martes, 28 de diciembre de 2010 0 comentarios

Prediciones 2011

Aunque soy consciente de que llevo casi un mes desaparecido, diferentes contingencias personales y profesionales me han obligado a dejar en un segundo plano la publicación en el blog. No obstante y como viene siendo tradición un año más por estas fechas, toca jugar a tratar de vaticinar qué nos espera el año que viene y cuales serán las pesadillas contra las que tendremos que seguir luchando.

Como gran titular, creo que el 2011 creo que será el año de "mirar de dentro hacia afuera".  Los que nos dedicamos a esto siempre decimos que el enemigo más peligroso está dentro y no en el exterior pero este año es posible que sea por primera vez, el año en el que empecemos a mirar qué ocurre en la red desde dentro hacia afuera. Este cambio en la orientación de la monitorización del tráfico de red tiene justificada su necesidad por dos motivos principalmente:

  1. La sofisticación del malware y su orientación a pasar desapercibido para infectar y contaminar equipos reclutando así cuantos más PC zombies mejor hace que los firewalls ya no sean una herramienta suficiente para evitar infecciones. La contaminación se produce a través de tráfico legítimo y es necesario saber qué hace nuestro parque de PC para descubrir patrones de tráfico extraños que sean indicios de cosas raras. Conexiones masivas a dominios raros y no justificados por nuestra actividad, uso de puertos extraños, movimientos internos de datos no justificados serán las causas que lleven a empezar a mirar la red como un modelo policial donde la detección de anomalías basadas en sistema de detección/prevención de intrusiones en segmentos internos sean tan cotidianos como los elementos de protección perimetral.
  2. El fenómeno "Wikileaks" puede que lleve también a muchos altos responsables de las empresas a cuestionarse su vulnerabilidad frente a filtraciones internas malintencionadas y la "clasificación y control de la información sensible", esa asignatura pendiente de muchas organizaciones, puede que empiece a verse como una necesidad. Hemos visto sufrir muchísimo más a un Gobierno como el americano por la fuga de unos documentos delicados que por las tan temidas armas de destrucción masiva. Sin embargo este tipo de amenazas puede afectar a toda organización que es vulnerable a revelaciones de información intencionadas que dejen al descubierto sus trapos sucios más íntimos. Por tanto, es posible que este "fenómeno" haga que se tomen más medidas contra esta vulnerabilidad debida a la ausencia de criterio de clasificación de información o bien a la falta de control. Servicios de almacenamiento masivo tan comunes como Dropbox, Evernote o el propio correo Gmail serán vistos en entornos corporativos muy controlados como una amenaza. En cualquier caso, todas estas restricciones de trafico saliente deben ir acompañadas de las medidas de restricciones de conexión de los dispositivos de almacenamiento USB. No tiene sentido cortar la conexión a los servicios de almacenamiento en la nube y no hacerlo sobre los dispositivos cotidianos USB. Igualmente lo reciproco también, si cortas los USB, corta los servicios de almacenamiento masivo en la nube.
También este año 2011 seguirá transformando a Internet en el nuevo campo de batalla del siglo XXI. Las escaramuzas entre Estados y organizaciones seguirá debatiéndose en la Red. Casos como la operación Aurora o las represalias de los grupos como Anonymous contra los medios de pago seguirán encontrando en el anonimato y la dificultad de investigar los delitos tecnológicos el caldo de cultivo ideal para seguir cometiendo sus fechorías. En España la modificación del Código Penal pretende disuadir de ello pero en cualquier caso, la dificultad de perseguir este tipo de delitos seguirá animando a muchos a usar la red como fusil.

Otro sector amenazado debido a la sofisticación del crimen y la facilidad de lucro será el relacionado con el fraude asociado al abuso de los medios de pago. Aunque la modificación del Código Penal también tipifica nuevos delitos en relación a estos hechos.

Por último, otra víctima de la proliferación y extensión del uso de las nuevas tecnologías seguirá siendo la privacidad. Si recordaremos este año 2010 como el año de la explosión de las redes sociales, en este 2011 seguiremos viendo noticias relacionadas con la fuga masiva de datos o el destape de los grandes negocio de infotráfico, ventas de grandes volumenes de datos sobre usuarios, gustos, aficiones que muchas veces no cuentan con la debida autorización de los afectados. Pero no creo que a estas alturas sorprenda a muchos que el incumplimiento de la LOPD sea noticia dado que es la tendencia de todos estos últimos años. A las empresas sigue preocupándoles poco lo que ocurre con sus datos siempre que no genere ningún tipo de daño en imagen o económico por la consecuente sanción de la AEPD. Además, la tendencia de uso y abuso masivo de los dispositivos de videovigilancia y su extensión al ámbito doméstico será en este año 2011 otro de los hechos que acabará proliferando más todavía. La aparición de cosas como la "Barbie VideoGirl"  van a colocar cámaras en los lugares más insospechados con las posibles consecuencias tan negativas que ya anuncia el FBI. Desde luego, entender que una videocamara consultable por Internet es un juguete que puede manejar un niño es algo que los padres debieran considerar muy mucho antes de regalar. Establecer la balanza entre pros y contras pero sobre todo, sopesar los riesgos, debe ser el acto reflexivo consciente que todo padre responsable debe hacer antes de meter semejante cacharro en casa.


Solo queda para terminar, desear un Feliz 2011 y que ninguna de estas predicciones se acabe haciendo realidad.


PD: Lo que no será una predicción sino una realidad es el agotamiento del direccionamiento IP v4 dado que los últimos datos establecen que a principios de año nos quedamos sin más direcciones. En la cuenta Twitter http://twitter.com/IPv4Countdown# van informando de la disponibilidad de direcciones pero ya la gráfica no llega al 2012. Por tanto, esto no parece un vaticinio sino la certeza de un hecho que se consumará finalmente este año 2011.

jueves, 2 de diciembre de 2010 3 comentarios

Wikileaks es el síntoma, no la enfermedad

Mucho se está hablando esta semana de "inseguridad de la información" dado que las fugas de datos están copando las tertulias y las portadas de los periódicos. Los debates más centrados en el fenómeno que en las causas, están cuestionado si este tipo de noticias son o no periodísmo. En cualquier caso, el tratamiento que tengo que dar desde este blog obviamente está más relacionado con la esencia del problema, "el fallo en las medidas de seguridad". Para ello, pongámonos en situación con un supuesto paralelo que puede representar lo que vengo a comentar.
Imaginemos que estamos en el año 670 antes de Cristo y que alguien de repente decide que para gestionar mejor el trueque prefiere crear unas monedas hechas de una aleación de oro y plata. En aquel momento las reglas del juego en materia del comercio cambian y pasamos de tener que intercambiar objetos a realizar intercambios de objetos por estas nuevas "monedas".
Para el comerciante, de repente, surge un nuevo problema a tratar, el control de dichas monedas. Para ello, tiene que crear sistemas que sirvan para registrar cuantas monedas tiene en la caja, cuantas monedas salen de la misma, cual es el balance final de monedas que tiene tras comerciar, etc. Al principio, cuando el sistema no estaba muy extendido, las cosas eran sencillas de controlar y una gestión muy básica resolvía el problema. Sin embargo, cuando el valor de las cosas se negocia en base a esas monedas, los amigos de lo ajeno ven ahora en ese tesoro su botín. Por tanto, surge la necesidad de proteger y custodiar este nuevo elemento de valor y es necesario mejorar los métodos de control y aparecen los libros de cuentas, los balances, las cajas registradoras, las cajas fuertes, los bancos, etc. Todo con un único objetivo: saber cuantas monedas se tienen y cuantas se pierden al producirse compras de objetos o cuantas se recogen al realizar ventas de objetos. Por tanto, en ese momento, las monedas se transforman en un "activo" de la organización y requieren una protección adecuada. Siglos después a nadie se le ocurriría tener estas monedas y estos mecanismos de control desprotegidos. Nadie entra a un banco y se encuentra las monedas almacenadas en estanterías en las zonas donde hay público o sin contabilizar. Cada intercambio de monedas deja un registro y se anotan o bien las que entran o bien las que salen, teniendo siempre claro cual es el saldo que queda en la caja. De esta manera, se logra el control de esos "activos" y se garantiza su seguridad (entendida como la integridad de la información que refleja el estado de situación).
Demos un paso al presente y cambiemos la palabra "monedas" por la palabra "información". Las primeras preguntas que uno se hace son:
  • ¿Es la información un "activo"?.
  • Dada la repercusión de las informaciones que se han visto publicadas en Wikileaks, parece que sí porque su conocimiento ha tenido consecuencias relevantes para los organismos que han sufrido la fuga.
  • ¿Estaba la información protegida proporcionalmente según su valor?.
  • Opinen ustedes mismos. Bradley Manning, un joven militar estadounidense que estaba movilizado en Irak tuvo acceso a la red SIPRNET de la que proceden los cables. Aburrido, con pocos amigos y maltratado por sus compañeros por su homosexualidad, Manning le contó al ex hacker Adrian Lamo que había entregado a Wikileaks unos 260.000 informes y cables del Departamento de Estado y de las embajadas. “Entraba en la sala de informática con un CD regrabable de música que decía algo como ‘Lady Gaga’, borraba la música y grababa los archivos”.
Es obvio que no se pueden controlar todas las cosas y que el factor humano siempre suele ser el origen de todos los problemas, pero no parece muy razonable que en ciertos entornos donde supuestamente hay información tan confidencial existan elementos como grabadoras de CD o dispositivos USB que no permiten controlar si se fuga la información. Si quieres evitar una fuga de agua, debes tener claro cuales son todos los sitios por donde circula y vigilar que el nivel donde se deposita permanece constante. Si quieres controlar la información, las cosas son mucho más complejas pero las estrategias son similares. El quid de la cuestión es si "dicha información" merece o no ese sacrificio. Ya es cuestión de cada organización decidir que hacer en cada caso. Lo que si es verdad que una seguridad a medias no suele funcionar y por pequeño que pueda ser el punto de fuga, finalmente el depósito de agua se queda vacío.Si has llegado hasta aquí y tienes algún tipo de responsabilidad en materia de seguridad de la información, toca ahora preguntarse, ¿Tengo bajo control todos los grifos por donde sale la información (La versión tecnológica podrían ser los dispositivos USB) ?

