En primer lugar, los asistentes. Finalmente fueron 36 personas las que pudieron asistir al curso (lamento aquellos que os tuvisteis que quedar en lista de espera) que representaron a las principales compañías industriales de nuestro país, especialmente aquellas del ámbito energético. Esto no hace sino confirmar que, en efecto, el sector más maduro en lo que respecta a la Ciberseguridad Industrial probablemente es el energético (o quizás el que más normativas de obligado cumplimiento tiene y quienes primero están siendo notificados en nuestro país por el CNPIC, Centro Nacional de Protección de Infraestructuras Críticas). CEPSA, Enagás, Endesa, Iberdrola o Repsol entre otros, y distintas Centrales Nucleares, estuvieron representados.

Pero también tuvimos la suerte de enriquecer aún más el grupo con fabricantes (como Yokogawa), ingenierías (como Técncas Reunidas, la mayor ingeniería de nuestro país y la quinta del mundo), certificadoras (como Applus) o proveedores de servicios de seguridad (como S21sec). Un grupo multidisciplinar que hizo que pronto surgiese el debate según se iba avanzando en el contenido y a medida que los trabajos en grupo se iban desarrollando.

Momentos álgidos fueron cuando Nacho Paredes mostró ejemplos de Sistemas de Control Industrial vulnerables y accesibles públicamente desde Internet y sin duda la defensa que al final del segundo día, cada grupo de trabajo tuvo que realizar ante el resto del foro, de su presentación a la alta dirección del Plan de Ciberseguridad Industrial que fueron desarrollando durante los dos días.

La competencia fue “feroz” y cada grupo valoró al resto en base a la calidad de la información presentada y su adecuada comunicación. Finalmente los ganadores fueron los representantes del sector nuclear con una excelente presentación en la forma y en el fondo. Se notó su experiencia para defender estos aspectos ante la alta dirección. ¿El premio sorpresa? Unas botellas de vino “personalizadas” identificándolos como ganadores del Primer Curso de Ciberseguridad Industrial

Esto nos sirvió como aperitivo para la cena que ese día organizamos (y que el fabricante de dispositivos de seguridad Sourcefire tuvo a bien patrocinar) y que nos permitió establecer lazos personales más cercanos (aunque los trabajos en equipo y los debates ya habían propiciado ese contacto personal, tan importante).

Finalmente llegó el momento esperado de comprobar el último día, cómo todo lo que habíamos estado describiendo podía llevarse a cabo  de forma real en un entorno controlado basado en la maqueta que preparamos para las pruebas.

Tras introducir distintas herramientas y métodos de análisis y ataque, llegó el momento del nuevo reto, en este caso, hacking ¿Quién sería el primero en vulnerar el sistema saltándose los firewalls, pasando por la red corporativa y llegando a la red industrial para activar la sirena, el ventilador y hacer caer la bola del mundo?

Fue muy ameno comprobar cómo los distintos participantes lograban vulnerar unos y otros dispositivos, pero no acababan de recabar toda la información necesaria para llegar al objetivo. Finalmente el ganador que logró activar la sirena, el ventilador y hacer caer la bola del mundo fue el CISO de Técnicas Reunidas quien se llevó otra botellita personalizada

La percepción y valoraciones del curso por todos los asistentes ha sido muy positiva, habiendo recibido numerosas felicitaciones por su parte. Mi opinión es que el alto nivel y variedad de los asistentes, unido a la oportunidad de colaborar y trabajar en equipo, junto con los debates promovidos por las distintas cuestiones planteadas han hecho que el aprendizaje en el curso haya sido elevado de manera importante. De hecho así comenzaba mi presentación del curso: anticipando que todos los asistentes al mismo (tanto profesores como alumnos) aprenderíamos mucho los unos de los otros si lográbamos compartir nuestras experiencias, opiniones y percepciones. Finalmente fue así y creo que este primer grupo ha sido un claro ejemplo de colaboración y compartición de información.

Ahora, como habíamos convenido, sólo nos queda crear el foro de discusión e intercambio de información “Ciberseguridad Industrial Alumni”  para que todos esos debates e intercambios iniciados en el curso, tengan su continuidad y puedan convertirse en un espacio colaborativo enriquecedor para todos.

Ya para finalizar, para aquellos que os quedasteis en lista de espera del anterior y para los que me estáis preguntando cuándo habrá nuevas convocatorias, estoy encantado de comunicaros que ya hemos fijado dos nuevas ubicaciones para impartir el Curso en Junio. Los lugares y fechas serán los siguientes:

– Gijón: 12 al 14 de Junio
– Madrid: 20 al 22 de Junio

En pocos días publicaremos ya la información detallada sobre cada convocatoria, formulario de inscripción … y alguna novedad que queremos incluir, que esperamos que os resulte de interés. Mientras tanto si queréis manifestar ya vuestro interés en asistir e ir reservando plaza, podéis hacerlo directamente con un email a mi dirección (samuel.linares [at] gmail [dot] com).

Más detalles en breve!

Pues bien, gracias a ISA (International Society of Automation), durante los próximos 14, 15 y 16 de Febrero, se celebrará en Madrid el Primer Curso de Ciberseguridad en Entornos Industriales y Protección de Infraestructuras Críticas que se imparte en nuestro país.

A continuación incluyo los detalles del mismo (podéis inscribiros aquí: http://www.isa-spain.org/actividad.asp?id=216).

RESUMEN

Las Infraestructuras Críticas son aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones del Estado y de las Administraciones Públicas. Por tanto cada vez más su adecuada Protección no sólo se hace necesaria, sino obligatoria a raíz de la publicación de numerosos marcos regulatorios y directivas internacionales a lo largo de todo el planeta.

Analizar y comprender el riesgo asociado a estas infraestructuras y su relación básica con los Sistemas de Control Industrial es necesario para cualquier profesional de la seguridad involucrado o relacionado con áreas como las TIC, energía, industria química y nuclear, sistemas financieros y tributarios, alimentación o transporte, entre otros.

Este taller llevará a los participantes a través del estudio del estado del arte de la Protección de Infraestructuras Críticas y la Ciberseguridad en Entornos Industriales en todo el mundo, tanto en lo que a legislación y normativa se refiere, como a los estándares, iniciativas, marcos de gestión y tecnologías aplicables, consiguiendo así una visión global de la gestión de la seguridad en este tipo de organizaciones que permita al final del día establecer claramente los siguientes pasos a seguir para asegurar una correcta supervisión, gestión e implantación de las medidas necesarias adecuadas.

Después de completar este taller el asistente podrá:

1. Identificar y definir los conceptos de Ciberseguridad en Sistemas de Control Industrial e Protección de Infraestructuras Críticas, sus definiciones y relaciones, analizando los riesgos e impacto en el negocio y en nuestras vidas,  desde las distintas perspectivas de cumplimiento, tecnológicas y de seguridad.
2. Descubrir y analizar el estado del arte de la Protección de Infraestructuras Críticas a nivel internacional (USA y Canadá, Latinoamérica, Europa) en cuanto a regulaciones, iniciativas, estándares, sectores, organizaciones, metodologías, etc.
3. Detectar y analizar la situación actual de la Seguridad en el Sector Industrial y las amenazas y vulnerabilidades de los Sistemas de Control Industrial reconociendo su riesgo asociado.
4. Discutir aspectos organizacionales y de gestión importantes: Director de TI vs. Director de Seguridad vs. Director de Planta vs. Director de Producción/Fabricación. Diseñar y proponer un marco de gestión adecuado en las Infraestructuras Críticas y Entornos Industriales
5. Identificar, describir y adoptar marcos y estándares aplicables en estos entornos: ISA 99, ISO 27001, BS 25999, NIST SP 800-82, etc.
6. Establecer, implementar y adoptar un Programa de Seguridad de los Sistemas de Control Industrial y Diseñar un Plan de Seguridad y Protección de la Infraestructura Crítica.

CONTENIDO DETALLADO

El taller seguirá una metodología participativa de forma que todos los asistentes, mediante la discusión, puesta en común y trabajo en equipo, tengan la oportunidad de asimilar, retener y aplicar más efectivamente los conocimientos adquiridos durante la sesión.

De forma general el contenido de la misma será el siguiente:

