sábado, 30 de mayo de 2009 1 comentarios

La organización de la seguridad, tema del ISMS Forum

El jueves pasado tuve el placer de poder asistir a la V Jornada Internacional de la Asociación para el Fomento de la Seguridad en España, ISMS Forum Spain, en Madrid que esta vez convocaba bajo el título “La organización de la seguridad: el laberinto del CISO”.

Este tipo de reuniones son bastante enriquecedoras y todo un soplo de aire fresco para los que el día a día cada vez nos deja menos tiempo para mantenernos actualizados sobre las tendencias que corren en éste área. Personalmente creo imprescindible como profesional en ejercicio es ir conociendo experiencias y referencias de cómo se hacen las cosas en otras organizaciones y lugares del mundo.

En cuanto a los temas tratados, creo que todos los asistentes nos trajimos un mensaje claro: El responsable de seguridad de la información nunca debe ser el polí malo de la organización que siempre dice "no" a nuevos servicios y nuevos recursos. Quizás esto resulte nuevo para muchos de los responsables que vienen tradicionalmente del mundo de la seguridad lógica o física, pero no lo es para aquellos que nos iniciamos en esto desde el área de la gestión. La introducción de la disciplina de análisis de riesgos en la seguridad es precisamente la pieza clave para ponderar la importancia de una necesidad de negocio frente a su impacto en la seguridad.

Las charlas, de gran nivel por parte de los ponentes extranjeros, introdujeron también varias reflexiones a destacar:

  • La importancia del rol del responsable y su encaje dentro de la organización. Se destacó que un buen responsable de seguridad debe ser un buen comunicador, debe explicar situaciones para que la dirección pueda tomar buenas decisiones respecto a los riesgos. Su misión es indicar las posibles consecuencias sobre ciertas decisiones, definir el riesgo y hacer que la Dirección obre en consecuencia. Básicamente el "Chief Information Security Officer" (CISO) debe ser un consultor interno para la Dirección que muchas veces no valora de forma holística las diferentes consecuencias que puede tener una decisión cuando afecta a la seguridad. Varios ponentes estuvieron indicando también el mejor lugar donde colocar al CISO dentro del organigrama de una organización

  • La importancia de justificar y vender bien a la organización el por qué de la seguridad. En este sentido, las organizaciones que gozan de mejor seguridad son aquellas que han logrado implicar y hacer partícipes a todos sus usuarios. Todos forman parte activa de la protección de los activos y ello sólo se logra mediante la concienciación. Se insistió mucho en la gran importancia que tiene este factor dentro de la "cultura de la seguridad" de una organización.

  • La necesidad de contar con "alianzas" dentro del organigrama para que ciertas decisiones sean bien acogidas. En este sentido se destaco la importancia de disponer de relaciones fluidas entre el CISO y el Chief Information Officer (CIO). En España este término se acuña para definir al Responsable de Sistemas de Información que muchas veces también tiene asignada la función de CISO. En las organizaciones más maduras ya se han dado cuenta de que ambos roles deben estar separados para evitar conflictos de intereses. El CISO es una posición de control mientras que el CIO es una posición vinculada a proporcionar medios y recursos para la organización.

  • La transcendencia que tiene la "cultura de la organización" para el despliegue de la seguridad. Se estuvo destacando que no existen fórmulas mágicas que permitan implantar planes y programas de seguridad para todas las organizaciones. Cada empresa e institución tiene una "cultura" interna y el responsable de seguridad debe conocerla y obrar en consecuencia. No se puede ir contra corriente y como se suele decir "si no puedes con tu enemigo, únete a él". En este sentido, el CISO debe tener mano izquierda y debe buscar la mejor manera de lograr sus objetivos sin enfrentarse a la organización ni a las necesidades de negocio. Si destararía la ventaja del consultor frente al responsable de seguridad de una organización. En mis diez años de bagaje profesional he descubierto que el factor principal de éxito de todo proyecto de seguridad de la información consiste en descubrir esa "cultura de la organización" que debe moldear y condicionar el cómo trabajar para que la seguridad aporte valor y sea vista como algo positivo. Es un tema complejo para una persona que no vive dentro de la organización pero en proyectos largos como una implantación de un SGSI, esa "cultura" es el viento que mueve el barco del proyecto y que puede hundirlo o hacer que llegue a puerto antes que nadie.




