InfoSecMan Blog

Gracias a los colegas de INTECO y ENISE, ya están colgados los vídeos del último Encuentro Internacional de la Seguridad de la Información. Podéis acceder a los mismos en enise.inteco.es.

Entre ellos podéis acceder a la ponencia que tuve oportunidad de impartir: “Regreso al Futuro: La Seguridad en los Entornos Industriales”. Si quereis ir directamente a la ponencia, escoged el capítulo 7 (Samuel Linares Fernández).

Que la disfrutéis! 🙂

Mi suegra, mujer de edad, experiencia, sabiduría y a la que aprecio mucho (es cierto, no es broma) tiene sin embargo un problema en su comportamiento: es bastante nerviosa y aprensiva, lo que hace que ante cualquier problema que pueda ocurrirle lance una voz de “alarma”. Se le cae un plato, y da un grito como si le hubiesen cortado un brazo, se le corta una llamada en el teléfono y sufre una crisis como si hubiese perdido un amigo o se le pasa la comida y rompe en llanto cual si hubiese perdido los ahorros de toda una vida o si le duele un poquito la cabeza, lo sienta como si fuese un dolor insoportable. Todo esto hace que su hija (y yo), además de llevarnos unos buenos sustos de vez en cuando, no le hagamos demasiado caso ante sus “alarmas” habituales.

Muchas veces le hemos puesto el ejemplo del cuento de “Pedro y el Lobo” insistiéndole en que debe medirse en sus “alarmas” sin ningún resultado aparente. Todo esto no había tenido mayor importancia hasta hace unos meses en los que tras operarse de una prótesis de rodilla, ella (como siempre) alertaba de los enormes dolores que tenía y lo mucho que sufría y nosotros no le hacíamos más caso del normal. Cuál fue nuestra sorpresa cuando tras llevarla a una revisión nos informaron que en la intervención habían tocado un nervio y que por tanto, estaba “hiperexcitado” causándole mucho más dolor del normal. Fue en ese momento cuando ella (y nosotros) nos dimos cuenta de la importancia de valorar adecuadamente los consejos, las advertencias y el conocimiento de los expertos, además de asumirlos y expresarlos de forma adecuada.

Pues bien, estos días no hace si no rondarme la cabeza exactamente lo mismo con el impacto en los medios, en el sector y en la industria de lo ocurrido con Wikileaks y Stuxnet, y es que, seamos realistas, ambos casos no son más que la práctica de lo que muchos llevamos años diciendo y advirtiendo. Por centrarlo en 2 de los discursos:

• Wikileaks: el eslabón más débil son siempre las personas y como tal, deben analizarse y gestionarse sus riesgos asociados, en cuanto a comportamiento, a práctica, a organización, etc. En este caso, no nos engañemos, detrás de este gran escándalo no hay grandes hackers con conocimientos extremos de seguridad, de informática, de desarrollo. Lo que hay son personas con acceso a información que probablemente no deberían tener acceso y si tuviesen que tenerlo, una falta de controles adecuados para la prevención de su fuga de información (estoy seguro que los fabricantes de soluciones DLP están frotándose las manos en estos momentos…:)).

• Stuxnet: los sistemas industriales y de control han heredado todas las características (buenas y malas) de los sistemas de TI tradicionales. En este caso sí que parece que tras este suceso existen grandes expertos e investigadores en seguridad, pero si nos fijamos en el fondo, lo que subyace es una falta de las medidas de seguridad adecuadas en los sistemas de control de infraestructuras críticas. ¿Cómo es posible que un malware pueda “llegar” desde Internet al sistema de control de una central nuclear? No debería (dejemos aparte ya, que el sistema de control se trate de un sistema de propósito general que además no esté actualizado, etc. 😛 ). De esto hablábamos más que sobradamente hace unas semanas en ENISE en mi ponencia “Regreso al Futuro: la Seguridad en los Entornos Industriales”: los sistemas de control e industriales se encuentran, en lo que a medidas de seguridad se refiere, al menos una década atrás respecto a los sistemas TI tradicionales.