1. Introducción. Descripción de la situación socio económica actual y el impacto que la Protección de Infraestructuras Críticas y la Seguridad en Entornos Industriales (o la falta de ellas) puede tener en nuestras vidas, personales y profesionales, en nuestras organizaciones y en nuestros países. (20 min)
2. Términos y Conceptos. Definición e identificación de los distintos términos y conceptos claves: infraestructura crítica, infraestructura estratégica, servicios esenciales, sectores afectados, operadores críticos, plan de seguridad del operador, plan específico de protección, sistemas de control industrial, informática industrial, etc. (30 min)
3. Estado del arte internacional de la Protección de Infraestructuras Críticas: Estados Unidos y Canadá, Latinoamérica y Europa). Revisión del estado de este campo en los distintos países, incluyendo regulaciones, leyes, directivas, iniciativas, sectores, organizaciones sectoriales, grupos de trabajo y estándares. (60 min)
4. Relación entre Protección de Infraestructuras Críticas y Ciberseguridad en Sistemas de Control Industrial: entendiendo el riesgo. Análisis del enlace entre el entorno industrial, el corporativo y su impacto en las organizaciones clave para la supervivencia de un país. Análisis en detalle de un caso práctico: Stuxnet. (60 min). Trabajo en grupos para el análisis de Stuxnet y búsqueda de posibles analogías en distintos entornos (financiero, energético, telecomunicaciones, etc. uno por grupo). (20 min)
5. Aproximación a los Sistemas de Control Industrial. Aspectos básicos de los sistemas de control. Definiciones y explicación de conceptos y componentes claves: SCADA, DCS, RTU, IED, PLC, HMI, FEP, PCS, DCS, EMS, sensores, comunicaciones, wireless (radio, Wifi, microondas, celulares), protocolos (ModBus, ProfiBus OPC, etc.) y capas de red. (60 min). Trabajo en equipo: identificación en grupos de los distintos elementos de un sistema de control sobre documentación proporcionada (15 min)
6. Vulnerabilidades y Amenazas de los Sistemas de Control. El perímetro. Vectores de ataque (líneas de comunicación, accesos remotos y módems, accesos de fabricantes, conexiones a bases de datos, manipulaciones del sistema, etc.). Análisis y contramedidas. (60 min). Trabajo en equipo: análisis de un caso práctico e identificación de vulnerabilidades y contramedidas a adoptar (30 min)
7. Situación Actual de la Ciberseguridad en los Entornos Industriales. Estudio de la tendencia hacia la convergencia entre los sistemas industriales y los corporativos (o de TI tradicional). Resultados de algunos estudios. Ejemplos y casos reales de convergencia y proyectos de convergencia. Análisis de los hechos: “imaginemos un mundo donde un simple resfriado pudiese matarnos: bienvenido al mundo de los sistemas industriales”. Análisis de la seguridad de los sistemas industriales. Regreso al futuro: la seguridad en los sistemas industriales. Algunos casos reales propios sobre problemas de seguridad en los entornos industriales. (60 min)
8. Aspectos Organizacionales y de gestión: Director de TI vs. Director de Seguridad vs. Director de Planta vs. Director de Producción/Fabricación. Aspectos humanos de la seguridad en entornos industriales y protección de infraestructuras críticas. Estudio de distintas alternativas de organización. (30 min).
9. Diagnóstico de la Seguridad en Entornos Industriales. Análisis y puesta en común del diagnóstico de la Seguridad en Entornos Industriales (visión del usuario, del fabricante, de la organización, de las ingenierías, etc.). Siguientes pasos. (30 min). Discusión pública y puesta en común entre los asistentes (15 min).
10. Estándares Aplicables. Descripción general y aplicación en estos casos de ISA 99, ISO 27001, BS 25999, NIST SP 800-82, NERC CIP Standards, etc. (90 min)
11. Recomendaciones y Siguientes Pasos: Estableciendo un Programa de Seguridad de Sistemas de Control Industrial. Diseño de un plan de seguridad y protección de la infraestructura crítica. Estructura. Contenido. Aproximación práctica. (90 min). Trabajo en equipo: análisis de un caso práctico y desarrollo esquema/contenido mínimo de un Plan de Seguridad/Protección. “Role-play” presentación a Dirección del Programa de Ciberseguridad Entorno industrial o Protección Infraestructuras Crítica (120 min)
12. Taller Práctico HOL “Hands On Lab” (360 min). Objetivos:
a. Comprender y aplicar los conceptos relaciones con el diseño de redes seguroas
b. Descubrir y analizar vulnerabilidades en sistemas de control
c. Desarrollar y aplicar estrategias y técnicas de defensa

Este taller permitirá a los asistentes experimentar las dos caras de la Ciberseguridad de los Sistemas de Control:
– Un atacante intentando tomar el control del sistema
– Un gestor intentando defender el sistema de control

Durante los ejercicios, los asistentes serán capaces de identificar componentes vulnerables en la infraestructura del sistema de control, identificar cuáles sería los principales vectores de amenaza y desarrollar las estrategias de mitigación más adecuadas. Para conseguir estos, loa sistentes aprenderán a utilizar aplicaciones software estándares relacionadas con la seguridad como tcpdup/wireshark, OpenVAS o Metasploit, entre otros.

AGENDA

FORMADORES

Samuel Linares
Samuel Linares es Director de Servicios TI y Seguridad de Intermark Tecnologías, Experto Evaluador de la Comisión Europea y Gerente del Equipo de Seguridad M45 del Cluster TIC de Asturias. Con más de 16 años de experiencia en seguridad, integración de sistemas y dirección de proyectos, lidera y ha creado los servicios de Seguridad y TI ofrecidos por Intermark Tecnologías y anteriormente de Tecnocom, una de las 3 mayores compañías del sector TIC en España, implementando numerosas soluciones de seguridad en clientes, desde planes directores de seguridad, auditorías o hacking éticos, hasta diseños de arquitecturas de red y servicios seguras. Cuenta en su haber con varias certificaciones como CRISC (Certified in Risk and Information Systems Control), CGEIT (Certified in Governance of Enterprise IT), CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), CISSP (Certified Information Systems Security Professional), GIAC Systems and Network Auditor (GSNA), GIAC Assessing Wireless Networks (GAWN), BS 25999 Lead Auditor, BS 7799 Lead Auditor por BSI (British Standards Institution) desde 2002, NetAsq CNE y CNA, Juniper JNCIA-FW, Checkpoint CCSA y CCSE o Sun SCNA y SCSA, entre otras. Samuel es Ingeniero Técnico en Informática por la Universidad de Oviedo, Experto Universitario en Protección de Datos por el Real Centro Universitario Escorial Maria Cristina y Davara&Davara y en la actualidad está cursando el Grado de Psicología en la Universitat Oberta de Catalunya.

Ignacio Paredes
Ingeniero Superior en Informática y actualmente trabaja como consultor de seguridad de la información en Intermark Tecnologías. Desde el año 1999 ha desarrollado su carrera profesional involucrado en proyectos de tecnologías de la información y telecomunicaciones para empresas de distintos sectores (telecomunicaciones, industria, logística, ingeniería, administración pública). Es experto en el diseño e implantación de soluciones de seguridad tanto a nivel físico y lógico como organizativo. Con amplia experiencia en campos como el diseño seguro de redes, hackings éticos, la seguridad en entornos industriales, la seguridad en aplicaciones, planes de continuidad del negocio, la implantación de sistemas de gestión de la seguridad ISO 27001, gestión y tratamiento de riesgos.
Entre otras, posee las certificaciones CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), CRISC (Certified in Risk and Information Systems Control), CISSP (Certified Information Systems Security Professional), PMP (Project management Professional), GIAC Systems and Network Auditor (GSNA), GIAC Assessing Wireless Networks (GAWN), ISO 27001 (BS 7799) Lead Auditor por BSI (British Standards Institution), EC-Council Certified Ethical Hacker, NetAsq CNE y CNA, Sun SCNA y Sun SCSA.

José Valiente
Diplomado en Informática de Gestión por la Universidad Pontificia de Comillas, es Especialista en Consultoría Tecnológica y de Seguridad.  Con más de 15 años de experiencia trabajando en Consultoras como Davinci Consulting y Tecnocom en  proyectos de Seguridad y TI para Gran Cuenta y Administración Pública. Cuenta con múltiples certificaciones de soluciones de fabricantes de seguridad y TI (Cisco CCNA y CCDA, System Security Mcafee,  Security Specialist Juniper, Websense Certified Enginer, F5 Bigip Specialist y Radware certified security Specialist)
Actualmente es Gerente de Seguridad en Intermark Tecnologías y experto en la dirección de proyectos para gran cuenta y administración pública. Dirige proyectos de implantación de SGSIs en compañías del IBEX 35 y administración pública, con equipos de trabajo de alta capacitación en seguridad y cuenta con amplios conocimientos en ITIL y PMI, impartiendo formación a empresas del sector financiero y administración pública.

Francisco Uría
Licenciado en Derecho por la Universidad de Oviedo. Experto en Derecho de las Tecnologías de la Información y Comunicación, así como en Seguridad de la Información y Protección de Datos, desempeña en la actualidad las funciones de Consultor Legal dentro de la Dirección de Servicios de TI y Seguridad de Intermark Tecnologías. Además, es ISO 27001 Lead Auditor por BSI (British Standards Institution) y Especialista en Contratación Informática por el Real Centro Universitario de El Escorial.
Actualmente, es también el Responsable del Servicio de Gestión de Órganos de Gobierno de Gobertia Gestión del Conocimiento y Secretario de Consejos de Administración de las empresas de Grupo Intermark.

LUGAR

El curso tendrá lugar en MADRID:
Hotel Meliá Avenida América – C/ Juan Ignacio Luca de Tena, 36
Transporte Urbano: Autobús 146, salida Plaza del Callao y Autobús 114, salida desde Terminal Avenida de América

COSTE

El coste del curso será (I.V.A. INCLUIDO):
– Miembros ISA: 850 euros
– No miembros ISA: 1000 euros
– Sección Estudiantes: 200 euros

Nota: Como bonificación a los no miembros de ISA, se incluye dentro del costo del curso su inscripción gratuita por un año a ISA (costo normal: 100 euros aproximadamente)
Los estudiantes deberán hacer las inscripciones a través de la Sección de Estudiantes de ISA España a la que estén suscritos.
El coste comprende los gastos de impartición del curso, comidas, cafés, y documentación.
Los asistentes deberán llevar un ordenador personal el tercer día.

Esperamos que tenga muy buena acogida y satisfaga vuestras expectativas. Os esperamos a todos en Febrero!!!

Si estuviéseis interesados en organizar alguna otra convocatoria en otras fechas, lugares o “in company”, ponte en contacto conmigo

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

Las amenazas están ahí fuera, las vulnerabilidades existen, el impacto de su explotación en estos entornos es elevado y la obligación de cumplimiento de protección de las infraestructuras, no sólo desde el punto de normativa interna sino de legislación pública, es un hecho. Por tanto es evidente que toda organización en este ámbito debería tomar las medidas técnicas y organizativas adecuadas para disminuir e intentar mitigar el riesgo al que están expuestas.

Buenas prácticas mínimas y habituales en el ámbito de las Tecnologías de la Información, como la segmentación de redes, la defensa en profundidad, la autenticación, criptografía o la detección y prevención de intrusiones, entre otras, deberían incorporarse a los diseños y arquitecturas de los proyectos para garantizar unos niveles de seguridad adecuados a los requisitos de disponibilidad, confidencialidad e integridad característicos de estas instalaciones, sin dejar de lado aspectos organizativos como la segregación de funciones, la adecuada gestión de personal o el cumplimiento normativo, por ejemplo.

