La publicación del posterior Real Decreto que salga de este borrador debería suponer un antes y un después en la protección de las infraestructuras críticas de nuestro país y por tanto de la asunción de la seguridad como un requisito inexclusable en el diseño e implementación de las soluciones que sustentan esas infraestructuras.

Ya tenemos lectura para nuestro “descanso” de Semana Santa. Al regreso habrá que comentarlo, ¿no? Seguro que esto dará mucho pero que mucho que hablar…

Como habríais notado en los últimos tiempos del Blog, no sólo estaba centrado en el ámbito de la seguridad (que por supuesto también) sino que comencé a abordar otros campos que para mí tenían (y tienen) mucho interés como el Gobierno de TI, la Seguridad en Entornos Industriales y Protección de Infraestructuras Críticas, la Psicología de la Seguridad o todo este “nuevo” mundo del Cluod Computing, entre otros.

En esa línea, durante este tiempo (hoy hace 322 días, casi 11 meses, que no actualizaba el Blog) han pasado cosas interesantes:

He tenido una hija que tiene, casualmente, 11 meses … (y ya 8 dientes!)

Estoy cursando el segundo semestre del Grado de Psicología en la UOC y voy por la octava asignatura con unos resultados que me están sorprendiendo muy gratamente (no solo en las calificaciones sino en la nueva perspectiva a aplicar en el resto de temas que estoy manejando).

Desde Intermark seguimos investigando, participando y ejecutando temas de mucho interés en Seguridad en Entornos Industriales. En este sentido muy recientemente hemos coordinado e impartido el 1er Taller de Seguridad en Productos y Sistemas de Control Industrial (SCADA) organizado en nuestro país, coincidiendo con el I Encuentro Internacional CIIP organizado por el CNPIC (Centro Nacional de Protección de Infraestructuras Críticas).

Estoy participando todo lo activamente que puedo en la Comisión para el Buen Gobierno Corporativo de las TIC del capítulo de Madrid de ISACA, en las Comisiones de Seguridad  y de Software de ASIMELEC y en el recientemente constituido grupo de Cloud Computing de dicha comisión, entre otros.

Tras habernos certificado en ISO 27001 el año pasado (además de 166001 y 9001 hace tiempo ya), en Intermark estamos en pleno proceso de implantación de ISO 20000, con un objetivo de certificación antes de final de año.

El Equipo M45 de seguridad en el que participo como Gerente,  lleva ya casi 2 años de feliz andadura con importantes logros y referencias en el ámbito de la Administración Pública. Enhorabuena desde aquí a todos sus participantes. Creo que somos un gran ejemplo de trabajo en colaboración entre empresas y profesionales de un mismo ámbito que en ocasiones pueden ser competidores y en otras aunar esfuerzos en busca de un objetivo común.

Han pasado muchas más cosas, pero creo que con este pequeño resumen (de hecho únicamente con el primer punto sería suficiente) podéis justificar mi ausencia “bloguera”.

Como está próximo mi cumpleaños, voy a intentar “regalarme” el propósito de continuar estando presente aquí con nuevos contenidos y espero que diversas noticias profesionales, del sector (y personales) que puedan ser de vuestro interés.

A los que me habéis ido preguntando: aquí estoy de nuevo. Al resto, ya que estáis leyendo esto, gracias por permanecer a la escucha.

Seguiremos informando

Como le indicaba hace unos minutos en un comentario al artículo, creo que uno de los grandes retos que tenemos por delante que a la vez es una cuestión común en determinados clientes, es el de intentar acercar el concepto de Gobernanza de TI a organizaciones en los que realmente no existe un Gobierno como tal (clamor de multitudes! ), o al menos no uno con el nivel de madurez (no personal, sino organizativa y “metodológica”) suficiente para asumir un concepto tan interesante (y tan importante para ellos, … aunque no lo sepan).

Para ello crear una aproximación entendible, medible y efectiva es muy importante. Probablemente el top 10 de las empresas de cada país tengan el nivel para entender y asumir estos marcos organizativos, pero para el resto es necesario trabajar esa aproximación adecuadamente.

