InfoSecMan Blog

Todos sabemos y somos conscientes de que la formación, en todas sus modalidades (teleformación, autoformación, certificaciones, tecnológica, práctica, etc.) es muy importante en nuestra profesión. Normalmente (y generalizando, cosa que no debe hacerse) comenzamos con una formación más técnica, en muchas ocasiones por una visión muy limitada del problema, que nos lleva a aprender a manejar multitud de “cacharros” lo que, poco a poco, nos va haciendo conseguir cierta base en los conceptos importantes de comunicaciones, sistemas y claro, seguridad. Incluso (muchas veces por imposición corporativa) acabamos obteniendo certificaciones de tal o cuál fabricante (con el riesgo correspondiente de “caer en sus redes” y en el negocio de las recertificaciones periódicas 😉 ).

A medida que pasa el tiempo comenzamos a ser conscientes de nuestro entorno y descubrimos que cuanto más vamos aprendiendo más nos queda por aprender y, probablemente, empezamos a tener ciertas inquietudes. La mayoría de los “cacharros” que manejamos se basan en los mismos principios, luego es posible que debamos conocer más a fondo esas bases y es entonces cuando queremos conocer bien los conceptos base y estudiamos las tecnologías y métodos comunes a todos ellos.

Empezamos pues a darnos cuenta que la tecnología es una pequeña parte de la seguridad y que existen temas interesantes en los ámbitos de la gestión. Incluso es probable que descubramos que muchas de las cosas que hacíamos como buenamente creíamos, se pueden hacer siguiendo metodologías o estándares que  existen en el mercado. ¡Qué maravilla!. Pues nada habrá que estudiar más sobre todo esto.

Comenzamos con las metodologías de todo tipo, desde gestión de la seguridad en sí (ISO 27001, COBIT, etc.), continuidad del negocio (BS 25999), auditorías (OSSTMM, etc.), análisis de riesgos (Magerit…)… y tantas otras cosas. Y el tiempo sigue pasando y como el mercado parece valorar las certificaciones, ya que estudiamos, nos decidimos a presentarnos a algún examen y los títulos comienzan a acumularse (con un poco de suerte).

Continuamos ampliando nuestra visión, y nos damos cuenta que la formación y algunas certificaciones, en efecto, certifican que…. sabes estudiar y entonces es cuando descubrimos algunas certificaciones profesionales para las que, además de empaparte de la “cultura” de la certificación y estudiar su temario, debes acreditar cierta experiencia profesional (que creemos, es una de las mejores capacitaciones que uno pueda aportar). A todas estas, como ya llevamos unos añitos desde que comenzamos a estudiar la “cacharrería”, si aprobamos los correspondientes exámenes, es posible que podamos obtener esas certificaciones tan valoradas en el mercado (CISSP, CISA, CISM, etc.).

Teóricamente estamos en un punto ya de capacitación importante, pero una y otra vez nos sigue pasando lo mismo. Nuestra visión sigue ampliándose y descubrimos nuevos temas, casi totalmente desatendidos en el mercado (al menos en esta parte del mundo) que nos apetece conocer pero empiezan a surgir los “problemas”: “quién nos va a enseñar esto?”, “dónde programan cursos al respecto?”…  y descubrimos que cada vez necesitamos más esfuerzo propio. Amigo mío, si quieres aprender sobre esto, tienes que investigarlo tú mismo! 🙂 Así que llega el momento de esforzarse realmente.

Estoy seguro de que muchos de vosotros estáis ya en ese punto. ¿Cómo os organizáis? ¿Qué intereses tenéis y cómo los lográis “saciar”?

Para otro día dejo mi reflexión sobre los esfuerzos formativos y las elecciones personales … ¿más tecnología?… NO gracias 🙂

Una mujer de Korea del Sur ha burlado los sistemas de control biométricos de los aeropuertos japoneses usando cinta adhesiva en sus dedos. Sí, como lo estáis leyendo.

La mujer en cuestión, que había sido deportada de Japón por no tener permiso y estar trabajando, logró burlar los dispositivos de lectura de huellas dactilares con una cinta adhesiva especial y un pasaporte falso. Todo esto se ha descubierto no por el propio sistema, sino porque, tras ser deportada en 2007 y no permitírsele entrar durante 5 años en Japón, la encontraron de nuevo en Nagano.