Como recomendación mínima, recogeré a continuación a modo de breve resumen, 6 aspectos básicos para la mejora de la seguridad en estos entornos que pueden mejorar considerablemente la seguridad de una infraestructura y disminuir radicalmente el nivel de riesgo al que se ve expuesta. No se trata de volver a inventar la rueda, sino de aplicar los mismos paradigmas, principios y conceptos que llevamos empleando en las últimas décadas en el entorno de las TIC al escenario industrial, eso sí, con las consideraciones y cautelas particulares que sus especiales características requieren:

 1. Defensa en Profundidad. Se trata este de un paradigma o estrategia de defensa por el que, en lugar de establecer un único perímetro o línea de protección, se colocan distintas líneas de protección consecutivas (podríamos hacer el símil con una cebolla y sus capas, o un castillo y sus distintos niveles de protección) de forma que si una de ellas se supera o rompe, siguen existiendo mecanismos de defensa adicionales, teniendo que destinar un número de recursos mucho mayores, en cualquier caso, para intentar superar las distintas líneas de protección.

 2. Segmentación. Toda instalación o infraestructura debería ser dividida o segmentada en distintos dominios de seguridad, esto es, en distintas áreas o segmentos de red que compartan las mismas características en lo que a niveles de protección se refiere de forma que puedan configurarse las medidas técnicas de seguridad adecuadas y realizar un control de las mismas y del acceso entre segmentos o dominios en base a unas políticas y reglas definidas.

 3. Introducción de dispositivos de seguridad como Firewalls, Sistemas de Detección y Prevención de Intrusiones (IDS/IPS), Sistemas de Gestión Unificada de Amenazas (UTMs) o “Diodos de Datos”. La introducción de estos dispositivos de seguridad en los puntos de interconexión de los distintos segmentos y dominios de seguridad de las redes de la organización permitirán aplicar las políticas de seguridad adecuadas en forma de reglas de control de acceso, de detección de actividad maliciosa o de monitorización de la información transmitida por esos segmentos (basándose en protocolos, acciones, servicios, orígenes, destinos, rango horario, etc.). La regla de oro a seguir siempre será denegar todo acceso y actividad salvo  aquellos permitidos explícitamente (prohibición por defecto).

 4. Análisis de vulnerabilidades y Tests de Intrusión. Es conocido, y así lo he expuesto en otros posts anteriores, la existencia de vulnerabilidades en los sistemas y aplicaciones existentes en la organización. Muchas de estas vulnerabilidades pueden existir originalmente en los productos o desarrollos, o aparecer tras cambios, modificaciones, actualizaciones, etc. por lo que es de vital importancia la ejecución periódica (cada ciertos meses, cada año…) de análisis de vulnerabilidades (o incluso tests de intrusión) de los sistemas (de TI tradicional e industriales) que integran la infraestructura de la organización. Estos análisis y auditorías deberán ser realizados por expertos en este tipo de entornos dadas las especiales características y condiciones de los mismos.

 5. Estándares. Para la gestión de la seguridad de los distintos procesos, políticas y prácticas de producción, fabricación e industriales, deberían seguirse estándares internacionalmente reconocidos, probados e implantados. Existen estándares como la ISO 27001 para la gestión de la seguridad de la información, la norma británica BS 25999 para la gestión de la continuidad del negocio o la ISO 20000 para la gestión de servicios de tecnologías de la información. Sin embargo, sin duda en estos entornos es de mayor (y previa) aplicación la norma ISA 99, relativa al Establecimiento y Operación de un Programa de Seguridad de Sistemas de Control y Automatización Industrial, respectivamente. ¿Por qué reinventar la rueda si existen alternativas excelentes en la actualidad? Existen otros estándares o guías de buenas prácticas excelentes, y aplicables a distintos sectores, por lo que a día de hoy, y hasta que exista una referencia clara a nivel Europeo o sectorial, la recomendación es realizar un estudio de los estándares y buenas prácticas existentes en el sector y seleccionar los de mayor aplicación a nuestro caso.

 6. Formación y Concienciación. El último aspecto clave, pero no por ello el menos importante, es la formación y concienciación de los profesionales de planta y producción por una parte y de tecnologías de la información y seguridad por la otra. El ámbito de la ciberseguridad en estos entornos suele ser desconocido para ambos grupos de profesionales, desconociendo en muchos casos las consecuencias, características e impactos ya comentados por lo que deberían establecerse planes de formación adecuados para los distintos colectivos partiendo siempre de un nivel mínimo que recoja al menos los aspectos básicos de concienciación comentados someramente en este documento.

Teniendo en cuenta como línea base mínima estos 6 aspectos, cualquier organización podrá mejorar ostensiblemente la seguridad de sus infraestructuras, lo que redundará en una garantía de disponibilidad de sus servicios que, agregado a otras organizaciones, áreas geográficas e infraestructuras, elevará el nivel de seguridad de las infraestructuras esenciales para la nación.

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

¿Cuáles deberían ser los siguientes pasos ante este nuevo escenario? Es claro que los principales actores en el escenario (fabricantes de sistemas de control y de dispositivos de seguridad, empresas, asociaciones profesionales, ingenierías e integradores) deberían tomar las riendas de los cambios y adaptarse al nuevo entorno.

Los fabricantes de sistemas de control industrial deberían incorporar la seguridad como un requisito más en el diseño de sus productos y arquitecturas incluyendo autenticación fuerte, criptografía y las medidas de seguridad habituales que se incorporan ya de facto en la mayoría de sistemas de TI tradicionales.

La realidad es bien distinta. A día de hoy muy pocos fabricantes de sistemas de control industrial y SCADA están teniendo en cuenta la seguridad seriamente en el diseño de sus productos y soluciones y prueba de ello es la continua publicación desde la aparición de Stuxnet de numerosas vulnerabilidades de distintos fabricantes de conocida reputación en el ámbito industrial. Semanalmente el número de problemas de seguridad publicados en este tipo de sistemas está creciendo exponencialmente.

Los fabricantes de dispositivos de seguridad TIC, por su parte, deberían tener en cuenta las características y requisitos de los sistemas industriales incluyendo entre sus capacidades y funciones el manejo adecuado de los protocolos específicos en este ámbito, así como la incorporación de mecanismos de funcionamiento en tiempo real.

Lamentablemente los principales fabricantes de dispositivos de seguridad del mercado no reconocen a día de hoy la gran mayoría de los protocolos industriales con lo que para la mayoría de las soluciones de seguridad lógica tradicionales implantadas en las compañías,  la comunicación, vulnerabilidades y características de los sistemas industriales son “invisibles”. Sólo existen unos pocos fabricantes en el mercado internacional que han desarrollado productos “de nicho” ofreciendo unos dispositivos de seguridad pensados especialmente para el entorno industrial, que reconocen sus protocolos, características y vulnerabilidades, pero que tienen una cuota de mercado bajísima si lo comparamos con los fabricantes de dispositivos de seguridad tradicionales. En los últimos días precisamente hemos asistido a algunos movimientos en el mercado en este sentido con la reciente adquisición de Byres Security (fabricante de los dispositivos Tofino) por Belden-Hirschmann.

Por su parte, las empresas y usuarios finales tienen como principal gap la falta de concienciación y formación en esta área, además de la, inexistente en muchos casos y deficitaria en otros, comunicación entre las áreas de planta, producción, tecnologías de la información y seguridad. En la mayoría de los casos la organización no es siquiera consciente de los altos riesgos a los que están expuestos ni mucho menos como mitigarlos. Se hace necesaria una labor de divulgación, evangelización y formación importante entre los profesionales de las áreas industrial, de TI y Seguridad.

En este sentido las asociaciones profesionales, de estandarización y sectoriales deberían tomar cierto protagonismo. Existen estándares para la seguridad en los sistemas industriales como ISA 99, para la gestión de la seguridad como ISO 27001 o para la continuidad de negocio como BS 25999, pero, ¿podría tener sentido un estándar o marco de referencia que uniese al menos esos 3 estándares de forma coherente y consistente en el marco que estamos tratando? La respuesta afirmativa parece obvia. Este tipo de iniciativas, así como otras de concienciación y formación deberían ser lideradas por este tipo de asociaciones u organizaciones. A nivel internacional, especialmente en Estados Unidos esta área está mucho más madura y existen iniciativas sectoriales, grupos de trabajo y estudio, etc. mientras que en España únicamente se empiezan a ver tímidas iniciativas de algunas asociaciones como ISA (la Sociedad Internacional de Automatización) que ha incorporado la seguridad como uno de los temas a tratar en sus sesiones
técnicas durante 2011 o INTECO (el Instituto Nacional de Tecnologías de la Comunicación) que en el pasado Encuentro Internacional de la Seguridad de la Información estableció ya un track dedicado a la protección de infraestructuras críticas en el que se trataron también estos temas.

Finalmente uno de los actores con mayor relevancia para el cambio que estamos comentando son las ingenierías e integradores, que son los encargados de diseñar, construir, implantar y en muchos casos mantener las instalaciones industriales. La incorporación de la seguridad no sólo física sino también lógica o ciberseguridad como un requisito más a tener en cuenta dentro de los cuantiosos proyectos que llevan a cabo debe ser un paso imprescindible para conseguir los objetivos que se persiguen. El incremento en los costes globales de este tipo de proyectos por la inclusión de este requisito es mínimo respecto a las ventajas en la disminución de los riesgos asumidos por la organización y por ende, de la nación en muchos casos.

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

Como habríais notado en los últimos tiempos del Blog, no sólo estaba centrado en el ámbito de la seguridad (que por supuesto también) sino que comencé a abordar otros campos que para mí tenían (y tienen) mucho interés como el Gobierno de TI, la Seguridad en Entornos Industriales y Protección de Infraestructuras Críticas, la Psicología de la Seguridad o todo este “nuevo” mundo del Cluod Computing, entre otros.

