos generales especificados en ISO/IEC 27001 y ha sido diseñada para ayudar a la puesta en práctica satisfactoria del análisis y la gestión del riesgo, fase principal del diseño de todo buen sistema de gestión de la seguridad de la información (SGSI). El conocimiento de los conceptos, modelos, procesos y terminologías descritas en ISO/IEC 27001 e ISO/IEC 27002 es importante para lograr el entendimiento completo de la ISO/IEC 27005:2008. ISO/IEC 27005:2008 es aplicable a todos los tipos de organizaciones (p.ej. sociedades mercantiles, administraciones públicas, organizaciones no lucrativas) que tengan la intención de manejar los riesgos que podrían comprometer la seguridad de la información de la organización.
Esta norma actualiza a la antigua ISO 13335, partes 3 y 4.
La segunda tiene como origen la publicación de ordenes ministeriales en relación a algunos de los conceptos que aparecen en la legislación vinculada a la Administración Electrónica. La seguridad de la información es un pilar básico de este tipo de infraestructuras y así lo ordenan las diferentes ordenes ministeriales y decretos que se están promulgando.
La legislación suele pecar de ambigua a la hora de hablar de seguridad. En general se venía diciendo que los procesos telemáticos deben garantizar la disponibilidad, integridad y confidencialidad de la información, sin establecer mínimos (A excepción de la legislación en materia de protección de datos de carácter personal que lo regula vía reglamentaria). Como mucho aparece que las medidas de seguridad serán proporcionales a los "riesgos y el estado de la tecnología".
Pues bien, he hallado una nueva redacción a estos requisitos en la Orden PRE/1551/2003, de 10 de junio, por la que se desarrolla la disposición final primera del Real Decreto 209/2003, de 21 de febrero, por el que se regulan los registros y las notificaciones telemáticas, así como la utilización de medios telemáticos para la sustitución de la aportación de certificados por los ciudadanos y en la ORDEN PRE/3949/2006, de 26 de diciembre,por la que se establece la configuración, características, requisitos y procedimientos de acceso al Sistema de Verificación de Datos de Identidad donde para determinar la seguridad de la información necesaria aparece el siguiente texto:
Lo significativo que merece ser destacado es la exigencia de la realización de un análisis y gestión de riesgos previo a determinar las medidas de seguridad necesarias y además, establecido mediante una Orden Ministerial.
Me inicié en esto de la seguridad de la información ya hace casi 10 años justo en un proyecto piloto de valoración de la metodología MAGERIT (En aquella época, versión 1.0) y aunque siempre he considerado, pese a detractores, que el análisis y gestión de los riesgos es el criterio de diseño del conjunto de medidas, el reconocimiento que realiza esta nueva redacción de los requisitos de seguridad va a forzar a las instituciones a pasar forzosamente por el proceso. Se discute mucho sobre la rigurosidad de esta disciplina, basada en estimaciones y valoraciones subjetivas pero lo importante al final es que obliga a determinar qué elementos son importantes, cual es su valor y qué podría pasarles respecto a potenciales incidentes de seguridad. Este mínimo ejercicio de reflexión es necesario para que la seguridad no se base en la percepción del riesgo. Debe ocurrir que la sensación de seguridad sea igual que la seguridad real de la que se dispone.
En cuanto a la metodología MAGERIT 2.0, no creo que se diferencie en su esencia de lo contenido en esta norma ISO 27005:2008 porque básicamente todo análisis y gestión de riesgos pasa por las siguientes fases:
Fase de análisis de riesgos:
Fase de gestión de riesgos:
La documentación de MAGERIT 2.0 puede obtenerse en el Consejo Superior de Informática en la siguiente ficha descriptiva y en la propia página del Centro Nacional de Inteligencia en la url
http://www.ccn.cni.es/series.html hay un documento titulado CCN-STIC-410 Análisis de Riesgos Sistemas de la Administración v1.0.pdf con un ejemplo de su aplicación.