Humor: Hay quien lo tiene claro y no tiene ningún tipo de contemplación a la hora de tomar medidas de seguridad, sean las que sean.

(Gracias Gregorio por el material y la inspiración)

Aunque siempre hay medios alternativos y no hay que llegar a extremos tan radicales.
miércoles, 1 de diciembre de 2010 2 comentarios

Ya sois 5000 listeners.

Hoy es uno de esos días en que se alcanza una cifra redonda. Aunque no suelo darle mucha importancia al tema de las estadísticas del blog y tampoco publico con ningún objetivo amortizador o lucrativo, hoy he podido comprobar que las suscripciones vía RSS superan ya los 5000 usuarios.

No se si es un número alto o bajo aunque yo personalmente lo que más valoro es la tendencia. El jueves 11 de marzo comentaba que ya eramos 3500 y 9 meses después se alcanzan 1500 más. La mejor y más reconfortante recompensa para un escritor es tener público y generar interés. Parece que este blog por ahora está logrando el objetivo dado que la gráfica y el número sigue creciendo. Como diría una de las leyes de Murphy, "si funciona, no lo toques".


Sin embargo, mi pasión y creencia firme en el ciclo de Demming o la mejora continua debe llevarme a pensar en seguir mejorando, así que habrá que seguir esforzándose por hacerlo mejor que ayer, pero peor que mañana. Gracias a todos los que estáis ahí dedicando un solo segundo a esta url porque en la economía de la atención, para mi eso tiene un valor incalculable.

viernes, 26 de noviembre de 2010 2 comentarios

Conocimiento inducido y la pandemia del "cut&paste"

Aunque últimamente no puedo publicar demasiado, hoy he podido sacar un hueco para hacer bloggerterapia. Lo que vengo a contar es una pandemia que tiene como consecuencia la poca valoración que se da al contenido y que hace pensar en si realmente somos la "sociedad del conocimiento". Vivimos inmersos en la sociedad más tecnificada que ha existido con acceso casi inmediato e independiente de dónde nos encontramos y sin embargo se produce una paradoja curiosa, justo en el momento en que más información tenemos disponible es cuando creo que peor la estamos procesando. Estamos tan saturados e inundados que la escala de procesamiento que empieza en los datos, se organizan como información, se transforman en conocimiento y supone adquirir sabiduría hace que no podamos masticar ni conocimiento ni información quedando solo como meros datos, lo que podemos denominar como "infoxicación".

¿A qué viene todo este rollo previo? Lo que trato de contar es la experiencia personal que sufro en ciertos proyectos donde participo como consultor de seguridad para el desarrollo de un marco normativo (normas y procedimientos de seguridad) basados en la ISO 27001. Parte de mi trabajo consiste en asesorar o recomendar la forma de hacer efectivas las medidas de seguridad que requieren los sistemas de gestión de la seguridad de la información. Hace ya mas de cuatro años participé en el proyecto de construcción de un SGSI y como mi experiencia y conocimiento se centra más en los aspectos formales de la gestión y de la formalización de las medidas, desarrolle un conjunto de normas básicas de seguridad (que establecen las restricciones o requisitos que la organización quiere cumplir) y un conjunto de procedimientos que los implantan (definen las tareas, actores y registros de ejecución que deben implantarse). Este tipo de proyectos se ha venido repitiendo en los últimos años y por tanto, la documentación inicial ha ido mejorando, evolucionando y completándose para hacer de ella un marco maduro y bastante completo de más de doscientos folios.

Sin embargo, lo que más me sorprende últimamente es el poco "valor percibido" que se dan a esos documentos por parte de nuestros clientes. Ellos no han tenido que enfrentarse al temible "folio en blanco" y por tanto, no pueden valorar lo complejo del proceso creativo que supone leer la norma ISO 27002 e imaginar cómo hacer algo real y ejecutable su cumplimiento. Ellos se limitan en muchos casos a cambiar logotipos, modificar las responsabilidades y con eso, suponen que adquieren y reciben el conocimiento inducido que cada documento tiene tras de sí. El algunos casos, la redacción de un solo documento ha podido costar más de dos semanas de trabajo y sin embargo, la adaptación en su organización es cuestión de horas. En parte este es el servicio que se proporciona en un proyecto así y es el valor que aporta la consultora.

Lo que falla por parte de los clientes es, en muchos casos, que ese conocimiento inducido no es procesado, no es adquirido ni asimilado y el desarrollo del marco normativo se limita al "cut&paste" de las "formas" sin procesar el "fondo". Nuestro conocimiento en forma de plantilla de documento requiere de un esfuerzo por integrar en la realidad de cada cliente cómo hacer las cosas. Es cierto que al basarnos en estándares, lo que hay que hacer está mas o menos definido y es lo que nos ha permitido formalizar con carácter general los controles, pero hay cierto margen de libertad que permite a cada cliente adecuar a su contexto los controles. Sin embargo, no hay en muchos casos esa reflexión madura de tratar de entender qué persigue el control, que plantea el documento-plantilla y qué finalmente será la redacción particular que deberá tener el procedimiento integrado en la organización.

En el fondo, a nuestro marco normativo le ocurre como a otras muchas cosas de esta cultura del "cut&paste". Quiere ser publicado y utilizado rápidamente pero no es masticado, generando un marco normativo que no es ni siquiera conocido por el área responsable de su difusión y ejecución. Y es que comprar un documento no es comprar conocimiento, es simplemente adquirir una base bastante desarrollada que permite tomar rápidamente las decisiones más oportunas para poder lograr implantar un control. Sin ese esfuerzo de moldear y particularizar el documento al contexto y a la realidad de cada cliente, las cosas quedan muy cojas, produciéndose cierta "infoxicación" en materia de seguridad. El marco documental está constituido por 11 normas (una por bloque para tener claro en qué documento se regula qué aspecto de la seguridad, de acuerdo con lo establecido por ISO 27001) y unos 30 procedimientos (con las tareas operativas que hay debajo de muchos de los 133 controles de la norma). Un total de unos 200 folios que se ven como un ladrillo si no se tiene claro que se quiere hacer con ellos y por qué. Sin embargo, para quien tiene claro qué necesita, permite formalizar y documentar perfectamente el marco normativo que quiere aplicarse a la información y hacerlo en relativamente muy poco tiempo (a tiempo completo, en un mes se puede tener todo adaptado). La documentación ha sido desarrollada basándose en la norma (pero sin ser un copia y pega de la misma sino una interpretación práctica) bajo un criterio de máximos (Se redactó pensando en disponer de las mejores y más restrictivas medidas de seguridad para que los clientes borren o eliminen aquello que no pueden cumplir o no van a implantar). Sin embargo, este potente armamento necesita de un soldado hábil que conozca lo que la norma dice y lo que él quiere hacer real. De lo contrario, se transforma en un texto que se interpreta como ley y del que da miedo borrar cosas siendo visto más como un obstáculo que como una ventaja competitiva. Y esa distorsión de la percepción es causada principalmente por no haber tenido que sufrir la dura batalla de luchar contra el folio en los primeros momentos y no saber cuanto hay que sudar la camiseta para tener una norma o procedimiento en condiciones.

Casualmente poco después de haber posteado este artículo, he podido ver en la televisión el nuevo anuncio del Audi A7 que viene a expresar algo parecido, el poder de la hoja en blanco.



Nuestra sociedad va tan deprisa que apenas valora lo complejo que es producir o crear y sólo se limita a localizar o utilizar. Sin embargo, para "generar" o "crear" se requiere talento y conocimiento. Para "localizar" o "utilizar" sólo se requiere habilidad. El camino de la creación siempre conduce hacia la sabiduría. El de la utilización o uso puede que acabe en el mismo sitio pero no tiene porqué ocurrir siempre.

Para terminar en positivo, creo interesante que veáis las reflexiones de Alfons Cornellá sobre qué es la "Infoxicación".




Como recomendación, creo interesante que leáis también a Berto Pena y sus dos magníficos post sobre "la Dieta de información" (Leer en ThinkWasabi los post I y II).