El único aspecto negativo que este tipo de eventos produce es cierta envidia profesional respecto al nivel que hay en Madrid o Barcelona frente a otras ciudades menos relevantes. Las grandes empresas están en los núcleos de negocio y los responsables de seguridad deben residir en ellas.

Sin embargo, el aspecto positivo (además de la calidad de vida que da no vivir en grandes ciudades) es que a los que estamos en la periferia nos toca lidiar también con problemas de seguridad interesantes pero en organizaciones que son más pequeñas y con menos tradición de seguridad. Ello nos dota de habilidades camaleónicas, que nos obligan a tener que adaptarnos a diferentes culturas, organizaciones y personas por el bien de nuestros proyectos. Además, el primer reto suele ser explicar esta nueva filosofía de la seguridad basada en riesgo y hacer entender la importancia y el valor que va a proporcionar la seguridad de la información dentro de la organización. Nos fuerza por tanto a una primera fase de marketing sobre la seguridad y tener que ser buenos comunicadores. Estas cualidades fueron destacadas por los ponentes como muy atractivas para aquellas empresas que quieran seleccionar a un buen responsable de seguridad. Si tengo claro que en un futuro espero que no muy lejano, mi siguiente reto profesional será ejercer de esta figura en una organización. Es bonito diagnosticar pero debe ser mucho más satisfactorio el además hacer seguimiento del paciente para ver su evolución y cómo las cosas se van gestionando hasta lograr los objetivos. Este tipo de experiencias si las he podido vivir en proyectos de implantación de SGSI donde al menos llegas hasta el primer o segundo ciclo del PDCA y vas viendo como los indicadores empiezan a modificar su tendencia y a converger hacia los objetivos planteados.

Quien quiera algo más de información o saber qué ponentes asistieron puede consultar la nota de prensa que publicó ISMS Forum ayer.
Para aquellos que no conozcáis ISMS Forum, es una asociación de profesionales que pretende compartir experiencias y conocimientos en mejora del sector y de esta disciplina. Suele generar un par de eventos al año y también proporciona publicaciones y material muy interesante. El precio para profesionales es de 60 € y da derecho a asistir de forma gratuita a los eventos y a recibir las publicaciones. Las condiciones para asociarse pueden ser consultadas aquí pero es una asociación de esas que aportan mucho valor por un módico precio.
martes, 26 de mayo de 2009 2 comentarios

En tiempos de crisis el cibercrimen aumenta vertiginosamente

Ultimamente no tengo demasiado tiempo para comentar las cosas que van sucediendo pero si quiero hoy destacar como la problemática de la seguridad de la información empieza a descubrir que tiene enfrente un enemigo que va adquiriendo forma.


Los hechos van dando la razón a todos aquellos que pronosticaron en su momento que el mundillo de los "hackers"/"crackers" y el mundillo del crimen organizado llegarían a darse cuenta de las posibles relaciones simbióticas que existen entre ellos cuando el ánimo de lucro es la principal motivación de ambos entornos.
La realidad solo confirma con datos y hechos estos pronósticos. Los blogs a veces también sirven como registro de lo que se piensa en un momento y que luego se hace realidad conforme pasa el tiempo.