La primera de ellas la anuncia Joseba Enjuto en su blog, donde nos comunica que desde el día 4 de Julio se dispone de la nueva norma ISO 27005:2008,"Information security risk management". Esta norma
ISO/IEC 27005:2008 proporciona directrices para la gestión de riesgos de seguridad de la información. Esto apoya los conceptos generales especificados en ISO/IEC 27001 y ha sido diseñada para ayudar a la puesta en práctica satisfactoria del análisis y la gestión del riesgo, fase principal del diseño de todo buen sistema de gestión de la seguridad de la información (SGSI). El conocimiento de los conceptos, modelos, procesos y terminologías descritas en ISO/IEC 27001 e ISO/IEC 27002 es importante para lograr el entendimiento completo de la ISO/IEC 27005:2008. ISO/IEC 27005:2008 es aplicable a todos los tipos de organizaciones (p.ej. sociedades mercantiles, administraciones públicas, organizaciones no lucrativas) que tengan la intención de manejar los riesgos que podrían comprometer la seguridad de la información de la organización.
Esta norma actualiza a la antigua ISO 13335, partes 3 y 4.
La segunda tiene como origen la publicación de ordenes ministeriales en relación a algunos de los conceptos que aparecen en la legislación vinculada a la Administración Electrónica. La seguridad de la información es un pilar básico de este tipo de infraestructuras y así lo ordenan las diferentes ordenes ministeriales y decretos que se están promulgando.
La legislación suele pecar de ambigua a la hora de hablar de seguridad. En general se venía diciendo que los procesos telemáticos deben garantizar la disponibilidad, integridad y confidencialidad de la información, sin establecer mínimos (A excepción de la legislación en materia de protección de datos de carácter personal que lo regula vía reglamentaria). Como mucho aparece que las medidas de seguridad serán proporcionales a los "riesgos y el estado de la tecnología".
Pues bien, he hallado una nueva redacción a estos requisitos en la Orden PRE/1551/2003, de 10 de junio, por la que se desarrolla la disposición final primera del Real Decreto 209/2003, de 21 de febrero, por el que se regulan los registros y las notificaciones telemáticas, así como la utilización de medios telemáticos para la sustitución de la aportación de certificados por los ciudadanos y en la ORDEN PRE/3949/2006, de 26 de diciembre,por la que se establece la configuración, características, requisitos y procedimientos de acceso al Sistema de Verificación de Datos de Identidad donde para determinar la seguridad de la información necesaria aparece el siguiente texto:
Adopción de las medidas de seguridad, organizativas o técnicas, de los dispositivos y aplicaciones de registro, notificación y de la prestación del servicio de dirección electrónica única.
1. Con carácter general se aplicarán a los dispositivos y aplicaciones de registro, notificación y de la prestación del servicio de dirección electrónica única las medidas de seguridad, conservación y normalización que se detallan en los Criterios de seguridad, normalización y conservación de las aplicaciones utilizadas para el ejercicio de potestades aprobados por el Consejo Superior de Informática y para el impulso de la Administración Electrónica y accesibles en su sitio web.
Dichas medidas de seguridad, conservación y normalización vendrán determinadas por el resultado del análisis y gestión de riesgos que se realice, recomendándose a estos efectos la utilización de la metodología Magerit.
2. Lo dispuesto en esta Orden Ministerial se aplicará en todo caso de conformidad con lo previsto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y demás normativa aplicable en esta materia.
Lo significativo que merece ser destacado es la exigencia de la realización de un análisis y gestión de riesgos previo a determinar las medidas de seguridad necesarias y además, establecido mediante una Orden Ministerial.