En esa línea, durante este tiempo (hoy hace 322 días, casi 11 meses, que no actualizaba el Blog) han pasado cosas interesantes:

He tenido una hija que tiene, casualmente, 11 meses … (y ya 8 dientes!)

Estoy cursando el segundo semestre del Grado de Psicología en la UOC y voy por la octava asignatura con unos resultados que me están sorprendiendo muy gratamente (no solo en las calificaciones sino en la nueva perspectiva a aplicar en el resto de temas que estoy manejando).

Desde Intermark seguimos investigando, participando y ejecutando temas de mucho interés en Seguridad en Entornos Industriales. En este sentido muy recientemente hemos coordinado e impartido el 1er Taller de Seguridad en Productos y Sistemas de Control Industrial (SCADA) organizado en nuestro país, coincidiendo con el I Encuentro Internacional CIIP organizado por el CNPIC (Centro Nacional de Protección de Infraestructuras Críticas).

Estoy participando todo lo activamente que puedo en la Comisión para el Buen Gobierno Corporativo de las TIC del capítulo de Madrid de ISACA, en las Comisiones de Seguridad  y de Software de ASIMELEC y en el recientemente constituido grupo de Cloud Computing de dicha comisión, entre otros.

Tras habernos certificado en ISO 27001 el año pasado (además de 166001 y 9001 hace tiempo ya), en Intermark estamos en pleno proceso de implantación de ISO 20000, con un objetivo de certificación antes de final de año.

El Equipo M45 de seguridad en el que participo como Gerente,  lleva ya casi 2 años de feliz andadura con importantes logros y referencias en el ámbito de la Administración Pública. Enhorabuena desde aquí a todos sus participantes. Creo que somos un gran ejemplo de trabajo en colaboración entre empresas y profesionales de un mismo ámbito que en ocasiones pueden ser competidores y en otras aunar esfuerzos en busca de un objetivo común.

Han pasado muchas más cosas, pero creo que con este pequeño resumen (de hecho únicamente con el primer punto sería suficiente) podéis justificar mi ausencia “bloguera”.

Como está próximo mi cumpleaños, voy a intentar “regalarme” el propósito de continuar estando presente aquí con nuevos contenidos y espero que diversas noticias profesionales, del sector (y personales) que puedan ser de vuestro interés.

A los que me habéis ido preguntando: aquí estoy de nuevo. Al resto, ya que estáis leyendo esto, gracias por permanecer a la escucha.

Seguiremos informando

¡¡Muchas gracias a todos por las excelentes aportaciones!!

 ———-
De: Rodney López <rlopez@vertice.cu>
Fecha: 15 de enero de 2009 13:48

———-
De: Christian B. <christianx@gmail.com>
Fecha: 15 de enero de 2009 13:52

Desde mi punto de vista, el principal problema de las pymes con lo que
respecta a la seguridad es el pensamiento arcaico de
problema-solucion, es decir, cuando sucede una catastrofe se le busca
la solucion y se establece un parche para evitar que vuelva a suceder
ese problema especifico. No seria mejor, que se implementaran medidas
para evitar este tipo de situaciones en un primer lugar?

Un analisis de riesgo, como bien haces el paralelismo con un analisis
medico a un paciente, solo va a servir si el paciente confia en el
diagnostico, respeta al doctor y cree en que las soluciones que el
medico puede brindarle van a ser de ayuda. A que voy con esto? Que hay
una.. “incompatibilidad” entre las pymes y el sector de IT. A medida
que el tiempo avanza, cada vez mas empresas empiezan a apoyarse en las
nuevas tecnologias, migracion de formas de trabajo hacia bases de
datos, sistemas de facturacion virtual, camaras por ip, fax virtuales,
voip, cientos de cosas diferentes, pero cuantas de ellas luego
invierten para asegurar esa infraestructura? Cuantas invierten parte
de su presupuesto en mejorar esto? O contratar personal para su
correcto mantenimiento?

Palabras como planes de contingencia o similares son desconocidas y
hasta en algunas es mala palabra porque significan dinero adicional en
bueno, nada tangible (Excepto seguridad fisica, que dentro de todo
esta mas aceptado). Personalmente, creo que el principal problema es
la falta de interes y una mentalidad bastante cerrada ante la
tecnologia, y todos deben conocer algun caso de problemas que hayan
sido causados en una organizacion por esta actitud.

Saludos, Christian Ariel Benitez (I’m not Borghello damn it!!!, jaja :))

———-
De: Rodney López <rlopez@vertice.cu>
Fecha: 15 de enero de 2009 13:57

———-
De: Samuel Linares <samuel.linares@gmail.com>
Fecha: 15 de enero de 2009 14:15

Interesantísimos aportes con los que estoy de acuerdo (en parte):

 

1. Existe una gran distancia a día de hoy entre lo que la mayoría de las empresas con nivel de madurez bajo necesitan (por ejemplo muchas PYMES) y lo que el mercado TI y nosotros, profesionales, les ofrecemos.

 

2. Es totalmente necesaria una aproximación que se adapte a la realidad de las organizaciones y aporte valor a las mismas (para evitar casos como el que comentas, de implantación de SGSI, normas o métodos que no aporten valor real a la organización … si no dolores de… eso :))

 

Cuando me refiero a la aproximación “sin” análisis de riesgos en PYMES, no lo digo de forma general, sino en grupo de PYMES con parámetros comunes (como PYMES de tal región de tal sector, o microPYMES de menos de 5 empleados, etc.). Es cierto que la solución y mejoras que puedas aportar a las 1000, pueda no aplicar totalmente (o ya estar aplicada en el mejor de los casos) a 10 o 20 de ellas, pero habrás elevado el nivel de su seguridad (en el mejor de los casos) a las otras 980 (o 900 por decir algo) y suponiendo que te llevase hacer un análisis de riesgos una hora (ja!), habrías ahorrado 1000 horas de trabajo (unos 6 meses de trabajo de una persona…).

 

Estoy hablando de elevar niveles GLOBALES de madurez y medidas de seguridad. En España está muy de moda la vacuna contra la gripe para la gente de más de 60 años (no sé si es esa la edad exacta). Está claro que un % de esas personas cogerán igualmente la gripe (porque no les sirva), y otros no la cogerán porque no estarán en contacto con la enfermedad (los menos), pero habrá muchos a los que les sirva para evitar contraer esa “enfermedad” y estoy seguro que incluso a algunos más mayores, pueda salvarles la vida (al menos este año…).

 

Abrazos,

SL

 

———-
De: Rodney López <rlopez@vertice.cu>
Fecha: 15 de enero de 2009 14:20

Definitivamente los problemas son mas universales de lo que uno cree , sin embargo el llamado “abismo” entre los especialistas TI y la gerencia o directiva o dirigencia como le quieras llamar es en parte intransigencia de ambas partes pues muchas veces nosotros usamos un lenguaje muy tecnico y por otra parte la directiva muchas veces tratan a las TI y mas especificamente a la seguridad como si le pudieran vender 1 Kg de seguridad en rebaja…y cuando lo pesan en su balanza se quejan de que al kilo le faltan o le sobran gramos…sin embargo, un analisis de riesgo y se puede aplicar a la gestion TI en general es mas que capacidad o pericia tecnica , para mi envuelve 3 factores , la pericia tecnica, el conocimiento organizacional y la capacidad de comunicacion, si somos muy capaces tecnicamente pero nos faltan los otros dos tenemos una evaluacion ineficaz o ineficiente que a la larga significa inefectiva , yo conozco personas que solucionan este dilema mediante el alarmismo…pero para mi ese es un camino peligroso y falto de etica , se trata de informar y hacerlo bien luego de eso …solo queda esperar…  

 

———-
De: VESTER TOMAZIN, DANIEL <dvestert@ypf.com>
Fecha: 15 de enero de 2009 14:56

 

Es verdad lo que comentan de las empresas, no siempre se tiene en cuenta la seguridad. Pero por lo que lei no están teniendo en cuenta el costo-beneficio de aplicar seguridad. En algunos casos es mas barata la catástrofe y el parche que saca adelante el problema que toda la infraestructura, personal, aplicaciones y demás cosas que se necesita para protegerse!!! Lo que las empresas deben saber (que no es fácil) cuanto le cuesta el “parate” que le generara la catástrofe y a partir de ahí  analizar cuanto conviene invertir en seguridad.

Saludos

Daniel

 

———-
De: Tirso Hernandez <tirso@netminds.com.mx>
Fecha: 15 de enero de 2009 17:02

Antes que otra cosa les envío un cordial saludo.

Déjenme comentar que en general estoy de acuerdo en lo expresado por Rodney.

Sin embargo yo creo que habría que hacer algunas apreciaciones al respecto para dejar más claro este asunto.

Primero, el termino PyME (pequeña y mediana empresa) aplica para empresas con un número pequeño de empleados (existen varias clasificaciones pero en general podríamos decir que más de 25 y menos de 250), pero en este grupo de empresas hay las que apenas generan los recursos necesarios para sobrevivir y las que ganan muchísimo dinero y que por lo tanto tienen muchísimos recursos para invertir.

Por otro lado hay manufactureras que tienen procesos productivos como base de sus riqueza y cuentan con poca infraestructura informática (informática en el sentido de información) ya que solo tienen nómina y contabilidad como bienes informáticos, hay también empresas que tienen como su bien más preciado la información con que trabajan (por ejemplo los despachos de profesionales (contadores, abogados, etc.) además existen muchos tipos más.

En este contexto vemos que si bien es posible generalizar, también es necesario conocer bien el o los sectores a los que pertenecen nuestros clientes.

Por otro lado un análisis de riesgos contempla factores que son muy particulares como la situación geográfica y los riesgos ambientales, sociales, etc., por lo que la generalización total sería, desde mi punto de vista, peligrosa y poco práctica.

Como siempre quedo a sus órdenes y en espera de sus comentarios.

Saludos a todos.

