Responsable de seguridad de la información como rol en cine

No suelo hacer comentarios que no estén relacionados por cualquier motivo con temas de seguridad pero es que hoy me va a tocar hablar de cine. Curioseando entre mi ronda de links que me mantienen al día me he enterado que el rol del responsable de seguridad informática va a ser el personaje principal de la trama de una película que se estrena ya en EEUU llamada "Firewall".

La trama es la siguiente:
Jack Stanfield (HARRISON FORD)trabaja en el Pacific Bank como responsable de seguridad de la información (CISO). Como considerado un ejecutivo y hombre de confianza ha construido su reputación en base al diseño de los sistemas de seguridad más efectivos frente a hackers, reduciendo todas las amenazas que pudieran afectar al banco y minimizando los ataques desde la red, hackers, virus.

Su posición le proporciona una vida cómoda y su mujer que es arquitecta y sus dos hijos viven en un barrio residencial a las afueras de la seguridad.

Pero hay un talón de Aquiles que en su análisis de riesgos Jack no ha contemplado: "el mismo".

Bill Cox ha estado estudiandole a él y su familia durante meses: monitorizando su actividad online, escuchando sus llamadas y aprendiendo su rutina con un arsenal de camaras de video, microfonos parabólicos y recolectando toda la información de carácter personal que le ha sido posible. Bill Cox conoce los nombres de los hijos de Jack, sus historiales clinicos, sus identificadores de usuario, el código de seguridad de la alarma. Ha ido metódicamente infiltrandose en la identidad de Jack y ahora sabe que es su mejor inversión.

En la web de la pelicula puede verse el Trailer de Firewall.

Esta pelicula como ya lo fueran "La Red" o "Enemigo público" parecen ficción pero en los tiempos que vivimos son parte de nuestra realidad. De hecho, esta semana salia a la luz precisamente que en Londres se ha producido un robo en una empresa de seguridad utilizando este método. Como ya ponía ayer en el titulo de mi post, el factor humano sigue siendo el eslabón más debil aunque las amenazas que lo causen puedan ser diferentes: la ingeniería social unas veces, la extorsión o amenaza a la persona física otras.

El eslabón más débil siempre el factor humano

Leo hoy por varias fuentes un curioso experimento que ha realizado una empresa de seguridad inglesa a la entrada de una Entidad financiera. La noticia original relata como han tratado de evaluar el conocimiento real de la política de seguridad.

Regalaban a la puerta de la entidad un CD que contenia un archivo anunciando una promoción por San Valentín. El CD contenía un programa que informaba sobre qué usuario había ejecutado el programa. Evidentemente la política corporativa de seguridad prohibe expresamente la instalación de cualquier software de terceros pero poca gente ha sido consciente. Esta sencilla prueba pone de manifiesto cómo la seguridad de la Organización puede verse comprometida facilmente si alguien diseña de manera adecuada un mecanismo que consiga instalar un troyano para luego saltarse la protección perimetral de la organización.

Como conclusión del experimenteo, es evidente que a los empleados no les preocupará la seguridad mientras no entiendan por qué es necesaria.

Los ordenadores, las redes son complejas, complicadas y confusas. A menos que explicitamente se enseñe por qué hay riesgos detrás de ciertas conductas, no se perciben los potenciales problemas. Igual que pasa con los anuncios de tráfico que hasta que no son impactantes no producen katársis. En cualquier caso, a eso hay que añadirle que el valor de la información es algo intangible y hace que la percepción del daño disminuya.

También es cuestionable la decisión del área de sistemas de permitir que todos los equipos tengan CD. ¿Es realmente necesario?. Desde luego, es organizativamente incómodo establecer ciertas restricciones pero si previamente se han demostrado o justificado los riesgos, las decisiones de seguridad se asumen mejor. Normalmente somos los informáticos los que más minimizamos el impacto real de un incidente pero si se cuantificará económicamente las cosas serían diferentes.

