miércoles, 29 de septiembre de 2010 3 comentarios

Autenticación basada en la búsqueda del tesoro

Leo vía  el Twitter de Microsiervos una noticia que me ha llamado la atención por original e ingeniosa.
Ya hace algunos años, en el 2007 comenté cómo se estaban planteando sistemas  basados en usar imágenes como métodos de autenticación. La idea era que el usuario tuviera que clickar en ciertas partes que sólo él sabría como método de verificar la identidad.

El sistema que ahora sale a escena es similar pero más sencillo y posiblemente intuitivo para el usuario final. La idea que se esta investigando es probar la identidad del usuario mediante la localización de puntos secretos en un mapa. El usuario debe mover, girar y localizar puntos concretos para ser identificado. Este sistema podría no ser vulnerable a las capturas de teclado y a las capturas de la posición del ratón. La noticia original puede leerse con mas detalle en este enlace.



Las contraseñas serian en este caso las coordenadas de los puntos elegidos y este sistema puede ser mas fácilmente recordable por el usuario final. Seria como pedir al usuario que esconda un tesoro. El reto-respuesta que el usuario debe recordar serian los puntos secretos del mapa en cuestión donde escondió el tesoro (algo que sólo el sabe y que solo el podría encontrar). Aun no siendo un método de doble factor, al menos podría ser más robusto en cuanto a longitud de la clave que los sistemas actuales.  Tal como se comenta en La Información.com,  "los investigadores calculan que con unos diez dígitos que representen la latitud y otros diez para la longitud el sistema tendría una fortaleza de unos 20 dígitos, mucho más que los cuatro convencionales que se usan en las tarjetas de crédito o los 6-8 que suelen ser habituales en las contraseñas de Internet".
domingo, 26 de septiembre de 2010 2 comentarios

Los CISO encarnados de superhéroe

La figura del responsable de seguridad es por desgracia todavía poco común en las empresas e instituciones españolas. A pesar incluso de establecer la L.O.15/1999 la obligación de nombrar a un rol para velar por la seguridad de los datos de carácter personal de niveles medios y altos, a día de hoy es raro quien se dedica de forma exclusiva a ser Responsable de seguridad de la información. Este post pretende establecer una taxonomía de los roles de CISO que pueden existir actualmente en muchas de las organizaciones que han incorporado esta figura a sus mandos directivos.
  • El "Increíble Hulk": Ha sido nombrado pero no tiene peso suficiente dentro de la organización. Depende o esta condicionado por el Responsable de Sistemas y no tiene libertad ni autoridad para poder establecer sus propios planteamientos estratégicos sobre que debe hacer para gestionar la seguridad. Es un continuo quiero y no puedo, tiene la fuerza pero no puede utilizarla. Es consciente de cual es la estrategia a seguir y cómo la seguridad puede reforzar los procesos de negocio pero su organización no considera la seguridad de la información como algo relevante (hasta el día que pasa algo). Tampoco ha podido hacer un análisis de riesgos que le permita mostrar cómo la seguridad contribuye a robustecer a la organización. Es un tipo con un gran potencial y fuerza que no puede utilizar porque no quiere convertirse en un ogro mete miedo. Sin embargo, será quien se coma los marrones si en algún momento se produjera un incidente de seguridad.
  • El "Spiderman": También ha sido nombrado pero llega a este mundo de la seguridad desde el Área de sistemas y no tiene conocimientos sobre la gestión de su area de responsabilidad. Suele iniciar sus actuaciones adquiriendo software y hardware de seguridad para disponer de herramientas pero no tiene claro cuales deben ser los objetivos a lograr. Desconoce la disciplina del análisis de riesgos y basa toda su estrategia de protección en resolver las problemáticas comunes de la seguridad informática que afectan a la organización: malware, protección perimetral, filtrado de contenidos y cuando tienen recursos, el cumplimiento de la legislación en materia de protección de datos. Va de un lado a otro manteniéndose entre cuerdas sin un rumbo fijo tratando de estar en todos sitios pero siempre apagando fuegos.
  • El "Batman": Es un trabajador incansable que intenta tenerlo todo bajo control aunque su trabajo no es visible para la organización. Es un buen estratega que conoce el mundillo y por tanto, es consciente que los riesgos son cambiantes y que deben ser gestionados. Tiene un mapa claro de que problemas tiene su organización y va poco a poco mitigando los mas urgentes. Presenta año tras año sus planes de actuación aunque no siempre gozan de apoyo. A pesar de eso no se desanima y con lo que tiene hace lo que puede. Siempre prefiere ser preventivo y proactivo pero la monitorización es la herramienta en la que fundamenta su día a día aunque permanece oculto y no esta en la mesa de Dirección.
  • El "Superman": Es un hombre valorado por la organización porque siempre sale al rescate cuando es necesario. Esta monitorizando continuamente los riesgos y avisa cuando considera que deben tomarse medidas preventivas. La organización esta tranquila porque se sabe bien informada y gestionada en esta materia. Ademas este tipo de CISO no se conforma sólo con hacerlo bien sino que demuestra año tras año como los indicadores y objetivos planteados se van logrando. En su organización la seguridad no es una sensación, es una realidad avalada por los datos. Y si en algún momento las cosas se ponen feas, siempre tiene las espaldas cubiertas por el plan de continuidad de negocio. Está completamente alineado con la Dirección y pone la seguridad al servicio de la Organizacion haciendo a ésta mas fuerte y resistente contra cualquier anomalía que pueda producirse.