Las dos noticias que quiero comentar están relacionadas con el malware y el ánimo de lucro. Estos delincuentes tecnológicos se han dado cuenta de que campan a sus anchas y de que gozan de relativa impunidad. Ello hace que cada vez afilen más las garras y que busquen perfeccionar su maquinaria, intentando maximizar con ello su beneficio. Esto es lo que nos explican en El País en la noticia "La industria de los programas maliciosos busca botines mayores"

Es curioso como en tiempos de crisis, este tipo de negocios lucrativos, aun siendo delictivos, aumentan significativamente. Las cifras asustan. En España sólamente el cibercrimen aumenta un 570% por la crisis.

Otro tema que no es broma tampoco son las incursiones militares de países en los sistemas informáticos de sus enemigos. La noticia titulada Hackers en el Pentágono" que ya había sido también comentada en Ars Techica Chinese hackers nick Joint Strike Fighter plans muestran como este tipo de incursiones no se frenan aun cuando se disponen de medidas de seguridad. El botín es tan suculento que no se repara en los esfuerzos que sean necesarios con tal de alcanzar el objetivo. En este caso, los codiciados secretos militares vinculados al diseño de un futuro avión militar denominado Joint Strike Fighter, en cuyo desarrollo se están invirtiendo 300.000 millones de dólares. Por pequeña que sea la recompensa que reciban los dichosos hackers/crackers, seguro que el botín les motiva para intentar lograr su objetivo. De esta noticia sorprende un poco que la fuga de información tenga dimensiones tan grandes, dado que se habla de terabytes.

Todos estos hechos tienen un factor común, robar información con el objeto de obtener una recompensa económica. Es lo que actualmente motiva al mundo del cibercrimen.

¿Y si en el futuro su intención es producir caos o desestabilizar? ¿Y si la recompensa es obtenida por lograr el caos total?


El tema tiene tanto calado que ya hay ciertos movimientos regulatorios y se empieza a hablar en Europa de "infraestructuras críticas europeas" (ICE) en la Directiva 2008/114/CE. El término "infraestructura crítica" se refiere a todas aquellas instalaciones, equipos físicos y de tecnología de la información, redes, servicios y activos cuya interrupción o destrucción puede tener grandes repercusiones en la salud, la seguridad o el bienestar económico de los ciudadanos o en el funcionamiento de los gobiernos. Los sectores afectados son los que entendemos como suministros básicos.

Sin embargo, otros entornos y sistemas puede que no estén a la altura de los tiempos que corren en materia de seguridad. Hace unos días se daba a conocer otra de esas noticias que te dejan el cuerpo raro. Una auditoría sobre un sistema de gestión del tráfico aéreo descubre más de 700 vulnerabilidades críticas. Podéis leer la noticia aquí. Estos sistemas junto con otros de sectores más industriales no han pensado mucho en temas de seguridad. Eran sistemas propietarios, empotrados y aislados pero que ahora también están alcanzables por la red, lo que hace que puedan correr peligro también.
viernes, 22 de mayo de 2009 0 comentarios

Consecuencias de una mala auditoría

Estas podrían ser las consecuencias de un mal trabajo de campo de un auditor.


Las cosas pueden no ser lo que parecen si no se realizan las pruebas de verificación oportunas.
miércoles, 20 de mayo de 2009 0 comentarios

Untangle, software opensource todo en uno para la protección perimetral de la red

Vía Tecnologíapyme he podido encontrar la aplicación Untangle. La idea es sencilla, definir e integrar en una única aplicación todo un conjunto de funcionalidades proporcionadas a su vez por otras aplicaciones opensource de forma que en conjunto, sirvan como mecanismo de protección perimetral.

Algo similar ya os lo comenté con la aparición del producto hardware Yoggie Gatekeeper Pico™. que trasladaba a un pequeño cacharro un conjunto de aplicaciones de seguridad, con el objetivo de disminuir la carga que tienen estas actividades en un equipo PC.