Antispyware de Microsoft se llama ahora Windows Defender

Recientemente Microsoft ha lanzado en fase beta una nueva herramienta de seguridad que es la renovación del Antispyware.

Aunque es una actualización y no hay opción a no hacerlo dado que la potencia de este tipo de medidas son las firmas o patrones que reconoce como potenciales peligros y esta información aumenta a medida que hay más conocimiento sobre diferentes especímenes de amenaza, por el poco tiempo que llevo como usuario disfrutando de Windows Defender parece que hemos perdido un poco en funcionalidad e información respecto a la herramienta que Microsoft compró a la empresa Giant. Tanta fue la prisa por lanzar alguna solución al mercado por parte de Microsoft que incluso a nivel de procesos la palabra Giant seguía saliendo por algunos sitios.



Esta herramienta requiere de menos conocimientos del usuario y aunque yo vea eso como una pérdida de funcionalidad, el público objetivo no quiere demasiadas historias y mucho menos que se le pregunte por cosas que no sabe. También he podido ver que hay aspectos más mejorados dado que por cada proceso que se está ejecutando informa perfectamente sobre el estado de las conexiones y puertos que están siendo utilizados por dicha aplicación.

En cualquier caso, si no se pregunta al menos esperemos que las decisiones que Microsoft haya implementado por defecto sean las adecuadas.

La dirección desde donde se puede obtener información sobre este nuevo producto es Windows Defender.

Con esta herramienta Microsoft pone a disposición del usuario final una nueva defensa aunque no es la única alternativa. Ya postee en su momento el servicio safety.live.com que también está orientado a proteger nuestros equipos. Lo más positivo es considerar esto de la seguridad como algo tan básico que no ha creado un producto comercial sino software "free" o gratuito, porque como dice un proverbio ruso "Si cada uno limpiara la entrada a su casa, ¡qué limpia estaría la ciudad!".
Parece que en un ejercicio de reflexión, han hecho algo de caso a Bruce Schneier que siempre ha criticado a Microsoft por considerar la seguridad como una herramienta más de marketing que un problema real, dado que el no proteger a usuarios licenciados solo va en perjuicio de todos en general.

En cualquier caso creo conveniente el enlace que la propia Microsoft proporciona respecto a las diferentes alternativas y productos para temas relacionados con el spyware y que puede consultarse en la dirección Windows Defender (Beta 2) compared with other Microsoft antispyware and antivirus technologies

Herramienta de cifrado de disco Truecrypt

Hace tiempo que llevaba buscando una buena herramienta capaz de sustituir a PGPDisk en materia de seguridad de dispositivos de almacenamiento y parece que por fin la he encontrado. Aunque utiliza cifrado simétrico a mi personalmente me gustaba de PGPDisk la capacidad de tener unidades de cifrado, que sólo con montar implicaban que cualquier dato que almacenara en ellas sería convenientemente cifrado.

Dado que solo suelo recomendar utilidades freeware, he recurrido a CDLibre.org para ver que opciones tenía y he encontrado TrueCrypt.
A continuación describo sus principales características:

- Permite crear unidades de disco cifradas, lo que hace sencillo y transparente su uso. Es preciso montar la unidad con la contraseña y a partir de ese momento, se utiliza de manera sencilla.

- Es flexible y permite cifrar tanto una partición de un disco como un dispositivo tal como un disco USB.

- El descifrado es automático, en tiempo real y transparente al usuario.

- Dispone de los siguientes algoritmos de cifrado: AES-256, Blowfish (448-bit key), CAST5, Serpent, Triple DES, and Twofish.

Paradojas del destino...la Autoridad dando ejemplo.

En relación con mi post de ayer, y vía RepublicaInternet me he encontrado un paradójico ejemplo relacionado con esto de las PKI's más cañis que se saltan a la torera la Ley de Firma Digital. En concreto, el certificado corresponde a la url https://www.policia.es y a continuación adjunto la evidencia que lo prueba.



Este hecho ha sido también comentado en República Internet en tono más jocoso en el siguiente post.