Los que llevamos mucho tiempo en esto de la seguridad (Aunque ahora queda más cool ponerle el prefijo cyber/ciber-seguridad) estamos viviendo un momento dulce en el sector. Los diferentes vaticinios agoreros que hace unos años se veían como "análisis paranoicos" o irreales ahora son considerados amenazas tangibles y potencialmente reales.
Un blog de 12 años de antigüedad que ha ido recogiendo los diferentes incidentes y reflexionando sobre ellos ahora permite viajar al pasado para comprobar que los grandes fuegos actuales en esta materia empezaron no atajando a tiempo las pequeñas cerillas que se iban dejando caer por el monte.
Para muestra, las reflexiones del 2004 o el 2010.
El caso es que ahora la ciberseguridad ocupa portadas de periódicos, los incidentes de seguridad dan para tertulias en programas y existe una mayor conciencia de los riesgos de la red. Sin embargo es un hecho constatado que la seguridad de la información que llama la atención es su versión más mediática, la que mira hacia el experto que es capaz de encontrar agujeros o demostrar cómo una gran corporación ha cometido errores.
Yo entré en esto de la seguridad casi por casualidad al finalizar la carrera tras hacer un proyecto piloto sobre Magerit 1.0. En aquel entonces cualquiera que hablara de riesgo en el mundo de la seguridad era un loco. De hecho mi primera tarjeta de visita ponía e-worker/Hacker en la empresa "Innovative Security Comunications" (INNOSEC) aunque mi trabajo estaba más relacionado con la elaboración de normativas y procedimientos o el análisis de riesgos que fue el factor diferencial que hizo seguramente que fuera contratado.
Sin embargo en aquella época hablar de gestión de la seguridad, de las BS 7799 (partes 1 y 2) no tenía audiencia y mucho menos clientela. En mi caso también había estado trabajando con la recién publicada LOPD y con su R.D. 994/1999 por lo que la protección de datos y la seguridad de la información vinculada al cumplimiento legal fue mi día a día.
¿Y todo este rollo a que viene y qué tiene que ver con el título del post?
Echando la vista atrás he podido entender que en mis comienzos tuve que decidir entre la pastilla roja o la pastilla azul. En su momento el equipo Innosec estaba integrado por dos perfiles puros de hacking, dos administradores de sistemas y redes, técnicos de instalación de firewalls, antivirus y PKI y yo que era el raro y que nadie entendía para que estaba. En aquella época en las discusiones más calientes me tocaba argumentar en la importancia de la gestión y en que algún día las empresas querrían acreditar su seguridad usando normativas, de forma similar a lo que ocurría con la calidad y la ISO 9000.
El tiempo ha pasado y la seguridad se ha hecho muy mediática pero la atención se presta en los fallos, en donde están los problemas, se centra en la detección o descubrimiento de nuevos peligros... transmitiendo la sensación de que todo tiene agujeros (Porque realmente puede ser así cuando alguien se dedica a buscarlos de forma intensa). La parte mediática y ahora famosilla de la seguridad se centra en los perfiles más destacados del pen testing nacional gracias a que tenemos en estos temas grandes referencias nacionales e internacionales. Creo que España se está haciendo un hueco en este mundillo y cuenta con grandes equipos de pentesting (Equipos rojos o RED TEAMS).
Sin embargo, hay poca reflexión o atención a todos aquellos profesionales que están a diario en primera linea de batalla pero en las trincheras, los que forman los departamentos de seguridad de la información o seguridad informática (Cuando existen porque en muchas ocasiones son los propios sysadmin los que llevan estos trabajos). Ya creo haber comentado la asimetria entre defensa y ataque.
El agresor se limita en una primera fase a realizar actividades de inteligencia, de detección de puntos vulnerables y su explotación. Para ello tiene el tiempo que quiera invertir al respecto y la paciencia que considere atendiendo a la motivación que le lleva a intentar la intrusión. Una vez dentro, en esta segunda fase ya tiene que ir con cuidado porque puede ser cazado y en esa parte del trabajo debe tener muy sigiloso. Si logra la intrusión, se podrá marcar un tanto y habrá logrado demostrar con éxito su hazaña. Si no lo consigue, nadie se enterará y se irá a por otra presa.