La idea de Untangle es juntar varias funcionalidades en una única aplicación que a modo de navaja suiza, mitiga los riesgos de diferentes problemáticas relacionadas con la seguridad perimetral. Personalmente todo este tipo de aplicaciones me seducen porque de manera sencilla y cada vez más transparente, permiten a usuarios no muy avanzados disponer de una protección decente para los tiempos que corren, perdiendo el tiempo en definir y decidir, más que en configurar a muy bajo nivel.





Podéis ver otras demos y capturas en este enlace.

Las capturas de pantalla son realmente atractivas e interesantes. Ahora falta la prueba técnica del producto que podáis hacer. No parece complicado pero supone dedicarle tiempo. Mi intención es simplemente dar a conocer su existencia.

La noticia original de Tecnologíapyme podéis encontrarla en Untangle, software para la protección perimetral de la red y la Web del producto es www.Untangle.com.
viernes, 15 de mayo de 2009 0 comentarios

Transparencia informativa de los incidentes de seguridad

Durante estos días se celebran en Murcia unas jornadas vinculadas con las tecnologías de la información y la sociedad del conocimiento (SICARM). En concreto, por deformación profesional, soy fiel seguidor del foro que organiza el profesor Julián Valero denominado "Retos jurídicos de la protección de datos de carácter personal". Comentar también que todas las ponencias son grabadas en vídeo y por tanto, disfrutadas por cualquiera que ahora estéis interesados. Sólamente tenéis que pulsar sobre el icono que refleja una película para que arranque.

En la charla de las 12:30, Dña. Rosa J. Barceló, Asesora jurídica del Supervisor Europeo para la Protección de Datos ha comentado por donde van los tiros de las nuevas directivas que están en proceso de elaboración y de la posible revisión de la Directiva actual en materia de protección de datos.

Me ha llamado mucho la atención que es bastante posible que la futura regulación establezca la obligación de garantizar la transparencia informativa por parte de las Organizaciones respecto a los incidentes que estas sufran.

Es algo de sentido común que no es el común de los sentidos. Si un banco por ejemplo, tiene un incidente y sufre el robo de la base de datos de usuarios de banca electrónica, es de recibo que notifique a sus usuarios la necesidad de cambiar las credenciales de acceso para que la información filtrada deje de ser útil para acceder a las cuentas. Este tipo de regulación, que en algunos países como anglosajones ya se viene utilizando, tendría en España quizás un carácter más motivador que la actual filosofía de disuasión que pueden tener las sanciones de la Agencia Española de Protección de Datos.

¿Qué pasaría si un incidente de seguridad supusiera un daño en imagen para la organización?

Es difícil saberlo, pero en un país como el nuestro donde importa más el escaparate que la trastienda donde se fabrican los productos, seguro que el enfoque que la Dirección pudiera darle a la seguridad si estaría basado en el concepto de "inversión" y no tanto en el de "gasto". A partir de ese momento, la seguridad sería la inversión que hay que hacer para no tener un incidente y por tanto, no ver dañada la imagen. Además, la presión interna que mete a la Organización el miedo a tener un incidente, transformaría el enfoque actual de "cumplimentar los trámites burocráticos"( básicamente inscribir el fichero que es lo que todo el mundo hace) en garantizar que todo aquello que mitiga riesgos funciona para no tener un incidente de seguridad.

Cuando como consultor te ves en la fase de análisis de riesgos y las tomas de datos para valorar la información, la imagen corporativa siempre suele ser la escala elegida por el entrevistado para cuantificar los mayores impactos que un incidente puede tener. Por otro lado, los departamentos de imagen o marketing suelen gozar de unos presupuestos generosos dado que son los catalizadores de las ventas y los beneficios económicos. Por tanto, este tipo de medidas podrían lograr que el presupuesto de seguridad se ajustase a las necesidades de protección, dado que velarían por la protección de la imagen de la empresa.
Además de esta forma se entendería que seguridad="no incidentes", que es algo que por desgracia actualmente no ocurre. En nuestro día a día nos encontramos que seguridad="no multas", aunque "no multas"<> seguridad.