 

ATENTAMENTE

 

Tirso Hernández

———-
De: Gustavo Rodriguez <rodriguez.gustavo@gmail.com>
Fecha: 15 de enero de 2009 19:15

El 60% de las empresas mexicanas no realizan un análisis de riesgos; en su esfuerzo por recortar gastos los ejecutivos pueden sacrificar accidentalmente elementos de control clave.

 

http://seguridad-informacion.blogspot.com/2009/01/advierten-riesgos-en-reduccin-de-costos.html

———-
De: Edson Pizarro C. <proyecto.uap@gmail.com>
Fecha: 16 de enero de 2009 7:36

Estimados

 

Noto interesante el tema del Analisis de Riesgos, pero como lei en un comentario pocas empresas  analizan lo que en verdad quieren proteger, siempre reaccionan tardiamente a soluciones inmediatas (parches) a la seguridad.

Quiza por tema de presupuesto ya que muchas veces es dificil aceptar que el area involucrada en resguardar la informacion no cuenta con los conocimientos adecuados con esto no quiero juzgar a nadie pero la alta gerencia no trata de capacitar al personal que tiene a cargo la labor de resguardar la info.

Los tiempo cambian y no solo es necesario la seguridad Fisico.

saludos

edson

———-
De: Carlos Suarez <csuarez@alpat.com.ar>
Fecha: 16 de enero de 2009 13:09

Estimados, muy bueno el debate.

Me sumo con mi humilde opinión.

 

El hecho de prevenir una perdida de información/producción o accidente, esta relacionado a la estructura de mantenimiento a mi entender.

 

Mantenimiento preventivo, para evitar la reparación/Mitigación;

Una vez ocurrido el hecho in fortuito demandaría mantenimiento correctivo.

Siendo este último el de mayor índice de existencia en la mayoría de las empresas.

 

Si el análisis de riesgo es efectivo se traza un plan de ejecución de mantenimiento preventivo, justamente para evitar el riesgo; esto, bajaría el índice de tareas correctivas que generalmente (pero no siempre) consumen mas recursos y generan una perdida o baja en la línea de producción.

 

Es por esto a mí entender, el análisis de riesgo, una herramienta muy valorable para toda empresa. Y este a su vez, único según el caso.

 

No se puede analizar el riesgo de todas las partes funcionales de una empresa, o, mejor dicho, si se puede analizar pero no podemos pretender una efectividad del 100×100 en el análisis, en muchos casos interviene el factor humano (desde siempre imprevisible), también pueden afectar situaciones externas a la empresa.

 

Como en todos los casos entra en juego el factor costo-beneficio, a veces la medida correctiva es mas “barata” que poner en marcha un plan de: análisis de riesgo + oportunas medidas preventivas.

 

Un cordial saludo.

Carlos

———-
De: Javier Hernández™ <javier.hernandez.ar@gmail.com>
Fecha: 16 de enero de 2009 13:15

Excelente forma de ver las cosas.

Lastima que la alta gerencia y/o el comite de seguridad no aplica casi nunca esta forma. (Por lo menos en mi caso particular)

 

Mi pregunta es: Por que se espera que pase algo para hacer algo? Por que tiene que haber un incidente de seguridad para darle importancia a las cosas? la respuesta sigue siendo siempre la misma. Costos!

 ———-
De: Christian B. <christianx@gmail.com>
Fecha: 16 de enero de 2009 20:10

No creo que sea unicamente un tema de costos, muchas empresas tienen
los recursos para mejorar su infraestructura pero lo ven como un
“costo” y no como “inversion”, asi que se deja como esta hasta que es
inevitable que pongan plata por cierta catastrofe. Aparte al ser una
pymes, esos recursos no son taan abundantes asi que si deciden
invertir, lo hacen en otros campos (Como sueldos y bonos! Jjajajja).

Saludos

———-
De: Cristian Borghello | www.segu-info.com.ar <segu.info@gmail.com>
Fecha: 17 de enero de 2009 19:44

Hola,

Muy buen debate. Acaba de salir el Boletin 128 de Segu-Info y en el
mismo se hace un resumen del mismo:
http://www.segu-info.com.ar/boletin/

Quiero aclarar 2 cosas:
– El articulo original de 4 partes pertenece a Adrían Palma de bSecure
y fue publicado en diciembre en nuestro Blog:
http://blog.segu-info.com.ar/2008/12/anlisis-y-evaluacin-de-riesgos-en.html

– En el Boletin se trascribieron partes de la conversación que se
mantuvo aquí. Si se encuentran errores, los mismos me corresponden

Creo q esta metodología de trabajo y posterior publicación podría
emplearse posteriormente para enriquecer los contenidos de cualquier
articulo. Q opinan ?

Saludos
 Cristian

———-
De: Samuel Linares <samuel.linares@gmail.com>
Fecha: 17 de enero de 2009 20:05

Christian, me alegro que la polémica os haya gustado

 

Incluyo a continuación un comentario muy interesante que Joseba Enjuto adjuntó a esta cuestión en mi blog (blog.infosecman.com):

 

Joseba Enjuto January 16th, 2009 10:32 am

Interesante cuestión… Creo que la clave de la pregunta es la omisión (intencionada?) de una palabra. Es necesario siempre realizar un análisis de riesgos FORMAL? No, por supuesto. Todos hacemos análisis de riesgos sin darnos cuenta, continuamente. Si hay muchas personas a punto de morirse, todos somos conscientes de que el activo son las personas, la amenaza la muerte, y el valor final del riesgo es muy alto. Extremo. Y no necesitamos un análisis formal para saber que ese riesgo es el primero que hay que atajar, nuestra propia intuición, sentido común o como queramos llamarlo es quien “hace el trabajo por nosotros”, en lugar de ser nuestra parte más analítica y racional.

En cualquier ámbito de nuestra vida, y la seguridad no es una excepción, funcionan las quick-wins. Acciones “pequeñas”, “baratas” y a menudo sencillas y obvias cuyo efecto es un beneficio grande. Y para aplicarlas no hace falta realizar un análisis de riesgos formal (aunque si lo pensamos bien, para poder valorar ese beneficio hemos tenido que analizar la situación negativa que soluciona, y por lo tanto en mayor o menor medida habremos analizado sus riesgos, aunque sea cualitativamente y en una fracción de segundo).

Y para terminar, esa identificación previa de las carencias generales, como bien dices, no deja de ser un análisis de riesgos (carencias de seguridad que identificamos como “graves”). En defnitiva, que lo que no es necesario hacer siempre es un análisis de riesgos formal, porque en realidad los análisis de riesgos no los podemos evitar, aunque sean intuitivos.

————-

… y mi contestación:

Samuel January 16th, 2009 11:26 am

Totalmente de acuerdo. Has entendido exactamente lo que quería transmitir (y lo que omitía intencionadamente jeje).

Gracias por el comentario Joseba, como siempre.
Gracias a todos por vuestros comentarios!

Un abrazo,

SL

———-
De: Mauro Graziosi <mgraziosi@gmail.com>
Fecha: 19 de enero de 2009 12:24

Samuel:
Ahora que se habla de análisis de riesgo FORMAL estoy en un 100% de acuerdo para aplicación en las empresas de menos de 20 equipos, en especial de las de menos de 5 equipos.
Ocurre frecuentemente en nuestra empresa que al realizar un análisis de riesgos inicial nos encontramos con realidades prácticamente similares en un 99% de los casos, motivo por el cual notamos realizamos el mismo proceso una y otra vez obteniendo los mismos resultados.
De la misma manera notamos que las acciones a realizar para asegurar estas microempresas son las mismas ya que ellas tienen todas los mismos problemas básicos.
Voy a dar algunos ejemplos prácticos para microempresas:
En general empiezan teniendo problemas porque los equipos informáticos son adquiridos de distintos comercios y cada comercio configura los equipos de diferente manera, luego llega la hora de los inconvenientes con estos (ya sea de hardware o software) por lo que son atendidos por más de una empresa o particular para solucionar sus problemas. Como se basan en problema-solución, entonces si tienen muchos virus se instalan muchos antivirus (he visto hasta 4 antivirus con monitor funcionando al mismo tiempo).
En la empresa se acostumbran a este tipo de soporte, de manera tal que los equipos nunca están a un 100% de su performance y mucho menos de seguridad. Entonces, salvo que el equipo no funcione se sigue usando. Cuando se llama al servicio informático esperan una respuesta inmediata (que en el 99% de los casos no la tiene porque no existe un compromiso de ninguna de las partes).
Cuando ocurren problemas vinculados con la rotura de algún disco se dan cuenta que la información estaba unicamente en los puestos de trabajo y que nunca se realizó un backup de la información, que todos acceden a la información compartida en todos los puestos con permisos totales (inclusive el malware).
 Y así sucesivamente vemos que muchas empresas están en la misma situación y que inclusive pasan por los mismos estados de inseguridad-seguridad a medida que maduran.

Creo que un análisis general de los riesgos de un sector es útil, porque al fin y al cabo, sería útil para que se puedan compartir experiencias generales sobre sectores con problemas similares y permitir asegurar muchas microempresas que no son alcanzadas por las grandes consultoras, pero que no por eso tienen o causan problemas de seguridad a diario.

Saludos

———-
De: Samuel Linares <samuel.linares@gmail.com>
Fecha: 17 de enero de 2009 20:05

Interesante cuestión… Creo que la clave de la pregunta es la omisión (intencionada?) de una palabra. Es necesario siempre realizar un análisis de riesgos FORMAL? No, por supuesto. Todos hacemos análisis de riesgos sin darnos cuenta, continuamente. Si hay muchas personas a punto de morirse, todos somos conscientes de que el activo son las personas, la amenaza la muerte, y el valor final del riesgo es muy alto. Extremo. Y no necesitamos un análisis formal para saber que ese riesgo es el primero que hay que atajar, nuestra propia intuición, sentido común o como queramos llamarlo es quien “hace el trabajo por nosotros”, en lugar de ser nuestra parte más analítica y racional.