Me inicié en esto de la seguridad de la información ya hace casi 10 años justo en un proyecto piloto de valoración de la metodología MAGERIT (En aquella época, versión 1.0) y aunque siempre he considerado, pese a detractores, que el análisis y gestión de los riesgos es el criterio de diseño del conjunto de medidas, el reconocimiento que realiza esta nueva redacción de los requisitos de seguridad va a forzar a las instituciones a pasar forzosamente por el proceso. Se discute mucho sobre la rigurosidad de esta disciplina, basada en estimaciones y valoraciones subjetivas pero lo importante al final es que obliga a determinar qué elementos son importantes, cual es su valor y qué podría pasarles respecto a potenciales incidentes de seguridad. Este mínimo ejercicio de reflexión es necesario para que la seguridad no se base en la percepción del riesgo. Debe ocurrir que la sensación de seguridad sea igual que la seguridad real de la que se dispone.
En cuanto a la metodología MAGERIT 2.0, no creo que se diferencie en su esencia de lo contenido en esta norma ISO 27005:2008 porque básicamente todo análisis y gestión de riesgos pasa por las siguientes fases:
Fase de análisis de riesgos:
- Determinación de activos
- Determinación de amenazas
- Estimación de impactos
- Estimación de vulnerabilidad de las amenazas sobre los activos
- Cálculo del nivel de riesgo.
Fase de gestión de riesgos:
- Determinación de los criterios de aceptación del riesgo
- Determinación de las medidas de seguridad necesarias
- Estimación del nivel de riesgo residual
La documentación de MAGERIT 2.0 puede obtenerse en el Consejo Superior de Informática en la siguiente ficha descriptiva y en la propia página del Centro Nacional de Inteligencia en la url
http://www.ccn.cni.es/series.html hay un documento titulado CCN-STIC-410 Análisis de Riesgos Sistemas de la Administración v1.0.pdf con un ejemplo de su aplicación.
Este video ha dado la vuelta por Youtube al reflejar cómo en una situación de estres un trabajador puede perder los papeles. En este caso, la violencia del empleado se desata contra las instalaciones físicas de la empresa, pero ¿y si esta persona fuera el administrador de sistemas, qué habría pasado?
Seguramente no habría ningún video famoso colgado en Internet, pero sería otra de esas empresas que pierden toda su información por un "error informático".
Quizás cuesta pararse a pensar en la alta dependencia del "factor humano" pero toda organización tiene una serie de puestos de extrema confianza, puesto que esas personas tienen un "poder fáctico" que puede comprometer la continuidad de la empresa. Por tanto, a esos profesionales hay que contratarlos con especial cuidado, no valorando sólo su curriculum profesional sino también es necesario estudiar su perfil psicológico. Luego deben ser adecuadamente tratados tanto en lo profesional como en lo emocional porque la organización no puede permitirse "un día de furia".
En el código de buenas prácticas de seguridad de la información (ISO 27002) se introduce un control en relación a la verificación y cotejo de los curriculums de los candidatos a entrar en la empresa (A. 8.1.2).
Seguramente no habría ningún video famoso colgado en Internet, pero sería otra de esas empresas que pierden toda su información por un "error informático".
Quizás cuesta pararse a pensar en la alta dependencia del "factor humano" pero toda organización tiene una serie de puestos de extrema confianza, puesto que esas personas tienen un "poder fáctico" que puede comprometer la continuidad de la empresa. Por tanto, a esos profesionales hay que contratarlos con especial cuidado, no valorando sólo su curriculum profesional sino también es necesario estudiar su perfil psicológico. Luego deben ser adecuadamente tratados tanto en lo profesional como en lo emocional porque la organización no puede permitirse "un día de furia".
En el código de buenas prácticas de seguridad de la información (ISO 27002) se introduce un control en relación a la verificación y cotejo de los curriculums de los candidatos a entrar en la empresa (A. 8.1.2).
Esta es la pregunta que genera el post de hoy. ¿Es la informática una profesión?. Lo primero que se debe hacer es tratar de definir el concepto de profesión para ver de qué estamos hablando. Acudimos al Diccionario de la Real Academia de la Lengua para encontrar como definición:
Dado lo escueto del significado, ampliamos en Wikipedia y tenemos que:
Tenemos en el área de la Informática además un extenso y amplio abanico de certificaciones técnicas y profesionales que capacitan para el uso o configuración de determinados sistemas informáticos.
