Como habríais notado en los últimos tiempos del Blog, no sólo estaba centrado en el ámbito de la seguridad (que por supuesto también) sino que comencé a abordar otros campos que para mí tenían (y tienen) mucho interés como el Gobierno de TI, la Seguridad en Entornos Industriales y Protección de Infraestructuras Críticas, la Psicología de la Seguridad o todo este “nuevo” mundo del Cluod Computing, entre otros.

En esa línea, durante este tiempo (hoy hace 322 días, casi 11 meses, que no actualizaba el Blog) han pasado cosas interesantes:

He tenido una hija que tiene, casualmente, 11 meses … (y ya 8 dientes!)

Estoy cursando el segundo semestre del Grado de Psicología en la UOC y voy por la octava asignatura con unos resultados que me están sorprendiendo muy gratamente (no solo en las calificaciones sino en la nueva perspectiva a aplicar en el resto de temas que estoy manejando).

Desde Intermark seguimos investigando, participando y ejecutando temas de mucho interés en Seguridad en Entornos Industriales. En este sentido muy recientemente hemos coordinado e impartido el 1er Taller de Seguridad en Productos y Sistemas de Control Industrial (SCADA) organizado en nuestro país, coincidiendo con el I Encuentro Internacional CIIP organizado por el CNPIC (Centro Nacional de Protección de Infraestructuras Críticas).

Estoy participando todo lo activamente que puedo en la Comisión para el Buen Gobierno Corporativo de las TIC del capítulo de Madrid de ISACA, en las Comisiones de Seguridad  y de Software de ASIMELEC y en el recientemente constituido grupo de Cloud Computing de dicha comisión, entre otros.

Tras habernos certificado en ISO 27001 el año pasado (además de 166001 y 9001 hace tiempo ya), en Intermark estamos en pleno proceso de implantación de ISO 20000, con un objetivo de certificación antes de final de año.

El Equipo M45 de seguridad en el que participo como Gerente,  lleva ya casi 2 años de feliz andadura con importantes logros y referencias en el ámbito de la Administración Pública. Enhorabuena desde aquí a todos sus participantes. Creo que somos un gran ejemplo de trabajo en colaboración entre empresas y profesionales de un mismo ámbito que en ocasiones pueden ser competidores y en otras aunar esfuerzos en busca de un objetivo común.

Han pasado muchas más cosas, pero creo que con este pequeño resumen (de hecho únicamente con el primer punto sería suficiente) podéis justificar mi ausencia “bloguera”.

Como está próximo mi cumpleaños, voy a intentar “regalarme” el propósito de continuar estando presente aquí con nuevos contenidos y espero que diversas noticias profesionales, del sector (y personales) que puedan ser de vuestro interés.

A los que me habéis ido preguntando: aquí estoy de nuevo. Al resto, ya que estáis leyendo esto, gracias por permanecer a la escucha.

Seguiremos informando

Aprovechando el embarazo de mi mujer, llevaba ya unos meses observando una situación que me parecía bastante preocupante, y que estaba esperando a publicar aquí a que naciese mi hija: la falta de “autenticación” en los servicios médicos. Me explico.

Desde la primera visita al médico hasta el momento del parto el único mecanismo de autenticación de los servicios médicos hacia la madre ha sido la tarjeta sanitaria que como podéis suponer, no supone autenticación alguna ya que no contiene ningún dato “contrastable” fácilmente (como una fotografía o similar).

Esto que al principio me resultó algo sorprendente, me dejó profundamente preocupado cuando al acudir a urgencias el día del parto tampoco se le solicitó en ningún momento el documento nacional de identidad o algún otro medio de autenticación adecuado. Quiere esto decir que alguien podría suplantar la identidad de la madre (por ejemplo una madre de alquiler) durante todo el embarazo e incluso en el mismo parto de forma muy sencilla (portando su tarjeta sanitaria!!)… con todo el campo de posibilidades que esto proporciona.

Me quedé algo más tranquilo cuando una vez nacida mi hija, al poco tiempo le tomaron las huellas a la madre y a la niña (hombre, al menos un punto de autenticación biométrico, en realidad más bien de registro y malo ya que las huellas están movidas) y me proporcionaron una copia de la ficha que se supone que debería entregar en el Registro Civil al inscribir la recién nacida.