Pero realmente, ¿cuál es la diferencia y a la vez el punto común de estos dos casos? El impacto. Si Stuxnet en lugar de afectar a los sistemas de control o industriales lo hiciese a los sistemas de correo o web corporativos, no dejaría de ser un nuevo malware (avanzando, eso sí) de los muchos que hay. Si Wikileaks en lugar de hacer referencia a la información de uno de los gobiernos más poderosos de nuestro planeta lo hubiese montado un ex-empleado descontento con información de alguna compañía no pasaría de ser una noticia más (en el mejor de los casos) en alguna revista especializada.

Recuerdo hablar exactamente esto con mi compañero y gran amigo Nacho Paredes hace unos años: “este tema de la seguridad en entornos industriales y protección de infraestructuras críticas no se moverá hasta que no ocurra algo gordo”, comentábamos, “tarde o temprano se abrirá la Caja de Pandora”, repetíamos. Parece que comienza a abrirse. En todos los eventos últimamente aparece este tema, los medios comienzan a hacerse eco de ello, la industria aunque muy lentamente, empieza a recibir algunos mensajes al respecto y parece que lentamente la rueda comienza a moverse (al fin).

Y yo me pregunto: con todos los mensajes de advertencia, información, etc. que muchos de nosotros llevamos lanzando, ¿no habrá ocurrido lo del cuento de Pedro y el Lobo? Que viene el lobo, que viene el lobo, mira que va a venir, pero como nunca llegaba, pues tan contentos… ¿habremos estado exagerando los mensajes lanzados ante la incomprensión de nuestros interlocutores obteniendo el efecto contrario al deseado?

Como en las relaciones de pareja quiero creer que toda la culpa no es de una de las partes. Probablemente no toda la culpa sea de los usuarios, de los clientes y debamos “cargar” con parte de la misma los proveedores, consultores e integradores, al fin y al cabo no nos estaremos comunicando efectivamente cuando no obtenemos la comprensión esperada… ¿deberíamos cambiar nuestras tácticas?

Mientras tanto mi suegra sigue la pobre con dolores de rodilla. Ella no debería haber “exagerado” siempre sus reacciones y quizás nosotros deberíamos haberla escuchado un poquito más.

Mientras tanto nuestras infraestructuras críticas y con ellas, nuestras naciones y forma de vida, siguen siendo vulnerables. Quizás deberían atender más a la información existente, realizar análisis de riesgos reales, etc. y probablemente sus proveedores deberíamos ser más efectivos en nuestras comunicaciones.

Mientras tanto la información clasificada de los gobiernos más poderosos del planeta sigue filtrándose y no creo que tardemos mucho en ver en “Sálvame” (o como se llame lo de los sábados por la noche) un “analís” en profundidad de los cotilleos de los distintos gobiernos.

¿Y al final quién tiene más culpa, Wikileaks, Stuxnet, mi suegra, el lobo … o nosotros? 😛

Creo que ya he repetido hasta la saciedad aquí, a mis amigos, a mis clientes, en mis ponencias, etc. que los mayores problemas que siempre me he encontrado y me encuentro en cualquier proyecto (y en los de seguridad especialmente) están siempre localizados “entre el teclado y la silla”. Las personas son siempre el eslabón más débil de esa cadena que es la seguridad y de la que todos los que nos dedicamos a esto intentamos tirar incesantemente.

Exagerando un poco, permitidme una analogía bastante sencilla.  Ante una epidemia, una enfermedad, les decimos a la gente cómo prevenirse, qué deben hacer, etc. además de darles medicinas. La situación actual en cuanto a pérdida de información es similar a una epidemia. Basta repasar algunos números: en 2005 (no me atrevo a poner los datos actuales porque ya estos me marean…), 250 millones de personas en USA perdieron o les fue robada información personal sensible. El coste de gestionar este éxodo de información fue estimado en unos 55 billones de dólares (billón arriba billón abajo 😉 ).

La gente sigue facilitando su información porque creen que están haciendo lo correcto, muchas veces colaborando con personas (que les están engañando), otras publicando información personal en redes sociales sin ser conscientes de las implicaciones que todo esto tiene, etc.