Este verano, como parte de las tareas de mejora de mi productividad personal pasé varios días reordenando mis subscripciones RSS en Google Reader agrupándolas en los 5 temas que más me interesan y poniendo además la etiqueta LD (lectura diaria) y LS (Lectura semanal) como sufijos. Además, decidí que una vez que la etiqueta caduca, doy el contenido por procesado, marcando como leído esos contenidos y eliminando esa tarea semanal de mi agenda. Si no lo puedo procesar, no puede figurar entre mis asuntos como pendientes. Tampoco es viable o posible estar al tanto de todo y prefiero, cuando tengo un momento, dedicarle un rato a lo que considero imprescindible antes que andar buceando en miles de entradas pendientes que no voy a poder masticar como es debido. Prefiero la "calidad del procesamiento" a la "cantidad" aunque pueda sacrificar el estar al tanto al menos de oídas de cómo van las cosas. He cambiado el hojear por el procesar, de acuerdo también al tiempo máximo que estoy dispuesto a dedicarle a esa tarea dentro de mi día a día. Es importante para mi pero no es mi trabajo ni mi máxima prioridad.
jueves, 18 de noviembre de 2010 0 comentarios

Número 28 de la revista (In)Secure Magazine

Los contenidos de este ejemplar son:
  • Database protocol exploits explained
  • Review: MXI M700 Bio
  • Measuring web application security coverage
  • Inside backup and storage: The expert's view
  • Combating the changing nature of online fraud
  • Book review: CISSP Study Guide
  • Successful data security programs encompass processes, people, technology
  • Sangria, tapas and hackers: SOURCE Barcelona 2010
  • What CSOs can learn from college basketball
  • Network troubleshooting 101
  • America’s cyber cold war
  • RSA Conference Europe 2010
  • Book review: Dissecting the Hack: The F0rb1dd3n Network (Revised Edition)
  • Bootkits – a new stage of development
El ejemplar puede ser descargado aquí.
jueves, 28 de octubre de 2010 3 comentarios

Guía INTECO sobre Continuidad de negocio

El Observatorio de Seguridad de la Información de INTECO comunicó ayer la publicación de una guía práctica sobre continuidad de negocio dirigida a PYMES. Este material es de lectura recomendable ( como todo lo que suele hacer INTECO) e imprescindible para aquellos que quieran iniciarse en este tema dado que han conseguido en 80 hojas sintetizar los conceptos de continuidad de negocio y todo aquello que debe contemplar un proyecto de este tipo.
Es importante destacar la importancia de tener claro cuales son primero las necesidades de recuperación de la Organización, antes de ponerse a implantar o seleccionar tecnología. Todo plan de continuidad de negocio debe responder a las preguntas ¿Qué recuperar? ¿Quién lo recupera? ¿Cuando se hace cada cosa? ¿Cómo se ejecutan las actividades de recuperación? ¿Donde podemos hacerlo? Para ello, es necesario valorar los parámetros MTD, RTO y RPO que ya expliqué hace un año cuando se puso de moda por la famosa y temida Gripe A. También en el propio blog de INTECO pude dejar un par de artículos sobre qué debiera considerarse cuando se pretende resolver esta problemática que pueden ser consultados en la categoría "Continuidad de negocio".


La Continuidad de negocio no debe ser vista solo como la protección frente a grandes catástrofes. A veces, problemas más cotidianos como una obra en tu ciudad o un problema con el mantenimiento del edificio genera caídas o pérdidas de servicio. Hace poco se publicaba un estudio sobre el coste de las caídas TI y España figura para nuestra desgracia en el Top Ten como muestra la gráfica adjunta. Tal como publica "El Economista" se estima que las empresas pierden 3.000 millones al año por las caídas de su Red. El titular así dicho llama la atención según se entienda por "caidas de red". Lo apropiado debiera ser las caídas de sus "sistemas de información" porque estos cortes no son siempre debidos a problemas de los proveedores de telecomunicaciones sino al cese de suministro de servicios TI internos. En cualquier caso, los costes de la "no seguridad" son considerables aunque la mentalidad poco preventiva de la cultura española puede justificar esta desgraciada estadística. El artículo de El Economista deja claras las reflexiones principales:
El informe Avoidable Cost of Downtime 2010, realizado por la firma de investigación independiente Coleman Parkes, pone de manifiesto que las pérdidas financieras asociadas a las interrupciones de servicio TI se disparan cuanto más tiempo tardan en resolverse. Para este estudio se han analizado 1.808 organizaciones (incluyendo 200 españolas) con más de 50 empleados y de 11 países europeos.

Los resultados indican que cada organización española registra anualmente una media de 10 horas de interrupción del servicio TI, lo que equivale a más de 90.000 horas en el conjunto de España. Durante el tiempo en el que los sistemas TI críticos para el negocio se ven interrumpidos, las organizaciones españolas estiman que su capacidad para generar ingresos queda reducida a poco más de un tercio (36%).




Enlace: Guía práctica para PYMES: cómo implantar un Plan de Continuidad de Negocio,
jueves, 14 de octubre de 2010 8 comentarios

Reflexiones en el octavo cumpleaños del blog

Como cada mes de octubre, este blog cumple un año más de presencia en Internet y ya van ocho. Creo importante celebrar el poder seguir sacando un hueco a la semana para compartir aquellas cosas vinculadas con la temática de la que me gusta hablar, la "seguridad de la información". No es fácil y en parte la disminución de la frecuencia de publicación tiene que ver en parte con eso. Sin embargo, este blog me proporciona como autor mucho más de lo que yo puedo dar comentando o reflexionando en voz alta. Es una potente herramienta de aprendizaje que fija e incrementa el conocimiento que voy acumulando. El leer una noticia y plantearte cosas para comentar o escribir hace, por un lado, madurar la información y por otro, reflexionar o tratar de ver otros puntos de vista que pueda extrapolar a la temática del blog.


Como el resto de cumpleaños, toca valorar la evolución del mercado de la seguridad de la información. La crisis obviamente no está dejando títere con cabeza. Sin embargo, nuestra área de conocimiento parece en continua expansión siendo cada vez más relevante su presencia dentro del organigrama de toda Organización importante. No es tanto mérito de la propia seguridad sino de la relevancia que van adquiriendo los sistemas de información y su vital papel en el buen desempeño para proporcionar productos o servicios. De igual forma que la gestión de la tecnología empieza a formalizarse y a definir una serie de actividades para ser un área similar a las demás, con objetivos, métricas e indicadores de desempeño, procedimientos y tareas, el área de la seguridad es más relevante dado que representa el papel de la persona que debe velar por garantizar que todo funcione de forma normal. Y parece que el escenario profesional podrá mejorar gracias a la aparición de nueva legislación que establece cada vez más requisitos sobre seguridad para hacer que las cosas se tomen más en serio de lo que venía siendo tradicional ver en todos los sectores. La noticia que se publicaba a principios de mes sobre  El Decreto sobre seguridad de infraestructuras críticas revela la ausencia de expertos en esta materia y las necesidades de mejorar la oferta formativa para cubrir una demanda incipiente de expertos que con la nueva regulación será de presencia obligada en ciertos sectores. La aparición del R.D. 3/2010 del Esquema Nacional de Seguridad también eleva las necesidades de personal dentro de las Administraciones Públicas aunque en este caso, la carencia tendrá que ser cubierta por profesionales que ya perteneciendo a la propia Administración vayan profundizando en este nuevo área hasta que aparezcan las primeras oposiciones específicas para la figura del responsable de seguridad.

Personalmente creo que todas estas regulaciones son muy buenas noticias para el sector y para aquellos que llevamos cierto tiempo en él dado que nos ha permitido acumular experiencia suficiente para estar perfectamente capacitados para transformarnos de asesores o consultores a capitanes del barco. Recuerdo mis comienzos hace 11 años donde el primer y único empujón que desde la regulación se proporcionó a la seguridad fue la normativa en materia de protección de datos y todos sabemos en qué situación se encuentra todavía el cumplimiento de esta normativa dentro del ámbito público y privado. La aparición en aquel momento de Magerit 1.0 fue un auténtico soplo de aire fresco al enfoque tradicional de seguridad pero ha tardado casi 10 años en calar esta forma de trabajar y sobre todo "gestionar la seguridad". Sin embargo, la nueva normativa asociada a servicios críticos o a sedes electrónicas son cosas mucho más serias y relevantes dado que no solo comprometen la privacidad de ciudadanos sino que pudieran acabar poniéndose en peligro vidas y eso supone siempre que las cosas se tomen mucho más en serio. 
La oportunidad de haber podido participar en todo tipo de proyectos relacionados con el diseño y construcción del área de seguridad, sobre todo en las fases más estratégicas da herramientas suficientes para poder asumir sin problemas la Dirección del área de seguridad de la información. En particular, varios de los últimos proyectos están precisamente relacionados con la dirección de oficinas de seguridad que son "proyectos-bastón" para la creación de un área de seguridad en Organizaciones que parten de cero. Y es muy gratificante ver cómo partiendo de un terreno fértil pero desierto, empiezan a crecer los primeros brotes de seguridad y sobre todo, como se empiezan a modificar tendencias y estadísticas negativas que revelaban carencias e incidencias continuas que se van apagando con las decisiones tomadas para reconducir el problema. Cualquiera que vaya a asumir la Dirección de la Seguridad de la Información desde cero, tendrá que trabajar en construir su departamento desde dos puntos de vista opuestos pero complementarios. Como si fuera una pirámide, habrá que volcar esfuerzos en mitigar los problemas del día a día relacionados con la problemática malware, el control de acceso de usuarios y la monitorización del uso de los recursos de la Organización porque es lo que genera incidencias todos los días. Sin embargo, al mismo tiempo, deberá empezar a crear un marco de trabajo que permita definir la estrategia de la Organización tratando de sintonizar el nuevo área con las necesidades de protección que tiene la Organización. El área de seguridad tiene su sentido como herramienta al servicio del resto de la empresa u organización. Por tanto, tenemos que luchar día a día por hacerle la vida más sencilla al resto de los departamentos. Para ello, es vital partir de una foto estática que permita saber de tu organización qué importa, por qué importa y qué riesgos debemos empezar a gestionar de forma prioritaria. Con esta información, ya se puede desplegar un plan mucho más táctico para poder aterrizar esas necesidades y transformarlas en acciones o proyectos que vayan a medio y largo plazo logrando mejorar los resultados en materia de seguridad.Nunca pueden vernos como un enemigo sino como un aliado que lucha con ellos en la misma batalla frente a un enemigo común. Por tanto, los criterios impuestos y autoritarios, sin razonamiento previo son contraproducentes. Lo que hagamos, sea lo restrictivo que sea, deberá estar muy bien justificado por el riesgo, por ser una obligación legal o por ser necesidades de la Organización


lunes, 4 de octubre de 2010 2 comentarios

Google, malware y el ciclo de gestión de los incidentes de seguridad

Aunque ya lo comenté vía Twitter hace unos días, es de destacar esta inteligente iniciativa del gran buscador por perseguir la lacra del malware. Para ello, han decidido utilizar sus potentes motores que avisan al usuario cuando accede a contenidos maliciosos para notificar al administrador de red responsable de la IP que sirve el contenido de estos hechos. Ello obviamente no va a afectar a aquellos que tienen como parte de su actividad de negocio ser proveedores de contenidos ilícitos pero si va a contribuir a limpiar aquellos equipos donde se ignora que existe malware y el administrador de red también lo desconoce.