En la inscripción en el Registro, he de comunicaros que en ningún momento me pidieron la ficha, y por tanto pude inscribir a mi hija sin autenticación alguna, nuevamente.

Mi pregunta entonces es: ¿se realiza algún tipo de comprobación con las huellas registradas en la ficha del hospital o es un mero registro? Mi impresión es que únicamente es esto último, aunque si alguien tiene más información sobre este tema, estaría encantado de conocerla.

Esto no deja de confirmar mi desconfianza con los mecanismos habituales de autenticación en el área de la salud donde son tan extremadamente importantes (de ser quien dices que ser a ser otro, puede suponer la extirpación de un órgano vital… o la bienvenida de un nuevo hijo… sin haberlo concebido). De hecho se han dado fraudes importantes  utilizando esa debilidad al cambiar historiales de pacientes más enfermos por otros sanos (por ejemplo para obtener pensiones de forma “maliciosa”) y acontecimientos similares.

… 2 familiares cercanos en diferentes momentos y lugares, ambos con problemas óseos importantes en rodillas, espalda, etc. curiosamente desaparecieron de sus historiales todas las radiografías que tenían, … ¿casualidad?…

Es importante proteger los datos tratados en estas áreas, pero también es importante asegurar su autenticidad e integridad (la disponibilidad, como el valor, se presupone ) ¿Existe alguna medida de obligado cumplimiento en ese sentido?

La frase hace referencia a que probablemente veríamos a muy pocos de nuestros amigos vociferando en un karaoke alguna canción de los 80 a la vez que la baila y gesticula como un loco y sin embargo, sí que es posible que muchos de ellos estén haciendo lo propio en sus casas con la salvedad que el “karaoke” no se llama así, sino “Guitar Hero” y corre sobre una XBox en el cuarto de estar.

Del mismo modo, compañías o personas que jamás hubiesen externalizado diversos servicios en un entorno de “infraestructuras gestionadas” o alojado sus datos en entornos externos a su organización, ahora comienzan a hacerlo porque repentinamente eso se llama “Cloud Computing”, si bien en los principios básicos, sigue siendo prácticamente lo mismo (si obviamos las importantes diferencias y aproximaciones comerciales actuales…).

Lo cierto es que a día de hoy, yo no creo para nada en este tema tan de moda (quizás tenga que rectificar más adelante, quién sabe ), que como indica Hoff, tiene más de novedad en su aproximación comercial, que en sus principios tecnológicos.

Si queréis profundizar más sobre el tema os recomiendo su Blog Rational Survivability, donde incluye reflexiones, contenidos y opiniones muy interesantes sobre ese tema (y otros). Imprescindible su último post comentando el modelo “Cloud Cube” del Jericho’s Forum y sus impresiones. Echadle un vistazo.

En mis presentaciones y charlas siempre digo que la seguridad de la información en el entorno industrial está al menos 5 años por detrás de la situación en el resto de sistemas corporativos y digo que si pensásemos un mundo en el que un simple catarro pudiese matarnos, estaríamos hablando de la seguridad de los sistemas industriales, la informática industrial y los sistemas SCADA, entre otros.

Pues bien, en el artículo de hoy de Wall Street Journal, se confirma que Estados Unidos ha recibido ataques a sus redes de suministro eléctrico desde China, Rusia y otros países y que han encontrado software y programas maliciosos instalados internamente, preparados para ser activados que podrían causar importantes alteraciones en el servicio en el caso de ser activados (dicen ellos que probablemente estarían preparados para ser activados en caso de guerra o ataque de otro tipo… aunque quizás pueda ser algo teatral, según se lee).

El caso es que desde fuentes oficiales se confirman estos ataques y estos hechos. Así mismo indican que los hallazgos no han sido descubiertos por las compañías que mantenía los sistemas sino por ”agencias de intelegencia gubernamentales”, lo que no deja de ser aún más preocupante, y dejan datos como que durante los últimos 6 meses se han gastado más de 100 millones de dólares en reparar “ciber-daños” (es decir problemas causados desde el “ciberespacio”).

Quizás esta sea una de las causas del importante programa de defensa del ciberespacio que la “administración Obama” está desplegando, dedicando importantísimos recursos monetarios, humanos y organizativos a este tema.

Como ya habíamos comentado aquí, existen varias normativas y estándares de obligado cumplimiento en ese país para empresas de suministro energético, aguas, etc. Parece que están en el camino de tomar las riendas en el problema y comenzar una aproximación al mismo.

