Conocimiento inducido y la pandemia del "cut&paste"

Aunque últimamente no puedo publicar demasiado, hoy he podido sacar un hueco para hacer bloggerterapia. Lo que vengo a contar es una pandemia que tiene como consecuencia la poca valoración que se da al contenido y que hace pensar en si realmente somos la "sociedad del conocimiento". Vivimos inmersos en la sociedad más tecnificada que ha existido con acceso casi inmediato e independiente de dónde nos encontramos y sin embargo se produce una paradoja curiosa, justo en el momento en que más información tenemos disponible es cuando creo que peor la estamos procesando. Estamos tan saturados e inundados que la escala de procesamiento que empieza en los datos, se organizan como información, se transforman en conocimiento y supone adquirir sabiduría hace que no podamos masticar ni conocimiento ni información quedando solo como meros datos, lo que podemos denominar como "infoxicación".

¿A qué viene todo este rollo previo? Lo que trato de contar es la experiencia personal que sufro en ciertos proyectos donde participo como consultor de seguridad para el desarrollo de un marco normativo (normas y procedimientos de seguridad) basados en la ISO 27001. Parte de mi trabajo consiste en asesorar o recomendar la forma de hacer efectivas las medidas de seguridad que requieren los sistemas de gestión de la seguridad de la información. Hace ya mas de cuatro años participé en el proyecto de construcción de un SGSI y como mi experiencia y conocimiento se centra más en los aspectos formales de la gestión y de la formalización de las medidas, desarrolle un conjunto de normas básicas de seguridad (que establecen las restricciones o requisitos que la organización quiere cumplir) y un conjunto de procedimientos que los implantan (definen las tareas, actores y registros de ejecución que deben implantarse). Este tipo de proyectos se ha venido repitiendo en los últimos años y por tanto, la documentación inicial ha ido mejorando, evolucionando y completándose para hacer de ella un marco maduro y bastante completo de más de doscientos folios.

Sin embargo, lo que más me sorprende últimamente es el poco "valor percibido" que se dan a esos documentos por parte de nuestros clientes. Ellos no han tenido que enfrentarse al temible "folio en blanco" y por tanto, no pueden valorar lo complejo del proceso creativo que supone leer la norma ISO 27002 e imaginar cómo hacer algo real y ejecutable su cumplimiento. Ellos se limitan en muchos casos a cambiar logotipos, modificar las responsabilidades y con eso, suponen que adquieren y reciben el conocimiento inducido que cada documento tiene tras de sí. El algunos casos, la redacción de un solo documento ha podido costar más de dos semanas de trabajo y sin embargo, la adaptación en su organización es cuestión de horas. En parte este es el servicio que se proporciona en un proyecto así y es el valor que aporta la consultora.

Lo que falla por parte de los clientes es, en muchos casos, que ese conocimiento inducido no es procesado, no es adquirido ni asimilado y el desarrollo del marco normativo se limita al "cut&paste" de las "formas" sin procesar el "fondo". Nuestro conocimiento en forma de plantilla de documento requiere de un esfuerzo por integrar en la realidad de cada cliente cómo hacer las cosas. Es cierto que al basarnos en estándares, lo que hay que hacer está mas o menos definido y es lo que nos ha permitido formalizar con carácter general los controles, pero hay cierto margen de libertad que permite a cada cliente adecuar a su contexto los controles. Sin embargo, no hay en muchos casos esa reflexión madura de tratar de entender qué persigue el control, que plantea el documento-plantilla y qué finalmente será la redacción particular que deberá tener el procedimiento integrado en la organización.