En relación a la seguridad de la información que busca la protección de datos de carácter personal, este enfoque orienta mejor la problemática, considerando la necesidad del cumplimiento a lograr no tener incidentes. Es bueno tener un documento de seguridad, pero si se queda en eso, un documento, el mecanismo no sirve para nada. Algo que extensamente ya he comentado en un artículo de la revista de la asociación murciana CTICRM y que podéis leer en "La protección de datos de carácter personal es un problema de gestión."
martes, 12 de mayo de 2009 1 comentarios

Adios Antonio

Espero Antonio, que el sitio de tu recreo que hayas encontrado haya sido tal como imaginaste.Tu alma en forma de letra de canción queda con nosotros.




Donde nos llevó la imaginación,
donde con los ojos cerrados
se divisan infinitos campos.

Donde se creó la primera luz
junto a la semilla de cielo azul
volveré a ese lugar donde nací.

De sol, espiga y deseo
son sus manos en mi pelo,
de nieve, huracán y abismos,
el sitio de mi recreo.

Viento que a su murmullo parece hablar
mueve el mundo con gracia, la ves bailar
y con él, el escenario de mi hogar.
Mar, bandeja de plata, mar infernal
es su temperamento natural,
poco o nada cuesta ser uno más.

De sol, espiga y deseo...
Silencio, brisa y cordura
dan aliento a mi locura,
hay nieve, hay fuego, hay deseo,
ahí donde me recreo.
miércoles, 6 de mayo de 2009 0 comentarios

Video sobre cómo funciona Conficker

A estas alturas muchos ya estaréis hasta el gorro del Conficker.
La gente de Symantec ha publicado en esta dirección una animación en flash sobre cómo respira el bichejo.


También ya hay circulando scripts para detectar mediante nmap qué máquinas están infectadas dentro de tu red que podéis consultar aquí.
viernes, 1 de mayo de 2009 3 comentarios

ISO 15408 y el DNI-e, PP para el desarrollo de aplicaciones (Parte II)

El ultimo post quedó a medias y ahora que ya hemos tratado sobre ISO 15408 voy a explicar por qué es tan relevante la publicación de los perfiles de protección para el desarrollo de aplicaciones que utilicen del DNI-e.

¿En qué es diferente firmar un documento en papel a firmarlo en soporte electrónico?
Esta sencilla pregunta tiene respuestas que deben atender a dos vertientes, una jurídica y otra técnica.

Desde el punto de vista jurídico, la firma electrónica reconocida tiene equivalencia a la firma electrónica manuscrita. Por tanto, el acto de firmar ya sea con boligrafo o con DNI-e serían equivalentes. Quiero recordar que la definición en la Ley 59/2004 de firma electrónica reconocida establece que
"Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma."

En la misma legislación, se define dispositivo seguro de creación de firma al dispositivo que reune las siguientes garantías:
  • Que los datos utilizados para la generación de firma pueden producirse sólo una vez y asegura razonablemente su secreto.

  • Que existe una seguridad razonable de que los datos utilizados para la generación de firma no pueden ser derivados de los de verificación de firma o de la propia firma y de que la firma está protegida contra la falsificación con la tecnología existente en cada momento.

  • Que los datos de creación de firma pueden ser protegidos de forma fiable por el firmante contra su utilización por terceros.

  • Que el dispositivo utilizado no altera los datos o el documento que deba firmarse ni impide que éste se muestre al firmante antes del proceso de firma.

Además, es necesario que este tipo de dispositivos estén certificados. La certificación de dispositivos seguros de creación de firma electrónica es el procedimiento por el que se comprueba que un dispositivo cumple los requisitos establecidos en esta Ley para su consideración como dispositivo seguro de creación de firma. La certificación podrá ser solicitada por los fabricantes o importadores de dispositivos de creación de firma y se llevará a cabo por las entidades de certificación reconocidas por una entidad de acreditación designada de acuerdo con lo dispuesto en la Ley 21/1992, de 16 de julio, de Industria y en sus disposiciones de desarrollo.