El servicio ha sido puesto a disposición de los administradores de sistemas autónomos y requiere previamente el registro en la URL http://safebrowsingalerts.googlelabs.com.

De esta forma ya no pasará desapercibido para aquellos administradores de red que quieran conocer qué tipo de contenidos alojan bajo su direccionamiento qué esconde cada equipo según el examen de seguridad de Google.

Ello enlaza también con otro texto que quería comentar que trata sobre el ciclo de gestión de incidentes. En España todavía las empresas no destinan equipos especiales para la respuesta frente a incidentes y sólo algunas subcontratan este tipo de servicios en los Security Operations Center.

El presente gráfico trata de representar las fases del ciclo de gestión de incidentes y los grupos de atención que deben tratarlo en cada fase. A estas alturas a nadie le sorprenderá ver un ciclo parecido al de Demming (Plan-Do-Check-Act) como eje central de las tareas.

Las distintas fases del ciclo son:
  • Plan: La organización se prepara para defender su infraestructura de TI y los datos mediante la evaluación de sus riesgos y su estado de seguridad. Se trata de entender cuales son las posibles amenazas y si somos o no vulnerables a ellas. El chequeo de vulnerabilidades y los test de intrusión pueden ser actividades de esta fase dado que sirven para evitar la detección ajena del fallo siendo nosotros mismos quienes nos preocupemos por hallar agujeros en nuestra infraestructura. La fase de planificación permite a la organización diseñar una arquitectura de seguridad de la información más robusta frente a los ataques comunes o más triviales. Permite que la Organización no quede al descubierto con los continuos escaneos de vulnerabilidades que se realizan ya a diario a través de Internet buscando potenciales víctimas fáciles.
  • Resistir: Después de haber planeado sus tácticas de defensa y estrategias, e implementar los componentes apropiados de su arquitectura de seguridad, la organización debe resistir los ataques. Esto implica el uso de tecnologías de protección perimetral que hacen de primera barrera y muro de contención frente a ataques ya dirigidos. Los detectores de intrusos y las herramientas más proactivas como los IPS pueden eliminar también mucho ruido de ataques automatizados utilizando herramientas más sofisticadas. Filtrar el tráfico de red no deseado en ambas direcciones entrantes y salientes, las infecciones de malware (en la medida de lo posible), establecer mecanismos de control de acceso a los datos y aplicaciones basadas en métodos de autenticación robustos, etc. Nótese el uso en esta fase del término "resistir", donde ya suponemos que nos toca responder frente a una agresión intencionada.
  • Detectar: Dado que es ingenuo esperar que la organización será capaz de resistir todos los intentos de intrusión, hay que dedicar esfuerzos a detectar los indicios de penetración en nuestros sistemas. Esto implica tener visibilidad y monitorización en todos los niveles de la infraestructura (redes, aplicaciones, datos, etc) y herramientas de detección de intrusos basadas en patrones de uso anómalos mediante la extrusión, la realización de la detección de cambios, la recolección y revisión de los registros, y así sucesivamente. Los datos recogidos en la fase de detección son  fundamentales para investigar el alcance de la intrusión de una vez han sido descubierta. Muchas organizaciones no implementan esta fase correctamente y no recogen evidencias digitales que luego les permita emprender acciones legales si la gravedad del asunto lo requiere.
  • Actuar: Una vez que el incidente ha sido detectado, la organización se moviliza para responder a la intrusión. Este proceso generalmente implica entender el alcance del incidente, la situación y su resolución. El análisis de los hechos una vez resuelto el conflicto debe servir para aprender de los errores y debe contribuir a mejorar la fase de planificación inicial de protecciones del nuevo ciclo que comienza.
Lo que es básico e imprescindible es aprender de los errores. Un incidente no queda solucionado cuando acaba el ataque sino cuando se mitiga cualquier remota posibilidad de que los hechos puedan repetirse. El hombre es el único animal que tropieza dos veces en la misma piedra. Sin embargo, una buena gestión del ciclo de vida de un incidente debe evitar precisamente ese segundo tropiezo. La herramienta que Google pone a disposición de los administradores de red mejorará la fase de detección y por tanto, servirá para hacer que se actúe y fortaleza el organismo frente a los ataques ya detectados.  No se trata de creer que se está seguro sino de tener constancia y datos que lo objetiven. Mantener a cero el marcador de buenos frente a malos es el objetivo. El único problema es que el partido tiene hora de inicio pero nunca hora de fin. Hay que mantener la tensión siempre... porque los malos no llaman a la puerta y buscarán el mínimo descuido para entrar.Existe una enorme desproporción entre el esfuerzo del defensor y del atacante. 



domingo, 3 de octubre de 2010 5 comentarios

¿Qué debemos pedirle a una herramienta de análisis y gestión del riesgo?

Hasta hace un par de años, las herramientas de análisis y gestión del riesgo (en adelante AGR) no abundaban en el mercado, solían ser extranjeras y eran excesivamente caras. En el panorama español el rey era EAR/PILAR basada en la metodología MAGERIT. Sin embargo, con la extensión y patrocinio de los SGSI han aparecido nuevas herramientas que enriquecen el escenario y generan dudas respecto a cual elegir. Este post no es un análisis comparativo de productos sino una reflexión en voz alta basada en mi experiencia profesional sobre que debemos pedir a estas herramientas y qué objetivos deben cumplir.

Lo primero que hay que destacar es que existen dos tendencias claras dentro de las herramientas de apoyo a los SGSI: las que vienen del mundo de la calidad orientadas a dar soporte al ciclo PDCA y las que vienen del mundo de la seguridad orientadas a realizar un estudio preciso de las necesidades de seguridad en base al riesgo.
  • Herramientas del mundo de la calidad: sus puntos fuertes son que permiten de forma cómoda la gestión de los procesos generales del SGSI relacionados con la gestión de no conformidades, acciones preventivas y correctivas, gestión de las auditorías y de los resultados de la revisión del sistema por la Dirección. Este tipo de herramientas podríamos decir que son gestores documentales especializados para un SGSI. En estas herramientas el análisis y gestión del riesgo deja mucho que desear porque implantan metodologías que tienen una capacidad nula para modelar la seguridad.
  • Herramientas del mundo de la seguridad: sus puntos fuertes son que permiten realizar análisis de riesgos muy detallados y completos pero carecen de actividades de apoyo para la gestión de los procesos del SGSI, por tanto no tienen funcionalidad orientadas a la gestión y mantenimiento de los registros de operación del SGSI (No conformidades, auditorías, revisión del sistema por la Dirección, planificación de auditorías, de acciones formativas, etc). Son herramientas centradas en la seguridad y modelar la realidad para obtener una foto nítida del mapa de riesgos de la organización y posteriormente poder establecer los planes de tratamiento mas adecuados.
  • Herramientas mixtas: tienen lo mejor de ambas opciones y por tanto, son las más completas.

Yo personalmente prefiero las herramientas que modelan bien la seguridad frente a las que gestiona bien los registros del SGSI por una sencilla razón: estas tareas pueden ser hechas de forma manual porque no son complejas y te puedes arreglar con una gestión basada en documentos ofimáticos y carpetas en un servidor. Es más tedioso pero tampoco hay tanta carga de trabajo en este aspecto como para balancearme hacia las herramientas del mundo de la calidad.

Respecto a las herramientas del mundo de la seguridad, ¿Qué cosas son esenciales para mi?
  • Deben respetar los conceptos establecidos por ISO 27005 que es la norma que establece el marco de trabajo de toda metodología de análisis y gestión del riesgo. Deben permitir realizar todas las fases establecidas por esta norma y representar correctamente los conceptos que esta norma establece como marco en el que deben desenvolverse estas metodologías.
  • Deben tener unas matemáticas claras a la hora de calcular el riesgo. Todos sabemos que riesgo es una función del impacto que puede sufrir un activo debido a una amenaza y la vulnerabilidad de dicho activo frente a dicha amenaza. Las funciones sirven para establecer el abanico de riesgos a utilizar pero deben equilibrar los resultados de forma que los valores sean proporcionales para riesgos altos, medios o bajos según los rangos numéricos que vayamos a utilizar. Ello garantiza a priori una distribución homogénea de resultados impacto x vulnerabilidad para los riesgos. En cualquier caso, es imprescindible que los resultados sean sencillamente reproducibles conociendo los valores de impacto y vulnerabilidad pensando sobre todo en el cliente final que debe entender de donde salen los riesgos.
  • Deben tratar las dimensiones de seguridad como se merecen. No se pueden mezclar churras con meninas y las amenazas afectan de forma diferente a las diferentes características de la seguridad. Por tanto, el valor del riesgo debe estar condicionado a una amenaza sobre un activo que afecta a una o mas dimensiones. Cuando una herramienta indica que se tiene un nivel de riesgo X pero no indica en que dimensión, es complicado después en el tratamiento del mismo saber que hacer. Las estrategias de las medidas de seguridad están condicionadas al tipo de daño del que pretender preservar al activo, por tanto es muy relevante conocer la dimensión dañada. Si una herramienta toma como riesgo el máximo valor del daño recibido en cualquiera de sus dimensiones, deja ciego al técnico que luego debe pensar en que hacer para solventarlas. Es como ir al médico y cuando te pregunta que síntomas tienes, sólo le dices que estas enfermo. Mal diagnóstico puedes dar con tan poca información. Hay que pensar una cosa, todo lo que no hagamos bien en la fase de análisis del riesgo, complicará y dificultará la fase de tratamiento que es realmente lo importante de todo este proceso. No se trata de poder hacer un análisis estupendo que revele las carencias sino de definir qué hacer, en qué plazos y con qué objetivos para remediar esa situación. Por tanto, hay dos aspectos muy importantes a tener en cuenta: que permita modelar bien el problema de seguridad para dar un diagnóstico certero pero a su vez, que esté orientado a establecer un plan de tratamiento para poder poner fin a dicha situación.
  • Deben considerar las particularidades de la dimensión de la disponibilidad. Cuando hablamos de incidentes de seguridad no se suele considerar el factor tiempo porque en la mayoría de los casos, el daño no es proporcional al tiempo, excepto para la disponibilidad. Si una información confidencial es revelada a terceros, el impacto ya se ha producido. Sin embargo, cuando hablamos de una pérdida de un servicio, el tiempo es un factor determinante para calcular los daños. No tiene las mismas consecuencias están sin servicio una hora que estarlo durante una semana. Por tanto, esta dimensión debe ser tratada de forma especial. Además, de hacerlo así, estamos recogiendo información que es muy necesaria en los estudios de impacto en el negocio para cuando abordemos la continuidad de negocio. Se puede simultanear la recogida de información para el análisis del riesgo y para el estudio de impacto en el negocio (Business Impact Analyisis o BIA).