A esto debe añadirse el factor humano (como siempre):

• ¿Cómo le dice un “asesor joven e inexperto” (a los ojos del Gobierno) a un ”Gobernador” (20 o 30 años mayor que el Gendarme y con mucho más conocimiento y experiencia que él… o al menos eso cree) que no está gobernando adecuadamente su “país”?
• ¿Cómo le dice un “asesor experto” a un ”Alcalde” que el control que tiene sobre su ciudad, donde hace y deshace tranquilamente porque su “Gobernador” no ejerce el control como tal sobre la plaza “confiando” en su buen criterio (o directamente no teniéndola en cuenta por creer que es una ciudad o villa sin importancia), no debería ser tal, y debería crearse una cadena de valor en la que, probablemente parte de su capacidad de decisión se vea mermada?

Dicho así suena un poco… ¿feo?, pero realmente es posible que si no transmitimos las cosas de forma adecuada, nuestros interlocutores finalmente oigan/entiendan eso. Tenemos trabajo por delante (interesante, eso sí!).

Aprovechando el embarazo de mi mujer, llevaba ya unos meses observando una situación que me parecía bastante preocupante, y que estaba esperando a publicar aquí a que naciese mi hija: la falta de “autenticación” en los servicios médicos. Me explico.

Desde la primera visita al médico hasta el momento del parto el único mecanismo de autenticación de los servicios médicos hacia la madre ha sido la tarjeta sanitaria que como podéis suponer, no supone autenticación alguna ya que no contiene ningún dato “contrastable” fácilmente (como una fotografía o similar).

Esto que al principio me resultó algo sorprendente, me dejó profundamente preocupado cuando al acudir a urgencias el día del parto tampoco se le solicitó en ningún momento el documento nacional de identidad o algún otro medio de autenticación adecuado. Quiere esto decir que alguien podría suplantar la identidad de la madre (por ejemplo una madre de alquiler) durante todo el embarazo e incluso en el mismo parto de forma muy sencilla (portando su tarjeta sanitaria!!)… con todo el campo de posibilidades que esto proporciona.

Me quedé algo más tranquilo cuando una vez nacida mi hija, al poco tiempo le tomaron las huellas a la madre y a la niña (hombre, al menos un punto de autenticación biométrico, en realidad más bien de registro y malo ya que las huellas están movidas) y me proporcionaron una copia de la ficha que se supone que debería entregar en el Registro Civil al inscribir la recién nacida.

En la inscripción en el Registro, he de comunicaros que en ningún momento me pidieron la ficha, y por tanto pude inscribir a mi hija sin autenticación alguna, nuevamente.

Mi pregunta entonces es: ¿se realiza algún tipo de comprobación con las huellas registradas en la ficha del hospital o es un mero registro? Mi impresión es que únicamente es esto último, aunque si alguien tiene más información sobre este tema, estaría encantado de conocerla.

Esto no deja de confirmar mi desconfianza con los mecanismos habituales de autenticación en el área de la salud donde son tan extremadamente importantes (de ser quien dices que ser a ser otro, puede suponer la extirpación de un órgano vital… o la bienvenida de un nuevo hijo… sin haberlo concebido). De hecho se han dado fraudes importantes  utilizando esa debilidad al cambiar historiales de pacientes más enfermos por otros sanos (por ejemplo para obtener pensiones de forma “maliciosa”) y acontecimientos similares.

… 2 familiares cercanos en diferentes momentos y lugares, ambos con problemas óseos importantes en rodillas, espalda, etc. curiosamente desaparecieron de sus historiales todas las radiografías que tenían, … ¿casualidad?…

Es importante proteger los datos tratados en estas áreas, pero también es importante asegurar su autenticidad e integridad (la disponibilidad, como el valor, se presupone ) ¿Existe alguna medida de obligado cumplimiento en ese sentido?

La frase hace referencia a que probablemente veríamos a muy pocos de nuestros amigos vociferando en un karaoke alguna canción de los 80 a la vez que la baila y gesticula como un loco y sin embargo, sí que es posible que muchos de ellos estén haciendo lo propio en sus casas con la salvedad que el “karaoke” no se llama así, sino “Guitar Hero” y corre sobre una XBox en el cuarto de estar.