Ya comenté en su momento que había sido aprobado el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información. Para garantizar todos estos requisitos, nuestro famoso DNI-e ya ha pasado por este trámite y pueden ser consultados los documentos públicos que este proceso genera, el Security Target (ST) que es lo que se tiene que probar al evaluar el producto y el resultado de la certificación que se puede leer en este enlace. Toda la información respecto a productos certificados bajo la norma ISO 15408 es pública y consultable de forma sencilla a través del portal CommonCriteria.org

Desde el punto de vista técnico, la cosa tiene más miga y para hablar de seguridad en el proceso de firma electrónica es necesario que todas las piezas que participan en la operación de firma lo sean. A priori, se identifican las siguintes partes:
  • El boligrafo = El DNI-e

  • El documento = El fichero electrónico

  • El firmante = La persona que conoce el pin de acceso a la clave privada almacenada en el DNI-e.

Pero en este proceso hay un punto conflictivo que hasta la fecha no está resuelto. ¿Qué ocurre si la aplicación informatica que tiene que presentarle al firmante el documento modifica el contenido visualizado antes de proceder a la firma digital con el DNI-e? Al firmante se le solicitará que introduca el PIN y el sistema operativo accederá a la clave privada del firmante pero el contenido firmado podría ser diferente del visualizado por el firmante. En el mundo físico sería similar a darnos el cambiazo entre el documento que leemos y el documento que firmamos. Hace un año y medio en una charla técnica, el otro ponente hizo una sencilla demostración. Utilizó un formulario Web donde se presentaba un documento electrónico con una factura de compra de diferentes artículos. El total de la compra eran 10€. Pulsó el botón de firmar electrónicamente, se le solicitó el pin y firmó la factura. Para sorpresa de los asistentes, la cuantía de la factura había aumentado a 1000€ y ese documento con la correspondiente validez legal que permite reclamarle al firmante dicha cantidad. Es por ello que cada vez se evoluciona hacia formatos de ficheros a firmar que garanticen que el contenido que el usuario lee en pantalla es el mismo al que se le estampa la firma digital. En cualquier caso, dada la importancia que tiene y va a tener el uso del DNI-e, es necesario que esta vez seamos exigentes y rigurosos con la tecnología para que las cosas funcionen como aparentan pero además, sea un hecho demostrado de forma independiente.


En cualquier caso, "la seguridad es tan fuerte como el más débil de sus eslabones" y en esta problemática la aplicación informática que gestiona el documento electrónico es el eslabón que falta por asegurar para garantizar la fiabilidad técnica del proceso.

Este aspecto es el que se quiere solucionar con la certificación de las aplicaciones que hagan uso del DNI-e. Por ello, el INTECO se ha esforzado en establecer el Perfil de protección (PP), que sería como un catálogo de requisitos que cualquier producto software debe garantizar para que luego el fabricante pueda crear el documento Security Target (ST) particular que permita pasar a la aplicación por el proceso de certificación de producto que establece ISO 15408. Es tal la importancia de dichos perfiles han sido publicados en el Boletín Oficial del Estado (BOE) del 14 de abril.

Por otra parte, para garantizar la protección del usuario en la utilización del DNIe, en el grupo de expertos para la elaboración de estos perfiles de protección han estado representados la Dirección General de la Policía, la Agencia Española de Protección de Datos, el Centro Criptológico Nacional y la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, así como las principales asociaciones de la industria española, como ASIMELEC, tal como comenta Julián Inza en su blog.

De esta manera, todas las piezas técnicas que participan en el proceso de firma digital sean técnicamente fiables y tendrán el respaldo jurídico que la Ley 59/2003, de 19 de diciembre, de firma electrónica establece.
 
;