InfoSecMan Blog

Vuelvo a hacer referencia en este medio a mi buen amigo Miguel García, autor del Blog Gobernanza de TI quien, una vez más, nos obsequia con un excelente artículo  en el que describe claramente los principales conceptos de la Gobernanza de TI, y la aproximación que mediante COBIT puede hacerse a la misma.

Como le indicaba hace unos minutos en un comentario al artículo, creo que uno de los grandes retos que tenemos por delante que a la vez es una cuestión común en determinados clientes, es el de intentar acercar el concepto de Gobernanza de TI a organizaciones en los que realmente no existe un Gobierno como tal (clamor de multitudes! ), o al menos no uno con el nivel de madurez (no personal, sino organizativa y “metodológica”) suficiente para asumir un concepto tan interesante (y tan importante para ellos, … aunque no lo sepan).

Para ello crear una aproximación entendible, medible y efectiva es muy importante. Probablemente el top 10 de las empresas de cada país tengan el nivel para entender y asumir estos marcos organizativos, pero para el resto es necesario trabajar esa aproximación adecuadamente.

A esto debe añadirse el factor humano (como siempre):

• ¿Cómo le dice un “asesor joven e inexperto” (a los ojos del Gobierno) a un ”Gobernador” (20 o 30 años mayor que el Gendarme y con mucho más conocimiento y experiencia que él… o al menos eso cree) que no está gobernando adecuadamente su “país”?
• ¿Cómo le dice un “asesor experto” a un ”Alcalde” que el control que tiene sobre su ciudad, donde hace y deshace tranquilamente porque su “Gobernador” no ejerce el control como tal sobre la plaza “confiando” en su buen criterio (o directamente no teniéndola en cuenta por creer que es una ciudad o villa sin importancia), no debería ser tal, y debería crearse una cadena de valor en la que, probablemente parte de su capacidad de decisión se vea mermada?

Dicho así suena un poco… ¿feo?, pero realmente es posible que si no transmitimos las cosas de forma adecuada, nuestros interlocutores finalmente oigan/entiendan eso. Tenemos trabajo por delante (interesante, eso sí!).

Habréis notado que hace un par de semanas que no aparezco por este medio. La causa no puede ser mejor: he sido padre nuevamente y las prioridades son las que son, por lo que este espacio ha quedado algo desatendido

Aprovechando el embarazo de mi mujer, llevaba ya unos meses observando una situación que me parecía bastante preocupante, y que estaba esperando a publicar aquí a que naciese mi hija: la falta de “autenticación” en los servicios médicos. Me explico.

Desde la primera visita al médico hasta el momento del parto el único mecanismo de autenticación de los servicios médicos hacia la madre ha sido la tarjeta sanitaria que como podéis suponer, no supone autenticación alguna ya que no contiene ningún dato “contrastable” fácilmente (como una fotografía o similar).

Esto que al principio me resultó algo sorprendente, me dejó profundamente preocupado cuando al acudir a urgencias el día del parto tampoco se le solicitó en ningún momento el documento nacional de identidad o algún otro medio de autenticación adecuado. Quiere esto decir que alguien podría suplantar la identidad de la madre (por ejemplo una madre de alquiler) durante todo el embarazo e incluso en el mismo parto de forma muy sencilla (portando su tarjeta sanitaria!!)… con todo el campo de posibilidades que esto proporciona.

Me quedé algo más tranquilo cuando una vez nacida mi hija, al poco tiempo le tomaron las huellas a la madre y a la niña (hombre, al menos un punto de autenticación biométrico, en realidad más bien de registro y malo ya que las huellas están movidas) y me proporcionaron una copia de la ficha que se supone que debería entregar en el Registro Civil al inscribir la recién nacida.

En la inscripción en el Registro, he de comunicaros que en ningún momento me pidieron la ficha, y por tanto pude inscribir a mi hija sin autenticación alguna, nuevamente.

Mi pregunta entonces es: ¿se realiza algún tipo de comprobación con las huellas registradas en la ficha del hospital o es un mero registro? Mi impresión es que únicamente es esto último, aunque si alguien tiene más información sobre este tema, estaría encantado de conocerla.