A modo de conclusión, lo que yo espero de este tipo de aplicaciones es que sean una especie de sistema experto que contengan conocimiento en relación a amenazas y soluciones, de manera que conforme vamos incorporando a ellas información, sean capaces de asesorar y establecer las mejores opciones de gestión y tratamiento de los riesgos detectados. Para mi es más importante lo que me proporcionan en la fase de gestión que en la fase de análisis dado que donde más conocimiento se debe tener es a la hora de poner el tratamiento que mitigue los riesgos. Eso sí, requiere previamente de haber realizado el diagnóstico correcto. Espero haber proporcionado algo de criterio a la hora de poder evaluar y comparar ahora los productos del mercado.
miércoles, 29 de septiembre de 2010 3 comentarios

Autenticación basada en la búsqueda del tesoro

Leo vía  el Twitter de Microsiervos una noticia que me ha llamado la atención por original e ingeniosa.
Ya hace algunos años, en el 2007 comenté cómo se estaban planteando sistemas  basados en usar imágenes como métodos de autenticación. La idea era que el usuario tuviera que clickar en ciertas partes que sólo él sabría como método de verificar la identidad.

El sistema que ahora sale a escena es similar pero más sencillo y posiblemente intuitivo para el usuario final. La idea que se esta investigando es probar la identidad del usuario mediante la localización de puntos secretos en un mapa. El usuario debe mover, girar y localizar puntos concretos para ser identificado. Este sistema podría no ser vulnerable a las capturas de teclado y a las capturas de la posición del ratón. La noticia original puede leerse con mas detalle en este enlace.



Las contraseñas serian en este caso las coordenadas de los puntos elegidos y este sistema puede ser mas fácilmente recordable por el usuario final. Seria como pedir al usuario que esconda un tesoro. El reto-respuesta que el usuario debe recordar serian los puntos secretos del mapa en cuestión donde escondió el tesoro (algo que sólo el sabe y que solo el podría encontrar). Aun no siendo un método de doble factor, al menos podría ser más robusto en cuanto a longitud de la clave que los sistemas actuales.  Tal como se comenta en La Información.com,  "los investigadores calculan que con unos diez dígitos que representen la latitud y otros diez para la longitud el sistema tendría una fortaleza de unos 20 dígitos, mucho más que los cuatro convencionales que se usan en las tarjetas de crédito o los 6-8 que suelen ser habituales en las contraseñas de Internet".
domingo, 26 de septiembre de 2010 2 comentarios

Los CISO encarnados de superhéroe

La figura del responsable de seguridad es por desgracia todavía poco común en las empresas e instituciones españolas. A pesar incluso de establecer la L.O.15/1999 la obligación de nombrar a un rol para velar por la seguridad de los datos de carácter personal de niveles medios y altos, a día de hoy es raro quien se dedica de forma exclusiva a ser Responsable de seguridad de la información. Este post pretende establecer una taxonomía de los roles de CISO que pueden existir actualmente en muchas de las organizaciones que han incorporado esta figura a sus mandos directivos.
  • El "Increíble Hulk": Ha sido nombrado pero no tiene peso suficiente dentro de la organización. Depende o esta condicionado por el Responsable de Sistemas y no tiene libertad ni autoridad para poder establecer sus propios planteamientos estratégicos sobre que debe hacer para gestionar la seguridad. Es un continuo quiero y no puedo, tiene la fuerza pero no puede utilizarla. Es consciente de cual es la estrategia a seguir y cómo la seguridad puede reforzar los procesos de negocio pero su organización no considera la seguridad de la información como algo relevante (hasta el día que pasa algo). Tampoco ha podido hacer un análisis de riesgos que le permita mostrar cómo la seguridad contribuye a robustecer a la organización. Es un tipo con un gran potencial y fuerza que no puede utilizar porque no quiere convertirse en un ogro mete miedo. Sin embargo, será quien se coma los marrones si en algún momento se produjera un incidente de seguridad.
  • El "Spiderman": También ha sido nombrado pero llega a este mundo de la seguridad desde el Área de sistemas y no tiene conocimientos sobre la gestión de su area de responsabilidad. Suele iniciar sus actuaciones adquiriendo software y hardware de seguridad para disponer de herramientas pero no tiene claro cuales deben ser los objetivos a lograr. Desconoce la disciplina del análisis de riesgos y basa toda su estrategia de protección en resolver las problemáticas comunes de la seguridad informática que afectan a la organización: malware, protección perimetral, filtrado de contenidos y cuando tienen recursos, el cumplimiento de la legislación en materia de protección de datos. Va de un lado a otro manteniéndose entre cuerdas sin un rumbo fijo tratando de estar en todos sitios pero siempre apagando fuegos.
  • El "Batman": Es un trabajador incansable que intenta tenerlo todo bajo control aunque su trabajo no es visible para la organización. Es un buen estratega que conoce el mundillo y por tanto, es consciente que los riesgos son cambiantes y que deben ser gestionados. Tiene un mapa claro de que problemas tiene su organización y va poco a poco mitigando los mas urgentes. Presenta año tras año sus planes de actuación aunque no siempre gozan de apoyo. A pesar de eso no se desanima y con lo que tiene hace lo que puede. Siempre prefiere ser preventivo y proactivo pero la monitorización es la herramienta en la que fundamenta su día a día aunque permanece oculto y no esta en la mesa de Dirección.
  • El "Superman": Es un hombre valorado por la organización porque siempre sale al rescate cuando es necesario. Esta monitorizando continuamente los riesgos y avisa cuando considera que deben tomarse medidas preventivas. La organización esta tranquila porque se sabe bien informada y gestionada en esta materia. Ademas este tipo de CISO no se conforma sólo con hacerlo bien sino que demuestra año tras año como los indicadores y objetivos planteados se van logrando. En su organización la seguridad no es una sensación, es una realidad avalada por los datos. Y si en algún momento las cosas se ponen feas, siempre tiene las espaldas cubiertas por el plan de continuidad de negocio. Está completamente alineado con la Dirección y pone la seguridad al servicio de la Organizacion haciendo a ésta mas fuerte y resistente contra cualquier anomalía que pueda producirse.

A todos nos gustaría ser Superman algún día pero muchas veces el contexto o la coyuntura nos obligan a ser otro tipo de superhéroe de menos categoría. A vosotros, ¿se os ocurre alguno más?
jueves, 16 de septiembre de 2010 2 comentarios

Geolocalización: el ser humano convertido en caracol

Aunque esta última semana he enlazado varias noticias vía Twitter al respecto, quiero hoy reflexionar más profundamente sobre el cambio social que están produciendo las nuevas tecnologías y las consecuencias actuales y futuras que estas nuevas herramientas tienen o tendrán en la sociedad. Son varios aspectos que tocan campos como las redes sociales, la geolocalización y la exhibición de contenidos y la protección de datos de carácter personal.

Asumámoslo, las personas nos hemos transformado en caracoles digitales que vamos dejando rastro (a veces queramos o no) de cada acción o decisión que tomamos. El teléfono móvil ha sido el objeto diseñado y responsable de permitir la geolocalización y aparecen ahora un montón de servicios relacionados con esta nueva funcionalidad. Algunas de estas particularidades tienen servicios tan interesantes como:
  • permiten hacer cálculos sobre cuanto se camina o corre.
  • funcionalidad de gps que permite guardar la ruta de una excursión o hacer de mapa.
  • posicionar las fotografías y luego permite saber el lugar donde se ha realizado.
Sin embargo, llevo unos días impactado cuando mi teléfono móvil amablemente me indicó que estaba cerca de casa y que tenía tareas pendientes que podría hacer allí o que al pasar por cerca de un Centro Comercial me indicaba que en la aplicación que tengo instalada tenía unos productos en la cesta de la compra que podía adquirir.
Todas estos novedosos servicios pueden ser interesantes siempre y cuando queden dentro del ámbito de la privacidad personal y el propietario del dispositivo pueda controlarlos y activarlos cuando desee. Sin embargo, la moda por crear redes sociales y buscar compartir información permiten usos algo más perversos que si pueden comprometer la seguridad del usuario. Hay que ser conscientes de qué información publicamos y sobre todo, qué consecuencias puede tener compartirla. Esta tendencia de si no publicas o no compartes tu vida en la red no eres nadie debe tener en consideración una cosa muy importante: lo publicado difícilmente se borra y una vez pulsas el botón compartir, ya no habrá marcha atrás. Sirva como ejemplo lo que Chema Alonso publica ironizando sobre el uso del Feisbuk o esta otra que cuenta cómo los "Ladrones recurren a Facebook para seleccionar víctimas".

