lunes, 30 de noviembre de 2009 0 comentarios

Todos los días son una buena oportunidad de mejora para lograr eficiencia

Hoy quiero contar una historia cotidiana con moraleja extrapolable a la seguridad y a cualquier otra disciplina. Todos los días tengo que desplazarme desde Cartagena a Murcia para ir al trabajo. Son aproximadamente unos 50 km diarios que hago dos veces al día. Desde hace unas semanas vengo aplicando al consumo de mi coche la filosofía de gestión basada en la mejora continua utilizando la información que obtengo las pruebas que he ido realizando. El ordenador del coche me proporciona información completa sobre bastantes parámetros: tiempo del trayecto, velocidad media, consumo medio, consumo instantáneo, kilometraje total,etc.

Del análisis de datos, la lectura de las especificaciones del vehículo y las variaciones de mis comportamientos durante las pruebas he conseguido comprobar cuales son los consumos óptimos en los diferentes tramos del trayecto. De esta manera es posible una gestión eficiente que maximiza el kilometraje que realizo con el mínimo consumo. Las siguientes gráficas intentar representar de forma simbólica los datos obtenidos.


En el caso del coche he podido comprobar que puedo hacer varios kilómetros a cero consumo dejando que la inercia y la energía potencial se transformen en energía cinética a coste cero tanto a la ida como a la vuelta. En llano y a 110 km el consumo se estabiliza entre 3,5 l/km y 4l/km. Con todo esto puedo estirar un deposito lleno por encima de los 1000 km. O sea, he logrado subir y bajar a Murcia tres días más que antes de empezar el experimento. Todo esto tiene también sus consecuencias, tardo unos 10 minutos más pero compensa. Eran resultados esperables leyendo la documentación del vehículo pero en ciertos tramos, el consumo no aumenta a mayor velocidad porque el motor no sube de revoluciones sino que aprovecha la inercia del descenso de unas montañas que hay en el camino.


De la misma forma aplicamos esta filosofía a sistemas de información. Como siempre, el primer paso es diseñar una buena red de sensores que proporcionen los mejores datos que podamos recoger. Lo ideal es tener hardware o software especifico que proporcione ya informacion procesada y no solo datos que haya que tratar. El objetivo es extaer conocimiento de todo ello para saber que ocurre en nuestros sistemas y así tomar decisiones sobre posibles estrategias.


La gráfica obtenida por el coche y el kilometraje es similar a otra que hemos obtenido en un cliente tras reducir la ventana de atención a virus informáticos. Tengo pendiente recuperar los apuntes de la asignatura de "Dinámica de Sistemas" de tercero de carrera porque creo que en estos momentos puedo sacarle bastante provecho profesional a aquellos conocimientos que adquirí en aquel entonces, cuando te sentías poderoso por ser capaz de ponerle ecuaciones a cualquier problema basado en ajustar todo tipo de sistemas (Demográficos, económicos y por qué no ahora, de seguridad).
Y mucho más interesante y una futura línea de investigación, poder establecer modelos predictivos de comportamiento sobre entornos sometidos a incertidumbre que es preciso controlar.

Es sorprendente lo curiosas que son las cosas cuando se analizan en base a datos. La intuición a veces nos juega malas pasadas y creemos que las cosas se comportan de determinada forma hasta que la realidad se encarga de demostrar lo contrario. Esto es básicamente lo que en entornos profesionales se denomina telemetría y permite a los mecánicos afinar el coche al comportamiento optimo. La gestión de la seguridad de la información persigue el mismo objetivo. Establecer diferentes indicadores que permitan disponer de la "telemetría" que nos proporcionan los sistemas como firewalls, antivirus, ips, servidores de correo. Es necesario conocer el comportamiento de las cosas para tomar buenas decisiones. Es una actividad clave por ejemplo en la Formula 1. Y lo curioso es que esto de la telemetría es aplicable a todo entorno donde se puedan recoger datos y posteriormente analizarlos para obtener conclusiones. Maligno ya nos ilustró sobre cómo aplica la telemetría para medir la calidad de sus exposiciones. En un texto más desarrollado de Gonzalo Alvarez Marañón se cuenta la importancia de la retroalimentación tras un evento, el "feedback" que dicen los ingleses para poder mejorar.