Esto no deja de confirmar mi desconfianza con los mecanismos habituales de autenticación en el área de la salud donde son tan extremadamente importantes (de ser quien dices que ser a ser otro, puede suponer la extirpación de un órgano vital… o la bienvenida de un nuevo hijo… sin haberlo concebido). De hecho se han dado fraudes importantes  utilizando esa debilidad al cambiar historiales de pacientes más enfermos por otros sanos (por ejemplo para obtener pensiones de forma “maliciosa”) y acontecimientos similares.

… 2 familiares cercanos en diferentes momentos y lugares, ambos con problemas óseos importantes en rodillas, espalda, etc. curiosamente desaparecieron de sus historiales todas las radiografías que tenían, … ¿casualidad?…

Es importante proteger los datos tratados en estas áreas, pero también es importante asegurar su autenticidad e integridad (la disponibilidad, como el valor, se presupone ) ¿Existe alguna medida de obligado cumplimiento en ese sentido?

Esta frase que me ha encantado y con la que estoy totalmente de acuerdo, no es mía (lamentablemente ), sino de Christofer Hoff y aparece publicada en el ISSA Journal de Marzo haciendo referencia al famoso y tan de moda término, Cloud Computing que tantas veces está tratando en su Blog.

La frase hace referencia a que probablemente veríamos a muy pocos de nuestros amigos vociferando en un karaoke alguna canción de los 80 a la vez que la baila y gesticula como un loco y sin embargo, sí que es posible que muchos de ellos estén haciendo lo propio en sus casas con la salvedad que el “karaoke” no se llama así, sino “Guitar Hero” y corre sobre una XBox en el cuarto de estar.

Del mismo modo, compañías o personas que jamás hubiesen externalizado diversos servicios en un entorno de “infraestructuras gestionadas” o alojado sus datos en entornos externos a su organización, ahora comienzan a hacerlo porque repentinamente eso se llama “Cloud Computing”, si bien en los principios básicos, sigue siendo prácticamente lo mismo (si obviamos las importantes diferencias y aproximaciones comerciales actuales…).

Lo cierto es que a día de hoy, yo no creo para nada en este tema tan de moda (quizás tenga que rectificar más adelante, quién sabe ), que como indica Hoff, tiene más de novedad en su aproximación comercial, que en sus principios tecnológicos.

Si queréis profundizar más sobre el tema os recomiendo su Blog Rational Survivability, donde incluye reflexiones, contenidos y opiniones muy interesantes sobre ese tema (y otros). Imprescindible su último post comentando el modelo “Cloud Cube” del Jericho’s Forum y sus impresiones. Echadle un vistazo.

Hoy aparece publicado en el Wall Street Journal y se hacen eco de ello diversos blogs y medios en Internet una noticia que confirma nuestras sospechas y recomendaciones sobre la protección de infraestructuras críticas que ya hace tiempo venimos tratando aquí.

En mis presentaciones y charlas siempre digo que la seguridad de la información en el entorno industrial está al menos 5 años por detrás de la situación en el resto de sistemas corporativos y digo que si pensásemos un mundo en el que un simple catarro pudiese matarnos, estaríamos hablando de la seguridad de los sistemas industriales, la informática industrial y los sistemas SCADA, entre otros.

Pues bien, en el artículo de hoy de Wall Street Journal, se confirma que Estados Unidos ha recibido ataques a sus redes de suministro eléctrico desde China, Rusia y otros países y que han encontrado software y programas maliciosos instalados internamente, preparados para ser activados que podrían causar importantes alteraciones en el servicio en el caso de ser activados (dicen ellos que probablemente estarían preparados para ser activados en caso de guerra o ataque de otro tipo… aunque quizás pueda ser algo teatral, según se lee).

El caso es que desde fuentes oficiales se confirman estos ataques y estos hechos. Así mismo indican que los hallazgos no han sido descubiertos por las compañías que mantenía los sistemas sino por ”agencias de intelegencia gubernamentales”, lo que no deja de ser aún más preocupante, y dejan datos como que durante los últimos 6 meses se han gastado más de 100 millones de dólares en reparar “ciber-daños” (es decir problemas causados desde el “ciberespacio”).

Quizás esta sea una de las causas del importante programa de defensa del ciberespacio que la “administración Obama” está desplegando, dedicando importantísimos recursos monetarios, humanos y organizativos a este tema.

Como ya habíamos comentado aquí, existen varias normativas y estándares de obligado cumplimiento en ese país para empresas de suministro energético, aguas, etc. Parece que están en el camino de tomar las riendas en el problema y comenzar una aproximación al mismo.