Necesitamos un antibiótico para esta epidemia y por supuesto, educar a las personas para evitar el contagio (se está fallando en ambos puntos). Estamos asistiendo a una auténtica pandemia de la información y no estamos abordando correctamente (a veces ni lo abordamos) el principal problema o punto débil en la situación: las personas.

En mi opinión, las compañías deben evaluar su nivel de conciencia(ción) de seguridad: ¿cómo de bien saben proteger los empleados la información sensible de la compañía? (y la suya propia, por supuesto). Deberíamos compartir esta reflexión con muchos de los responsables y directores de organizaciones, pero también con los propios usuarios “de a pie”. ¿Todo el mundo es consciente que lo que está publicando en Facebook (o en este blog) tiene la misma privacidad que si lo pusiese en el muro de su calle…. Si por su calle pasasen varios cientos de millones de personas?

La respuesta, en el caso de las organizaciones, pasa por elaborar e implantar un Programa de Conciencia(ción) en Seguridad. Crear una programa así no supone descubrimientos científicos, ni ciencia ficción: no deja de ser marketing. Si un empleado no ve valor en el contenido de la información que se le proporciona entonces, ¿por qué hacerle caso, y mucho menos seguir sus indicaciones? Es extremadamente importante que las iniciativas, acciones e información que se desarrolle  y promueva tenga aplicación en sus vidas personales (evitar virus en sus casas, información en redes sociales, mensajería instantánea, acceso a cuentas bancarias por internet, etc.). Lo que hagamos debe ser aplicable a su vida personal y esa será la única forma de tener cierto éxito en nuestra labor.

El Programa de Conciencia(ción) debe ser continuo y visto como un valor importante de la compañía por la dirección y los empleados. Debemos identificar canales de comunicación adecuados como intranet, correo, panfletos, posters/carteles, podcasts, vídeos, etc.: Debemos intentar transmitir el mismo concepto 7 veces de 7 formas distintas.

Concluyo ya resumiendo lo que para mí serían los tres pilares base y clave de mi visión de la Conciencia(ción) en Seguridad:

• – Diles lo que vas a decirles. Díselo, y después diles lo que les dijiste.
• – La concienciación (awareness) es una responsabilidad individual y un esfuerzo de equipo.
• – ¡Comunica, comunica y comunica!

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

Por razones obvias, permitidme que me haga eco de la noticia e incluya la nota de prensa asociada. Sois todos (y todas) bienvenidos/as, evidentemente! 🙂

Por iniciativa de cuatro empresas asturianas, despegará el proceso de constitución del comité regional de itSMF España, comunidad mundial de referencia para compartir prácticas en el gobierno y gestión de servicios de las Tecnologías de la Información (TI). Este comité asturiano nace con varios objetivos: ser la referencia local en la gestión de servicios de TI, difundir conocimientos especializados en la región y conectar Asturias con los líderes mundiales en gestión informática.

Las empresas asturianas promotoras de esta iniciativa son ProactivaNET®, única herramienta española de gestión integral de servicios de TI, Intermark Tecnologías, especializada en consultoría en gobierno de TI y dos compañías punteras en la gestión de TI: Central  Lechera Asturiana (CAPSA) y Duro Felguera.

Uno de los primeros objetivos de este comité será incorporar nuevos participantes. Están invitadas a participar especialmente, aquellas organizaciones que quieran extender el concepto de excelencia empresarial al ámbito de las nuevas tecnologías y además incorporar las nuevas prácticas recomendadas por los expertos internacionales de itSMF. Alejandro Castro, coordinador del grupo de interés y futuro comité regional de itSMF España afirma: “este comité aspira a ser la referencia local en el gobierno y gestión de las TIC a través de un foro especializado en el que poder compartir información, experiencias, mejores prácticas y casos prácticos con las empresas de referencia a nivel internacional”. Con la creación de este comité se pretende también proporcionar más recursos a los profesionales de la región para mejorar su capacitación, acercando a Asturias todo tipo de actividades de formación o de intercambio de conocimiento relacionadas con la gestión de servicios de TI. Asimismo, podrán formar parte activamente en los foros y mesas de debate organizados por itSMF España con profesionales que están liderando la evolución internacional de las TI.

