InfoSecMan Blog

Esta frase que me ha encantado y con la que estoy totalmente de acuerdo, no es mía (lamentablemente ;)), sino de Christofer Hoff y aparece publicada en el ISSA Journal de Marzo haciendo referencia al famoso y tan de moda término, Cloud Computing que tantas veces está tratando en su Blog.

La frase hace referencia a que probablemente veríamos a muy pocos de nuestros amigos vociferando en un karaoke alguna canción de los 80 a la vez que la baila y gesticula como un loco y sin embargo, sí que es posible que muchos de ellos estén haciendo lo propio en sus casas con la salvedad que el “karaoke” no se llama así, sino “Guitar Hero” y corre sobre una XBox en el cuarto de estar.

Del mismo modo, compañías o personas que jamás hubiesen externalizado diversos servicios en un entorno de “infraestructuras gestionadas” o alojado sus datos en entornos externos a su organización, ahora comienzan a hacerlo porque repentinamente eso se llama “Cloud Computing”, si bien en los principios básicos, sigue siendo prácticamente lo mismo (si obviamos las importantes diferencias y aproximaciones comerciales actuales…).

Lo cierto es que a día de hoy, yo no creo para nada en este tema tan de moda (quizás tenga que rectificar más adelante, quién sabe :-P), que como indica Hoff, tiene más de novedad en su aproximación comercial, que en sus principios tecnológicos.

Si queréis profundizar más sobre el tema os recomiendo su Blog Rational Survivability, donde incluye reflexiones, contenidos y opiniones muy interesantes sobre ese tema (y otros). Imprescindible su último post comentando el modelo “Cloud Cube” del Jericho’s Forum y sus impresiones. Echadle un vistazo.

Hoy aparece publicado en el Wall Street Journal y se hacen eco de ello diversos blogs y medios en Internet una noticia que confirma nuestras sospechas y recomendaciones sobre la protección de infraestructuras críticas que ya hace tiempo venimos tratando aquí.

En mis presentaciones y charlas siempre digo que la seguridad de la información en el entorno industrial está al menos 5 años por detrás de la situación en el resto de sistemas corporativos y digo que si pensásemos un mundo en el que un simple catarro pudiese matarnos, estaríamos hablando de la seguridad de los sistemas industriales, la informática industrial y los sistemas SCADA, entre otros.

Pues bien, en el artículo de hoy de Wall Street Journal, se confirma que Estados Unidos ha recibido ataques a sus redes de suministro eléctrico desde China, Rusia y otros países y que han encontrado software y programas maliciosos instalados internamente, preparados para ser activados que podrían causar importantes alteraciones en el servicio en el caso de ser activados (dicen ellos que probablemente estarían preparados para ser activados en caso de guerra o ataque de otro tipo… aunque quizás pueda ser algo teatral, según se lee).

El caso es que desde fuentes oficiales se confirman estos ataques y estos hechos. Así mismo indican que los hallazgos no han sido descubiertos por las compañías que mantenía los sistemas sino por “agencias de intelegencia gubernamentales”, lo que no deja de ser aún más preocupante, y dejan datos como que durante los últimos 6 meses se han gastado más de 100 millones de dólares en reparar “ciber-daños” (es decir problemas causados desde el “ciberespacio”).

Quizás esta sea una de las causas del importante programa de defensa del ciberespacio que la “administración Obama” está desplegando, dedicando importantísimos recursos monetarios, humanos y organizativos a este tema.

Como ya habíamos comentado aquí, existen varias normativas y estándares de obligado cumplimiento en ese país para empresas de suministro energético, aguas, etc. Parece que están en el camino de tomar las riendas en el problema y comenzar una aproximación al mismo.

Ya preguntaba antes aquí cuál era la situación en nuestro país en este sentido… y no he recibido ningún comentario ni contestación… lo cuál no deja de confirmar mi preocupación (que se acentúa cada vez que conozco alguna instalación crítica). Deberíamos estar haciendo algo… si no lo estamos haciendo ya ¿no creéis?

Podéis acceder al artículo completo aquí. Os recomiendo su lectura.