El sistema fue instalado en 30 aeropuertos de Japón en 2007 y “sólo” costó 64 millones de dólares (australianos, no sé exactamente el cambio 🙂 )… Tremendo!

Y digo yo, será vulnerable también al ataque del dedo de gominola?

Más información aquí.

Me preocupa un poco más que, también en Japón, existan cajeros con lectores de manos y huellas como sistema de autenticación (no necesitas el PIN)…. claro que empapelarse la mano con cinta aislante es mucho más incómodo 😉

En primer lugar Feliz Año a todos/as vosotros/as. Como habréis notado he estado desaparecido de este espacio los últimos tiempos debido principalmente a la alta carga de trabajo y a una mayor priorización de la vida personal en el tiempo de ocio (como es lógico).

Estamos comenzando el año y como siempre, aparecen multitud de noticias sobre las “tendencias” para el nuevo año, lo más “popular” del año pasado, el top ten de las vulnerabilidades, de los profesionales, de las empresas, de las facturaciones, etc. y la verdad es que no puedo evitar sentirme como Bill Murray en la película “Atrapado en el Tiempo” en la que vivía una y otra vez el mismo día (el día de la marmota).

¿Será que me estoy haciendo mayor? (porque me está pasando lo mismo por ejemplo, con el cine, la música, etc. 😛 ) … Lo cierto es que (ya había comentado esto en Junio de 2007) me da la impresión que no se ve nada nuevo en el horizonte, y eso me preocupa. En nuestro país aún queda mucho por hacer (ya hablaré de eso en unos días en otro post) y probablemente las novedades vengan por nuevas obligaciones legales que cumplir, por la incorporación de la seguridad de la información en terrenos en los que en nuestro país aún no se ha tenido en cuenta o por algún que otro servicio novedoso entre los excelentes proveedores del mercado 🙂 … pero a nivel global, ¿qué nos queda?

Como decía, sigo teniendo la sensación de que nada me está sorprendiendo (positivamente) en los últimos meses. Más malware, más antivirus, antispam, anti-X, más phishing, más vulnerabilides, más parches, más UTMs (es lo último “innovador” que recuerdo), más controles de acceso, más máquina, más velocidad… pero menos innovación.

No me creo que no quede nada por innovar, y que lo único que nos quede es introducir la tecnología más ampliamente en todas las organizaciones y en poner mayores máquinas para que procesen más transacciones por segundo (que si lo pensáis, es en lo que se resume el mercado de hoy en día).

Como hoy es día 5, y esta noche vienen los Reyes Magos, aún estoy a tiempo de incluir alguna cosilla más en mi carta, así que cuál si fuese un milagro, voy a pedir más innovación para nuestro mercado, servicios y soluciones y, ya que estoy, me voy a hacer el firme propósito de no “hacer o decir más de lo mismo”, ya no digo en este Blog, sino en general en mi carrera profesional… (en el peor de los casos, siempre podré dedicarme a mi alter-opera musical 😛 ).

¿Cuál es vuestra opinión? ¿Algo os ha sorprendido gratamente en nuestra profesión recientemente?

Seguiremos informando 🙂

Ese fue el título de la ponencia que mi gran amigo Nacho Paredes y yo presentamos la semana pasada en el II Encuentro Nacional de la Industria de la Seguridad en España (ENISE). Dado el éxito de la misma y su excelente aceptación entre los asistentes creemos que lo más adecuado, en lugar de enviarla uno a uno a los que nos la solicitaron, es colgarla aquí para descarga pública de todos los que queráis reiros unos minutos 🙂

El contenido que pretendimos trasladar es la falta de alineación de la industria de la seguridad que en muchos casos existe con la situación real de la gran mayoría de compañías. Todos estamos pensando en nuevos estándares, métricas, innovación, firma digital, Firewalls, IPS, etc. lo que es totalmente necesario, pero no suficiente.

Todos estos avances son muy adecuados y necesarios, pero aprovechables en el corto/medio plazo únicamente por una minoría de organizaciones cuyo nivel de madurez en seguridad es mucho mayor, mientras que la gran mayoría de compañías adolece de las medidas más básicas de seguridad y necesitan llegar a eso, pero de forma mucho más comprensiva y paulatinamente.