Y para terminar, esa identificación previa de las carencias generales, como bien dices, no deja de ser un análisis de riesgos (carencias de seguridad que identificamos como “graves”). En defnitiva, que lo que no es necesario hacer siempre es un análisis de riesgos formal, porque en realidad los análisis de riesgos no los podemos evitar, aunque sean intuitivos.

———-
De: Mauro Graziosi <mgraziosi@gmail.com>
Fecha: 19 de enero de 2009 12:24

Samuel:

Y para terminar, esa identificación previa de las carencias generales, como bien dices, no deja de ser un análisis de riesgos (carencias de seguridad que identificamos como “graves”). En defnitiva, que lo que no es necesario hacer siempre es un análisis de riesgos formal, porque en realidad los análisis de riesgos no los podemos evitar, aunque sean intuitivos.

———-
De: Alvaro Vanni <avanni@ama.com.uy>
Fecha: 19 de enero de 2009 13:57
Para: forosi@googlegroups.com

Aquie les dejo mi experiencia ,

 

Hace poco menos de dos meses , certifique una empresa en 27001. Fue un proceso de 4 meses.  Focalize mi esfuerzo en hacer una analisis de riesgo granulado , para dar una idea contaba con 140 activos y me quedo un analiais de riesgo de 680 registros , de los cuales mas de 130 se debian tratar. El analisis de riesgo llevo 175 hrs de trabajo.

 

Independientemente de la certificacion , lo que mas valoro la empresa fueron las vulnerabilidades encontradas en el Analisis de riesgo.

 

En mi opinion creo que para una empresa que nunca hizo tal evaluacion , es importante al menos hacerlo bien la primera ves.  Luego  si la empresa tiene la madurez como para incorporar el concepto de riesgo en cada activo nuevo que incorpore o cada cambio de proceso que realize no seria necesario revisarlo muy amenudo , tal ves una ves al año seria lo aconsajeble.

 

Comparto lo que han dicho , sobre las generalidades entre empresas y el concepto de siempre pensar en seguridad … , pero si el Analisis de Riesgo de hace a conciencia , del cruzamiento sistematico de activos con amenzan , surgen combinaciones que estoy seguro hemos pasado por alto. Y he de ahi el valor del AR.

 

Tambien les quiero comentar que he visto AR muy pobres , inclusive en empresas certifcadas en 27001. Con un nivel de abstracion tal , que los resultados son tan ovbios que el objetivo del AR parece que solo fue cumplir con los requisitos de la norma.

 

———-
De: Mauro Graziosi <mgraziosi@gmail.com>
Fecha: 19 de enero de 2009 13:11
Para: forosi@googlegroups.com


Alvaro:

2009/1/19 Alvaro Vanni <avanni@ama.com.uy>Certificar ISO <-> microempresa… Me parece que estamos hablando de realidades MUY distintas…

Una microempresa, que no solo es pequeña por cantidad de equipos sino por la experiencia en tecnología no puede estar más lejos de lo que es una certificación.
No se está tratando de decir que NO hay que hacer análisis de riesgo, simplemente que no es necesario un análisis de riesgo FORMAL en empresas u organizaciones con características muy similares (en especial empresas muy, pero muy pequeñas). Siendo el objetivo hacer un análisis más general de un sector en particular, haciendo foco en un efecto vacuna, donde lo que se pretende es no perder tiempo en una actividad donde los resultados más importantes ya son sabidos de antemano.

Para una empresa donde deba certificar es indispensable un buen análisis de riesgo a conciencia, eso no es lo que se discute.

Creo yo, que tal cual como insisten Nacho y Samuel con IS2ME que sigue habiendo falta de entendimiento de la mayoría de los profesionales de seguridad informática y las microempresas…

Observación: 175 x $$$ la hora = valor irreal para una microempresa. Obvio que sería mucho menos el tiempo para una microempresa, pero de todas formas si se pretende atacar a ese mercado dudo que se pueda realizar algo de esta manera…

———-
De: Javier Hernández™ <javier.hernandez.ar@gmail.com>
Fecha: 19 de enero de 2009 13:13

Alvaro, que suerte que tuviste en seguir los pasos para la certificacion de una empresa en la 27001, y realizar el Analisis de Riego. Por favor, dentro de tus posibilidades, creo que a todo el foro, le gustaria saber que procesos llevaron a cabo para realizar el analisis de riesgo.

 

Saludos.

———-
De: Mariano Mileti <mariano.mileti@gmail.com>
Fecha: 19 de enero de 2009 17:58

Mi humilde (muy humilde) opinión al respecto…

Me detengo 2 minutos en esto último que hace referencia al primer renglón de lo que escribí.

Uno sin hacer un análisis cuando llega a una PYME y ve (al pasar) que de servidor tienen una PC común, no hay estabilizador, el “servidor” es la PC del jefe, el sistema que utilizan esta programado por un pasante de 1er año de la facultad o en algún sistema obsoleto (que anda mal y todo el mundo se queja), la red esta montada sobre cables pasados por el costado de los escritorios (muchas veces junto con la cadena de zapatillas que alimenta varias PC’s), en fin… millones de ítems que a simple vista (sin ser necesario un análisis profundo) llevan a que a uno no le haga falta hacer un “análisis de riesgos” ya que las medidas a tomar en esa situación son standard.

Pero ojo… uno no hizo un análisis profundo, no hace falta si uno ve que la PC de escritorio del jefe es el servidor  y que si el sistema que hay en esa PC se compromete la empresa funde (cosa que sucede mas seguido de lo que uno cree), uno YA SABE que es necesario ubicar el sistema en un servidor dedicado el cual TIENE que tener respaldo. Pero al NOTAR eso, uno ya hizo un análisis y evaluó que era la primera acción necesaria.

 

En resumen…

No es que no sea necesario hacer un análisis de riesgos. Sino que nos alcanza (y muchas veces nos sobra) un diagnostico rapido a la hora de analizar una PYME promedio.

Ya si uno en una primera medida no “nota” los riesgos mas comunes uno realizara uno detallado.

 

 

Saludos

Mariano Mileti

 

 

———-
De: Samuel Linares <samuel.linares@gmail.com>
Fecha: 19 de enero de 2009 18:11
Para: forosi@googlegroups.com

Hola amigos,

 

En efecto, como vamos desbrozando según pasan los mensajes, la palabra clave no mencionanda intencionadamente (por aquello de crear polémica y que nos animemos un poquito ) y que muy hábilmente intuyó Joseba es FORMAL que, seamos realistas, es a lo que habitualmente llamamos un análisis de riesgos (sin más adjetivos)

 

Y lanzo ahora una cuestión “pensando en voz alta”: ¿es posible “formalizar” en cierta medida, con lógica, proporción, efectividad y eficiencia este análisis digamos “informal”? Quiero decir, ¿cabe una aproximación “formal” distinta a la “tradicional” a un análisis de riesgos en este tipo de empresas?

 

Abrazos,

SL

 

——–
De: Tirso Hernandez <tirso@netminds.com.mx>
Fecha: 19 de enero de 2009 18:58

Permítanme un comentario, creo que cuando llegas con un cliente y te contrata para que te hagas cargo de la seguridad de su información, lo menos que puedes hacer es cumplir con sus expectativas y ayudarlo de la mejor manera posible.

Estoy de acuerdo en que debemos de ser cada vez más formales en este tipo de actividades, recordemos que como profesionales de la seguridad, debemos de basarnos cada vez más en procesos identificados, mapeados y mejorados, a fin de establecer políticas y procedimientos que aseguren hasta donde sea posible preservar la integridad, confidencialidad y disponibilidad de la información.

Si no hacemos un levantamiento de los riesgos a que está expuesta la información de nuestros clientes ¿cómo lo protegeríamos? ¿o de qué?

Yo creo que este tema es personal de acuerdo a lo que cada uno cree que un profesional de la Seguridad de la Información debe o debería de hacer.

Personalmente realizo el análisis siempre, algunas veces más o menos profundo de acuerdo a las circunstancias, pero siempre lo hago.

Recordemos que hay algunos riesgos que aparentemente están fuera del ámbito informático y que no siempre los tomamos en cuenta, pero que en la realidad amenazan la integridad, confidencialidad o disponibilidad de la información de las organizaciones, y estos también deberían ser evaluados y mitigados por los profesionales de la seguridad.

saludos

———-
De: Alvaro Vanni <avanni@ama.com.uy>
Fecha: 19 de enero de 2009 20:04

Con gusto .

 

1.- Identificacion de Activos y clasificacion de Activos. ( se aconseja que sea un grupo de personas de diferentes ambitos, los que participen en esta tarea )

     Se tomo como guia el diagrama de procesos de la empresa , de esta forma no nos olvidamos de ningun Activo y ademas , al tener documentado en los procesos que esta involucrado el activo , tambien nos sirvio para el PCN .

 

 

3.-  Para la clasificacion se utilizo la Ubicacion del activo y una Categorizacion , para esta ultima utlizamos la brindada por la Metodologia de Magerit II.

 

4.-  Se valora cada grupo de activos claisficados , haciendo el promedio ponderado pesimista de cada uno de los criterios.

 

5.-  Luego se tomo cada Grupo de Activos , y se lo cruzo con una lista de Amenzas , tambien sacada del Magerit II ( se extendio un poco la lista )

 

6.-  Para cada cruze , se estima el valor de Prohabilidad ( de que impacte esa amenaza sobre el grupo de activos) y el nivel de Vulnerabilidad ( que tan eficientes son los controles que se tienen ). Tambien se utilizan una tabla de valoracion del 1 al 5.

 

7.-  En funcion de la Prohabilidad y el Nivel de Vulnerabilidad se calcula el Grado de Exposicion.

 

8..- Luego se determina a que criterio  D,I,C afectaria al activo si impactara con existo la amenza.