No, no me estoy refiriendo a aquellas en las que conocemos a la persona que vamos a quedar para cenar 😉 sino a la recopilación que Edgar y Dani han tenido a bien a compartir con todos nosotros en su excelente Blog. Enhorabuena a ambos, muy divertido… y un buen material para concienciación en seguridad.

Recojo a continuación solo las 10 primeras … quien quiera leer el resto que lo haga en el Blog de los autores, que para eso se las han trabajado 🙂

1.- Cuanto más inseguro te sientes más seguro te haces
2.- El umbral de seguridad aceptable no existe
3.- Los mecanismos de cifrado únicamente retardan lo inevitable
4.- La seguridad, ¿se quiere o se necesita?
5.- Confianza no es sinónimo de seguridad
6.- Mi seguridad empieza donde empieza la tuya
7.- No desearás el firewall del prójimo
8.- No hay que matar moscas a cañonazos, olvida el formateo como primera opción
9.- La seguridad es directamente proporcional a los incidentes sufridos
10.- La seguridad es como un iceberg, la mayor parte no se ve pero está ahí

Enhorabuena a ambos de nuevo!

El fin de semana pasado tuve que ejercer de “informático” de la familia formateando y reinstalando el ordenador de mi madre. Por una serie de razones que no vienen ahora a cuento el sistema operativo a instalar fue Windows 2003 y como estaba “jugetón” decidí hacer un sencillo experimento para comprobar si las estadísticas son ciertas o no.

Instalé ese sistema operativo en el equipo desconectado de la red y una vez que estuvo en correcto funcionamiento, sin antivirus ni firewall ni router que lo protegiese (ni parches aplicados) decidí pincharlo directamente a la red del operador de cable (TeleCable) para ver qué ocurría.

Y ocurrió lo que, si las estadísticas no mienten, tenía que ocurrir. Lo mismo que si nos lanzamos en medio de un mar lleno de tiburones hambrientos, o lanzamos un bebé a un río repleto de pirañas: el equipo de mi madre fue “devorado” antes de que mi reloj marcase el segundo número 30 desde que conectase el cable de red. En efecto, en el segundo 29 Windows 2003 mostró una ventana indicando un error y problema en los RPC y anunciando su reinicio en 40 segundos… y así lo dejé durante 3 reinicios seguidos (es decir, algo menos de 10 minutos).

Con el cadáver (del ordenador de mi madre) aún fresco y desconectado nuevamente de la red, instalé un antivirus y procedí a su limpiado. El resultado: 2 troyanos, 1 spyware y 1 virus (así lo etiquetó el antivirus). Todo eso en menos de 3 minutos de conexión efectiva a Internet (el resto fueron reinicios). Lamentable.

El resultado fue el esperado aunque para ser sincero, yo pensaba que aguantaría algo más (¿quizás 5 minutos?). Todo esto me lleva a reflexionar sobre lo siguiente. ¿Es normal que un producto que se compra no sea utilizable en absoluto sin una “reparación” previa? ¿Es normal que no exista ninguna advertencia, notificación o prevención al respecto en el producto? ¿Cómo debe actuar un usuario que desconoce totalmente estos riesgos?… ¿y aún nos extrañamos que el malware nade a sus anchas por nuestras redes (y los ordenadores de nuestra familia 😉 )?

Siempre he dicho que este mundo nuestro de la informática, internet, etc. se rige por unas reglas comerciales increíbles. Imaginad la misma situación con cualquier otro producto de consumo (como ya lo es hoy en día la informática personal). Vamos a la tienda, compramos el último modelo de televisión, la traemos a nuestra casa, la enchufamos a la antena y… plaf! se nos apaga. La intentamos encender y vuelve apagarse. Claro!! cómo se nos ocurre conectarla a la red (la antena) sin haber comprado el “chinquiflinqui”, un aparato que debemos situar entre la televisión y la antena para que esta funcione. Ahora tenemos que comprar el famoso “chinquiflinqui” y llevar la televisión al taller para que nos la arreglen y se lo instalen… pagando, por supuesto!. De lo más normal!

¿Por qué no se advierte de tal cosa en las instrucciones de la televisión?

¿Por qué la televisión no incluye un “chinquiflinqui” de serie?