A todos nos gustaría ser Superman algún día pero muchas veces el contexto o la coyuntura nos obligan a ser otro tipo de superhéroe de menos categoría. A vosotros, ¿se os ocurre alguno más?
jueves, 16 de septiembre de 2010 2 comentarios

Geolocalización: el ser humano convertido en caracol

Aunque esta última semana he enlazado varias noticias vía Twitter al respecto, quiero hoy reflexionar más profundamente sobre el cambio social que están produciendo las nuevas tecnologías y las consecuencias actuales y futuras que estas nuevas herramientas tienen o tendrán en la sociedad. Son varios aspectos que tocan campos como las redes sociales, la geolocalización y la exhibición de contenidos y la protección de datos de carácter personal.

Asumámoslo, las personas nos hemos transformado en caracoles digitales que vamos dejando rastro (a veces queramos o no) de cada acción o decisión que tomamos. El teléfono móvil ha sido el objeto diseñado y responsable de permitir la geolocalización y aparecen ahora un montón de servicios relacionados con esta nueva funcionalidad. Algunas de estas particularidades tienen servicios tan interesantes como:
  • permiten hacer cálculos sobre cuanto se camina o corre.
  • funcionalidad de gps que permite guardar la ruta de una excursión o hacer de mapa.
  • posicionar las fotografías y luego permite saber el lugar donde se ha realizado.
Sin embargo, llevo unos días impactado cuando mi teléfono móvil amablemente me indicó que estaba cerca de casa y que tenía tareas pendientes que podría hacer allí o que al pasar por cerca de un Centro Comercial me indicaba que en la aplicación que tengo instalada tenía unos productos en la cesta de la compra que podía adquirir.
Todas estos novedosos servicios pueden ser interesantes siempre y cuando queden dentro del ámbito de la privacidad personal y el propietario del dispositivo pueda controlarlos y activarlos cuando desee. Sin embargo, la moda por crear redes sociales y buscar compartir información permiten usos algo más perversos que si pueden comprometer la seguridad del usuario. Hay que ser conscientes de qué información publicamos y sobre todo, qué consecuencias puede tener compartirla. Esta tendencia de si no publicas o no compartes tu vida en la red no eres nadie debe tener en consideración una cosa muy importante: lo publicado difícilmente se borra y una vez pulsas el botón compartir, ya no habrá marcha atrás. Sirva como ejemplo lo que Chema Alonso publica ironizando sobre el uso del Feisbuk o esta otra que cuenta cómo los "Ladrones recurren a Facebook para seleccionar víctimas".