Sin embargo, no podremos decir que la informática es una profesión mientras los malos profesionales no vayan a la cárcel por la acción negligente. En cualquier disciplina, la negligencia tiene atribuida un grado de responsabilidad y supone una sanción, multa e incluso pena de cárcel. Sin embargo, en la informática todo vale. Es una ocupación no reglada. Es curioso como en el siglo XXI, cuando la sofisticación y la optimización de la cadena de producción llega a sus mejores cotas y cuando se da por maduro el proceso de industrialización para los cuales se han desarrollado criterios de calidad y desarrollos de metodologías basadas en los conocimientos de las ingenierías formales, para la Informática sin embargo los caminos se andan al revés.
Como pude leer en los comentarios en el blog Informaticoscarm.blogspot.com, los sistemas informáticos son las soluciones maravillosas a todo problema importante. Como expresa un comentario anónimo, "Sin embargo en este país cualquier persona con un mínimo de conocimientos sobre informática ya es tildada de experta, y si tiene don de gentes y suficiente mano izquierda, no se preocupen que tarde o temprano tendrá la posibilidad de decidir sobre la informática de verdad, la que s e enseña en las Universidades, la que la gente de a pie desconoce y que sin embargo afecta a todos los ciudadanos. Y todos tan tranquilos. Ese sistema seguro que está desarrollado por personas muy capaces y cualificadas, pero que no asumen, porque la ley así lo establece, responsabilidad profesional alguna si el programa no hace lo que debe, como ocurriría en una obra civil o en la construcción de un edificio, o como ocurre en los hospitales con los médicos si cometen algún tipo de negligencia. Si el máximo responsable de este sistema informático es una persona sin el título de Ingeniería en Informática, el único que acredita de forma oficial que ha recibido formación suficiente para saber, al menos, lo que se trae entre manos no se preocupen, porque podrá seguir exhibiéndose impunemente en reuniones con otros clientes haciendo creer que si cuenta con esos conocimientos. Si, por el contrario, lo tiene, tampoco se preocupen, porque desgraciadamente habrá aparcado su ética profesional para convertirse en un gerente de cuentas de una gran firma consultora tecnológica sin más obligación personal, profesional y moral, que la de conseguir un balance positivo en su cuenta de resultados, sin que norma alguna le deje bien claro que a quien se debe, y la verdadera perjudicada en esta situación, es la sociedad española."
Es necesario definir unos criterios de responsabilidad profesional para que la informática se transforme en una profesión y deje de ser una ocupación. No todos los trabajos pueden requerir una cualificación profesional de ingeniero pero es cierto que si un técnico fastidia en una configuración un aparato puedes ir contra su empresa para pedir daños y perjuicios, lo mismo debería ocurrir en informática. Si no ocurre la situación actual, ciudadanos, usuarios y empresas están absolutamente indefensos frente al "error informático". Palabra por cierto que es ahora la excusa de moda ante cualquier tipo de incidente dónde no se busca determinar responsables sino dejar sin culpable el suceso.
Aunque pueda parecer un tema repetitivo o una reivindicación sin mucho sentido, en la dirección que a continuación adjunto se puede consultar un registro de los "errores o fallos informáticos" que se van produciendo. La trascendencia de algunos de ellos podría poner en peligro la vida de personas, así que no es cosa de broma que las cosas sean fiables y que quienes las lleven entre manos puedan responder en caso de negligencia.
En el blog de Hispasec aparece como post titulado "actualizaciones arriesgagas" un buen ejemplo de cuan serio es el tema.