La presentación oficial del grupo de interés y el lanzamiento de la constitución del comité tendrá lugar en el V Congreso Nacional itSMF España los días 15 y 16 de noviembre en Madrid, donde se presentará el proyecto y las actividades planificadas para el año 2011.

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

El pasado viernes 5 de noviembre, el Consejo de Ministros aprobó la remisión a las Cortes Generales del Proyecto de Ley por el que se establecen medidas para la Protección de las Infraestructuras Críticas. Queda aún todo el proceso hasta llegar a Ley.

Una vez que el proyecto de ley es aprobado por el Consejo de Ministros, se remite al Congreso en el que se procederá a la presentación de enmiendas, la votación artículo por artículo y al debate y votación final (necesaria mayoría simple para su aprobación). A continuación se remite al Senado que tiene 2 meses de plazo para vetar el proyecto de ley o introducir enmiendas, en cuyo caso el Congreso tendrá otros 2 meses para su nueva toma en consideración o ratificación (esta vez por mayoría absoluta). Una vez aprobado, en el plazo de 15 días se procederá a su sanción e inmediata publicación.

Por otra parte, el cambio de rango de la norma (de Real Decreto a Ley) es consecuencia del dictamen del Consejo de Estado de 29 de julio de este año, que entendió que, al imponer el texto obligaciones al sector privado, y no sólo a las Administraciones Públicas, debía tener cobertura legal.

Vamos, que aún nos queda una temporadita que esperar… probablemente.

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

Y finalizo ya esta serie dedicada al CISO con algunas recomendaciones y hábitos que el CISO debería tener muy en cuenta … para su supervivencia 😉

– Aprovechar sus puntos fuertes
– Entender sus limitaciones
– Rodearse y relacionarse de gente de alto nivel
– Tener siempre el equilibrio entre el éxito del equipo y las pérdidas personales
– Crear y mantener una visibilidad importante dentro de la organización
– Hacer las cosas importantes primero
– Entender los canales de comunicación de su organización
– ¡Disfrutar de su trabajo!
– Mantener una “lucha” continua por la causa
– Nunca darse por vencido
– Lograr el apoyo de la dirección considerando el impacto de los planes de seguridad. Orientarse a la estrategia, en lugar de a la operación.
– Personalizar la seguridad orientándose a la necesidad de toda la organización acomodando los modelos, procesos y arquitecturas de forma segura.
– Definir las responsabilidades de cada información, cada servicio, cada proceso y cada sistema.
– Establecer modelos de decisión, donde se definan claramente los roles y responsabilidades de cada integrante del modelo.
– Proporcionar alternativas de solución.
– La seguridad debe tener en cuenta mucho a las personas de la organización, colaboradores y clientes, debería intervenir en los procesos de contratación de recursos humanos, su capacitación y conciencia permanente.
– Contemplar la seguridad como un proceso de mejora continua.

Y vosotros CISO, ¿cuál de todas estas cualidades creeis que es la más importante?

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

Continuando con la serie sobre el CISO, hoy os incluyo algunos atributos que bajo mi punto de vista debe tener un CISO y que en buena parte he sacado de una presentación que se impartió hace un par de años en ISMS Forum.

He aquí sus atributos (mm… suena un poco extraño, aunque de esos también tiene que tener ;)):

La próxima y última entrega contendrá algunas recomendaciones para los CISOs … 🙂

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

El próximo miércoles 20 de Octubre se celebra el I Congreso NubeTIC sobre Cloud Computing con varias experiencias de cliente final en la nube, donde se hablará de las tendencias, la gestión de la seguridad y la protección legal en la nube. Intermark participará en este bloque, donde se tratarán los siguientes temas:

• Transferencia internacional de datos.

• Soberanía.

• Preservación de datos de tráfico – Law Enforcement.

• Evidencias.