Expusimos algunos ejemplos y en la última parte de la presentación, como no podía ser de otra forma, “hablamos de nuestro libro”, describiendo nuestra aproximación al problema mediante la metodología IS2ME: Information Security to Medium Enterprise 🙂

Esperamos que sea de vuestro agrado, sirva como una crítica constructiva hacia nosotros mismos y de paso os haga pasar unos minutos entretenidos.

Podeis descargar la presentación powerpoint aquí.

El número de septiembre de la revista Scientific American está completamente dedicado al “Futuro de la Privacidad” con interesantes artículos sobre la privacidad en la era de las redes sociales, biometría y su aplicación en contra del robo de identidad, RFID, etc.

Una lectura muy interesante que os recomiendo. La versión electrónica cuesta 7,95US$ y podéis acceder a ella aquí.

Los próximos días 22, 23 y 24 de Octubre se celebrará en León (España) el II Encuentro Nacional de la Industria de la Seguridad en España (ENISE) de la mano de INTECO (Instituto Nacional de Tecnologías de la Comunicación).

Un año más (es el segundo) pondremos como excusa esos 3 días de congreso para ver a viejos amigos, conocidos, compañeros y escucharnos unos a otros en ponencias, al rededor de una mesa comiendo o en los pasillos, lo que no deja de ser muy interesante y supone una especie de “foto instantánea” de cómo está el mercado en nuestro país… si bien algún detractor podría decir que sería como hacernos una foto a nuestro propio ombligo 🙂

Sea como fuere, allí estaremos. Mi compañero Nacho Paredes y yo daremos una breve ponencia el viernes 24 que titularemos “¡Tengo hambre y me das caviar!” que esperamos que, al menos, sea entretenida 😉 Por supuesto si alguno de vosotros/as está por allí, estáis invitados (previo pago de la cuota de asistencia correspondiente).

Este encuentro tiene siempre para nosotros un atractivo más: León. Como buen Asturiano, siempre he visitado con frecuencia esa ciudad y acercarme al Húmedo (barrio/zona de León que deberéis visitar si vais), tomarme unos vinos/vermouths acompañados de unos pinchos, un poquito de morcilla o similar y todo esto en compañía de buenos amigos suena siempre seductor.

Lo dicho, si estais por allí, decídnoslo y organizamos alguna “visita guiada” 🙂

Más información sobre el encuentro, ponentes, contenidos, fechas, etc. aquí.

Mis amigos Agustín y Jose de ISO27000.es siguen ofreciendo grandes contenidos a la comunidad. En este caso acaban de publicar un nuevo portal: iso27000.es, que proporciona una base de recursos imprescindibles para aquellos que están implantando o gestionando un SGSI según esa norma.

Pero mejor leamos lo que nos ofrecen ellos directamente en su nota de publicación:

Desde iso27000.es lanzamos un nuevo proyecto en la URL iso27002.es como ampliación y complemento para la difusión de la seguridad de la información, ahora mediante una plataforma wiki colaborativa.

El objetivo de iso27002.es es recoger diferentes propuestas y posibles soluciones prácticas para cada uno de los 133 controles que indica la norma y que aparecen aquí resumidos en formato de ficha práctica.

Desde cada control se accede por enlaces directos a otros relacionados y la barra de búsqueda permite localizar rápidamente aquellos relacionados con posibles palabras clave, entre otras ventajas.

También se explica con formatos de video y ejemplos prácticos los puntos básicos claves a considerar en la implantación de un SGSI en relación al estándar ISO 27001.

La explicaciones recorren un esqueleto de SGSI que ya ha sido utilizado con éxito en implantaciones desde tiempos de la BS 7799-2 y en pymes de varios países.

El site permite además aportar preguntas y respuestas a los usuarios que se den de alta así como información completa sobre cada una de las normas de la serie ISO 27000 publicadas hasta el momento.

Se incluyen aquí las últimas noticias publicadas en iso27000.es con el objetivo de mejorar la rapidez de acceso a su lectura on-line por parte de visitantes habituales del continente americano, aunque de forma similar a iso27000.es existe la posibilidad de sindicación RSS a cualquiera de las páginas de interés.

Enlace al wiki disponible en modo lectura en iso27002.es o también en iso27000.wik.is para los interesados en iniciar sesión y comentarios como anonimo/anonimo.

Vaya desde aquí mi enhorabuena a estos 2 grandes profesionales (y amigos)  por esta nueva iniciativa y por supuesto, nuestro agradecimiento por contribuir de esa forma a la difusión de la seguridad de la información. Gracias Agustin, Jose!