Todo se puede mejorar, pero es necesario siempre antes un proceso de establecer metas, determinar objetivos y esperar a ver resultados. En base a ellos ya se pueden tomar decisiones. Todos los días la realidad nos proporciona un montón de situaciones en las que actuar, todo puede hacerse de otra forma, tratando de minimizar recursos y obteniendo mejores o similares resultados. En ello va el secreto de la eficiencia y la consecuente productividad. Esto es lo que deben enseñar en la escuela para empezar a cambiar el "modelo productivo". Primero un cambio de mentalidad y enfoque y después una aplicación a toda la realidad. Si no enseñamos a medir y juzgar, si no creamos gente auto crítica con afán de superación, sólo buscaremos el lograr los objetivos por los premios que por ello puedan obtener, no por convencimiento en hacer las cosas bien. Quizás esté algo contaminado por las situaciones que he podido vivir en la ejecución de proyectos de implantación de ISO 27001 subvencionados, pero tengo la convicción de que los premios para hacer las cosas bien deben ser un refuerzo positivo, no un fín en sí mismo. Hay muchas empresas que se apuntan a esto de la seguridad por moda, por tener "un sello más" sin creer profundamente en el objetivo y en los beneficios que ello supuestamente les va a proporcionar. Y los SGSI que hemos montado así, por desgracia tienen fecha de caducidad. En cuanto no hay premio o subvención, acaban por abandonarse. Y ello va muy vinculado con lo anterior, hacer las cosas por un premio o por imagen no es el cambio necesario para alcanzar la productividad. Las modas que no se interiorizan, que no logran transformanse en hábitos o conductas se abandonan a las primeras de cambio.

Muchas veces el secreto del éxito y donde está la innovación surge de pensar de forma diferente o tratar de resolver un mismo problema con otro enfoque. En el caso de la seguridad, la medición y la gestión de la eficacia es un campo por explorar que ahora la nueva ISO 27004 plantea aunque como toda norma, solo define como marco de procesos. Que cada uno aplique la norma a su criterio.
miércoles, 25 de noviembre de 2009 4 comentarios

Ofertas 3x2

El día a día nos plantea cosas que por cotidianas a menudo no solemos reflexionar. Sin embargo, a menudo nos pasan desapercibidos errores que pueden tener gran trascendencia aunque le demos poca importancia.

Hoy en un centro comercial haciendo la compra de todos los días ha sucedido algo típico. En una oferta descuento de 3x2, al mirar la cuenta el descuento no aparecía aplicado. Estas cosas son comunes pero sólo se detectan si el cliente se preocupa de revisar la cuenta. De alguna manera todos confiamos en el buen hacer del centro comercial y consideramos que no son posibles los errores. Sin embargo, no es la primera vez que me ocurre algo así. Evidentemente la cajera no tiene nada que ver en este tipo de situaciones dado que son los lectores de códigos los encargados de asignar un precio al producto.
Una vez que he procedido a la reclamación con la cajera, nos ha remitido a la Caja central del hiper. Tras mostrar los tres productos ofertados en el folleto de la publicidad, ha podido comprobar que efectivamente en su base de datos uno de los precios era incorrecto. Como es habitual, han reconocido el error y han procedido a dar la diferencia no descontada.

¿Qué ha podido fallar? Evidentemente el problema principal está en la introducción de precios en la base de datos. La cuestión es cómo en productos que salen en la publicidad y son anunciados como ofertas 3x2 tienen luego en las bases de datos un precio incorrecto. ¿No hay comprobaciones previas para cotejar que las ofertas publicitadas son reales?