Creo que por su contenido puede ser un congreso muy interesante. Es un aforo limitado a 200 personas por lo que si estáis interesados en asistir debería reservaros ya una plaza,

El Lugar: Auditorio de la Secretaría de Estado para las Telecomunicaciones (SETSI) Madrid. C/ Capitán Haya Nº41

La Fecha: 20/10/2010

PROGRAMA PROVISIONAL

• 09:00 – 09:30 Recepción de asistentes y acreditaciones

• 09.30 – 09.45 Apertura institucional

• 09.45 – 10:05 Tendencias cloud

• 10.05 – 10:25 Aspectos legales

• 10.25 – 10:45 Gestión de la Seguridad

• 11:00 – 11.30 Coffee

• 11:30 – 12:15 Experiencias en la nube

• 12:15 – 14:15 Soluciones de nube

• 14:15 – 14.30 Clausura Institucional

• 14:30 – 15:30 Cocktail & Networking

• 15:30 – 18:30 Talleres técnicos

Más información aquí.

Canal Twitter: http://twitter.com/nubetic; tag: #nubeTIC

Hace unos días preparaba una introducción del rol y características del CISO para un buen amigo y creo que por su “generalidad” puede ser interesante que lo incluya aquí a modo de serie. Como siempre, comentarios bienvenidos.

El CISO (Chief information security officer) es el ejecutivo de alto nivel dentro de una organización responsable de establecer y mantener la visión empresarial, la estrategia y el programa para garantizar que los activos de información están adecuadamente protegidos.

El CISO dirige al personal en la identificación, desarrollo, implementación y mantenimiento de los procesos en toda la organización para reducir los riesgos de la información y la tecnología de la información (TI), así como responde a los incidentes, establece normas y controles apropiados, y dirige en el establecimiento y aplicación de políticas y procedimientos. El CISO es generalmente responsable del cumplimiento relacionado con la seguridad de la información.

Responsabilidades y Funciones

– Salvaguardar los activos de la empresa, la propiedad intelectual, cumplimiento normativo y los sistemas informáticos.
– Identificar los objetivos de protección, los objetivos y métricas en consonancia con el plan estratégico corporativo.
– Administrar el desarrollo y la aplicación de la política de seguridad global, normas, directrices y procedimientos para garantizar el mantenimiento continuo de la seguridad de la información y la protección de activos.
– Definir la arquitectura de seguridad de red, acceso a la red y las políticas de monitorización.
– Definir estrategias de seguridad y posición misma en la organización para orientar los objetivos de la seguridad en la consecución de los objetivos de la organización.
– Educación y sensibilización de los empleados. Concienciación y cultura de seguridad en toda la organización destacando el valor que aporta. Toda la organización debe entender el propósito de la seguridad.
– Trabajar con otros ejecutivos para dar prioridad a las iniciativas de seguridad y el gasto sobre la base de la gestión del riesgo apropiadas y / o metodología financiera.
– Desarrollar e implantar un sistema de gestión de la seguridad que permita identificar y dar respuesta a los nuevos riesgos de la organización.
– Estar a cargo de la planificación de respuesta de incidentes, así como la investigación de vulneración de la seguridad, y ayudar con las cuestiones disciplinarias y legales relacionados con las infracciones que sean necesarias.
– Trabajar con consultores externos según sea apropiado para las auditorías de seguridad independientes.
– Dirigir y supervisar permanentemente las actividades de la unidad con el objeto de establecer medidas de mejora continua.
– Formular y conducir el proceso de Planificación Estratégica en Tecnologías de Información y Comunicación. (Actualización: errata de “copy & paste”, ver comentarios más abajo 🙂 )
– Desarrollar el plan operativo anual del área de seguridad.
– Formular el presupuesto anual de la unidad y evaluar su ejecución.
– Formular y conducir la elaboración de los documentos normativos de gestión para el ordenamiento y mejora de las acciones a desarrollar por el resto de áreas.
– Dirigir el Proceso de desarrollo de Políticas y Normativas de Uso y desarrollo de servicios.
– Establecer, revisar, aprobar y mantener actualizada, junto con el Comité de Seguridad, la Política de Seguridad de la organización y las responsabilidades generales en materia de seguridad de la información en cada área de la organización.
– Aprobar las principales iniciativas para el incremento del nivel de seguridad de la información.
– Supervisar los cambios significativos en la exposición de los recursos de información frente a las amenazas más importantes.
– Supervisar los incidentes relativos a la seguridad.
– Garantizar que la seguridad sea parte del proceso de planificación de la información y un requisito más del negocio.
– Evaluar la pertinencia y coordinar la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios.