Ya preguntaba antes aquí cuál era la situación en nuestro país en este sentido… y no he recibido ningún comentario ni contestación… lo cuál no deja de confirmar mi preocupación (que se acentúa cada vez que conozco alguna instalación crítica). Deberíamos estar haciendo algo… si no lo estamos haciendo ya ¿no creéis?

Podéis acceder al artículo completo aquí. Os recomiendo su lectura.

Recojo a continuación solo las 10 primeras … quien quiera leer el resto que lo haga en el Blog de los autores, que para eso se las han trabajado :)

1.- Cuanto más inseguro te sientes más seguro te haces
2.- El umbral de seguridad aceptable no existe
3.- Los mecanismos de cifrado únicamente retardan lo inevitable
4.- La seguridad, ¿se quiere o se necesita?
5.- Confianza no es sinónimo de seguridad
6.- Mi seguridad empieza donde empieza la tuya
7.- No desearás el firewall del prójimo
8.- No hay que matar moscas a cañonazos, olvida el formateo como primera opción
9.- La seguridad es directamente proporcional a los incidentes sufridos
10.- La seguridad es como un iceberg, la mayor parte no se ve pero está ahí

Enhorabuena a ambos de nuevo!

Instalé ese sistema operativo en el equipo desconectado de la red y una vez que estuvo en correcto funcionamiento, sin antivirus ni firewall ni router que lo protegiese (ni parches aplicados) decidí pincharlo directamente a la red del operador de cable (TeleCable) para ver qué ocurría.

Y ocurrió lo que, si las estadísticas no mienten, tenía que ocurrir. Lo mismo que si nos lanzamos en medio de un mar lleno de tiburones hambrientos, o lanzamos un bebé a un río repleto de pirañas: el equipo de mi madre fue “devorado” antes de que mi reloj marcase el segundo número 30 desde que conectase el cable de red. En efecto, en el segundo 29 Windows 2003 mostró una ventana indicando un error y problema en los RPC y anunciando su reinicio en 40 segundos… y así lo dejé durante 3 reinicios seguidos (es decir, algo menos de 10 minutos).

Con el cadáver (del ordenador de mi madre) aún fresco y desconectado nuevamente de la red, instalé un antivirus y procedí a su limpiado. El resultado: 2 troyanos, 1 spyware y 1 virus (así lo etiquetó el antivirus). Todo eso en menos de 3 minutos de conexión efectiva a Internet (el resto fueron reinicios). Lamentable.

El resultado fue el esperado aunque para ser sincero, yo pensaba que aguantaría algo más (¿quizás 5 minutos?). Todo esto me lleva a reflexionar sobre lo siguiente. ¿Es normal que un producto que se compra no sea utilizable en absoluto sin una “reparación” previa? ¿Es normal que no exista ninguna advertencia, notificación o prevención al respecto en el producto? ¿Cómo debe actuar un usuario que desconoce totalmente estos riesgos?… ¿y aún nos extrañamos que el malware nade a sus anchas por nuestras redes (y los ordenadores de nuestra familia )?

Siempre he dicho que este mundo nuestro de la informática, internet, etc. se rige por unas reglas comerciales increíbles. Imaginad la misma situación con cualquier otro producto de consumo (como ya lo es hoy en día la informática personal). Vamos a la tienda, compramos el último modelo de televisión, la traemos a nuestra casa, la enchufamos a la antena y… plaf! se nos apaga. La intentamos encender y vuelve apagarse. Claro!! cómo se nos ocurre conectarla a la red (la antena) sin haber comprado el “chinquiflinqui”, un aparato que debemos situar entre la televisión y la antena para que esta funcione. Ahora tenemos que comprar el famoso “chinquiflinqui” y llevar la televisión al taller para que nos la arreglen y se lo instalen… pagando, por supuesto!. De lo más normal!

¿Por qué no se advierte de tal cosa en las instrucciones de la televisión?

¿Por qué la televisión no incluye un “chinquiflinqui” de serie?

¿Cómo podemos comprar un producto que no funciona desde el primer minuto de su puesta en marcha y considerarlo un comportamiento normal?… ¿seguirán vendiéndose televisiones sin sintonizador TDT dentro de 10 años?

Estamos en un mercado ilógico, pero lleva tanto tiempo siendo así que ya lo vemos como algo normal.