Ya preguntaba antes aquí cuál era la situación en nuestro país en este sentido… y no he recibido ningún comentario ni contestación… lo cuál no deja de confirmar mi preocupación (que se acentúa cada vez que conozco alguna instalación crítica). Deberíamos estar haciendo algo… si no lo estamos haciendo ya ¿no creéis?

Podéis acceder al artículo completo aquí. Os recomiendo su lectura.

No, no me estoy refiriendo a aquellas en las que conocemos a la persona que vamos a quedar para cenar sino a la recopilación que Edgar y Dani han tenido a bien a compartir con todos nosotros en su excelente Blog. Enhorabuena a ambos, muy divertido… y un buen material para concienciación en seguridad.

Recojo a continuación solo las 10 primeras … quien quiera leer el resto que lo haga en el Blog de los autores, que para eso se las han trabajado :)

1.- Cuanto más inseguro te sientes más seguro te haces
2.- El umbral de seguridad aceptable no existe
3.- Los mecanismos de cifrado únicamente retardan lo inevitable
4.- La seguridad, ¿se quiere o se necesita?
5.- Confianza no es sinónimo de seguridad
6.- Mi seguridad empieza donde empieza la tuya
7.- No desearás el firewall del prójimo
8.- No hay que matar moscas a cañonazos, olvida el formateo como primera opción
9.- La seguridad es directamente proporcional a los incidentes sufridos
10.- La seguridad es como un iceberg, la mayor parte no se ve pero está ahí

Enhorabuena a ambos de nuevo!

El fin de semana pasado tuve que ejercer de “informático” de la familia formateando y reinstalando el ordenador de mi madre. Por una serie de razones que no vienen ahora a cuento el sistema operativo a instalar fue Windows 2003 y como estaba “jugetón” decidí hacer un sencillo experimento para comprobar si las estadísticas son ciertas o no.

Instalé ese sistema operativo en el equipo desconectado de la red y una vez que estuvo en correcto funcionamiento, sin antivirus ni firewall ni router que lo protegiese (ni parches aplicados) decidí pincharlo directamente a la red del operador de cable (TeleCable) para ver qué ocurría.

Y ocurrió lo que, si las estadísticas no mienten, tenía que ocurrir. Lo mismo que si nos lanzamos en medio de un mar lleno de tiburones hambrientos, o lanzamos un bebé a un río repleto de pirañas: el equipo de mi madre fue “devorado” antes de que mi reloj marcase el segundo número 30 desde que conectase el cable de red. En efecto, en el segundo 29 Windows 2003 mostró una ventana indicando un error y problema en los RPC y anunciando su reinicio en 40 segundos… y así lo dejé durante 3 reinicios seguidos (es decir, algo menos de 10 minutos).

Con el cadáver (del ordenador de mi madre) aún fresco y desconectado nuevamente de la red, instalé un antivirus y procedí a su limpiado. El resultado: 2 troyanos, 1 spyware y 1 virus (así lo etiquetó el antivirus). Todo eso en menos de 3 minutos de conexión efectiva a Internet (el resto fueron reinicios). Lamentable.

El resultado fue el esperado aunque para ser sincero, yo pensaba que aguantaría algo más (¿quizás 5 minutos?). Todo esto me lleva a reflexionar sobre lo siguiente. ¿Es normal que un producto que se compra no sea utilizable en absoluto sin una “reparación” previa? ¿Es normal que no exista ninguna advertencia, notificación o prevención al respecto en el producto? ¿Cómo debe actuar un usuario que desconoce totalmente estos riesgos?… ¿y aún nos extrañamos que el malware nade a sus anchas por nuestras redes (y los ordenadores de nuestra familia )?

Siempre he dicho que este mundo nuestro de la informática, internet, etc. se rige por unas reglas comerciales increíbles. Imaginad la misma situación con cualquier otro producto de consumo (como ya lo es hoy en día la informática personal). Vamos a la tienda, compramos el último modelo de televisión, la traemos a nuestra casa, la enchufamos a la antena y… plaf! se nos apaga. La intentamos encender y vuelve apagarse. Claro!! cómo se nos ocurre conectarla a la red (la antena) sin haber comprado el “chinquiflinqui”, un aparato que debemos situar entre la televisión y la antena para que esta funcione. Ahora tenemos que comprar el famoso “chinquiflinqui” y llevar la televisión al taller para que nos la arreglen y se lo instalen… pagando, por supuesto!. De lo más normal!