El próximo día, los Atributos de un CISO…

… por cierto, me he incorporado al mundo “tweety” 🙂 Si os apetece seguirme: http://twitter.com/infosecmanblog

Como comentaba hace un par de semanas, tuve la oportunidad de asistir a la Security Research Conference en Ostende (Bélgica) en donde recogí de primera mano el estado de la investigación de seguridad en Europa, los temas con mayor interés desde la Comisión y pude compartir impresiones e ideas con profesionales de distintos países sobre este tema.

A continuación os hago un pequeño resumen de algunas de las ideas y conclusiones allí comentadas: 

– La Seguridad es un Pre-requisito para la Prosperidad. Me quedo con esta frase! 🙂

– El mercado de la investigación en seguridad es un gran mercado en evolución y con importantes necesidades de inversiones

– Imprescindible la lectura del Informe Final del ESRIF: European Security Research and Innovation Forum

– Únicamente 7 países han desarrollado programas nacionales de investigación en seguridad: Alemania, Francia, Reino Unido, Holanda, Suecia, Finlandia y Austria (ejemplo, German Civil Security Research Program de 2007 a 2011 con un presupuesto de 252 millones de Euros 😛 )

– Debe establecerse un flujo de información mutuo entre la investigación de defensa y la civil. Es un punto clave para el avance. La creatividad y búsqueda de sinergias puede ser modo de aproximación.

– Existe una falta de aproximación global y holística a la investigación de Seguridad Europea. Siguen existiendo aproximaciones nacionales y locales pero falta una “visión europea”. Como comentaba Klaus Thoma, Director del Fraunhofer Institute, necesitamos un “holistic approach towards the Resilien Europe” (suena un poco a ENISA, verdad?)

– “Going European is the way to go!”: en términos de interoperabilidad y estandarización.

– Cada vez más la Investigación en Seguridad debe ser incluida en la agenda y objetivos políticos de Europa y de los Estados Miembro

– La Unión Europea es un “jugador global” y debemos maximizar el papel y rol que juega Europa en el escenario Mundial

– La industria de la seguridad tiene un reto muy concreto e importante:  romper el paradigma de las soluciones y necesidades “sobre-personalizadas” o “sobre-adaptadas“. El mercado está extremadamente fragmentado. Desde el punto de vista económico, ¿cómo de bien “mapeadas” están las soluciones de seguridad a la demanda?

– Modelo de Seguridad Industrial Europeo: es casi una utopía, pero algo a perseguir teniendo en cuenta los temas de estandarización e interoperabilidad

– Me gustó mucho la evolución de R&D hacia la D&D (pasar de la Research & Development a la Development and Demonstration), o lo que es lo mismo de la I+D a la D+D, de la Investigación y Desarrollo al Desarrollo y Demostración.

– La Investigación en Seguridad está desde el principio en Europa. Se ha pasado desde un presupuesto de 14 millones de euros a uno de 200 millones… sin embargo en Estados Unidos los presupuestos son de BILLONES de euros… aún nos queda camino por andar…

– Existen infraestructuras transnacionales de propiedad privada: los estados ya no pueden asegurar la protección de esas infraestructuras por sí mismos. Es necesario un enfoque más global. Y digo yo… si parte de la seguridad de la Nación  o de la Unión está en el sector privado, ¿cómo se hace para garantizar esa seguridad? “Fácil”, ¿obligando medidas? (Decretazo), pero yendo más allá, ¿de dónde sale el dinero para esas medidas? ¿Quién lo paga o lo va a pagar? Buff… no sé cómo lo plantearán.

– La “Seguridad Real” no es algorítmica, sino basada en una comprensión total del problema y sus consideraciones. Las soluciones que parecen buenas aparentemente, pueden fallar miserablemente a la hora de analizarlas a un nivel fundamental. Todo esto puede deberse a la forma en la que pensamos en seguridad. Existe una necesidad clara de “retar” las creencias existentes en seguridad un nivel extremadamente fundamental, y esa es una labor para la comunidad de investigación y desarrollo en seguridad. El guante está echado… 🙂

Comentarios bienvenidos 😉