También me queda la duda sobre el protocolo que se sigue una vez identificado el error. No he podido ver qué hacían en caja central tras devolvernos el dinero pero lo más correcto sería notificar la incidencia y que alguien actualice el precio correcto en la base de datos. De lo contrario, este hecho pasaría de ser un error accidental y aislado a un evento intencionado y de carácter más grave que podría esconder detrás una manera de generar beneficios con prácticas engañosas.
viernes, 20 de noviembre de 2009 0 comentarios

(IN)Secure Magazine 23

Ya está disponible el número 23 de la revista (IN)Secure Magazine. Los contenidos de este número son:

- Microsoft's security patches year in review: A malware researcher's
perspective
- A closer look at Red Condor Hosted Service
- Report: RSA Conference Europe 2009, London
- The U.S. Department of Homeland Security has a vision for stronger
information security
- Q&A: Didier Stevens on malicious PDFs
- Protecting browsers, endpoints and enterprises against new Web-based
attacks
- Mobile spam: An old challenge in a new guise
- Report: BruCON security conference, Brussels
- Are you putting your business at risk?
- Why out-of-band transactions verification is critical to protecting
online banking
- Study uncovers alarming password usage behavior
- Q&A: Noise vs. Subversive Computing with Pascal Cretain
- Elevating email to an enterprise-class database application solution
- Ask the social engineer: Practice
- Report: Storage Expo 2009, London
- Jumping fences - the ever decreasing perimeter


La revista puede obtenerse aquí.
jueves, 19 de noviembre de 2009 0 comentarios

Curso sobre continuidad de negocio en Murcia.

Aunque un blog no tiene un alcance local, creo interesante para los lectores de la zona del levante dar a conocer la convocatoria de una próxima formación en materia de gestión de la continuidad de negocio basada en la norma BS 25999.

Ya he escrito mucho sobre este tema y basta con pulsar en la etiqueta dedicada a esta parte de la seguridad para encontrar todos los artículos.

La estrategia básica de la seguridad debe ser la prevención. Sin embargo, siempre es necesario disponer de un Plan B por si tenemos problemas. La gestión de la continuidad de negocio tiene como objetivo, pensar en frío para reaccionar en caliente.

El curso lo imparte una asociación sin ánimo de lucro para el fomento, estudio y aplicación de la seguridad y el control de los sistemas de información en Murcia, a la cual pertenezco desde su fundación. Tratamos de hacer que ciertos temas, eventos y formación que son algo habitual en ciudades grandes como Madrid, Barcelona o Valencia sean también accesibles para los que vivimos cerca de "Murcya".
lunes, 16 de noviembre de 2009 1 comentarios

La nube, "Ojos que no ven, corazón que no siente".

Me quiero sumar a los post de algunos compañeros blogeros que están planteando el tema de moda, la seguridad en la nube.

Son lecturas recomendadas los textos de Joseba Enjuto, Sergio Hernando, Jaime Robles y el artículo de Cnet.

También me gusto mucho el artículo de la Revisa SIC titulado Cloud Computing ¿Nubarrones en La Nube? de Mariano J. Benito Gómez donde se hacia una aproximación a la seguridad en la nube basado en un análisis de riesgos, contemplando los pros y contras desde esta perspectiva. Es la manera más correcta y completa de enfocar la seguridad, identificando de forma holística qué supone el nuevo escenario y qué riesgos tenemos que contemplar.

Sin embargo, todos parecemos compartir esta sensación que se detecta de que "la nube mola" o "la nube es la panacea" a todo lo referido a la seguridad.

No se trata de poner pegas o problemas. Simplemente toda decisión o apuesta por la nube debe contemplar lo que se ve y lo que no se ve. En relación a la contratación de este tipo de servicios, es básico e imprescindible que se tenga claro lo que se contrata y lo que ocurrirá si nuestro prestador en la nube tiene problemas. Delegar riesgo no significa eliminarlo sino transferirlo. Seguimos siendo responsable de todo aquello que está en la nube pero toda la gestión está subcontratada. Por tanto y de cara a garantizar la continuidad de negocio, es básico saber en qué situación se encuentra nuestro prestador en la nube. Porque la psicología nos juega una mala pasada y como se suele decir "ojos que no ven, corazón que no siente". Sin embargo, cuando vienen los problemas, habrá que dar respuestas y estas no van a poder ser "la nube tiene la culpa" o "no somos los únicos afectados" o "es que Moooglex ha fallado" como si cualquiera de estas razones justificara que no podamos hacer nada.