¿Cómo podemos comprar un producto que no funciona desde el primer minuto de su puesta en marcha y considerarlo un comportamiento normal?… ¿seguirán vendiéndose televisiones sin sintonizador TDT dentro de 10 años?

Estamos en un mercado ilógico, pero lleva tanto tiempo siendo así que ya lo vemos como algo normal. 🙁

El pasado jueves tuve la oportunidad de asistir a la asamblea ordinaria del Capítulo de Madrid de ISACA donde se anunció la creación de la comisión cuyo nombre podéis ver en el título de este post. Puesto que es un tema que me parece de gran interés y en el que estoy muy involucrado en los últimos tiempos, y además mi amigo Miguel García es el vocal responsable de esta comisión he solicitado a ISACA mi participación en la misma.

Precisamente Miguel recoge en su blog una descripción en detalle de la comisión, sus objetivos, finalidades, etc. que os recomiendo que reviséis si alguno de vosotros está interesado en participar (activamente 😉 ).

Seguiremos informando…

El “Global Information Technology Report” (Informe Global sobre Tecnologías de la Información) es un informe que viene publicando durante los últimos 8 años el World Economic Forum sobre las Tecnologías de la Información y el estado de los principales países del mundo en cuanto a las mismas (preparación y situación de las personas, de los negocios y compañías en el país o de los propios gobiernos y estados).

Hace unos pocos días se acaba de publicar el último informe correspondiente a 2008-2009 y por primera vez se hace público el informe completo y está disponible para su descarga desde la página web. Además hay un completo entorno web que permite navegar por el informe y realizar filtros por país, tecnología, etc. lo que nos permite obtener datos realmente interesantes sobre el estado de las TI en distintas regiones y países.

Os recomiendo, si no su lectura (solo para aquellos con paciencia e interés 😉 ), sí al menos su revisión. Tiene datos muuuy interesantes. Podéis acceder al informe aquí.

No suelo incluir aquí noticias textuales de otros lugares, sino más bien opiniones sobre las mismas o reflexiones, pero en esta ocasion, aunque ya la recogen en otros medios, quiero dar más difusión aún a una iniciativa excelente de la mano del amigo Jorge Ramió desde la cátedra UPM Applus+ (como suelen serlo, por otra parte, todas las que últimamente vienen de allí 😉 ). Se trata del Seminario Gratuito Seguridad en Redes Sociales de la UPM que se celebrará el próximo 6 de mayo y cuya nota de prensa reproducto a continuación. Sin duda, muy muy recomendable!!!

SEMINARIO GRATUITO SEGURIDAD EN REDES SOCIALES EN LA UPM

El 6 de mayo de 2009 se celebrará en la Escuela Universitaria de
Ingeniería Técnica de Telecomunicación de la Universidad Politécnica de
Madrid, el seminario “Seguridad en redes sociales: ¿están nuestros datos
protegidos?”

La asistencia es gratuita, si bien se requiere y recomienda una
inscripción previa.

IMPORTANTE: El seminario se transmitirá por videostreaming a través de los
servicios del Gabinete de Tele-educación de la UPM, GATE, desde una url
que se informará en breve en el sitio Web de la Cátedra. En este caso, no
hace falta inscribirse pues su visualización es libre.

Organizado por la Cátedra UPM Applus+ de Seguridad y Desarrollo de la
Sociedad de la Información, de 09:00 a 14:00 horas se analizarán y
debatirán temas relacionados con la seguridad de nuestros datos de
carácter personal en este tipo de redes sociales, entornos virtuales que
han adquirido una notable notoriedad pública en estos últimos años,
convirtiéndose en un verdadero fenómeno de masas y de máxima actualidad.

Siguiendo el reciente informe “Estudio sobre la privacidad de los datos
personales y la seguridad de la información en las redes sociales online”,
elaborado por el Instituto Nacional de Tecnologías de la Comunicación
INTECO y la Agencia Española de Protección de Datos AEPD, con fecha de
febrero de 2009, podemos destacar de dicho documento:

“La notoriedad de estos espacios sociales online no queda exenta de
riesgos o posibles ataques malintencionados. Es una preocupación de las
organizaciones nacionales, europeas e internacionales con competencias en
las materias afectadas por el uso de estas redes, que han impulsado la
elaboración de normas y recomendaciones dirigidas a garantizar el acceso
seguro de los usuarios –con especial atención a colectivos de menores e
incapaces- a estas nuevas posibilidades online.”