¿Por qué no se advierte de tal cosa en las instrucciones de la televisión?

¿Por qué la televisión no incluye un “chinquiflinqui” de serie?

¿Cómo podemos comprar un producto que no funciona desde el primer minuto de su puesta en marcha y considerarlo un comportamiento normal?… ¿seguirán vendiéndose televisiones sin sintonizador TDT dentro de 10 años?

Estamos en un mercado ilógico, pero lleva tanto tiempo siendo así que ya lo vemos como algo normal.

El pasado jueves tuve la oportunidad de asistir a la asamblea ordinaria del Capítulo de Madrid de ISACA donde se anunció la creación de la comisión cuyo nombre podéis ver en el título de este post. Puesto que es un tema que me parece de gran interés y en el que estoy muy involucrado en los últimos tiempos, y además mi amigo Miguel García es el vocal responsable de esta comisión he solicitado a ISACA mi participación en la misma.

Precisamente Miguel recoge en su blog una descripción en detalle de la comisión, sus objetivos, finalidades, etc. que os recomiendo que reviséis si alguno de vosotros está interesado en participar (activamente ).

Seguiremos informando…

El “Global Information Technology Report” (Informe Global sobre Tecnologías de la Información) es un informe que viene publicando durante los últimos 8 años el World Economic Forum sobre las Tecnologías de la Información y el estado de los principales países del mundo en cuanto a las mismas (preparación y situación de las personas, de los negocios y compañías en el país o de los propios gobiernos y estados).

Hace unos pocos días se acaba de publicar el último informe correspondiente a 2008-2009 y por primera vez se hace público el informe completo y está disponible para su descarga desde la página web. Además hay un completo entorno web que permite navegar por el informe y realizar filtros por país, tecnología, etc. lo que nos permite obtener datos realmente interesantes sobre el estado de las TI en distintas regiones y países.

Os recomiendo, si no su lectura (solo para aquellos con paciencia e interés ), sí al menos su revisión. Tiene datos muuuy interesantes. Podéis acceder al informe aquí.

No suelo incluir aquí noticias textuales de otros lugares, sino más bien opiniones sobre las mismas o reflexiones, pero en esta ocasion, aunque ya la recogen en otros medios, quiero dar más difusión aún a una iniciativa excelente de la mano del amigo Jorge Ramió desde la cátedra UPM Applus+ (como suelen serlo, por otra parte, todas las que últimamente vienen de allí ). Se trata del Seminario Gratuito Seguridad en Redes Sociales de la UPM que se celebrará el próximo 6 de mayo y cuya nota de prensa reproducto a continuación. Sin duda, muy muy recomendable!!!

SEMINARIO GRATUITO SEGURIDAD EN REDES SOCIALES EN LA UPM

El 6 de mayo de 2009 se celebrará en la Escuela Universitaria de
Ingeniería Técnica de Telecomunicación de la Universidad Politécnica de
Madrid, el seminario “Seguridad en redes sociales: ¿están nuestros datos
protegidos?”

La asistencia es gratuita, si bien se requiere y recomienda una
inscripción previa.

IMPORTANTE: El seminario se transmitirá por videostreaming a través de los
servicios del Gabinete de Tele-educación de la UPM, GATE, desde una url
que se informará en breve en el sitio Web de la Cátedra. En este caso, no
hace falta inscribirse pues su visualización es libre.

Organizado por la Cátedra UPM Applus+ de Seguridad y Desarrollo de la
Sociedad de la Información, de 09:00 a 14:00 horas se analizarán y
debatirán temas relacionados con la seguridad de nuestros datos de
carácter personal en este tipo de redes sociales, entornos virtuales que
han adquirido una notable notoriedad pública en estos últimos años,
convirtiéndose en un verdadero fenómeno de masas y de máxima actualidad.