Hace unos pocos días se acaba de publicar el último informe correspondiente a 2008-2009 y por primera vez se hace público el informe completo y está disponible para su descarga desde la página web. Además hay un completo entorno web que permite navegar por el informe y realizar filtros por país, tecnología, etc. lo que nos permite obtener datos realmente interesantes sobre el estado de las TI en distintas regiones y países.

Os recomiendo, si no su lectura (solo para aquellos con paciencia e interés ), sí al menos su revisión. Tiene datos muuuy interesantes. Podéis acceder al informe aquí.

Esta certificación culmina un pequeño reto que hace un año nos planteábamos mi gran amigo Nacho y yo: conseguir las certificaciones de ISACA en el periodo de tiempo más corto posible.

Hasta ese momento habíamos orientado inicialmente nuestras certificaciones a los temas más técnicos (probablemente a causa del mercado del que procedíamos), primero con certificaciones de fabricantes, y más tarde viendo claramente la ventaja de las certificaciones independientes, comenzando hace unos años ya con la hoy famosa ISO 27001 (en aquel entonces BS7799) y “emigrando” a obtener el Lead Auditor en tierras anglosajonas, al igual que las de SANS Institute (GIAC) orientadas a auditoría (GSNA, GIAC Systems & Network Auditor, GAWN, GIAC Assessing Wireless Networks, o SSP-GHP, Stay Sharp Google Hacking & Defence).

Siguiendo esa evolución vimos como una opción clara la certificación CISSP (Certified Information Systems Security Professional) por ser muy completa, de alto nivel y muy valorada internacionalmente. Nacho continuó con CEH (Certified Ethical Hacker) y a mí me picó la “curiosidad” de la Continuidad de Negocio, obteniendo el título de BS25999 Lead Auditor.

Fue en ese momento (Febrero de 2008) cuando nos planteamos el objetivo de conseguir CISA y CISM de inmediato (y ya por el camino, surgió CGEIT). Puesto que no es posible presentarse a ambos exámenes en la misma convocatoria (como bien sabréis son el mismo día, a la misma hora, en el mismo sitio), priorizamos en ese momento CISA para Junio y CISM para Diciembre… y procedimos. Aprobamos ambos en las convocatorias correspondientes y llegado el punto, ¿por qué no aplicar para el CGEIT?

El resto ya lo sabéis. Hoy veo cumplido el objetivo de hace unos meses, la verdad, con gran satisfacción… y con cierta inquietud. ¿Y ahora qué? Mi mujer y mi hija dicen que me tome un descanso, pero como me conocen ya suponen que será complicado.

Creo que parte de mis reflexiones se van leyendo por aquí y podéis ver que estoy buscando temas interesantes que desarrollar. Incluso me estoy planteando estudiar cosas totalmente distintas, como Psicología (organizacional) o algo en ese sentido… pero tengo que meditarlo y poner en la balanza lo que me aporta y lo que me cuesta (¿un análisis de riesgos? ).

En todo caso, los que mañana se encuentren conmigo (en Gijón será esta vez), saben que están invitados, al menos, a un vermouth Para los que no coincidamos, vaya desde aquí una invitación “virtual” para la próxima vez que nos veamos.

… y… ¿con qué me recomendáis seguir?

Por cierto, ¿qué opináis de las firmas “egocéntricas” (como este post ) como la siguiente y que se ven tanto en foros internacionales? (a mí me parecen totalmente fuera de lugar )

Samuel Linares
CGEIT, CISA, CISM, CISSP, BS25999 & BS7799 Lead Auditor, GSNA, GAWN, SSP-GHD, CNE, CNA, JNCIA-FW, CCSA, CCSE, SCNA, SCSA, Experto Universitario en Protección de Datos…

Siempre he preferido este otro tipo:

SL

(los galones mejor que nos los pongan otros, no nosotros mismos)

Este tipo de servicio es especialmente interesante en situaciones donde deba manejarse adecuadamente la gestión del cambio, donde los directivos o gestores existentes carezcan de ciertas habilidades en determinadas áreas o departamentos o donde se requiera un “empuje” decisivo a un determinado departamento que, tras ser analizado, parece complicado conseguir con los recursos existentes.