Existe un registro de este tipo de incidentes para dejar constancia de que el "error informático" no se debe subestimar ni minimizar. Este log de los "errores informáticos" más graves se puede consultar en The Risks Digest Volume 25: Issue 17
Atribuir responsabilidades es por así decirlo una medida de seguridad de carácter disuasorio que evita que alguien no cualificado, por ignorante, sea osado o irresponsable y asuma un trabajo para el que no está capacitado, con las consecuencias que ello supone.
Es tal la crisis de la "profesionalidad" que otras áreas tan ilustres como la medicina pueden empezar a beber de la misma "medicina" (valga la redundancia) que sufren desde hace tiempo los informáticos. En esta noticia del Diario "El País" se pone de manifiesto que frente a la escasez de médicos, se puede barajar como opción que ejerzan en la asistencia personas sin titulación.
"¿Usted qué preferiría, encontrar cerrado su centro de salud cuando va con su bebé enfermo, o que le atienda un pediatra sin título homologado? Ante la situación de extrema necesidad, la Generalitat de Cataluña optó por contratar especialistas sin título homologado para este verano."
profesión.
(Del lat. professĭo, -ōnis).
1. f. Acción y efecto de profesar.
2. f. Ceremonia eclesiástica en que alguien profesa en una orden religiosa.
3. f. Empleo, facultad u oficio que alguien ejerce y por el que percibe una retribución.
Dado lo escueto del significado, ampliamos en Wikipedia y tenemos que:
El concepto de profesión ha estado unido al desarrollo de la sociedad; por eso es difícil poseer una definición única, ya que existe una frontera difusa entre lo que es una ocupación y una profesión.
El uso común del concepto tiene diferentes acepciones, entre ellas: empleo, facultad u oficio que cada uno tiene y ejerce públicamente. Las profesiones son ocupaciones que requieren de un conocimiento especializado, una capacitación educativa de alto nivel, control sobre el contenido del trabajo, organización propia, autorregulación, altruismo, espíritu de servicio a la comunidad y elevadas normas éticas.
Generalmente se acepta que una profesión es una actividad especializada del trabajo dentro de la sociedad, y a la persona que la realiza se le denomina: profesional. Se refiere a menudo específicamente a una facultad, o capacidad adquirida tras un aprendizaje que puede estar relacionado a los campos que requieren estudios de:
- 1.Formación Profesional donde se adquieren los conocimientos especializados respectivos para ejercer una ocupación u oficio; o a
- 2.Estudios universitarios, Posgrado o licenciatura, tales como la psicología, derecho, medicina, enfermería, arquitectura, contaduría o la ingeniería.
Se refiere, generalmente, a la naturaleza de la ocupación, del empleo y a la forma de ejercerlo que tiene esa persona. La profesión aborda el desempeño de la práctica y la disciplina se preocupa del desarrollo del conocimiento enriqueciendo la profesión desde su esencia, y profundizando el sustento teórico de la práctica.
Tenemos en el área de la Informática además un extenso y amplio abanico de certificaciones técnicas y profesionales que capacitan para el uso o configuración de determinados sistemas informáticos.
Sin embargo, no podremos decir que la informática es una profesión mientras los malos profesionales no vayan a la cárcel por la acción negligente. En cualquier disciplina, la negligencia tiene atribuida un grado de responsabilidad y supone una sanción, multa e incluso pena de cárcel. Sin embargo, en la informática todo vale. Es una ocupación no reglada. Es curioso como en el siglo XXI, cuando la sofisticación y la optimización de la cadena de producción llega a sus mejores cotas y cuando se da por maduro el proceso de industrialización para los cuales se han desarrollado criterios de calidad y desarrollos de metodologías basadas en los conocimientos de las ingenierías formales, para la Informática sin embargo los caminos se andan al revés.