Por tanto, decir donde estás, donde comes, por donde corres o incluso en donde te encuentras en un momento determinado, o sea, geolocalizarnos, puede ser información que consideremos irrelevante pero que también tiene consecuencias. Hace algún mes se hizo famosa la web Róbame que indicaba nombres de usuarios de twitter que habían dicho que estaban fuera de casa como reclamo para ser robados y que pretendía concienciar al personal sobre los comentarios que se publican en twitter geoposicionando al usuario.

De siempre una de las primeras lecciones que se enseña a los niños es a no hablar con desconocidos. Sin embargo en el siglo XXI se nos ha ido la cosa de las manos y ahora físicamente no lo hacemos pero virtualmente nos relacionamos y compartimos información con todos ellos. En el ámbito de las redes sociales de carácter profesional puede ser interesante disponer de un número de contactos que contemple gente que conoces físicamente y gente que no. Sin embargo, en el ámbito personal debemos controlar nuestro "circulo de confianza". Tus amigos reales y directos SI son tus amigos, pero los amigos de tus amigos puede que ya no.

Por último quiero acabar dando a conocer un libro publicado por Aranzadi que precisamente se centra en toda esta problemática vinculada a la privacidad y las redes sociales, con autores tan relevantes en la materia  como Nacho Alamillo, Ricard Martínez, Natalia Martos, Javier Megías  y otros muchos otros que harán de este libro un imprescindible en la repisa de todos aquellos que nos preocupamos por la "seguridad de la información" y ahora también de las privacidad de las personas como subconjunto de información más vulnerable. Es un libro a tener apuntado para la lista de los Reyes Magos. El contenido del mismo puede ser consultado en el enlace "DERECHO Y REDES SOCIALES".
jueves, 9 de septiembre de 2010 3 comentarios

La lección de seguridad más antigua del mundo

Aquellos que nos dedicamos a explicar y contar cómo debe enfocarse correctamente la gestión de la seguridad contamos con la inestimable ayuda de la sabiduría popular y las fábulas de toda la vida.

El análisis y la gestión del riesgo puede ser entendida de forma sencilla usando la fábula de "Los tres cerditos". No lo voy a contar porque es de sobra conocido pero resumido brevemente la historia va de tres cerditos que toman decisiones diferentes para protegerse del lobo. Del cuento original podemos extraer dos sencillas pero importantes lecciones:

  • La seguridad final será acorde al esfuerzo dedicado y al análisis de amenazas realizado: Los tres cerditos tenían que defenderse de la misma amenaza pero los dos primeros subestimaron las posibilidades de que el lobo produjera daños en su construcción y las consecuencias de ello. No habrían arriesgado sus vidas seguramente si hubieran contado con los datos correctos.
  • Las medidas deben ser proporcionales al problema a evitar: Los dos primeros cerditos tenían que haberse planteado cual era la fortaleza real de las medidas de protección y qué severidad de daños podían soportar. Un arquitecto de la seguridad debe conocer hasta dónde pueden aguantar sus protecciones e identificar en qué situaciones las medidas no van a resistir para disponer de un plan B que aunque no evite que la casa de derrumbe, al menos no haga correr peligro a su vida. Esperar la mejor de las circunstancias pero estar preparados para lo peor.



El ritmo asfixiante de trabajo en las empresas lleva casi siempre a atender las necesidades operativas de la organización y retrasa o posterga las actividades relacionadas con construir la casa con ladrillos. Se prefieren casas de paja o de madera que proporcionan una buena "sensación de seguridad". La valoración de la eficacia de una medida se demuestra cuando resiste un incidente. Lo lógico sería verificar esa capacidad de resistencia cuando ya se ha construido y no esperar a que ocurra algo que nos demuestre si lo habíamos hecho bien o no. Es entonces cuando las casas de paja y madera se derrumban y dejan a los cerditos que hay dentro a la suerte del destino.

Las amenazas no entienden de justificaciones o escusas y tampoco llaman a la puerta cuando van a presentarse. Por tanto, la mejor  estrategia es tratar de tener unas minimas garantías de protección y unas mínimas evidencias de su correcta resistencia antes de que la vida real se encargue de verificarlo.

Moraleja de seguridad de la información: "El trabajo planificado y bien hecho, junto con el talento para diagnosticar bien el escenario holístico de amenazas es una garantía de seguridad efectiva y real". Quien no hace nada ya está haciendo algo, ha tomado una decisión respecto a cómo gestiona el riesgo que ante la adversidad solo tiene un consuelo: el lamento y el lloro.
lunes, 6 de septiembre de 2010 5 comentarios

Seguridad = gestionar riesgos + minimizar impactos.

En muchos de los post de este blog he insistido en la importancia del concepto riesgo para la gestión de la seguridad. No quiero ser reiterativo pero Riesgo=(Impacto)*(Vulnerabilidad frente a una amenaza).

Sin embargo, el incidente de BP en el Golfo de México debería enseñarnos algo. Ciertamente la gestión basada en riesgo sirve para calibrar qué aspectos son importantes y cómo debemos asignar nuestros recursos económicos para lograr una protección efectiva, pero... ¿Debemos ignorar los impactos?

De todo análisis de riesgos se debe poder extraer unos resultados que permitan agrupar los problemas de seguridad en varias casuísticas:

  • A. Riesgos ocasionados por activos de alto impacto y alta vulnerabilidad: acciones inmediatas.
  • B. Riesgos ocasionados por activos de bajo valor y alta vulnerabilidad: acciones inmediatas o planificadas.
  • C. Riesgo ocasionados por activos de alto impacto y baja vulnerabilidad: acciones inmediatas o planificadas.
  • D. Riesgos ocasionados por activos de bajo valor y baja vulnerabilidad: deben esperar a tener solventados cualquiera de los tres tipos de riesgos anteriores.

El incidente de BP en el Golfo de México correspondería posiblemente a un riesgo del tipo C. La posibilidad de incendio o de hundimiento de la plataforma petrolífera era muy baja pero de ocurrir el incidente, tendría un gran impacto, como finalmente ha sucedido.

¿Qué ha fallado en la gestión de este incidente? Es difícil poder estimar qué pudo suceder pero si hay una evidencia clara que demuestra una deficiente gestión de la seguridad. Tal como relata este texto,  BP no tenía un plan de contingencia y ello pudo ser determinante en el momento del incidente tanto para frenar el mismo como para minimizar los daños.
Un plan de contingencia es una medida que aplica la estrategia de recuperación o restauración. Esto quiere decir que no es ni de carácter disuasorio (intenta alejar a la amenaza o al atacante), ni de carácter preventivo (intenta evitar la vulnerabilidad). 
La naturaleza de este tipo de medidas tienen su utilidad una vez que ya el incidente se ha producido y su principal objetivo es reducir el impacto. Por tanto, el plan de contingencia en caso de explosión en la plataforma marítima debería haber establecido la secuencia de acciones inmediata a la explosión con el objetivo de minimizar tanto la duración del derrame como su extensión. No sabemos nunca si los hechos hubieran sido diferentes pero es de suponer que al menos, debieran haber tenido un menor impacto. El hecho de haber tardado semanas en disponer de estrategias para tratar de cortar las tuberías de derrame, el no disponer de equipos para esas operaciones podrían haber sido deficiencias que hubieran sido identificadas en la elaboración del plan de contingencias.

Tristemente hemos tenido que esperar a la cruda realidad para comprobar la magnitud que tienen este tipo de incidentes y lo graves que son si no son controlados en los primeros momentos. Estos son precisamente los argumentos triviales para requerir tener un plan que establezca en frío la secuencia de acciones a realizar desde el momento cero de declaración del incidente y permiten conocer con anterioridad qué recursos debieran estar localizados y dispuestos a actuar si el plan de activa. Por desgracia, el ahorro de costes siempre tiene una mira cortoplazista y entre invertir en desarrollar un plan que puede suponer un coste real directo de pongamos 1 millon de euros, y la remotísima probabilidad de que explote una plataforma petrolífera en medio del Golfo de México que va a tener un coste de más de 6.200 millones de euros se elije siempre esta segunda y dramática opción. En esta noticia de la BBC se detallan algo más los costes reales del incidente que se ha transformado en uno de los desastres naturales de mayor envergadura.


En relación a este suceso, quiero recomendar el post de Antonio Ramos, Cisnes Negros: Análisis de Riesgos en Tiempos de Crisis que comenta cómo el análisis de riesgos no es la bala de plata en materia de seguridad y que la importancia de identificar los "cisnes negros" evita la sorpresa de sufrir grandes impactos.

Tras lo sucedido debiera pensarse a veces que las medidas de protección más básicas frente a los incidentes de mayor impacto no debieran estar a merced de un análisis de riesgos sino debieran ser implantadas de forma obligada, como un Plan B por si las medidas básicas que tratan de gestionar los elementos más básicos fallaran. En estos casos, no se estaría a merced del incidente y al menos, se tendría la esperanza de reducir en la medida de lo posible el impacto.

El incidente no solo va a suponer unos costes brutales sino que además, ha dañado seriamente la imagen de la compañía, algo que dificilmente puede ser recuperado a corto y medio plazo. Sirva como dato significativo la presencia de las siglas BP en el buscador Google y cómo tras el incidente, se han disparado las Webs y urls que la referencian, muy posiblemente con textos que critican tanto los resultados de su gestión como los daños que han causado.