En el fondo, a nuestro marco normativo le ocurre como a otras muchas cosas de esta cultura del "cut&paste". Quiere ser publicado y utilizado rápidamente pero no es masticado, generando un marco normativo que no es ni siquiera conocido por el área responsable de su difusión y ejecución. Y es que comprar un documento no es comprar conocimiento, es simplemente adquirir una base bastante desarrollada que permite tomar rápidamente las decisiones más oportunas para poder lograr implantar un control. Sin ese esfuerzo de moldear y particularizar el documento al contexto y a la realidad de cada cliente, las cosas quedan muy cojas, produciéndose cierta "infoxicación" en materia de seguridad. El marco documental está constituido por 11 normas (una por bloque para tener claro en qué documento se regula qué aspecto de la seguridad, de acuerdo con lo establecido por ISO 27001) y unos 30 procedimientos (con las tareas operativas que hay debajo de muchos de los 133 controles de la norma). Un total de unos 200 folios que se ven como un ladrillo si no se tiene claro que se quiere hacer con ellos y por qué. Sin embargo, para quien tiene claro qué necesita, permite formalizar y documentar perfectamente el marco normativo que quiere aplicarse a la información y hacerlo en relativamente muy poco tiempo (a tiempo completo, en un mes se puede tener todo adaptado). La documentación ha sido desarrollada basándose en la norma (pero sin ser un copia y pega de la misma sino una interpretación práctica) bajo un criterio de máximos (Se redactó pensando en disponer de las mejores y más restrictivas medidas de seguridad para que los clientes borren o eliminen aquello que no pueden cumplir o no van a implantar). Sin embargo, este potente armamento necesita de un soldado hábil que conozca lo que la norma dice y lo que él quiere hacer real. De lo contrario, se transforma en un texto que se interpreta como ley y del que da miedo borrar cosas siendo visto más como un obstáculo que como una ventaja competitiva. Y esa distorsión de la percepción es causada principalmente por no haber tenido que sufrir la dura batalla de luchar contra el folio en los primeros momentos y no saber cuanto hay que sudar la camiseta para tener una norma o procedimiento en condiciones.

Casualmente poco después de haber posteado este artículo, he podido ver en la televisión el nuevo anuncio del Audi A7 que viene a expresar algo parecido, el poder de la hoja en blanco.



Nuestra sociedad va tan deprisa que apenas valora lo complejo que es producir o crear y sólo se limita a localizar o utilizar. Sin embargo, para "generar" o "crear" se requiere talento y conocimiento. Para "localizar" o "utilizar" sólo se requiere habilidad. El camino de la creación siempre conduce hacia la sabiduría. El de la utilización o uso puede que acabe en el mismo sitio pero no tiene porqué ocurrir siempre.

Para terminar en positivo, creo interesante que veáis las reflexiones de Alfons Cornellá sobre qué es la "Infoxicación".

Cómo sobrevivir a la Infoxicación, por Alfons Cornella

.

Como recomendación, creo interesante que leáis también a Berto Pena y sus dos magníficos post sobre "la Dieta de información" (Leer en ThinkWasabi los post I y II).

Este verano, como parte de las tareas de mejora de mi productividad personal pasé varios días reordenando mis subscripciones RSS en Google Reader agrupándolas en los 5 temas que más me interesan y poniendo además la etiqueta LD (lectura diaria) y LS (Lectura semanal) como sufijos. Además, decidí que una vez que la etiqueta caduca, doy el contenido por procesado, marcando como leído esos contenidos y eliminando esa tarea semanal de mi agenda. Si no lo puedo procesar, no puede figurar entre mis asuntos como pendientes. Tampoco es viable o posible estar al tanto de todo y prefiero, cuando tengo un momento, dedicarle un rato a lo que considero imprescindible antes que andar buceando en miles de entradas pendientes que no voy a poder masticar como es debido. Prefiero la "calidad del procesamiento" a la "cantidad" aunque pueda sacrificar el estar al tanto al menos de oídas de cómo van las cosas. He cambiado el hojear por el procesar, de acuerdo también al tiempo máximo que estoy dispuesto a dedicarle a esa tarea dentro de mi día a día. Es importante para mi pero no es mi trabajo ni mi máxima prioridad.

Número 28 de la revista (In)Secure Magazine

Los contenidos de este ejemplar son:

• Database protocol exploits explained
• Review: MXI M700 Bio
• Measuring web application security coverage
• Inside backup and storage: The expert's view
• Combating the changing nature of online fraud
• Book review: CISSP Study Guide
• Successful data security programs encompass processes, people, technology
• Sangria, tapas and hackers: SOURCE Barcelona 2010
• What CSOs can learn from college basketball
• Network troubleshooting 101
• America’s cyber cold war
• RSA Conference Europe 2010
• Book review: Dissecting the Hack: The F0rb1dd3n Network (Revised Edition)
• Bootkits – a new stage of development

El ejemplar puede ser descargado aquí.