Como pude leer en los comentarios en el blog Informaticoscarm.blogspot.com, los sistemas informáticos son las soluciones maravillosas a todo problema importante. Como expresa un comentario anónimo, "Sin embargo en este país cualquier persona con un mínimo de conocimientos sobre informática ya es tildada de experta, y si tiene don de gentes y suficiente mano izquierda, no se preocupen que tarde o temprano tendrá la posibilidad de decidir sobre la informática de verdad, la que s e enseña en las Universidades, la que la gente de a pie desconoce y que sin embargo afecta a todos los ciudadanos. Y todos tan tranquilos. Ese sistema seguro que está desarrollado por personas muy capaces y cualificadas, pero que no asumen, porque la ley así lo establece, responsabilidad profesional alguna si el programa no hace lo que debe, como ocurriría en una obra civil o en la construcción de un edificio, o como ocurre en los hospitales con los médicos si cometen algún tipo de negligencia. Si el máximo responsable de este sistema informático es una persona sin el título de Ingeniería en Informática, el único que acredita de forma oficial que ha recibido formación suficiente para saber, al menos, lo que se trae entre manos no se preocupen, porque podrá seguir exhibiéndose impunemente en reuniones con otros clientes haciendo creer que si cuenta con esos conocimientos. Si, por el contrario, lo tiene, tampoco se preocupen, porque desgraciadamente habrá aparcado su ética profesional para convertirse en un gerente de cuentas de una gran firma consultora tecnológica sin más obligación personal, profesional y moral, que la de conseguir un balance positivo en su cuenta de resultados, sin que norma alguna le deje bien claro que a quien se debe, y la verdadera perjudicada en esta situación, es la sociedad española."
Es necesario definir unos criterios de responsabilidad profesional para que la informática se transforme en una profesión y deje de ser una ocupación. No todos los trabajos pueden requerir una cualificación profesional de ingeniero pero es cierto que si un técnico fastidia en una configuración un aparato puedes ir contra su empresa para pedir daños y perjuicios, lo mismo debería ocurrir en informática. Si no ocurre la situación actual, ciudadanos, usuarios y empresas están absolutamente indefensos frente al "error informático". Palabra por cierto que es ahora la excusa de moda ante cualquier tipo de incidente dónde no se busca determinar responsables sino dejar sin culpable el suceso.
Aunque pueda parecer un tema repetitivo o una reivindicación sin mucho sentido, en la dirección que a continuación adjunto se puede consultar un registro de los "errores o fallos informáticos" que se van produciendo. La trascendencia de algunos de ellos podría poner en peligro la vida de personas, así que no es cosa de broma que las cosas sean fiables y que quienes las lleven entre manos puedan responder en caso de negligencia.
En el blog de Hispasec aparece como post titulado "actualizaciones arriesgagas" un buen ejemplo de cuan serio es el tema.
"Una actualización de software provoca el apagado de una central nuclear
Una central nuclear en Georgia ha sido forzada recientemente a realizar un apagado de emergencia durante 48 horas tras la instalación de una actualización en un solo ordenador.
[...]
El problema se inició cuando un ingeniero de la Southern Company, que controlan la operación de tecnología de la planta, instaló una actualización de software en un ordenador de la red de control de dicha planta.
El ordenador en cuestión se utilizaba para monitorizar datos químicos y de diagnóstico de uno de los sistemas de control primarios del lugar, y la actualización se había diseñado para sincronizar los datos de ambos sistemas. Según el informe de la Comisión Reguladora de Energía Nuclear, cuando el ordenador se reinició, reinició a su vez los datos del sistema de control, provocando que los sistemas de seguridad interpretasen erróneamente que faltaba agua en las reservas que se usan para enfriar las barras de combustible nuclear. Como resultado de esto, los sistemas de seguridad automáticos de la planta provocaron el apagado."
Existe un registro de este tipo de incidentes para dejar constancia de que el "error informático" no se debe subestimar ni minimizar. Este log de los "errores informáticos" más graves se puede consultar en The Risks Digest Volume 25: Issue 17
Atribuir responsabilidades es por así decirlo una medida de seguridad de carácter disuasorio que evita que alguien no cualificado, por ignorante, sea osado o irresponsable y asuma un trabajo para el que no está capacitado, con las consecuencias que ello supone.