Para terminar, quiero enlazar también con siete consejos básicos a tener en cuenta en el diseño de un plan de continuidad de negocio  que provienen de la Administración americana. Dado que la zona del Golfo de México es habitualmente azotada por los desastres naturales causados por huracanes principalmente, han aprendido esto de la continuidad de negocio a la antigua usanza, "La letra, con sangre entra". Los siete consejos que el enlace detalla más son:
  1. Identifica tus activos y establece cuales son tus "activos críticos.
  2. Protege tus datos mediante backups y trabaja para reducir los tiempos de acceso a ellos cuando te vayan a hacer falta (Optimiza tu RTO)
  3. Revisa las medidas para garantizar el suministro eléctrico y las condiciones medioambientales.
  4. Forma y entrena a tu personal para estar preparados a responder en situaciones de desastre.
  5. Documenta, prueba y actualiza los planes de continuidad de negocio.
  6. Considera medios alternativos de garantizar tus telecomunicaciones.
  7. Asegúrate que tus proveedores estarán a la altura de tus necesidades cuando tengas problemas.
Si te ha gustado el post, hazte la siguiente pregunta. ¿De todas estas 7 recomendaciones, cuales cumpliría yo?



miércoles, 1 de septiembre de 2010 2 comentarios

(IN)Secure Magazine Nº27

Se acabó el verano y toca volver a la carga. Este primer post postvacacional es ligeríto y referencio el nuevo número de la revista Insecure Magazine que trae estos contenidos:
  • Review: BlockMaster SafeStick secure USB flash drive
  • The devil is in the details: Securing the enterprise against the cloud
  • Cybercrime may be on the rise, but authentication evolves to defeat it
  • Learning from bruteforcers
  • PCI DSS v1.3: Vital to the emerging demand for virtualization and cloud security
  • Security testing - the key to software quality
  • A brief history of security and the mobile enterprise
  • Payment card security: Risk and control assessments
  • Security as a process: Does your security team fuzz?
  • Book review: Designing Network Security, 2nd Edition
  • Intelligent security: Countering sophisticated fraud



La descarga puede obtenerse en este enlace.

Solo quiero agradecer a los casi ya 4.500 lectores vuestro tiempo al dedicar a mi blog un rato de vuestras vidas. Es un soplo que motiva a continuar día a día con el pequeño esfuerzo de buscar aquellas cosas que puedan ser de interés para todos vosotros. Espero y quiero, a pesar de que ello disminuya en parte la frecuencia de publicación, aportar más reflexiones y opiniones sobre la gestión de la seguridad de la información.

Un saludo y mil gracias.
domingo, 8 de agosto de 2010 0 comentarios

Cerrado por vacaciones, hasta el 30 de agosto

Pues eso, que ya toca desconectar un poco y descansar para prepararse para la vuelta al cole que se presenta interesante. Son buenos también periodos de aislamiento del ambiente laboral y dedicar el tiempo libre a otros aspectos distintos de lo que forman nuestra rutina diaria que también nos interesen.

Solo quiero agradecer a los ya más de 4000 lectores que me siguen por RSS su interés por el blog y esta temática apasionante de la seguridad de la información.



Hasta el 30 de agosto, el blog estará cerrado por vacaciones, aunque más que cerrado está "incubando" cosas para la vuelta.
viernes, 30 de julio de 2010 2 comentarios

Herramienta Lapsec de Hispasec para proteger portátiles con Windows

La gente de Hispasec publica hoy en su boletín una muy buena noticia. Se han currado una herramienta que intenta ajustar la seguridad de cualquier portátil que utilice Microsoft Windows. Tal como explican ellos mismos en su noticia,
LapSec viene de "Laptop Securer" y es una herramienta destinada a automatizar los cambios más aconsejables para asegurar Windows en un ordenador portátil. Básicamente, aglutina en un solo botón varias tareas. No está destinado a asegurar "por completo" un sistema, sino que pretende facilitar las modificaciones más importantes para un "bastionado" de ordenador portátil, mucho más susceptible de ser perdido o sustraído. Evidentemente, estas medidas también son útiles para un ordenador de sobremesa. También es importante destacar que hay más medidas de seguridad aplicables a un portátil en particular y Windows en general, pero que no han sido implementadas en LapSec por resultar medidas más "genéricas" que se salen del objetivo del programa: activar funcionalidades de seguridad Windows especialmente útiles para portátiles.

El principal objetivo a la hora de asegurar un portátil es:
a) que nadie acceda al sistema operativo (o al sistema de ficheros)
b) que si accede, la información confidencial esté inaccesible ya sea con cifrado o con borrado seguro.

Lo que hace LapSec para lograrlo es:
  • Eliminar el cifrado LM de las contraseñas (en Vista y 7 no es necesario).

  • Sobrescribir el archivo de memoria paginada (pagefile.sys)

  • Ocultar el nombre del usuario que el Sistema Operativo muestra en la pantalla de presentación

  • Activar la protección por contraseña del salvapantallas.

  • Eliminar la autoejecución de archivos cuando se introducen unidades extraíbles.

  • Comprobar la existencia de contraseña del usuario.

  • Comprobar la complejidad de las contraseñas.

  • Comprueba la activación de la contraseña en la consola de recuperación.

  • Deshabilitar el almacenamiento de contraseñas en el navegador Internet Explorer.

  • Deshabilitar la hibernación (hibernation.sys).

  • Deshabilitar la cuenta de administrador y de invitado del sistema.

  • Cifrado de la carpeta Mis Documentos.

  • Exportación del certificado de forma sencilla para casos de "desastre".
jueves, 29 de julio de 2010 0 comentarios

La guerra del siglo XXI

Este último año se está hablando mucho de la protección de infraestructuras críticas, la preocupación por los ataques cibernéticos y las estrategias de los estados para poder responder a la ciberguerra.

Como todo buen estratega, el Gobierno Japonés ha centrado sus primeros esfuerzos en la monitorización y detección de ataques.

Tal como cuenta Fogonazos.es ya existe un sistema denominado NICTER que pretende ser el centro neurálgico de monitorización para este nuevo frente de batalla.

El sistema conocido como NICTER (Network Incident Analysis Center for Tactical Emergency Response) es un programa del gobierno japonés diseñado para proteger sus sistemas informáticos y detectar de forma temprana los ataques de denegación de servicio (DoS), robo de datos o penetración en sistemas que se realizan de forma organizada. La ventaja de NICTER, como explican en DigInfo, está en la facilidad con que los técnicos pueden ver “de qué país proceden los ataques, cuántos ataques se están produciendo”, qué patrones sigue el intercambio de archivos y preparar una respuesta rápida para evitar daños mayores.

Aunque el asunto suena un poco fantasmagórico, se trata de una realidad bien palpable. Los ataques de espionaje online sufridos por Google o el último ataque a empresas e instituciones estadounidenses hace unos meses son solo un ejemplo de cómo una de estas brechas de seguridad puede hacer verdaderos estragos en un país. Esos vectores que vemos cruzar de una parte a otra del globo no son proyectiles de alcance intercontinental, sino los ataques que se están produciendo a través de la red, de un país a otro, a cada minuto.

El video de Youtube es bastante ilustrativo sobre cómo funciona el sistema y predice cual será la tendencia de los estados en la gestión de las redes digitales que deberá realizarse en el siglo XXI.

martes, 27 de julio de 2010 6 comentarios

Las fugas de información en el entorno militar

Esta semana tenemos uno de los mayores escándalos que ilustran la "inseguridad de la información". Estoy hablando de la fuga de más de 92.000 documentos que se ha producido en la Web WikiLeaks y que han sido posteriormente comentados en toda la prensa internacional.

Tal como se relata en la noticia publicada por El periódico.com,
"Esta Web se nutre de lo que en inglés se denomina whistle blowers (literalmente «tocadores del silbato»; o sea, soplones pero sin la acepción peyorativa). Son personas que, de forma anónima, denuncian prácticas ilegales, corruptas o simplemente cuestionables dentro de su propia organización."


Lo más notorio del hecho es que se produce en el seno del Ejercito de los EE.UU. y pone de manifiesto que las guerras del siglo XXI ya no se deciden solo en el campo de batalla físico. En este caso, la información revela datos sensibles y sustancioso de la estrategia americana empleada en estos últimos años y la fuga ha sido utilizada para denunciar lo ilícito del conflicto.

Sin embargo el hecho no sorprende mucho dado que semejante cantidad de información puede corresponder a la pérdida de un disco duro o a la sustracción de un portátil de un alto cargo del Ejército.
Sin embargo hay una cosa que si llama la atención y es la supuesta ausencia de regulación en el uso de las tecnologías de la información que parece existir en el ejercito. Hace tiempo se conocieron fotos explícitas sobre violaciones y torturas de los guardias norteamericanos contra los prisioneros iraquíes en la cárcel de Abu Ghraib todas ellas realizadas con móviles personales. En algunos programas de televisión donde se entrevistan a soldados en el frente es común ver como dentro de los elementos de ocio que llevan los soldados a sus desplazamientos aparecen portátiles, dispositivos de reproducción multimedia, etc.

Obviamente la información en soporte digital es muy dificil de controlar pero si debieran existir ciertas normas respecto a qué se puede o no hacer con la informática personal dentro del ejercito, de la misma forma que estas prácticas se regulan dentro de otras organizaciones. La diferencia sustancial entre ambas problemáticas es que en el entorno corporativo, un empleado sabe cuando hace uso de los medios de la empresa y esta utilización se limita a su presencia en las instalaciones de la empresa dentro del horario laboral.
Sin embargo, dentro del entorno militar no existe esta separación entre entornos dado que el militar en misión humanitaria vive dentro del cuartel y está operativo en todo momento. Por tanto, lo que si debiera existir es un ferreo control sobre los elementos tecnologicos que son oficiales y los que no lo son, de forma que no se permita mezclar ambos entornos.
sábado, 10 de julio de 2010 0 comentarios

Ejemplo de la correcta gestión de la información: Chase Jarvis

Estamos en época estival y tanto la frecuencia como la densidad de las entradas bloggeras se resienten. En mi caso se añade que los últimos proyectos antes de verano asfixian y dejan poco tiempo libre últimamente.