 

9.  En funcion del Grado de Exposicion y el Valor del criterio afectado , se calcula el Riesgo.

 

10. Para finalizar , se estipula por ejemplo   “que todas aquellos registros que el riesgo sea mayor a 6 , deben de ser mitigados , y los menores a este se asumen”  

 

11. Y ahi empieza la tarea de determinar para cada cruze con un riesgo superior a 6 , cuales son los controles de la norma que hay que implementar para mitigarlos.

 

En resumen , esta fue un poco la metodoligia aplicada.

 

Cualquier cosa a las ordenes.

 
———-
De: Ojeda Knapp, Martin <martin.chile@gmail.com>
Fecha: 19 de enero de 2009 19:07

A mí me ha servido en estos casos MSAT http://www.microsoft.com/downloads/details.aspx?FamilyID=cd057d9d-86b9-4e35-9733-7acb0b2a3ca1&displaylang=es  ya con esto se puede dar una pequeña línea base para comenzar a controlar riesgos. Está basado en Defensa en profundidad.

2.-  Se valoro cada activo , en funcion de cada criterio “Disponibilidad” , “Integridad” , “Confidencialiad”  , utilizando una escala del 1 al 5.

 

 

Defínase Riesgo cualquier instancia que pueda afectar la integridad, confidencialidad, disponibilidad de la información la cual esta contenida en diferentes medios incluso en las cabezas de los empleados. Aquí está la gran piedra de tope pasando por este punto ya se puede hablar de análisis de riego.

 

Para mi primero hay que definir qué información es confidencial y cual es importante para el negocio día a día y que sistemas los soportan ya que proteger toda la información es titánico y poco práctico.

 

Una vez acotado esto los riesgos se manifiestan solos, una vez identificado buscar las mejores prácticas para mitigarlos.

 

 

 

Información general

El Microsoft Security Assessment Tool 4,0 es la versión revisada de la original de Microsoft Security Risk – Self Assessment Tool (MSRSAT), publicado en 2004 y el Microsoft Security Assessment Tool 2,0 publicados en 2006.

 

Las cuestiones relacionadas con la seguridad han evolucionado desde 2004 , nuestro objetivo es disponer de un conjunto de preguntas y respuestas adicionales necesarias para asegurar una amplia gama de herramientas para ayudar a ser más conscientes de las amenazas de seguridad del ecosistema que pueda afectar a su organización.
La herramienta emplea un enfoque holístico para la medición de su postura de seguridad para temas que abarcan tanto: personas, procesos, y la tecnología. Las conclusiones son, junto con la orientación prescriptiva y recomendación de los esfuerzos de mitigación, incluyendo enlaces con más información para la industria de la orientación adicional. Estos recursos pueden ayudarle a ser consciente del mantenimiento de herramientas y métodos específicos para cambiar la postura de seguridad de su ambiente de TI.

 

Al cargar sus datos de la solicitud puede recuperar los datos disponibles más recientes. Para poder ofrecer esta información comparativa, tenemos clientes, como el añadir su información. Toda la información es estrictamente confidencial y ninguna información personal será enviado de ninguna manera. Para obtener más información sobre la política de privacidad de Microsoft, por favor visite:
http://www.microsoft.com/info/privacy.mspx.

 
———-
De: Alvaro Vanni <avanni@ama.com.uy>
Fecha: 19 de enero de 2009 20:51

Mauro :

 

Entiendo!! , solo que el universo de PYMES , es muy grande y te encuentras con todo tipo de organizaciones y no me parecia bueno generalizarlo.

 

Creo que depende de la necesidad de la empresa mas que de su tamaño ,  el tamaño solo va a determinar el esfuerzo en realizar un buen analisis. 

 

Que te lo pagen o no es otro problema.

 

La seguridad de la informacion , no radica esclusivamente en elementos tecnologicos , como un buen firewall o un buen antivirus …  , existe la ingenieria social , el material impreso , etc etc. Muchas veces no se pueden solo aplicar plantillas , hay que conocer a la empresa .  Y para conocerla es escencial saber cuales son sus activos mas preciados y de que forman los manipulan.  Y te aseguro que no hay dos empresas que manejen sus activos de la misma forma.

 

Para mi el AR para la seguridad de la informacion , es como el Relevamiento para el desarrollo de un buen software a medida.  Cuanto mas inviertas en él , obtendras mejores resultados para  tu cliente.

———-
De: Suscripcioneslistas <suscripcioneslistas@yahoo.com.ar>
Fecha: 20 de enero de 2009 12:10

Yo creo que depende del rubro. Las empresas petroleras están exigiendo en algunos casos que sus proveedores se certifiquen. Estos proveedores son pequeñas empresas en donde con suerte llegan a 10 pcs, y no tienen más de 30 o 40 empleados. Pero facturan millones de$ por mes a las petroleras. Por lo tanto es un costo que pueden absorber. Pero es cierto que en otros rubros es imposible.

 

Carlos

Quieras o no siempre estas haciendo un análisis de riesgo, un “diagnostico” lo que diferencia es el nivel de detalle.
Cuando uno habla de PYME hay millones de cosas que no se aplican a la hora de trabajar, seria absurdo en muchos casos hacer un análisis de riesgo detallado, la mayoría de veces primero que nada seria impagable para una PYME promedio (aunque seria una excelente inversión…. o eso al menos es lo que digo cuando me llaman :P), en un segundo nivel veríamos que el 50% de las soluciones a aplicar al análisis de riesgo son imposibles para una PYME por el costo que conlleva y por ultimo los factores de mayor riesgo se pueden ver sin ser necesario un análisis profundo.

 

 

No creo que todas las PYMES tengan carencias comunes , al menos no tan comunes como para poder dar un “diagnostico” basandose en una o un grupo de ellas, cada sistema es implementado de acuerdo a la experiencia de sus gestores y esta experiencia varia demasiado, tanto como para asegurar que dos sistemas dedicados a lo mismo con las mismas caracteristicas su estructura de gestion pueden diferir radicalmente, en este punto me gusta satirizar del principio de invariabilidad de teoria de diseño de algoritmos :No importa cuan bueno sea el sistema siempre te vas a encontrar un grupo de personas que lo hagan funcionar como mier…coles…

El ejemplo del medico esta interesante pero en ultimo  caso seria como tratar una fiebre sin saber las causas, yo sin ser medico te puedo decir que a lo mejor funcione pero realmente lo dudo…en el caso del envenenamiento con plomo , se realizo un estudio y se identifico una causa comun eso seria mas como si existiera un ataque de DoS a varias organizaciones y se identificara el agente , por supuesto que ls solucion podria ser la misma para esas organizaciones, el analisis de riesgo seria mas bien como los analisis que te manda a hacer el seguro o tu empresa para saber que tan bien de salud vas.

En cuanto a la realizacion de un analisis de riesgo general para una clase de organizacion, no creo que sea posible a menos que todos los elementos dentro de la clase se concibieran mediante procesos homogeneos y la influencia humana fuera casi nula o se garantizara desempeño semejante(No olvidemos que si obviamos este factor estamos embarcados) de no ser asi supongamos que el resultado del analisis de riesgo general seria una especie de tendencia central de una variable aleatoria y las desviaciones o desplazamientos que por supuesto basados en la premisa de que cada sistema refleja la medida de la experiencia de las personas existirian podrian tener resultados catastroficos a la postre.

 

———

RE: Análisis de Riesgos ¿Para qué? (Continuación)

Camilo Candales Pimienta [camilo@futuver.com]

 

Blasfemia!!!

Horror!!!

¿Cómo os atrevéis a  atentar contra uno de los pilares del statu quo en la gestión de la seguridad?

 

Ahora en serio, este tema da para mucha polémica y seguramente nos va a enriquecer muchísimo como profesionales de la seguridad. Se ha puesto el dedo en una llaga que duele mucho.

Creo que el análisis de riesgos se hace siempre, es una actividad inmersa no solo en los SGSI y las normas que los sustentan, sino en prácticamente toda la actividad humana, es algo inevitable.

Por poner un ejemplo, ahí tenéis la matriz DAFO, con sus debilidades y amenazas.

Lo que no siempre es necesario es un nivel exhaustivo de precisión en el análisis (más bien en la valoración). No se pueden abordar todos los proyectos de seguridad con el mismo enfoque en el análisis de riesgos.

Esto lo comprende casi todo el mundo y entonces aparece otro problema, el de la simplificación excesiva que no sirve absolutamente para nada (perdón, es un buen punto de partida para las certificaciones).

El problema consiste en que hemos querido imponer determinadas metodologías de análisis de riesgos y sus las correspondientes herramientas para todos los casos (ojo Paco que no me estoy metiendo contigo, sino con los consultores que las aplican).

Cuando el análisis de riesgos se aborda desde el punto de vista de una consultora, al ser una actividad empresarial el tema tiempo se convierte en algo importante por lo que para maximizar beneficios se tiende reducir las horas de dedicación a la planeación del enfoque que se va a emplear en el análisis de los riesgos. Eso por decirlo de un modo suave, porque lo que sucede en la gran mayoría de los casos es que dicha planeación no se realiza.

Resumiendo, ¿Es necesario siempre el análisis de riesgos como se hace actualmente? Allá voy…..

No, no solo no es necesario, sino que además es perjudicial.

¿Es necesario siempre hacer un buen análisis de riesgos, adaptado a las necesidades de la organización y teniendo en cuenta los distintos momentos del ciclo de vida del sistema de información?

Siiiiiiii.

 

Saludos

Camilo

 

———-

RE: Análisis de Riesgos ¿Para qué? (Continuación)

Beatriz Martinez [beatriz@legal-protect.com]

 

En que es necesario un “buen análisis de riesgos” estamos todos de acuerdo Camilo. Lo que ocurre es que las empresas no saben valorar uno bueno de uno mediocre o, si me apuras, malo, más que cuando llegan las revisiones del sistema y, ocasionalmente, cambian de “consultora”.