Guía INTECO sobre Continuidad de negocio

El Observatorio de Seguridad de la Información de INTECO comunicó ayer la publicación de una guía práctica sobre continuidad de negocio dirigida a PYMES. Este material es de lectura recomendable ( como todo lo que suele hacer INTECO) e imprescindible para aquellos que quieran iniciarse en este tema dado que han conseguido en 80 hojas sintetizar los conceptos de continuidad de negocio y todo aquello que debe contemplar un proyecto de este tipo.
Es importante destacar la importancia de tener claro cuales son primero las necesidades de recuperación de la Organización, antes de ponerse a implantar o seleccionar tecnología. Todo plan de continuidad de negocio debe responder a las preguntas ¿Qué recuperar? ¿Quién lo recupera? ¿Cuando se hace cada cosa? ¿Cómo se ejecutan las actividades de recuperación? ¿Donde podemos hacerlo? Para ello, es necesario valorar los parámetros MTD, RTO y RPO que ya expliqué hace un año cuando se puso de moda por la famosa y temida Gripe A. También en el propio blog de INTECO pude dejar un par de artículos sobre qué debiera considerarse cuando se pretende resolver esta problemática que pueden ser consultados en la categoría "Continuidad de negocio".

La Continuidad de negocio no debe ser vista solo como la protección frente a grandes catástrofes. A veces, problemas más cotidianos como una obra en tu ciudad o un problema con el mantenimiento del edificio genera caídas o pérdidas de servicio. Hace poco se publicaba un estudio sobre el coste de las caídas TI y España figura para nuestra desgracia en el Top Ten como muestra la gráfica adjunta. Tal como publica "El Economista" se estima que las empresas pierden 3.000 millones al año por las caídas de su Red. El titular así dicho llama la atención según se entienda por "caidas de red". Lo apropiado debiera ser las caídas de sus "sistemas de información" porque estos cortes no son siempre debidos a problemas de los proveedores de telecomunicaciones sino al cese de suministro de servicios TI internos. En cualquier caso, los costes de la "no seguridad" son considerables aunque la mentalidad poco preventiva de la cultura española puede justificar esta desgraciada estadística. El artículo de El Economista deja claras las reflexiones principales:

El informe Avoidable Cost of Downtime 2010, realizado por la firma de investigación independiente Coleman Parkes, pone de manifiesto que las pérdidas financieras asociadas a las interrupciones de servicio TI se disparan cuanto más tiempo tardan en resolverse. Para este estudio se han analizado 1.808 organizaciones (incluyendo 200 españolas) con más de 50 empleados y de 11 países europeos.

Los resultados indican que cada organización española registra anualmente una media de 10 horas de interrupción del servicio TI, lo que equivale a más de 90.000 horas en el conjunto de España. Durante el tiempo en el que los sistemas TI críticos para el negocio se ven interrumpidos, las organizaciones españolas estiman que su capacidad para generar ingresos queda reducida a poco más de un tercio (36%).

Enlace: Guía práctica para PYMES: cómo implantar un Plan de Continuidad de Negocio,

Reflexiones en el octavo cumpleaños del blog

Como cada mes de octubre, este blog cumple un año más de presencia en Internet y ya van ocho. Creo importante celebrar el poder seguir sacando un hueco a la semana para compartir aquellas cosas vinculadas con la temática de la que me gusta hablar, la "seguridad de la información". No es fácil y en parte la disminución de la frecuencia de publicación tiene que ver en parte con eso. Sin embargo, este blog me proporciona como autor mucho más de lo que yo puedo dar comentando o reflexionando en voz alta. Es una potente herramienta de aprendizaje que fija e incrementa el conocimiento que voy acumulando. El leer una noticia y plantearte cosas para comentar o escribir hace, por un lado, madurar la información y por otro, reflexionar o tratar de ver otros puntos de vista que pueda extrapolar a la temática del blog.

Como el resto de cumpleaños, toca valorar la evolución del mercado de la seguridad de la información. La crisis obviamente no está dejando títere con cabeza. Sin embargo, nuestra área de conocimiento parece en continua expansión siendo cada vez más relevante su presencia dentro del organigrama de toda Organización importante. No es tanto mérito de la propia seguridad sino de la relevancia que van adquiriendo los sistemas de información y su vital papel en el buen desempeño para proporcionar productos o servicios. De igual forma que la gestión de la tecnología empieza a formalizarse y a definir una serie de actividades para ser un área similar a las demás, con objetivos, métricas e indicadores de desempeño, procedimientos y tareas, el área de la seguridad es más relevante dado que representa el papel de la persona que debe velar por garantizar que todo funcione de forma normal. Y parece que el escenario profesional podrá mejorar gracias a la aparición de nueva legislación que establece cada vez más requisitos sobre seguridad para hacer que las cosas se tomen más en serio de lo que venía siendo tradicional ver en todos los sectores. La noticia que se publicaba a principios de mes sobre  El Decreto sobre seguridad de infraestructuras críticas revela la ausencia de expertos en esta materia y las necesidades de mejorar la oferta formativa para cubrir una demanda incipiente de expertos que con la nueva regulación será de presencia obligada en ciertos sectores. La aparición del R.D. 3/2010 del Esquema Nacional de Seguridad también eleva las necesidades de personal dentro de las Administraciones Públicas aunque en este caso, la carencia tendrá que ser cubierta por profesionales que ya perteneciendo a la propia Administración vayan profundizando en este nuevo área hasta que aparezcan las primeras oposiciones específicas para la figura del responsable de seguridad.