Voy a poner un ejemplo para ilustrar esta situación. Todos tenemos contratados seguros para muchas cosas (casa, coche, nuestra propia persona,etc.). Sin embargo, hasta que no se plantea una situación que nos obliga a recurrir a ellos no nos damos cuenta de cual es la cobertura real de que disponemos y cómo es realmente nuestra compañía. En este tipo de contratos existen diferentes cláusulas que eximen al asegurador de proteger al asegurado en determinadas circunstancias. Incluso en los casos donde el seguro es "Todo riesgo" existen cláusulas que realmente establecen que no es exactamente cierta esa frase. Por deformación profesional suelo leer este tipo de cosas y uno es consciente de que en determinadas circunstancias vas a tener que hacer frente al incidente sin ningún tipo de protección.

En muchas ocasiones, cuando estás reclamando al seguro que asuma un incidente es cuando empieza una trifulca entre asegurador y asegurado para establecer si realmente las cláusulas te dan la cobertura que demandas. Es cuando surgen esas desagradables circunstancias en donde las cláusulas se interpretan de forma retorcida para hacer que el asegurador no asuma la responsabilidad y costes del incidente. En esos momentos es cuando la letra pequeña se hace gigante y uno se arrepiente de no haber meditado bien qué hacía cuando contrató. El problema es que el incidente ya se ha producido y no es momento de arrepentimiento sino de soluciones y de salir del problema como sea.

En la nube ocurre igual. Son servicios que no vemos y aunque van a ofrecer garantías suficientes de su buen funcionamiento, realmente la fiabilidad de los servicios se obtiene cuando compruebas que también están bien preparados para las circunstancias difíciles. Como ya comenté cuando hablaba de dónde colocar un CPD, los niveles TIER III y TIER IV contemplan cortes de servicio muy pequeños que permiten a cualquier empresa estar tranquila respecto a la disponibilidad de los servicios. Quiero recordar que:
  • Tier III.Porcentaje de Disponibildad:99.982%, Porcentaje de indisponibilidad:0.018%, Tiempo de parada al año: 1.57 horas.

  • Tier IV.Porcentaje de Disponibildad:99.995%, Porcentaje de indisponibilidad:0.005%, Tiempo de parada al año: 52.56 minutos.


Pero además de la disponibilidad de los servicios, según la naturaleza de las actividades de la Organización, también puede ser necesario considerar otros aspectos de la seguridad como qué ocurre si hay un incidente que afecta a la confidencialidad de los datos o a la alteración intencionada de nuestra información por parte de un tercero. En fin, como siempre, la única protección preventiva que se puede establecer es la seguridad jurídica que proporciona un buen contrato y estas cosas deben hacerse siempre teniendo claro que se necesita primero y qué nos suministra el proveedor después. El que compra sin saber qué adquire, es candidato luego a tener problemas. Como ejemplo real de este tipo de situaciones, podemos analizar los servicios ofrecidos por Google Postini services. El funcionamiento de este servicio sólo requiere cambiar los registros MX correspondientes a los servidores de correo para que apunten a sus centros de datos. Estos, a su vez, tratan y filtran el flujo de datos y, acto seguido, lo devuelven al cliente. Es un ejemplo claro de servicio especializado y externalizado completamente. Sin embargo, las cláusulas contractuales de este tipo de servicios, como suelen ser generales y pueden no cubrir las necesidades particulares de muchas organizaciones. Podéis leerlas aquí. En estas situaciones es donde las empresas pequeñas pueden tener dificultades. Su poder negociador es mínimo contra entes tan grandes como Google hacen que ni se planteen contratos a medida. Por tanto, son lentejas o las tomas o las dejas (pese al incremento de riesgos que ello pueda suponer).

Para solventar todas estas cuestiones, podemos como siempre recurrir a la norma ISO 27002, que establece en relación a los servicios externos dos tipos de estrategias: definir bien el servicio a contratar y hacer un seguimiento de la prestación que el proveedor realiza. En el post La subcontratación del riesgo ya comenté de forma más detallada todos estos aspectos.
domingo, 8 de noviembre de 2009 11 comentarios

SITEL, ¿Quién vigila al policía?