Por tal motivo, este seminario está dirigido a público en general y de
forma muy especial a jóvenes, adolescentes y padres de familia.

El seminario contará con destacados invitados:

– D. Artemi Rallo Lombarte
Director de la Agencia Española de Protección de Datos AEPD
– D. Arturo Canalda González
Defensor del Menor de la Comunidad de Madrid
– Dña. María Teresa González Aguado
Defensora Universitaria de la UPM
– D. Antonio Troncoso Reigada
Director de la Agencia de Protección de Datos de la Comunidad de Madrid APDCM
– D. Emilio Aced Félez
Subdirector de Registro de Ficheros y Consultoría de la APDCM
– Dña. Gemma Déler Castro
Directora IT & Telecom BU de Applus+
– D. Ícaro Moyano Díaz
Director de Comunicación de Tuenti
– D. Pablo Pérez San-José
Gerente del Observatorio de la Seguridad de la Información, Instituto
Nacional de Tecnologías de la Comunicación INTECO

Las conferencias planificadas son las siguientes:

– “Los menores y las nuevas tecnologías”, de D. Arturo Canalda.
– “Las redes sociales como nuevo entorno de confianza”, de D. Ícaro Moyano.
– “Redes sociales: nueva frontera para la privacidad de los digital
babies”, de D. Emilio Aced.
– “Diagnóstico sobre la seguridad de la información y privacidad en las
redes sociales online”, de D. Pablo Pérez.

Además, se contará con un Coloquio de una hora y media de duración, donde
los asistentes podrán realizar sus preguntas a un grupo de expertos así
como debatir sobre esta temática.

PREINSCRIPCIONES: por limitación del aforo, deberá realizarse una
preinscripción, recomendándose hacerlo en la página Web de la Cátedra UPM
Applus+, siguiendo las instrucciones que aparecen en dicho servidor:

Puede descargar el tríptico en formato pdf con el programa del seminario
desde la página Web de la Cátedra UPM Applus+.

Fecha: miércoles 6 de mayo de 2009
Hora: de 09:00 a 14:00 horas
Inscripción: gratuita pero requiere una inscripción previa
Lugar: Sala de Grados 3004 de la EUITT-UPM, en Madrid
Cómo llegar: http://www.euitt.upm.es/escuela/como_llegar

Para información adicional, por favor dirigirse a Dña. Beatriz Miguel
Gutiérrez a la dirección de correo bmiguelATeuitt.upm.es o bien al
teléfono 91 336 7842, en este último caso con atención solamente de 09:00
a 11:30 horas.

* Se entregará certificado de asistencia con 3 créditos CPE a quien lo
solicite *

De la mano del Blog de NoticeBored de Gary Hinson viene un enlace muy interesante hacia las historias más importantes sobre seguridad SCADA (noticias, intrusiones, ejemplos, etc.) de los años 2008, 2007 y 2006 recopiladas, como no, por la gente de Digital Bond, todo un referente en este campo.

Como comenta Gary, en 2007 la historia sobre el “hackeo” y la toma de control de una central de generación eléctrica tuvo mucha relevancia, mientras que en 2008 probablemente uno de los puntos más importantes es que la industria del agua de Estados Unidos parece haber tomado cartas en el asunto y establecido una hoja de ruta de su seguridad (security roadmap)…Echadles un vistazo, merece la pena (especialmente para vuestras presentaciones sobre estos temas ;)).

¿Sois conscientes de alguna iniciativa similar en nuestro país? (España). En noviembre de 2007 el Gobierno anunciaba la creación de un Centro Nacional de Protección de Infraestructuras Críticas. He buscado (poco tiempo, la verdad) en la web y no he encontrado nada, salvo diversos enlaces y referencias a esa noticia. He buscado en la web del Ministerio del Interior y lo mismo. ¿En qué se ha quedado esa creación? ¿Alguna noticia? …

Siempre ando predicando por aquí que a veces es necesario dar un paso de atrás y coger la perspectiva adecuada para que nos permita ver las cosas de forma distinta.  Pues bien, mi estancia en EuroCACS me está permitiendo estos días precisamente tomar cierta distancia con la Seguridad de la Información y tratar de comprender y situar la “foto completa”.