Del mismo modo, compañías o personas que jamás hubiesen externalizado diversos servicios en un entorno de “infraestructuras gestionadas” o alojado sus datos en entornos externos a su organización, ahora comienzan a hacerlo porque repentinamente eso se llama “Cloud Computing”, si bien en los principios básicos, sigue siendo prácticamente lo mismo (si obviamos las importantes diferencias y aproximaciones comerciales actuales…).

Lo cierto es que a día de hoy, yo no creo para nada en este tema tan de moda (quizás tenga que rectificar más adelante, quién sabe ), que como indica Hoff, tiene más de novedad en su aproximación comercial, que en sus principios tecnológicos.

Si queréis profundizar más sobre el tema os recomiendo su Blog Rational Survivability, donde incluye reflexiones, contenidos y opiniones muy interesantes sobre ese tema (y otros). Imprescindible su último post comentando el modelo “Cloud Cube” del Jericho’s Forum y sus impresiones. Echadle un vistazo.

En mis presentaciones y charlas siempre digo que la seguridad de la información en el entorno industrial está al menos 5 años por detrás de la situación en el resto de sistemas corporativos y digo que si pensásemos un mundo en el que un simple catarro pudiese matarnos, estaríamos hablando de la seguridad de los sistemas industriales, la informática industrial y los sistemas SCADA, entre otros.

Pues bien, en el artículo de hoy de Wall Street Journal, se confirma que Estados Unidos ha recibido ataques a sus redes de suministro eléctrico desde China, Rusia y otros países y que han encontrado software y programas maliciosos instalados internamente, preparados para ser activados que podrían causar importantes alteraciones en el servicio en el caso de ser activados (dicen ellos que probablemente estarían preparados para ser activados en caso de guerra o ataque de otro tipo… aunque quizás pueda ser algo teatral, según se lee).

El caso es que desde fuentes oficiales se confirman estos ataques y estos hechos. Así mismo indican que los hallazgos no han sido descubiertos por las compañías que mantenía los sistemas sino por ”agencias de intelegencia gubernamentales”, lo que no deja de ser aún más preocupante, y dejan datos como que durante los últimos 6 meses se han gastado más de 100 millones de dólares en reparar “ciber-daños” (es decir problemas causados desde el “ciberespacio”).

Quizás esta sea una de las causas del importante programa de defensa del ciberespacio que la “administración Obama” está desplegando, dedicando importantísimos recursos monetarios, humanos y organizativos a este tema.

Como ya habíamos comentado aquí, existen varias normativas y estándares de obligado cumplimiento en ese país para empresas de suministro energético, aguas, etc. Parece que están en el camino de tomar las riendas en el problema y comenzar una aproximación al mismo.

Ya preguntaba antes aquí cuál era la situación en nuestro país en este sentido… y no he recibido ningún comentario ni contestación… lo cuál no deja de confirmar mi preocupación (que se acentúa cada vez que conozco alguna instalación crítica). Deberíamos estar haciendo algo… si no lo estamos haciendo ya ¿no creéis?

Podéis acceder al artículo completo aquí. Os recomiendo su lectura.

Recojo a continuación solo las 10 primeras … quien quiera leer el resto que lo haga en el Blog de los autores, que para eso se las han trabajado :)

1.- Cuanto más inseguro te sientes más seguro te haces
2.- El umbral de seguridad aceptable no existe
3.- Los mecanismos de cifrado únicamente retardan lo inevitable
4.- La seguridad, ¿se quiere o se necesita?
5.- Confianza no es sinónimo de seguridad
6.- Mi seguridad empieza donde empieza la tuya
7.- No desearás el firewall del prójimo
8.- No hay que matar moscas a cañonazos, olvida el formateo como primera opción
9.- La seguridad es directamente proporcional a los incidentes sufridos
10.- La seguridad es como un iceberg, la mayor parte no se ve pero está ahí

Enhorabuena a ambos de nuevo!