Por tanto, decir donde estás, donde comes, por donde corres o incluso en donde te encuentras en un momento determinado, o sea, geolocalizarnos, puede ser información que consideremos irrelevante pero que también tiene consecuencias. Hace algún mes se hizo famosa la web Róbame que indicaba nombres de usuarios de twitter que habían dicho que estaban fuera de casa como reclamo para ser robados y que pretendía concienciar al personal sobre los comentarios que se publican en twitter geoposicionando al usuario.

De siempre una de las primeras lecciones que se enseña a los niños es a no hablar con desconocidos. Sin embargo en el siglo XXI se nos ha ido la cosa de las manos y ahora físicamente no lo hacemos pero virtualmente nos relacionamos y compartimos información con todos ellos. En el ámbito de las redes sociales de carácter profesional puede ser interesante disponer de un número de contactos que contemple gente que conoces físicamente y gente que no. Sin embargo, en el ámbito personal debemos controlar nuestro "circulo de confianza". Tus amigos reales y directos SI son tus amigos, pero los amigos de tus amigos puede que ya no.

Por último quiero acabar dando a conocer un libro publicado por Aranzadi que precisamente se centra en toda esta problemática vinculada a la privacidad y las redes sociales, con autores tan relevantes en la materia  como Nacho Alamillo, Ricard Martínez, Natalia Martos, Javier Megías  y otros muchos otros que harán de este libro un imprescindible en la repisa de todos aquellos que nos preocupamos por la "seguridad de la información" y ahora también de las privacidad de las personas como subconjunto de información más vulnerable. Es un libro a tener apuntado para la lista de los Reyes Magos. El contenido del mismo puede ser consultado en el enlace "DERECHO Y REDES SOCIALES".
jueves, 9 de septiembre de 2010 3 comentarios

La lección de seguridad más antigua del mundo

Aquellos que nos dedicamos a explicar y contar cómo debe enfocarse correctamente la gestión de la seguridad contamos con la inestimable ayuda de la sabiduría popular y las fábulas de toda la vida.

El análisis y la gestión del riesgo puede ser entendida de forma sencilla usando la fábula de "Los tres cerditos". No lo voy a contar porque es de sobra conocido pero resumido brevemente la historia va de tres cerditos que toman decisiones diferentes para protegerse del lobo. Del cuento original podemos extraer dos sencillas pero importantes lecciones:

  • La seguridad final será acorde al esfuerzo dedicado y al análisis de amenazas realizado: Los tres cerditos tenían que defenderse de la misma amenaza pero los dos primeros subestimaron las posibilidades de que el lobo produjera daños en su construcción y las consecuencias de ello. No habrían arriesgado sus vidas seguramente si hubieran contado con los datos correctos.
  • Las medidas deben ser proporcionales al problema a evitar: Los dos primeros cerditos tenían que haberse planteado cual era la fortaleza real de las medidas de protección y qué severidad de daños podían soportar. Un arquitecto de la seguridad debe conocer hasta dónde pueden aguantar sus protecciones e identificar en qué situaciones las medidas no van a resistir para disponer de un plan B que aunque no evite que la casa de derrumbe, al menos no haga correr peligro a su vida. Esperar la mejor de las circunstancias pero estar preparados para lo peor.



El ritmo asfixiante de trabajo en las empresas lleva casi siempre a atender las necesidades operativas de la organización y retrasa o posterga las actividades relacionadas con construir la casa con ladrillos. Se prefieren casas de paja o de madera que proporcionan una buena "sensación de seguridad". La valoración de la eficacia de una medida se demuestra cuando resiste un incidente. Lo lógico sería verificar esa capacidad de resistencia cuando ya se ha construido y no esperar a que ocurra algo que nos demuestre si lo habíamos hecho bien o no. Es entonces cuando las casas de paja y madera se derrumban y dejan a los cerditos que hay dentro a la suerte del destino.

Las amenazas no entienden de justificaciones o escusas y tampoco llaman a la puerta cuando van a presentarse. Por tanto, la mejor  estrategia es tratar de tener unas minimas garantías de protección y unas mínimas evidencias de su correcta resistencia antes de que la vida real se encargue de verificarlo.