En los últimos tiempos vengo asistiendo en determinados foros a situaciones en las que este tipo de servicio puede ser la solución a “enquistamientos” en la forma de trabajar de determinadas áreas (podemos centrarnos ahora en la de seguridad), a la promoción y puesta en valor de estas áreas y a la transferencia de conocimiento y experiencia a directivos de seguridad que, en la mayoría de los casos, el día a día frenético y la búsqueda de obtención de resultados a corto plazo, no les permite elaborar y abordar una visión estratégica que se alinee a medio y largo plazo con los requisitos del negocio (en muchos casos el árbol no nos deja ver el bosque…).

En compañías con un nivel de madurez medio/bajo en seguridad en las que es muy complicado contar con recursos destinados en exclusiva a este campo y por tanto con unos niveles de capacitación en el mismo altos y en las que habitualmente la Dirección de TI tiene que asumir simultáneamente el rol de la seguridad (quedando así relegada a un segundo plano en muchos casos), el uso de un servicio de “Dirección Interina de Seguridad” (Security Interim Management) puede aportar importantes valores a la compañía principalmente mediante la objetividad, alineación estratégica con el negocio, transferencia de conocimiento y establecimiento de procesos  adecuados que eleven el nivel de madurez de seguridad de la organización.

¿Habéis utilizado en algún momento este modelo? ¿Lo veis adecuado en determinadas situaciones?

Dejadme únicamente que enumere algunos conceptos:

• Sistemas Autoregenerativos.
• Sistemas Tolerantes a Intrusiones
• Sistemas de Información “Supervivientes” y “Asegurados Orgánicamente”
• Aplicaciones de Internet Tolerantes a Fallos Accidentales y Maliciosos
• Entornos Distribuidos para Disponibilidad Perpetua de Sistemas de Información Seguros
• Supervivencia Inherente basada en Componentes
• Tolerar intrusiones a través de Reconfiguraciones de Sistemas Seguros
• …

Sí, estamos hablando de lo que se entiende por Sistemas Tolerantes a Intrusiones. Sistemas que además (o en lugar) de prevenir las intrusiones, las toleran y son capaces de lanzar o asegurar ciertas acciones o mecanismos para asegurar su correcto funcionamiento aún en el caso de haber sido comprometidos. Sencillo y brillante a la vez, ¿verdad?.

Con el poco tiempo que he echado un vistazo en Google he visto que ya se está trabajando en esta idea/concepto desde hace más de 10 años, sin embargo (quizás soy yo el ignorante), no he visto alusión a este concepto ni en productos en el mercado ni aplicación del mismo en soluciones de seguridad habitualmente. ¿Vosotros?

Lo más actualizado que he visto es un Workshop que se celebrará en Lisboa en Junio de este año sobre Avances Recientes en Sistemas Tolerantes a Intrusiones, donde dicen que se habrán de temas como:

* automatic recovery and response techniques
* hardware and software virtualization for IT
* leveraging social computing networks for resiliency
* threat of botnet herds and surviving them
* survivability and information assurance in the Cloud
* use of Byzantine fault-tolerant algorithms in IT
* biologically inspired defenses
* diversity and failure independence
* evaluation of IT systems
* theoretical limits of IT
* real world case studies

Insisto, me parece realmente interesante y curiosamente, he de decir que al menos despierta en mí curiosidad y novedad (lo que me alegra muchísimo, como ya sabéis los que leísteis mis reflexiones sobre si no había nada nuevo en el mercado de la seguridad hace algo más de un mes).

Si este concepto pudiese aplicarse a todos nuestros sistemas, ¿cómo cambiaría el escenario actual?. Y si lo aplicásemos a los equipos personales ¿dónde quedaría el malware, el phishing, etc.?… no hablemos ya de su aplicación en Sistemas Industriales o SCADA…

Incluyo a continuación algunos enlaces para posterior investigación. Espero que os sean de interés:

http://en.wikipedia.org/wiki/Intrusion_Tolerance (Definición en la Wikipedia)

http://www.di.fc.ul.pt/tech-reports/02-6.pdf (Artículo Introductorio muy interesante de 2002)

http://www.tolerantsystems.org/ (Recopilación de trabajos en USA. Interesante y hasta sospechoso…)

http://www.navigators.di.fc.ul.pt/it/ Introducción a la Tolerancia a Intrusiones

http://wraits09.di.fc.ul.pt/ 3rd Workshop on Recent Advances on Intrusion-Tolerant Systems