Instalé ese sistema operativo en el equipo desconectado de la red y una vez que estuvo en correcto funcionamiento, sin antivirus ni firewall ni router que lo protegiese (ni parches aplicados) decidí pincharlo directamente a la red del operador de cable (TeleCable) para ver qué ocurría.

Y ocurrió lo que, si las estadísticas no mienten, tenía que ocurrir. Lo mismo que si nos lanzamos en medio de un mar lleno de tiburones hambrientos, o lanzamos un bebé a un río repleto de pirañas: el equipo de mi madre fue “devorado” antes de que mi reloj marcase el segundo número 30 desde que conectase el cable de red. En efecto, en el segundo 29 Windows 2003 mostró una ventana indicando un error y problema en los RPC y anunciando su reinicio en 40 segundos… y así lo dejé durante 3 reinicios seguidos (es decir, algo menos de 10 minutos).

Con el cadáver (del ordenador de mi madre) aún fresco y desconectado nuevamente de la red, instalé un antivirus y procedí a su limpiado. El resultado: 2 troyanos, 1 spyware y 1 virus (así lo etiquetó el antivirus). Todo eso en menos de 3 minutos de conexión efectiva a Internet (el resto fueron reinicios). Lamentable.

El resultado fue el esperado aunque para ser sincero, yo pensaba que aguantaría algo más (¿quizás 5 minutos?). Todo esto me lleva a reflexionar sobre lo siguiente. ¿Es normal que un producto que se compra no sea utilizable en absoluto sin una “reparación” previa? ¿Es normal que no exista ninguna advertencia, notificación o prevención al respecto en el producto? ¿Cómo debe actuar un usuario que desconoce totalmente estos riesgos?… ¿y aún nos extrañamos que el malware nade a sus anchas por nuestras redes (y los ordenadores de nuestra familia )?

Siempre he dicho que este mundo nuestro de la informática, internet, etc. se rige por unas reglas comerciales increíbles. Imaginad la misma situación con cualquier otro producto de consumo (como ya lo es hoy en día la informática personal). Vamos a la tienda, compramos el último modelo de televisión, la traemos a nuestra casa, la enchufamos a la antena y… plaf! se nos apaga. La intentamos encender y vuelve apagarse. Claro!! cómo se nos ocurre conectarla a la red (la antena) sin haber comprado el “chinquiflinqui”, un aparato que debemos situar entre la televisión y la antena para que esta funcione. Ahora tenemos que comprar el famoso “chinquiflinqui” y llevar la televisión al taller para que nos la arreglen y se lo instalen… pagando, por supuesto!. De lo más normal!

¿Por qué no se advierte de tal cosa en las instrucciones de la televisión?

¿Por qué la televisión no incluye un “chinquiflinqui” de serie?

¿Cómo podemos comprar un producto que no funciona desde el primer minuto de su puesta en marcha y considerarlo un comportamiento normal?… ¿seguirán vendiéndose televisiones sin sintonizador TDT dentro de 10 años?

Estamos en un mercado ilógico, pero lleva tanto tiempo siendo así que ya lo vemos como algo normal.

Hace unos pocos días se acaba de publicar el último informe correspondiente a 2008-2009 y por primera vez se hace público el informe completo y está disponible para su descarga desde la página web. Además hay un completo entorno web que permite navegar por el informe y realizar filtros por país, tecnología, etc. lo que nos permite obtener datos realmente interesantes sobre el estado de las TI en distintas regiones y países.

Os recomiendo, si no su lectura (solo para aquellos con paciencia e interés ), sí al menos su revisión. Tiene datos muuuy interesantes. Podéis acceder al informe aquí.

SEMINARIO GRATUITO SEGURIDAD EN REDES SOCIALES EN LA UPM

El 6 de mayo de 2009 se celebrará en la Escuela Universitaria de
Ingeniería Técnica de Telecomunicación de la Universidad Politécnica de
Madrid, el seminario “Seguridad en redes sociales: ¿están nuestros datos
protegidos?”

La asistencia es gratuita, si bien se requiere y recomienda una
inscripción previa.