Moraleja de seguridad de la información: "El trabajo planificado y bien hecho, junto con el talento para diagnosticar bien el escenario holístico de amenazas es una garantía de seguridad efectiva y real". Quien no hace nada ya está haciendo algo, ha tomado una decisión respecto a cómo gestiona el riesgo que ante la adversidad solo tiene un consuelo: el lamento y el lloro.
lunes, 6 de septiembre de 2010 5 comentarios

Seguridad = gestionar riesgos + minimizar impactos.

En muchos de los post de este blog he insistido en la importancia del concepto riesgo para la gestión de la seguridad. No quiero ser reiterativo pero Riesgo=(Impacto)*(Vulnerabilidad frente a una amenaza).

Sin embargo, el incidente de BP en el Golfo de México debería enseñarnos algo. Ciertamente la gestión basada en riesgo sirve para calibrar qué aspectos son importantes y cómo debemos asignar nuestros recursos económicos para lograr una protección efectiva, pero... ¿Debemos ignorar los impactos?

De todo análisis de riesgos se debe poder extraer unos resultados que permitan agrupar los problemas de seguridad en varias casuísticas:

  • A. Riesgos ocasionados por activos de alto impacto y alta vulnerabilidad: acciones inmediatas.
  • B. Riesgos ocasionados por activos de bajo valor y alta vulnerabilidad: acciones inmediatas o planificadas.
  • C. Riesgo ocasionados por activos de alto impacto y baja vulnerabilidad: acciones inmediatas o planificadas.
  • D. Riesgos ocasionados por activos de bajo valor y baja vulnerabilidad: deben esperar a tener solventados cualquiera de los tres tipos de riesgos anteriores.

El incidente de BP en el Golfo de México correspondería posiblemente a un riesgo del tipo C. La posibilidad de incendio o de hundimiento de la plataforma petrolífera era muy baja pero de ocurrir el incidente, tendría un gran impacto, como finalmente ha sucedido.

¿Qué ha fallado en la gestión de este incidente? Es difícil poder estimar qué pudo suceder pero si hay una evidencia clara que demuestra una deficiente gestión de la seguridad. Tal como relata este texto,  BP no tenía un plan de contingencia y ello pudo ser determinante en el momento del incidente tanto para frenar el mismo como para minimizar los daños.
Un plan de contingencia es una medida que aplica la estrategia de recuperación o restauración. Esto quiere decir que no es ni de carácter disuasorio (intenta alejar a la amenaza o al atacante), ni de carácter preventivo (intenta evitar la vulnerabilidad). 
La naturaleza de este tipo de medidas tienen su utilidad una vez que ya el incidente se ha producido y su principal objetivo es reducir el impacto. Por tanto, el plan de contingencia en caso de explosión en la plataforma marítima debería haber establecido la secuencia de acciones inmediata a la explosión con el objetivo de minimizar tanto la duración del derrame como su extensión. No sabemos nunca si los hechos hubieran sido diferentes pero es de suponer que al menos, debieran haber tenido un menor impacto. El hecho de haber tardado semanas en disponer de estrategias para tratar de cortar las tuberías de derrame, el no disponer de equipos para esas operaciones podrían haber sido deficiencias que hubieran sido identificadas en la elaboración del plan de contingencias.

Tristemente hemos tenido que esperar a la cruda realidad para comprobar la magnitud que tienen este tipo de incidentes y lo graves que son si no son controlados en los primeros momentos. Estos son precisamente los argumentos triviales para requerir tener un plan que establezca en frío la secuencia de acciones a realizar desde el momento cero de declaración del incidente y permiten conocer con anterioridad qué recursos debieran estar localizados y dispuestos a actuar si el plan de activa. Por desgracia, el ahorro de costes siempre tiene una mira cortoplazista y entre invertir en desarrollar un plan que puede suponer un coste real directo de pongamos 1 millon de euros, y la remotísima probabilidad de que explote una plataforma petrolífera en medio del Golfo de México que va a tener un coste de más de 6.200 millones de euros se elije siempre esta segunda y dramática opción. En esta noticia de la BBC se detallan algo más los costes reales del incidente que se ha transformado en uno de los desastres naturales de mayor envergadura.