 

Desde mi humilde punto de vista, un buen análisis de riesgos es aquel que comprende la dirección de la empresa y no el que solo entiende el consultor que realiza la adaptación o el auditor que la visa. Si no lo entiende el dueño del negocio, mal vamos (por mucho que el susodicho análisis de riesgos sea la leche de completo a todos los niveles).

 

Saludos.

 

Bea

———

RE: Análisis de Riesgos ¿Para qué? (Continuación)

Ignacio Paredes [iparedes@grupointermark.com]

 

Permitidme introducir un poco más de ruido en la conversación J

 

Beatriz ha dado en el clavo, nadie mejor que la dirección para realizar un análisis de riesgos de su empresa. De hecho, y por esto se planteaba este asunto, todos los directivos hacen (al menos los buenos) análisis de riesgos en sus tareas diarias, la clave es que los realizan de forma intuitiva sin utilizar métodos formales. Debido a esto nos planteábamos: ¿merece la pena utilizar las metodologías tradicionales en el entorno pyme?

———

RE: Análisis de Riesgos ¿Para qué? (Continuación)

Francisco Menéndez [paco@contein-xxi.net]

 

Después de leerme todo lo que envió Samuel y los artículos relacionados, donde se dicen bastantes cosas interesantes, creo que la discusión en nuestro equipo ha llegado al punto exacto y al cuestión clave; que es, desde mi punto de vista, la subjetividad del análisis de riesgos. Y ya que es pura subjetividad, como intentaré explicar a continuación, deben ser sobre la dirección y los más altos responsables de la información (jefes de área o departamento) sobre quienes recaiga el peso del análisis de riesgos.

 

¿Por qué digo que el análisis de riesgos es pura subjetividad?. Por lo siguiente:

 

Podemos utilizar la metodología y/o aplicación que queramos, más o menos compleja, potente, etc. Al final lo que tenemos que valorar son los siguientes aspectos:

–      Valor de nuestros activos

–      Impacto de una incidencia en el negocio

–      Nivel de amenaza

–      Nivel de vulnerabilidad de nuestros sistemas

La valoración de cualquiera de los dos primeros aspectos la deben realizar personas con el suficiente conocimiento de la organización y del entorno empresarial. La valoración de los dos segundos, personas con conocimientos de sistemas y del entorno tecnológico.

 

La labor del consultor es, apoyándose en una metodología, aportar su conocimiento y experiencia para ayudar a que estas valoraciones se realicen de la forma más correcta posible.

 

Todo esto no lo acabo de discurrir ahora al hilo de esta discusión, os adjunto una diapositiva de mi charla en sobre Análisis de Riesgos en ENISE I – 2007 donde ya apuntaba este problema.

 

Saludos

 

Por otra parte los articulos que citas (interesantes)  no se habla de que pudieran no ser necesarios o demasiado cargosos sino al contrario establecen la necesidad de mejorar las metodologias y de realizar un diagnostico certero que se adaptanten a la realidad de la organizacion, para ponerte un ejemplo, yo me embarque en la aventura (y lo digo asi pues en eso se ha convertido) de llevar un SGSI orientado a las ISO y en la concreta la metodologia que uso no me brinda muchos resultados de valor que digamos , lo que ha sido un fuerte dolor en los…(esos mismos) y sobre todo ni siquiera desde mi punto de vista es capaz de captar la realidad de la organizacion …pero bueno ya ese es otro cuento : )
 

 

 

El contenido que pretendimos trasladar es la falta de alineación de la industria de la seguridad que en muchos casos existe con la situación real de la gran mayoría de compañías. Todos estamos pensando en nuevos estándares, métricas, innovación, firma digital, Firewalls, IPS, etc. lo que es totalmente necesario, pero no suficiente.

Todos estos avances son muy adecuados y necesarios, pero aprovechables en el corto/medio plazo únicamente por una minoría de organizaciones cuyo nivel de madurez en seguridad es mucho mayor, mientras que la gran mayoría de compañías adolece de las medidas más básicas de seguridad y necesitan llegar a eso, pero de forma mucho más comprensiva y paulatinamente.

Expusimos algunos ejemplos y en la última parte de la presentación, como no podía ser de otra forma, “hablamos de nuestro libro”, describiendo nuestra aproximación al problema mediante la metodología IS2ME: Information Security to Medium Enterprise 

Esperamos que sea de vuestro agrado, sirva como una crítica constructiva hacia nosotros mismos y de paso os haga pasar unos minutos entretenidos.

Podeis descargar la presentación powerpoint aquí.

Pero mejor leamos lo que nos ofrecen ellos directamente en su nota de publicación:

Desde iso27000.es lanzamos un nuevo proyecto en la URL iso27002.es como ampliación y complemento para la difusión de la seguridad de la información, ahora mediante una plataforma wiki colaborativa.

El objetivo de iso27002.es es recoger diferentes propuestas y posibles soluciones prácticas para cada uno de los 133 controles que indica la norma y que aparecen aquí resumidos en formato de ficha práctica.

Desde cada control se accede por enlaces directos a otros relacionados y la barra de búsqueda permite localizar rápidamente aquellos relacionados con posibles palabras clave, entre otras ventajas.

También se explica con formatos de video y ejemplos prácticos los puntos básicos claves a considerar en la implantación de un SGSI en relación al estándar ISO 27001.

La explicaciones recorren un esqueleto de SGSI que ya ha sido utilizado con éxito en implantaciones desde tiempos de la BS 7799-2 y en pymes de varios países.

El site permite además aportar preguntas y respuestas a los usuarios que se den de alta así como información completa sobre cada una de las normas de la serie ISO 27000 publicadas hasta el momento.

Se incluyen aquí las últimas noticias publicadas en iso27000.es con el objetivo de mejorar la rapidez de acceso a su lectura on-line por parte de visitantes habituales del continente americano, aunque de forma similar a iso27000.es existe la posibilidad de sindicación RSS a cualquiera de las páginas de interés.

Enlace al wiki disponible en modo lectura en iso27002.es o también en iso27000.wik.is para los interesados en iniciar sesión y comentarios como anonimo/anonimo.

Vaya desde aquí mi enhorabuena a estos 2 grandes profesionales (y amigos)  por esta nueva iniciativa y por supuesto, nuestro agradecimiento por contribuir de esa forma a la difusión de la seguridad de la información. Gracias Agustin, Jose!

Pasan los años y no dejo de sorprenderme con estos hallazgos. Cuando uno empezaba en estos temas y acudía a alguna gran organización, en muchos casos multinacional en la que, a priori, esperaba encontrar altísima tecnología, excelente organización y grandes profesionales dedicados a este área, me sorprendía encontrarme con compañías con unos niveles de madurez bajísimos en todos los sentidos. Me parecía increíble que compañías con tanto nombre, recursos y capacidades pudiesen estar en un estado tan lamentable.

Lo que primero comenzó siendo una sorpresa y en cierto modo, hasta un desengaño o desilusión, comenzó a ser algo habitual y la sorpresa pasó a ser (aún sigue siendo así) el encontrarse con organizaciones concienciadas o al menos mínimamente preocupadas por su seguridad, y que lo demuestren en su estrategia y su día a día.

Hablo de compañías multinacionales, algunas de ellas cotizando en bolsas como la de Nueva York (con todos los requisitos de cumplimiento asociados, al menos teóricamente), otras nacionales con gran renombre y otras, menos conocidas, pero con grandes recursos.

Pero reflexionando un poco sobre esto, lo que realmente me sorprende es que estas compañías no tengas más incidentes de seguridad… aunque en algunos casos sí que los tienen, pero no son conscientes de ellos (como solemos decir mi amigo Nacho y yo, “estos seguro que tienen a alguien viviendo dentro”, de sus sistemas, se entiende).

¿Suerte? Compañías con altos índices de rotación de personal, con una política de retención pobre y que tiempo después de que su personal abandone la compañía mantienen activas cuentas, servicios, accesos que pueden ser explotados (realmente, deberíamos decir utilizados) por antiguos usuarios. Y sin embargo, no pasa nada.

¿Bondad? Quizás debamos creer en la bondad del ser humano. Quizás quien gana acceso a este tipo de organizaciones, decide no causar daño alguno ante la “ingenuidad” que demuestra al no protegerse mínimamente… o quizás prefiera no “hacer ruido” para utilizar esos accesos de alguna forma ventajosa para él.

¿Falta de información? Quizás muchos scriptkiddies o hackers conocidos no muevan sus objetivos hasta estas empresas porque supongan que sus medidas de seguridad son mucho más elevadas, y si encuentran algo tan obvio piensen, repiensen, mediten, examinen y estudien el hallazgo para comprobar que no es una trampa, que no es un honeypot… (“no puede ser tan fácil, estos me están vigilando, seguro…” ).

Sea como sea, siguen “librándose”. Librándose de las pérdidas económicas directas, librándose de la pérdida de reputación de su imagen, librándose de las fugas de información, librándose del espionaje industrial, librándose de las sanciones por incumplimiento… y ¿cómo? … quizás con suerte.

Después, como es lógico, uno llega y tras pasarse un tiempo estudiando la organización presenta un plan de mejora y la dirección se sorprende: pero cómo se va a invertir esos recursos en algo que, aparentemente, no hace falta…. esa suele ser la reacción salvo que, 3 días antes, a ese mismo consejero delegado, le haya entrado un pequeño virus casi inofensivo, en cuyo caso firma el presupuesto de millones de euros sin apenas pensárselo 2 veces… ¿curioso, verdad? … o ¿penoso?

Hace falta continuar evangelizando. No penséis que ya está todo hecho, ni siquiera en las grandes organizaciones y con muchos recursos. Queda mucho camino por andar. No caigamos en el error de mirarnos el ombligo y pensar que todas las organizaciones tienen nuestras preocupaciones en cuanto a las métricas, el cumplimiento, los estándares, la continuidad de negocio, ISO 27001, BS 25999, ISO 27008, certificaciones profesionales…. probablemente, no sepan de su existencia y es nuestra labor ir evangelizando allí por donde pasamos, ¿o no?