Quiero apuntarme a la polémica mediática generada sobre el Sistema Integrado de Interceptación de Telecomunicaciones (SITEL). Es obvio que el lodazal de la política usa estos temas tan serios como arma de erosión del contrario pero al menos hemos de aprovechar que se plantea ante el escaparate mediático para reflexionar sobre ello.

Un sistema tan intrusivo y poderoso como SITEL puede ser el oráculo del siglo XXI. Es demasiada tentación como para no estar regulada y sobre todo restringida. Y en seguridad de la información hay un potente control compensatorio contra este tipo de tentaciones, la auditoría como mecanismo de seguridad.

A ello se suma otro hecho curioso. El sistema ataca una de las propiedades especiales de la seguridad, la confidencialidad. Se da la particularidad que cualquier violación de la misma no deja huella sobre el elemento interceptado. Una escucha no altera el mensaje original y el incidente pasa desapercibido hasta que hay constancia del compromiso de la información. Por tanto, son sucesos indetectables hasta que se tiene conciencia de ello y a veces, cuando ya es demasiado tarde. Pensemos en toda la problemática bancaria vinculada a la suplantación de identidad por el robo de credenciales de acceso. Uno se da cuenta del incidente cuando el dinero de su cuenta desaparece (y aun así percibe sólo las consecuencias que produce el ataque, pero no en sí mismo el ataque).

Por tanto, un sistema como SITEL debe poseer unos requisitos de auditoría que permitan saber con total certeza quién, cuándo y cómo ha podido usar este artificio de forma que también se garantice que el policía esté vigilado. Es un control compensatorio y disuasorio para quien quiera abusar de tanto poder. Úsalo que al menos dejarás registro y si el uso es fraudulento, sabremos quien ha sido.

Y como apuntan los chicos de AEDEL, lo importante es disponer de esta información pero también que ésta sea recolectada con garantías jurídicas suficientes como para ser una prueba válida en caso de conflicto. Porque de lo contrario, estamos ante un escenario peligroso. Un arma de captación de información que no deje rastro de su uso o que permita a quien la maneja borrar las huellas de su utilización es una herramienta que aporta grandes beneficios y muy pocos riesgos para quien quiera abusar de ella. Un gran panopticón del Estado sin control de los jueces.

Por otro lado, es también curioso otro hecho que empieza a ser común en esto del uso de la tecnología de la información cuando llega al campo de la judicatura. Tenemos información pero no tenemos pruebas. Tal como se comenta en la noticia de Europa Press el fiscal del Tribunal Superior de Justicia de Madrid (TSJM) comenta que la información que se obtiene con este sistema se vuelca en un DVD "sin firma digital", sin nadie que certifique el contenido y si alguien lo impugna "no hay manera de probar la autenticidad de la grabación". Por ello, advierte de que los datos de SITEL no sirven como prueba en un procedimiento judicial porque podrían invalidar el proceso.

Con todo ello, solo cabe hacerse una sencilla pregunta. ¿Para qué sirve SITEL?
Si recopila o intercepta información pero no es válida como prueba en un juicio.

Y desde la perspectiva técnica, otra mucho mas grave. Si SITEL fue diseñado como un sistema informático integrado de interceptación legal de telecomunicaciones de ámbito nacional y utilización conjunta por las Direcciones Generales de Policía y Guardia Civil y una dotación de 300.000.000 pesetas (1.803.030 euros) ¿Cómo se olvidaron en los requisitos técnicos del sistema el hacer válida como evidencia digital toda información recabada con este sistema?
jueves, 5 de noviembre de 2009 0 comentarios

¿Qué sabe Google de mi? Esta pegunta ya tiene respuesta...

Un compi de trabajo me ha comentado en la tertulia del café el anuncio de Google por mejorar la transparencia de cara al miedo que genera su acumulación de datos.

Que mejor política de privacidad que dar al usuario el control total sobre toda su información para que pueda decidir qué quiere guardar y qué borrar.