Personalmente creo que todas estas regulaciones son muy buenas noticias para el sector y para aquellos que llevamos cierto tiempo en él dado que nos ha permitido acumular experiencia suficiente para estar perfectamente capacitados para transformarnos de asesores o consultores a capitanes del barco. Recuerdo mis comienzos hace 11 años donde el primer y único empujón que desde la regulación se proporcionó a la seguridad fue la normativa en materia de protección de datos y todos sabemos en qué situación se encuentra todavía el cumplimiento de esta normativa dentro del ámbito público y privado. La aparición en aquel momento de Magerit 1.0 fue un auténtico soplo de aire fresco al enfoque tradicional de seguridad pero ha tardado casi 10 años en calar esta forma de trabajar y sobre todo "gestionar la seguridad". Sin embargo, la nueva normativa asociada a servicios críticos o a sedes electrónicas son cosas mucho más serias y relevantes dado que no solo comprometen la privacidad de ciudadanos sino que pudieran acabar poniéndose en peligro vidas y eso supone siempre que las cosas se tomen mucho más en serio. 

La oportunidad de haber podido participar en todo tipo de proyectos relacionados con el diseño y construcción del área de seguridad, sobre todo en las fases más estratégicas da herramientas suficientes para poder asumir sin problemas la Dirección del área de seguridad de la información. En particular, varios de los últimos proyectos están precisamente relacionados con la dirección de oficinas de seguridad que son "proyectos-bastón" para la creación de un área de seguridad en Organizaciones que parten de cero. Y es muy gratificante ver cómo partiendo de un terreno fértil pero desierto, empiezan a crecer los primeros brotes de seguridad y sobre todo, como se empiezan a modificar tendencias y estadísticas negativas que revelaban carencias e incidencias continuas que se van apagando con las decisiones tomadas para reconducir el problema. Cualquiera que vaya a asumir la Dirección de la Seguridad de la Información desde cero, tendrá que trabajar en construir su departamento desde dos puntos de vista opuestos pero complementarios. Como si fuera una pirámide, habrá que volcar esfuerzos en mitigar los problemas del día a día relacionados con la problemática malware, el control de acceso de usuarios y la monitorización del uso de los recursos de la Organización porque es lo que genera incidencias todos los días. Sin embargo, al mismo tiempo, deberá empezar a crear un marco de trabajo que permita definir la estrategia de la Organización tratando de sintonizar el nuevo área con las necesidades de protección que tiene la Organización. El área de seguridad tiene su sentido como herramienta al servicio del resto de la empresa u organización. Por tanto, tenemos que luchar día a día por hacerle la vida más sencilla al resto de los departamentos. Para ello, es vital partir de una foto estática que permita saber de tu organización qué importa, por qué importa y qué riesgos debemos empezar a gestionar de forma prioritaria. Con esta información, ya se puede desplegar un plan mucho más táctico para poder aterrizar esas necesidades y transformarlas en acciones o proyectos que vayan a medio y largo plazo logrando mejorar los resultados en materia de seguridad.Nunca pueden vernos como un enemigo sino como un aliado que lucha con ellos en la misma batalla frente a un enemigo común. Por tanto, los criterios impuestos y autoritarios, sin razonamiento previo son contraproducentes. Lo que hagamos, sea lo restrictivo que sea, deberá estar muy bien justificado por el riesgo, por ser una obligación legal o por ser necesidades de la Organización

Google, malware y el ciclo de gestión de los incidentes de seguridad

Aunque ya lo comenté vía Twitter hace unos días, es de destacar esta inteligente iniciativa del gran buscador por perseguir la lacra del malware. Para ello, han decidido utilizar sus potentes motores que avisan al usuario cuando accede a contenidos maliciosos para notificar al administrador de red responsable de la IP que sirve el contenido de estos hechos. Ello obviamente no va a afectar a aquellos que tienen como parte de su actividad de negocio ser proveedores de contenidos ilícitos pero si va a contribuir a limpiar aquellos equipos donde se ignora que existe malware y el administrador de red también lo desconoce.

El servicio ha sido puesto a disposición de los administradores de sistemas autónomos y requiere previamente el registro en la URL http://safebrowsingalerts.googlelabs.com.