En cualquier caso, hace poco encontré un video en Youtube donde el fotógrafo profesional Chase Jarvis explica cual es el workflow que utiliza en su trabajo. Es fotógrafo y curiosamente una persona completamente consciente de la importancia que tiene la gestión de la información (en su caso, archivos de imagen con las fotografías que realiza).

Obviamente como todo su modelo de negocio gira en torno a la imagen, su intuición le lleva a dotarse de los medios que considera más adecuados para garantizar la disponibilidad e integridad de sus más preciados activos: sus fotografías.



Desconozco las cifras de negocio que puede mover, pero impresiona lo cuidado que tiene todo el proceso y lo completamente gestionados que están todos los posibles riesgos que pueden afectar a su negocio. Un buen ejemplo que demuestra saber manejar activos del siglo XXI: "la información". Anecdótico pero ejemplarizante. Ojalá los directivos de pequeñas y medianas empresas españolas contaran con este nivel de concienciación en la materia.
viernes, 2 de julio de 2010 15 comentarios

Reflexiones sobre certificado y firma electrónica reconocida

Comienzan en muchas Administraciones Públicas los procesos de transición hacia la Administración electrónica y creo importante aclarar la sustancial diferencia entre "certificado electrónico" y "firma electrónica reconocida". Son conceptos relacionados y similares que se suelen confundir.

    Las definiciones de certificado y firma electrónica


Como en toda la legislación de ámbito tecnológico, lo importante son siempre las definiciones establecidas por la propia regulación. La Ley 59/2003 de Firma electrónica establece las siguientes definiciones para estos conceptos:

Artículo 6. Concepto de certificado electrónico y de firmante.
1. Un certificado electrónico es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad.
2. El firmante es la persona que posee un dispositivo de creación de firma y que actúa en nombre propio o en nombre de una persona física o jurídica a la que representa.

Artículo 11. Concepto y contenido de los certificados reconocidos.
1. Son certificados reconocidos los certificados electrónicos expedidos por un prestador de servicios de certificación que cumpla los requisitos establecidos en esta Ley en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten.
2. Los certificados reconocidos incluirán, al menos, los siguientes datos:
  • La indicación de que se expiden como tales.

  • El código identificativo único del certificado.

  • La identificación del prestador de servicios de certificación que expide el certificado y su domicilio.

  • La firma electrónica avanzada del prestador de servicios de certificación que expide el certificado.

  • La identificación del firmante, en el supuesto de personas físicas, por su nombre y apellidos y su número de documento nacional de identidad o a través de un seudónimo que conste como tal de manera inequívoca y, en el supuesto de personas jurídicas, por su denominación o razón social y su código de identificación fiscal.

  • Los datos de verificación de firma que correspondan a los datos de creación de firma que se encuentren bajo el control del firmante.

  • El comienzo y el fin del período de validez del certificado.

  • Los límites de uso del certificado, si se establecen.

  • Los límites del valor de las transacciones para las que puede utilizarse el certificado, si se establecen.

Artículo 3. Firma electrónica, y documentos firmados electrónicamente.
1. La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.
2. La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.
3. Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.


Por tanto, la firma electrónica reconocida requiere de un certificado electrónico reconocido almacenado en un dispositivo seguro. Lo podríamos representar como firma electrónica reconocida=certificado reconocido+dispositivo seguro.

Respecto a su trascendencia jurídica, la firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel.

Esta sería la categoría que tiene el DNI-E. Está basado en un certificado reconocido cuya entidad raíz es la Dirección General de la Policía y almacenado en un dispositivo seguro de creación de firma.

Para saber si un certificado es reconocido o no, debe aparecer en la lista de prestadores de certificados reconocidos que publica el MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO. La Ley 59/2003 establece los requisitos que debe satisfacer todo prestador de servicios de certificación y debe ser registrado por dicho Ministerio. La lista de los actualmente homologados puede ser consultada en https://www11.mityc.es/prestadores/busquedaPrestadores.jsp

    ¿Qué es un dispositivo seguro de creación de firma?

La categoría de dispositivo seguro viene definida en el Artículo 24. Dispositivos de creación de firma electrónica de la Ley 59/2003.

Artículo 24. Dispositivos de creación de firma electrónica.

3. Un dispositivo seguro de creación de firma es un dispositivo de creación de firma que ofrece, al menos, las siguientes garantías:
  • a. Que los datos utilizados para la generación de firma pueden producirse sólo una vez y asegura razonablemente su secreto.

  • b. Que existe una seguridad razonable de que los datos utilizados para la generación de firma no pueden ser derivados de los de verificación de firma o de la propia firma y de que la firma está protegida contra la falsificación con la tecnología existente en cada momento.

  • c. Que los datos de creación de firma pueden ser protegidos de forma fiable por el firmante contra su utilización por terceros.

  • d. Que el dispositivo utilizado no altera los datos o el documento que deba firmarse ni impide que éste se muestre al firmante antes del proceso de firma.


Para otorgar esta categoría, es necesario que alguien verifique con carácter previo que ese dispositivo cumple unos requisitos y el artículo 27 nos especifica cómo.

Artículo 27. Certificación de dispositivos seguros de creación de firma electrónica.
1. La certificación de dispositivos seguros de creación de firma electrónica es el procedimiento por el que se comprueba que un dispositivo cumple los requisitos establecidos en esta Ley para su consideración como dispositivo seguro de creación de firma.

2. La certificación podrá ser solicitada por los fabricantes o importadores de dispositivos de creación de firma y se llevará a cabo por las entidades de certificación reconocidas por una entidad de acreditación designada de acuerdo con lo dispuesto en la Ley 21/1992, de 16 de julio, de Industria y en sus disposiciones de desarrollo.

3. En los procedimientos de certificación se utilizarán las normas técnicas cuyos números de referencia hayan sido publicados en el Diario Oficial de la Unión Europea y, excepcionalmente, las aprobadas por el Ministerio de Ciencia y Tecnología que se publicarán en la dirección de Internet de este Ministerio.

4. Los certificados de conformidad de los dispositivos seguros de creación de firma serán modificados o, en su caso, revocados cuando se dejen de cumplir las condiciones establecidas para su obtención.


Los organismos de certificación asegurarán la difusión de las decisiones de revocación de certificados de dispositivos de creación de firma.


Yo entiendo que si la certificación "COMPRUEBA", nadie puede presuponer que tiene un dispositivo seguro sin esa verificación "tecnica cualificada" realizada por un independiente o no será considerado, según esta ley, un dispositivo seguro. Por tanto, creo que no hay escapatoria para no tener dispositivo certificado por una Entidad de solvencia técnica.

Además, tomando el DNI-e como ejemplo, en sus prácticas de certificación se establece, cuando se habla de la seguridad del dispositivo de almacenamiento de las claves la referencia a la certificación ISO 15408 conocida como Common Criteria.

"Las claves privadas de las Autoridades de Certificación que componen DNIe se encuentran alojadas en dispositivos criptográfico que cumplen los requisitos establecidos en un perfil de protección de dispositivo seguro de firma electrónica de autoridad de certificación normalizado, de acuerdo con ITSEC, Common Criteria o FIPS 140-1 Nivel 3 o superior nivel de seguridad. "


El 25 de septiembre se publicó en el Boletín Oficial del Estado la ORDEN PRE/2740/2007, por la que se aprueba el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.

Dicho Reglamento regula el marco de actuación, y crea los organismos necesarios para poner estos procesos de evaluación y certificación al alcance de la industria y de la Administración; todo ello basado en el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.

El MAP firmó un acuerdo de reconocimiento mutuo de certificados basado en Common Criteria (http://www.csi.map.es/csi/pg3433.htm ) Arreglo sobre el Reconocimiento de los Certificados de Criterios Comunes en el campo de la seguridad de la Tecnología de la Información. En España el Organismo de Certificación es el Centro Criptológico Nacional-Centro Nacional de Inteligencia (CCN-CNI) que otorga certificados a productos según esta norma tal como se indica en la página.
http://www.dnielectronico.es/seccion_integradores/certificaciones.html

También la certificación es consultable en la base de datos de productos certificados con este estándar de seguridad informática en el portal (http://www.commoncriteriaportal.org/ )

Toda la información sobre el proceso de certificación es pública y los informes de certificación también por lo que el proceso goza de la transparencia suficiente como para proporcionar confianza a cualquiera que quiera comprobar esas verificaciones.

Aquí se pueden consultar uno de ellos para el caso del DNi-e en http://www.commoncriteriaportal.org/files/ppfiles/2008-14-INF-329.pdf y en la Web del DNI-e están el resto referenciados.

La cuestión que está sin resolver creo, en los procesos de tramitación telemática es cómo saber si el ciudadano usa firma electrónica avanzada o firma electrónica reconocida. A priori es algo que no se puede saber a distancia si no es porque el certificado electrónico reconocido sólo puede ser almacenado en un dispositivo seguro de creación de firma porque así lo digan las Prácticas de Certificación (PCS).

El detalle que parece pequeño tiene una transcendencia jurídica sustancial desde la perspectiva probatoria dado que una firma electrónica reconocida atribuye al firmante la carga probatoria al equivaler a una firma manuscrita y una firma electrónica avanzada tiene carácter probatorio que deberá acreditar la Administración Pública. ¿Qué opináis vosotros?
 
;