La noticia aparece en ADN y ha sido presentada dentro de la 31 Conferencia Internacional de Autoridades de Protección de Datos y Privacidad.
Todo un golpe de efecto ante la preocupación que en estas jornadas se está levantando por la privacidad.
A partir de ahora, a la pregunta ¿Qué sabe Google de mi? todos vamos a tener una misma respuesta. Mira en www.google.com/dashboard.

Cada usuario podrá visualizar y controlar la información asociada a sus cuentas de Google. Desde Google Dashboard podrán ver en un sólo lugar un resumen de la información disponible de todos los productos de Google que estén utilizando. Podrán también manejar esa información y cambiar los parámetros en forma rápida y sencilla.

"Pensamos en este producto como un gran paso para darle a los usuarios transparencia y mayor control sobre sus datos y esperamos que este producto ayude a moldear el formato de toda nuestra industria en el futuro," dijo Alma Whitten, Ingeniera en Software para Privacidad y Seguridad. "Es importante que la gente sepa qué datos tiene online y que los pueden manejar y configurar de acuerdo a sus preferencias, Google Dashboard ayuda a que esto sea una realidad."




Puede que despues de todo lo que se ha dicho y especulado sobre el tema, el lobo no sea tan fiero como lo pintan, ¿o sí?. Tras este anuncio solo queda una cosa, vamos a auditar qué sabe realmente Google de nosotros, que seguro que nos llevamos alguna sorpresa que otra.
0 comentarios

Publicado el séptimo informe Security Intelligence Report (Enero-Junio 2009) de Microsoft

Se ha anunciado la publicación del séptimo boletín del servicio Malware Protection Center denominado Microsoft Security Intelligence Report (SIR). Estos documentos
proporcionan una información esencial sobre las tendencias y situación real en el panorama de amenazas, vulnerabilidades, malware y su evolución.

No suelen tener desperdicio y sirven para tomar una perspectiva más completa del tema. Como los informes se van publicando por semestres, también son un apoyo en la medición de la evolución de este tipo de amenazas. Como resultados más destacados del informe, tenemos:
En los Estados Unidos, el Reino Unido, Francia e Italia, los troyanos constituyeron la categoría principal de amenaza; en China, prevalecieron diversas amenazas basadas en explorador y específicas del idioma; en Brasil, fue más generalizado el malware contra la banca en línea; por último, en España y Corea, dominaron los gusanos, seguidos de amenazas contra jugadores en línea.

Del séptimo informe me quedo con un hecho bastante relevante. Ya se pone de manifiesto cómo la aplicación de buenas prácticas en materia de seguridad (ISO 27001, COBIT o PCI SCC) está logrando mitigar este tipo de amenazas o reduciendo su impacto en aquellos países que las están utilizando. Otra prueba más de la importancia de la gestión sobre las medidas tecnológicas. Quien no tenga claro a estas alturas sobre la necesidad de identificar y gestionar el ciclo de la vulnerabilidad está cogiendo demasiadas papeletas para el sorteo de un incidente de seguridad. Y quien tienta a la suerte al final puede llevarse un premio.

El informe puede ser descargado aquí y está disponible en 10 idiomas.
martes, 3 de noviembre de 2009 1 comentarios

Séptimo cumpleaños

Con un par de semanas de retraso, quiero conmemorar ya el septimo aniversario de este blog que empezó como un medio personal de masticar las noticias y digerir los conocimientos en materia de seguridad que se han ido produciendo. Este lugar es un buen reflejo y fuente de evidencias del cambio de orientación que se ha producido en esta disciplina, cada vez más relevante en las organizaciones.
Es muy significativo el incremento del interés por la norma ISO 27001:2005 y la certificación de muchas organizaciones como medio de acreditar una preocupación en la protección de la información.


En tiempos de crisis, las dificultades siempre han de verse como nuevas oportunidades y en este caso, son las tecnologías de la información las que deben ayudar en el proceso de optimización de las actividades, más con menos, o más y mejor.

Como novedades de este último año quiero destacar el cambio de aspecto a la estética del blog y hoy la introducción de twitter como mecanismo interactivo con vosotros los lectores (aunque soy bastante novato y no sé que partido voy a poder sacarle a esto).
 
;