Comenzando el 1 de Diciembre y hasta el día 9 se celebrará en Londres el evento SANS London 2008, para mí probablemente el evento formativo más interesante en el panorama europeo y uno de los más importantes a nivel mundial.

Como muchos sabéis, SANS Institute es una de las organizaciones más importantes del mundo en torno a la seguridad de la información y sus cursos y certificaciones son de las más valoradas en el entorno técnico a nivel internacional.

Yo he tenido la fortuna de asistir a más de uno de estos eventos, a sus cursos y preparar varias de sus certificaciones y os aseguro que, sin lugar a dudas, si estáis buscando una capacitación técnica de alto valor, con alta implicación práctica y reconocida internacionalmente, esta debe ser vuestra elección.

Además, todo hay que decirlo, entre sus instructores (muchos y procedentes de distintas partes del planeta) que deben pasar todo un proceso de cualificación, capacitación y valoración por sus alumnos de forma previa a participar en un evento de este tipo, se encuentran nuestros compatriotas (y amigos) Raúl Siles y Jess García. Dos grandes profesionales que van dejando el nivel muy alto allí por donde pasan.

Este año no podré asistir (esa semana estaré preparando otra certificación y estoy bastante complicado de agenda en estos tiempo), por lo que si logro convenceros a alguno, no dejéis de saludar especialmente a Raúl de mi parte 🙂 .

Como resumen, aquí tenéis los cursos que se impartirán:

– Audit 507: Auditing Networks, Perimeters & Systems

– Audit 521: Meeting the Minimum: PCI/DSS 1.1: Becoming and Staying Compliant

– Management 512: SANS Security Leadership Essentials For Managers with Knowledge Compression™

– Security 546: IPv6 Essentials

– Security 401: SANS Security Essentials Bootcamp Style

– Security 559: Wireless Security Exposed

– Security 502: Perimeter Protection In-Depth

– Security 602: Reverse-Engineering Malware: Additional Tools and Techniques

– Security 503: Intrusion Detection In-Depth

– Security 709: Developing Exploits for Penetration Testers and Security Researchers

– Security 504: Hacker Techniques, Exploits & Incident Handling

– Security 505: Securing Windows

– Security 508: Computer Forensics, Investigation, and Response

– Security 540: VoIP Security

– Security 542: Web Application Penetration Testing In-Depth

– Security 560: Network Penetration Testing and Ethical Hacking

Impresionante, verdad??… Eso sí, algún inconvenite tenía que haber… estos cursos no son especialmente “económicos”… pero os aseguro que merecen la pena!!

Probablemente cualquiera de los que leeis este espacio y os dedicáis a este mundillo de la seguridad de la información tendréis tantas anécdotas como yo (o quién sabe si no más). Creo que todos hemos visto organizaciones en estados de real precariedad en lo que a implantación de medidas de seguridad se refiere.

Pasan los años y no dejo de sorprenderme con estos hallazgos. Cuando uno empezaba en estos temas y acudía a alguna gran organización, en muchos casos multinacional en la que, a priori, esperaba encontrar altísima tecnología, excelente organización y grandes profesionales dedicados a este área, me sorprendía encontrarme con compañías con unos niveles de madurez bajísimos en todos los sentidos. Me parecía increíble que compañías con tanto nombre, recursos y capacidades pudiesen estar en un estado tan lamentable.

Lo que primero comenzó siendo una sorpresa y en cierto modo, hasta un desengaño o desilusión, comenzó a ser algo habitual y la sorpresa pasó a ser (aún sigue siendo así) el encontrarse con organizaciones concienciadas o al menos mínimamente preocupadas por su seguridad, y que lo demuestren en su estrategia y su día a día.

Hablo de compañías multinacionales, algunas de ellas cotizando en bolsas como la de Nueva York (con todos los requisitos de cumplimiento asociados, al menos teóricamente), otras nacionales con gran renombre y otras, menos conocidas, pero con grandes recursos.

Pero reflexionando un poco sobre esto, lo que realmente me sorprende es que estas compañías no tengas más incidentes de seguridad… aunque en algunos casos sí que los tienen, pero no son conscientes de ellos (como solemos decir mi amigo Nacho y yo, “estos seguro que tienen a alguien viviendo dentro”, de sus sistemas, se entiende).