De esta forma ya no pasará desapercibido para aquellos administradores de red que quieran conocer qué tipo de contenidos alojan bajo su direccionamiento qué esconde cada equipo según el examen de seguridad de Google.

Ello enlaza también con otro texto que quería comentar que trata sobre el ciclo de gestión de incidentes. En España todavía las empresas no destinan equipos especiales para la respuesta frente a incidentes y sólo algunas subcontratan este tipo de servicios en los Security Operations Center.

El presente gráfico trata de representar las fases del ciclo de gestión de incidentes y los grupos de atención que deben tratarlo en cada fase. A estas alturas a nadie le sorprenderá ver un ciclo parecido al de Demming (Plan-Do-Check-Act) como eje central de las tareas.

Las distintas fases del ciclo son:

• Plan: La organización se prepara para defender su infraestructura de TI y los datos mediante la evaluación de sus riesgos y su estado de seguridad. Se trata de entender cuales son las posibles amenazas y si somos o no vulnerables a ellas. El chequeo de vulnerabilidades y los test de intrusión pueden ser actividades de esta fase dado que sirven para evitar la detección ajena del fallo siendo nosotros mismos quienes nos preocupemos por hallar agujeros en nuestra infraestructura. La fase de planificación permite a la organización diseñar una arquitectura de seguridad de la información más robusta frente a los ataques comunes o más triviales. Permite que la Organización no quede al descubierto con los continuos escaneos de vulnerabilidades que se realizan ya a diario a través de Internet buscando potenciales víctimas fáciles.

• Resistir: Después de haber planeado sus tácticas de defensa y estrategias, e implementar los componentes apropiados de su arquitectura de seguridad, la organización debe resistir los ataques. Esto implica el uso de tecnologías de protección perimetral que hacen de primera barrera y muro de contención frente a ataques ya dirigidos. Los detectores de intrusos y las herramientas más proactivas como los IPS pueden eliminar también mucho ruido de ataques automatizados utilizando herramientas más sofisticadas. Filtrar el tráfico de red no deseado en ambas direcciones entrantes y salientes, las infecciones de malware (en la medida de lo posible), establecer mecanismos de control de acceso a los datos y aplicaciones basadas en métodos de autenticación robustos, etc. Nótese el uso en esta fase del término "resistir", donde ya suponemos que nos toca responder frente a una agresión intencionada.

• Detectar: Dado que es ingenuo esperar que la organización será capaz de resistir todos los intentos de intrusión, hay que dedicar esfuerzos a detectar los indicios de penetración en nuestros sistemas. Esto implica tener visibilidad y monitorización en todos los niveles de la infraestructura (redes, aplicaciones, datos, etc) y herramientas de detección de intrusos basadas en patrones de uso anómalos mediante la extrusión, la realización de la detección de cambios, la recolección y revisión de los registros, y así sucesivamente. Los datos recogidos en la fase de detección son  fundamentales para investigar el alcance de la intrusión de una vez han sido descubierta. Muchas organizaciones no implementan esta fase correctamente y no recogen evidencias digitales que luego les permita emprender acciones legales si la gravedad del asunto lo requiere.

• Actuar: Una vez que el incidente ha sido detectado, la organización se moviliza para responder a la intrusión. Este proceso generalmente implica entender el alcance del incidente, la situación y su resolución. El análisis de los hechos una vez resuelto el conflicto debe servir para aprender de los errores y debe contribuir a mejorar la fase de planificación inicial de protecciones del nuevo ciclo que comienza.

Lo que es básico e imprescindible es aprender de los errores. Un incidente no queda solucionado cuando acaba el ataque sino cuando se mitiga cualquier remota posibilidad de que los hechos puedan repetirse. El hombre es el único animal que tropieza dos veces en la misma piedra. Sin embargo, una buena gestión del ciclo de vida de un incidente debe evitar precisamente ese segundo tropiezo. La herramienta que Google pone a disposición de los administradores de red mejorará la fase de detección y por tanto, servirá para hacer que se actúe y fortaleza el organismo frente a los ataques ya detectados.  No se trata de creer que se está seguro sino de tener constancia y datos que lo objetiven. Mantener a cero el marcador de buenos frente a malos es el objetivo. El único problema es que el partido tiene hora de inicio pero nunca hora de fin. Hay que mantener la tensión siempre... porque los malos no llaman a la puerta y buscarán el mínimo descuido para entrar.Existe una enorme desproporción entre el esfuerzo del defensor y del atacante.