He de decir que ya llevo una buena temporada muy involucrado (y quizás más de hecho que en seguridad) en el gobierno de TI, y que por ello decidí hacer el esfuerzo de venir a un foro en el que el Gobierno TI es un punto clave en sus contenidos con el fin de conocer qué se está haciendo “por ahí fuera” y aclarar algunas de mis ideas.

Pues bien, estos días estoy asistiendo (iba  a decir perplejo, pero no es esa la palabra, sino más bien espectante) a mensajes, presentaciones y comentarios muy interesantes en relación a este tema y hoy quería centrarme más en la seguridad dentro del gobierno de las TI.

Amigos todos, he de deciros (como ya sabréis probablemente) que este gran e importante campo de la seguridad de la información que muchos vemos como prioritario, importante y crucial dentro de la organización, en el que hay importantes campañas de implantación de normas como la ISO 27001, que parece que viene a resolver todos los males de la organización, etc. para la gente que realmente Gobierna las compañías no es más que otro Control Interno de TI. En efecto, la seguridad, la continuidad de negocio, etc. no son más que controles internos que la organización implanta para mejorar su estado (disminuyendo el riesgo). De forma muy general el riesgo se puede transferir, tolerar o mitigar… y la seguridad ayuda en una de esas opciones.

Es curioso como cambiando la perspectiva con que se miran las cosas, opiniones que a priori podrían chocar frontalmente con nuestras ideas tienen todo el sentido del mundo. ¿Qué opináis sobre esto? Sí, ya lo sé, que si la Seguridad no es sólo TI, es mucho más, etc. etc. Eso yo ya lo sé, pero poneros un momento en el papel de quien gobierna la organización, cuáles son sus objetivos estratégicos y qué acciones debe llevar a cabo y puntos debe afianzar (por no decir asegurar). ¿Es algo más que otro Control Interno?

Ya como reflexión personal, lo que me preocupa enormemente es que si éste (la seguridad) es un único punto de los muchos que considerar en una organización como control interno y es tan complejo y extenso como todos conocemos, y por lo general se está haciendo tan mal como muchos sabemos, estará pasando lo mismo en otras áreas que desconocemos totalmente o estarán mucho más maduras y sus profesionales serán mucho mejores que nosotros y su nivel de madurez etc. será muy superior…. mmm…. quizás la respuesta a esta pregunta/reflexión sea la situación económica mundial que en estos momentos estamos viviendo, ¿no os parece? (estoy deseando hablar sobre esto con mi buen amigo y gran experto en Gobierno/Gobernanza TI Miguel García Menéndez).

Pero ese es otro tema que trataré otro día… la situación de crisis que estamos viviendo y mi percepción en estos foros… interesante.

Del 14 al 20 de Marzo se celebrará en Frankfurt la edición europea de la principal conferencia de profesionales de la Auditoría, Seguridad y Gobernanza TI organizado por ISACA: EuroCACS 2009.

La conferencia en sí será los días 16, 17 y 18, mientras que los 2 días antes y después habrá talleres específicos sobre distintos temas como “Implementando el Gobierno de TI utilizando COBIT y ValIT”, “Introducción a ValIT” o “Auditando con Hojas de Cálculo”, entre otras.

El programa es realmente interesante y habrá ponentes del más alto nivel tratando los últimos temas en Auditoría, Seguridad y Gobierno TI. Una oportunidad irrepetible (hasta Septiembre, que se celebra la conferencia equivalente para Latino América en Costa Rica 😉 ), que no hay que desperdiciar.

Yo tendré la suerte de asistir en representación de mi empresa, Grupo Intermark y del Equipo M45, y espero traer muchas nuevas ideas y conceptos interesantes, algunos de los cuales probablemente iré recogiendo aquí. Por supuesto, si alguno de vosotros tiene pensado asistir, no dejéis de avisarme (una semana en Frankfurt solo puede ser algo aburrida, incluso con semejante programa de formación 🙂 ). Prometo invitar a unas cervezas.

Podéis acceder a más información sobre la conferencia aquí. Nos vemos allí!