¿Suerte? Compañías con altos índices de rotación de personal, con una política de retención pobre y que tiempo después de que su personal abandone la compañía mantienen activas cuentas, servicios, accesos que pueden ser explotados (realmente, deberíamos decir utilizados) por antiguos usuarios. Y sin embargo, no pasa nada.

¿Bondad? Quizás debamos creer en la bondad del ser humano. Quizás quien gana acceso a este tipo de organizaciones, decide no causar daño alguno ante la “ingenuidad” que demuestra al no protegerse mínimamente… o quizás prefiera no “hacer ruido” para utilizar esos accesos de alguna forma ventajosa para él.

¿Falta de información? Quizás muchos scriptkiddies o hackers conocidos no muevan sus objetivos hasta estas empresas porque supongan que sus medidas de seguridad son mucho más elevadas, y si encuentran algo tan obvio piensen, repiensen, mediten, examinen y estudien el hallazgo para comprobar que no es una trampa, que no es un honeypot… (“no puede ser tan fácil, estos me están vigilando, seguro…” 😉 ).

Sea como sea, siguen “librándose”. Librándose de las pérdidas económicas directas, librándose de la pérdida de reputación de su imagen, librándose de las fugas de información, librándose del espionaje industrial, librándose de las sanciones por incumplimiento… y ¿cómo? … quizás con suerte.

Después, como es lógico, uno llega y tras pasarse un tiempo estudiando la organización presenta un plan de mejora y la dirección se sorprende: pero cómo se va a invertir esos recursos en algo que, aparentemente, no hace falta…. esa suele ser la reacción salvo que, 3 días antes, a ese mismo consejero delegado, le haya entrado un pequeño virus casi inofensivo, en cuyo caso firma el presupuesto de millones de euros sin apenas pensárselo 2 veces… ¿curioso, verdad? … o ¿penoso?

Hace falta continuar evangelizando. No penséis que ya está todo hecho, ni siquiera en las grandes organizaciones y con muchos recursos. Queda mucho camino por andar. No caigamos en el error de mirarnos el ombligo y pensar que todas las organizaciones tienen nuestras preocupaciones en cuanto a las métricas, el cumplimiento, los estándares, la continuidad de negocio, ISO 27001, BS 25999, ISO 27008, certificaciones profesionales…. probablemente, no sepan de su existencia y es nuestra labor ir evangelizando allí por donde pasamos, ¿o no?

Revisando los miles de posts pendientes de lectura tras mis vacaciones quería reseñar aquí uno de especial interés que descubrí a través de ISO27000.es sobre los 10 peores errores que comete la alta dirección en seguridad de la información, pero lo cierto es que tras comprobar que ya lo han hecho en el día de hoy mi conocido Joseba Enjuto, Hack Hispano o SeguInfo, no tiene demasiado sentido que vuelva a reproducirlos yo aquí, así que simplemente os recomiendo su lectura en alguna de las fuentes que resumen brevemente el contenido de lo expuesto por Jesús Torrecilla, consultor de seguridad de Cemex, en Mexico. Una charla que claramente debió de merecer la pena.

Como muchos sabéis, esta semana comienzo una nueva etapa en Grupo Intermark, como director de TI y responsable de la oficina de conocimiento de seguridad de la información. Pues bien, tengo ante mí un reto interesante de cara a liderar la estrategia de seguridad en una compañía ya existente. Casualmente, descubro también entre esos miles de posts vacacionales el anuncio de una publicación en el SANS Reading Room, que tiene bastante que ver con lo que comento: “Leading the Transformation of a Security Organization as a New Security Manager”, de Robert Mayhugh. Realmente no cuenta nada demasiado innovador, pero sí que puede servir como una introducción o explicación a lo que puede suponer un paso de este tipo y alguna recomendación de alguien que ya lo ha vivido (y se ha molestado en escribir sus impresiones).

Por una parte espero aplicar lo que indica Robert en su artículo (y algunas otras cosas interesantes que se me ocurren, pero que no tengo tiempo ahora para desarrollar) y por otra, espero no caer en los errores típicos ya comentados por Jesús Torrecilla en su ponencia.

Os iré contando 🙂

Por cierto, aprovecho para enviar desde aquí un saludo a algunos de mis nuevos compañeros que me consta que están accediendo a estas páginas estos días 😉