Si ahora intentamos ser algo empáticos con los Blue team, su visión del mundo es que todo debe ser protegido. Como buen pastor debe velar por la integridad del rebaño de sistemas y redes, por el mantenimiento de los servicios y por garantizar la continuación del modelo de negocio. Lo más desagradecido de la seguridad es que en general no se percibe la protección como aportación de valor cuando a veces, garantizar la supervivencia es una forma de contribuir al mantenimiento del negocio.
Últimamente que tengo que lidiar con capas directivas de las empresas, estoy intentando explicar que la seguridad de la información también aporta valor a sus compañías aunque no sea intuitivo de ver. De hecho, Cobit 5 destaca entre los tres grandes objetivos de toda organización la optimización del riesgo.
Creo que Miguel Angel Hernandez Menéndez lo expresa muy bien en una de sus transparencias, con el siguiente slide.
Últimamente que tengo que lidiar con capas directivas de las empresas, estoy intentando explicar que la seguridad de la información también aporta valor a sus compañías aunque no sea intuitivo de ver. De hecho, Cobit 5 destaca entre los tres grandes objetivos de toda organización la optimización del riesgo.
Creo que Miguel Angel Hernandez Menéndez lo expresa muy bien en una de sus transparencias, con el siguiente slide.
Pelear todos los días porque la maquinaria no se pare e incluso reaccione con resiliencia frente a las perturbaciones interas o externas es también una aportación de valor, aunque su percepción sólo llega cuando la inseguridad se manifiesta en forma de incidente. La existencia de los BLUE TEAM se justifican de esta forma. Las tareas del equipo azul están muy distribuidas, implican el control de muchos frentes, de lidiar con las capas técnicas pero también con las capas directivas para intentarles concienciar de la importancia de los asuntos que un equipo azul lleva entremanos. Encima hay que justificar bien la necesidad de recursos, la mejora de la artillería que debe hacer frente a los diferentes agresores, los diferentes fallos que los propios fabricantes van detectando, en fin, un no parar con la presión de no poder dormir tranquilo nunca. En este caso, el día que ocurre algo todos pueden pensar que has fracasado en tu trabajo... pero nadie te felicitará por cada uno de los días en los que todo funciona de forma adecuada y correcta. Toca estar vigilantes en la muralla y con las armas preparadas por si en cualquier momento aparece un ataque... pero eso es estar en el equipo azul y es lo que ya sabes cuando eliges ese color de pastilla.
Por suerte, los diferentes equipos azules ya empiezan a darse cuenta que igual que los malos colaboran, los buenos podemos hacer lo mismo. Hay que destacar la iniciativa del Gobierno americano, en concreto el DHS y su US-CERT que están empezando a crear las piezas necesarias para que la información fluja en unas determinadas formas, La iniciativa tiene tres áreas de trabajo principal que son:
- TAXII™, the Trusted Automated eXchange of Indicator Information.
- STIX™, the Structured Threat Information eXpression.
- CybOX™, the Cyber Observable eXpression.
Los frutos tardarán unos años en llegar pero cuando instituciones, fabricantes y gobiernos empiecen a darse cuenta de que las labores de inteligencia también tienen interés para ir conociendo a los que están en el lado oscuro, se crearán las relaciones para generar una respuesta rápida y sobre todo, para compartir el conocimiento de cada uno de los diferentes blue teams y de su proceso de investigación frente a un ataque. El Mitre lideró hace algunos años la necesidad de identificar con un código único las vulnerabilidades y su importancia y ahora no hay notificación o producto que se precie que no tenga como información de referencia el código CVE.
Yo personalmente me he sentido siempre identificado y motivado por estar en el lado de los que defienden, de los que su misión es lograr que ciertas cosas no sucedan, de los que tienen como misión el intentar realizar modelos de seguridad que sirvan para que la Dirección entienda el escenario de riesgo en el que se mueve y la importancia de las decisiones a tomar para mitigar algunos de los peligros. Sin embargo, en esta parte están aquellos que nunca recibirán una felicitación por su trabajo porque es invisible. Aun así nos gusta nuestro trabajo porque sabemos que las murallas requieren de gente apostada vigilando para que el resto de actores puedan realizar su trabajo.