En relación a este suceso, quiero recomendar el post de Antonio Ramos, Cisnes Negros: Análisis de Riesgos en Tiempos de Crisis que comenta cómo el análisis de riesgos no es la bala de plata en materia de seguridad y que la importancia de identificar los "cisnes negros" evita la sorpresa de sufrir grandes impactos.

Tras lo sucedido debiera pensarse a veces que las medidas de protección más básicas frente a los incidentes de mayor impacto no debieran estar a merced de un análisis de riesgos sino debieran ser implantadas de forma obligada, como un Plan B por si las medidas básicas que tratan de gestionar los elementos más básicos fallaran. En estos casos, no se estaría a merced del incidente y al menos, se tendría la esperanza de reducir en la medida de lo posible el impacto.

El incidente no solo va a suponer unos costes brutales sino que además, ha dañado seriamente la imagen de la compañía, algo que dificilmente puede ser recuperado a corto y medio plazo. Sirva como dato significativo la presencia de las siglas BP en el buscador Google y cómo tras el incidente, se han disparado las Webs y urls que la referencian, muy posiblemente con textos que critican tanto los resultados de su gestión como los daños que han causado.



Para terminar, quiero enlazar también con siete consejos básicos a tener en cuenta en el diseño de un plan de continuidad de negocio  que provienen de la Administración americana. Dado que la zona del Golfo de México es habitualmente azotada por los desastres naturales causados por huracanes principalmente, han aprendido esto de la continuidad de negocio a la antigua usanza, "La letra, con sangre entra". Los siete consejos que el enlace detalla más son:
  1. Identifica tus activos y establece cuales son tus "activos críticos.
  2. Protege tus datos mediante backups y trabaja para reducir los tiempos de acceso a ellos cuando te vayan a hacer falta (Optimiza tu RTO)
  3. Revisa las medidas para garantizar el suministro eléctrico y las condiciones medioambientales.
  4. Forma y entrena a tu personal para estar preparados a responder en situaciones de desastre.
  5. Documenta, prueba y actualiza los planes de continuidad de negocio.
  6. Considera medios alternativos de garantizar tus telecomunicaciones.
  7. Asegúrate que tus proveedores estarán a la altura de tus necesidades cuando tengas problemas.
Si te ha gustado el post, hazte la siguiente pregunta. ¿De todas estas 7 recomendaciones, cuales cumpliría yo?



miércoles, 1 de septiembre de 2010 2 comentarios

(IN)Secure Magazine Nº27

Se acabó el verano y toca volver a la carga. Este primer post postvacacional es ligeríto y referencio el nuevo número de la revista Insecure Magazine que trae estos contenidos:
  • Review: BlockMaster SafeStick secure USB flash drive
  • The devil is in the details: Securing the enterprise against the cloud
  • Cybercrime may be on the rise, but authentication evolves to defeat it
  • Learning from bruteforcers
  • PCI DSS v1.3: Vital to the emerging demand for virtualization and cloud security
  • Security testing - the key to software quality
  • A brief history of security and the mobile enterprise
  • Payment card security: Risk and control assessments
  • Security as a process: Does your security team fuzz?
  • Book review: Designing Network Security, 2nd Edition
  • Intelligent security: Countering sophisticated fraud



La descarga puede obtenerse en este enlace.

Solo quiero agradecer a los casi ya 4.500 lectores vuestro tiempo al dedicar a mi blog un rato de vuestras vidas. Es un soplo que motiva a continuar día a día con el pequeño esfuerzo de buscar aquellas cosas que puedan ser de interés para todos vosotros. Espero y quiero, a pesar de que ello disminuya en parte la frecuencia de publicación, aportar más reflexiones y opiniones sobre la gestión de la seguridad de la información.

Un saludo y mil gracias.
 
;