Es tal la crisis de la "profesionalidad" que otras áreas tan ilustres como la medicina pueden empezar a beber de la misma "medicina" (valga la redundancia) que sufren desde hace tiempo los informáticos. En esta noticia del Diario "El País" se pone de manifiesto que frente a la escasez de médicos, se puede barajar como opción que ejerzan en la asistencia personas sin titulación.
"¿Usted qué preferiría, encontrar cerrado su centro de salud cuando va con su bebé enfermo, o que le atienda un pediatra sin título homologado? Ante la situación de extrema necesidad, la Generalitat de Cataluña optó por contratar especialistas sin título homologado para este verano."
martes, 3 de junio de 2008
Documentación de interés
1 comentarios
El conocimiento esencial en seguridad de las tecnologías de la información
Vía el U.S. Departament of Homeland Security he podido encontrar un documento titulado "The IT Security Essential Body of Knowledge (EBK)" que me ha parecido bastante interesante.
Aunque no tiene en consideración el contenido de la norma ISO 27002:2005 "Código de buenas prácticas para la gestión de la seguridad" es una aproximación con diferente enfoque pero con idéntico propósito.
En este caso, se centra en definir las 14 áreas de conocimiento relacionadas con la seguridad de las tecnologías de la información y qué actividades deben realizarse en relación a la gestión, diseño, implantación y evaluación de las mismas. En otro apartado se identifican los términos y tecnologías referidos a cada área de conocimiento y por último, los roles y responsabilidades que aparecen en la materia.
Como broche final, se define en una matriz qué actividades debe realizar cada uno de los roles en relación a cada una de las 14 áreas de la seguridad contempladas. Esta tabla es bastante interesante. El documento puede descargarse en IT Security Essential Body of Knowledge (EBK)
Y dado que el post de hoy va sobre lecturas interesantes, también merece la pena destacar el documento referenciado por Sergio Hernando sobre seguridad perimetral titulado "Understanding IT Perimeter Security" de la serie Redpaper de IBM. Los contenidos detallan aspectos básicos como:
- El concepto de seguridad perimetral
- Definición del perímetro a robustecer
- Herramientas de apoyo para la defensa perimetral
- Creación de zonas en la red interna
- Movilidad, y su impacto en la seguridad perimetral
El documento puede ser descargado en Understanding IT Perimeter Security
Aunque no tiene en consideración el contenido de la norma ISO 27002:2005 "Código de buenas prácticas para la gestión de la seguridad" es una aproximación con diferente enfoque pero con idéntico propósito.
En este caso, se centra en definir las 14 áreas de conocimiento relacionadas con la seguridad de las tecnologías de la información y qué actividades deben realizarse en relación a la gestión, diseño, implantación y evaluación de las mismas. En otro apartado se identifican los términos y tecnologías referidos a cada área de conocimiento y por último, los roles y responsabilidades que aparecen en la materia.
Como broche final, se define en una matriz qué actividades debe realizar cada uno de los roles en relación a cada una de las 14 áreas de la seguridad contempladas. Esta tabla es bastante interesante. El documento puede descargarse en IT Security Essential Body of Knowledge (EBK)
Y dado que el post de hoy va sobre lecturas interesantes, también merece la pena destacar el documento referenciado por Sergio Hernando sobre seguridad perimetral titulado "Understanding IT Perimeter Security" de la serie Redpaper de IBM. Los contenidos detallan aspectos básicos como:
- El concepto de seguridad perimetral
- Definición del perímetro a robustecer
- Herramientas de apoyo para la defensa perimetral
- Creación de zonas en la red interna
- Movilidad, y su impacto en la seguridad perimetral
El documento puede ser descargado en Understanding IT Perimeter Security
Suscribirse a:
Entradas (Atom)