Siguiendo el reciente informe “Estudio sobre la privacidad de los datos
personales y la seguridad de la información en las redes sociales online”,
elaborado por el Instituto Nacional de Tecnologías de la Comunicación
INTECO y la Agencia Española de Protección de Datos AEPD, con fecha de
febrero de 2009, podemos destacar de dicho documento:

“La notoriedad de estos espacios sociales online no queda exenta de
riesgos o posibles ataques malintencionados. Es una preocupación de las
organizaciones nacionales, europeas e internacionales con competencias en
las materias afectadas por el uso de estas redes, que han impulsado la
elaboración de normas y recomendaciones dirigidas a garantizar el acceso
seguro de los usuarios –con especial atención a colectivos de menores e
incapaces- a estas nuevas posibilidades online.”

Por tal motivo, este seminario está dirigido a público en general y de
forma muy especial a jóvenes, adolescentes y padres de familia.

El seminario contará con destacados invitados:

- D. Artemi Rallo Lombarte
Director de la Agencia Española de Protección de Datos AEPD
- D. Arturo Canalda González
Defensor del Menor de la Comunidad de Madrid
- Dña. María Teresa González Aguado
Defensora Universitaria de la UPM
- D. Antonio Troncoso Reigada
Director de la Agencia de Protección de Datos de la Comunidad de Madrid APDCM
- D. Emilio Aced Félez
Subdirector de Registro de Ficheros y Consultoría de la APDCM
- Dña. Gemma Déler Castro
Directora IT & Telecom BU de Applus+
- D. Ícaro Moyano Díaz
Director de Comunicación de Tuenti
- D. Pablo Pérez San-José
Gerente del Observatorio de la Seguridad de la Información, Instituto
Nacional de Tecnologías de la Comunicación INTECO

Las conferencias planificadas son las siguientes:

- “Los menores y las nuevas tecnologías”, de D. Arturo Canalda.
- “Las redes sociales como nuevo entorno de confianza”, de D. Ícaro Moyano.
- “Redes sociales: nueva frontera para la privacidad de los digital
babies”, de D. Emilio Aced.
- “Diagnóstico sobre la seguridad de la información y privacidad en las
redes sociales online”, de D. Pablo Pérez.

Además, se contará con un Coloquio de una hora y media de duración, donde
los asistentes podrán realizar sus preguntas a un grupo de expertos así
como debatir sobre esta temática.

PREINSCRIPCIONES: por limitación del aforo, deberá realizarse una
preinscripción, recomendándose hacerlo en la página Web de la Cátedra UPM
Applus+, siguiendo las instrucciones que aparecen en dicho servidor:

Puede descargar el tríptico en formato pdf con el programa del seminario
desde la página Web de la Cátedra UPM Applus+.

Fecha: miércoles 6 de mayo de 2009
Hora: de 09:00 a 14:00 horas
Inscripción: gratuita pero requiere una inscripción previa
Lugar: Sala de Grados 3004 de la EUITT-UPM, en Madrid
Cómo llegar: http://www.euitt.upm.es/escuela/como_llegar

Para información adicional, por favor dirigirse a Dña. Beatriz Miguel
Gutiérrez a la dirección de correo bmiguelATeuitt.upm.es o bien al
teléfono 91 336 7842, en este último caso con atención solamente de 09:00
a 11:30 horas.

* Se entregará certificado de asistencia con 3 créditos CPE a quien lo
solicite *

De la mano del Blog de NoticeBored de Gary Hinson viene un enlace muy interesante hacia las historias más importantes sobre seguridad SCADA (noticias, intrusiones, ejemplos, etc.) de los años 2008, 2007 y 2006 recopiladas, como no, por la gente de Digital Bond, todo un referente en este campo.

Como comenta Gary, en 2007 la historia sobre el “hackeo” y la toma de control de una central de generación eléctrica tuvo mucha relevancia, mientras que en 2008 probablemente uno de los puntos más importantes es que la industria del agua de Estados Unidos parece haber tomado cartas en el asunto y establecido una hoja de ruta de su seguridad (security roadmap)…Echadles un vistazo, merece la pena (especialmente para vuestras presentaciones sobre estos temas ).

¿Sois conscientes de alguna iniciativa similar en nuestro país? (España). En noviembre de 2007 el Gobierno anunciaba la creación de un Centro Nacional de Protección de Infraestructuras Críticas. He buscado (poco tiempo, la verdad) en la web y no he encontrado nada, salvo diversos enlaces y referencias a esa noticia. He buscado en la web del Ministerio del Interior y lo mismo. ¿En qué se ha quedado esa creación? ¿Alguna noticia? …