IMPORTANTE: El seminario se transmitirá por videostreaming a través de los
servicios del Gabinete de Tele-educación de la UPM, GATE, desde una url
que se informará en breve en el sitio Web de la Cátedra. En este caso, no
hace falta inscribirse pues su visualización es libre.

Organizado por la Cátedra UPM Applus+ de Seguridad y Desarrollo de la
Sociedad de la Información, de 09:00 a 14:00 horas se analizarán y
debatirán temas relacionados con la seguridad de nuestros datos de
carácter personal en este tipo de redes sociales, entornos virtuales que
han adquirido una notable notoriedad pública en estos últimos años,
convirtiéndose en un verdadero fenómeno de masas y de máxima actualidad.

Siguiendo el reciente informe “Estudio sobre la privacidad de los datos
personales y la seguridad de la información en las redes sociales online”,
elaborado por el Instituto Nacional de Tecnologías de la Comunicación
INTECO y la Agencia Española de Protección de Datos AEPD, con fecha de
febrero de 2009, podemos destacar de dicho documento:

“La notoriedad de estos espacios sociales online no queda exenta de
riesgos o posibles ataques malintencionados. Es una preocupación de las
organizaciones nacionales, europeas e internacionales con competencias en
las materias afectadas por el uso de estas redes, que han impulsado la
elaboración de normas y recomendaciones dirigidas a garantizar el acceso
seguro de los usuarios –con especial atención a colectivos de menores e
incapaces- a estas nuevas posibilidades online.”

Por tal motivo, este seminario está dirigido a público en general y de
forma muy especial a jóvenes, adolescentes y padres de familia.

El seminario contará con destacados invitados:

- D. Artemi Rallo Lombarte
Director de la Agencia Española de Protección de Datos AEPD
- D. Arturo Canalda González
Defensor del Menor de la Comunidad de Madrid
- Dña. María Teresa González Aguado
Defensora Universitaria de la UPM
- D. Antonio Troncoso Reigada
Director de la Agencia de Protección de Datos de la Comunidad de Madrid APDCM
- D. Emilio Aced Félez
Subdirector de Registro de Ficheros y Consultoría de la APDCM
- Dña. Gemma Déler Castro
Directora IT & Telecom BU de Applus+
- D. Ícaro Moyano Díaz
Director de Comunicación de Tuenti
- D. Pablo Pérez San-José
Gerente del Observatorio de la Seguridad de la Información, Instituto
Nacional de Tecnologías de la Comunicación INTECO

Las conferencias planificadas son las siguientes:

- “Los menores y las nuevas tecnologías”, de D. Arturo Canalda.
- “Las redes sociales como nuevo entorno de confianza”, de D. Ícaro Moyano.
- “Redes sociales: nueva frontera para la privacidad de los digital
babies”, de D. Emilio Aced.
- “Diagnóstico sobre la seguridad de la información y privacidad en las
redes sociales online”, de D. Pablo Pérez.

Además, se contará con un Coloquio de una hora y media de duración, donde
los asistentes podrán realizar sus preguntas a un grupo de expertos así
como debatir sobre esta temática.

PREINSCRIPCIONES: por limitación del aforo, deberá realizarse una
preinscripción, recomendándose hacerlo en la página Web de la Cátedra UPM
Applus+, siguiendo las instrucciones que aparecen en dicho servidor:

Puede descargar el tríptico en formato pdf con el programa del seminario
desde la página Web de la Cátedra UPM Applus+.

Fecha: miércoles 6 de mayo de 2009
Hora: de 09:00 a 14:00 horas
Inscripción: gratuita pero requiere una inscripción previa
Lugar: Sala de Grados 3004 de la EUITT-UPM, en Madrid
Cómo llegar: http://www.euitt.upm.es/escuela/como_llegar

Para información adicional, por favor dirigirse a Dña. Beatriz Miguel
Gutiérrez a la dirección de correo bmiguelATeuitt.upm.es o bien al
teléfono 91 336 7842, en este último caso con atención solamente de 09:00
a 11:30 horas.

* Se entregará certificado de asistencia con 3 créditos CPE a quien lo
solicite *