InfoSecMan Blog

Hace tiempo ya que vengo recogiendo información de distintos amigos y conocidos que se dedican a este campo de la seguridad de la información con el fin de comparar los tiempos dedicados a distintos temas por cada uno de ellos. Cómo organizan (o les organizan) su tiempo.

Mi objetivo era comprobar lo importante que es la formación (externa y la autoformación) en un profesional de este tipo. Desde pequeño ya oía decir a mi madre lo complicado que tenía que ser la profesión de médico ya que tenían que estar estudiando siempre porque surgen “nuevas enfermedades”, “nuevos medicamentos”, etc. Quién me iba a decir a mí que, sin ser médico, me encontraría en una profesión con ese mismo “problema”.

Creo que todos estamos de acuerdo en lo importante de permanecer “actualizado” en esta profesión. De descubrir cosas nuevas, de tener inquietudes y afan de saber y, sobre todo, de ser consciente de lo poco que sabe uno de casi todo, y de cuánto nos queda por aprender (esto, aunque suene a broma, puede convertirse en una auténtica obsesión que, por nuestro bien, debemos saber ponerle límite 🙂 ).

Bien. Pues tras varias “encuestas” y recogida de datos entre profesionales de los servicios de seguridad como consultores, empleados de integradores, técnicos, etc. (no he elegido aquí a ningún responsable de seguridad porque ese caso creo que es particular y posiblemente lo aborde más adelante), he obtenido los resultados que podéis ver resumidos en el siguiente gráfico:

Evidentemente, los resultados varían mucho de uno a otro perfil, pero en general, el factor común en todos ellos es el tiempo dedicado a formación, que oscila entre un 15 y 25% dependiendo del perfil.

Casi 1/4 de nuestro tiempo lo dedicamos a formarnos, a descubrir nuevas soluciones, a investigar. Comparando estos resultados con mi propia experiencia, puedo asegurar que coinciden casi totalmente. A priori para un “empleador” podría parecer un porcentaje demasiado alto (eso supone que en el mejor de los casos sólo 3/4 de un recurso podría ser utilizable para “uso productivo”), sin embargo el disminuir este valor supondría que en un medio/largo plazo nuestros recursos dejarían de ser competitivos y por tanto no aportarían tanto valor a la organización y a los servicios que ofrece.

¿Son conscientes los directivos, áreas de recursos humanos, etc. de esto? ¿Valoran y dimensionan adecuadamente los recursos? Debemos ser conscientes de que si no se tiene esto en cuenta habrá desviaciones importantes en la producción. ¿Quizás por eso muchas organizaciones rara vez cumplen los planes de proyecto propuestos? (¿o los cumplen a costa del empleo de más recursos internamente?).

Para aquellos que gestionéis equipos de trabajo, tened en cuenta estos valores para realizar vuestros planes de formación (y de producción). ¿Cuál es vuestra experiencia en este sentido?

Otro valor que en este caso varía mucho de un perfil a otro es el tiempo dedicado a “Proyectos” (típicamente externos). En este caso, cuando más cerca de nivel técnico esté el recurso, más tiempo dedicará a “proyectos” mientras que cuanto más cercano sea al nivel de gestión, su tiempo de dedicación a proyectos externos será menor (habitualmente).

De cara a aquellas organizaciones oferentes de servicios, como es lógico, el objetivo será maximizar este valor siempre que sea posible, ya que supondrá “rentabilizar” al máximo nuestros recursos (y el coste asociado a los mismos).

En cuanto al apartado “Acciones Comerciales” tiene un comportamiento inverso al anterior “Proyectos”. Esto eso, habitualmente aquellos puestos más cercanos a la gestión tienen una mayor implicación en las acciones comerciales (preventas, ponencias, presentaciones, marketing, etc.) que los de nivel más puramente técnico.

Igualmente, a similares resultados, convendría minimizar el tiempo dedicado a este apartado (ya que se trata de una tarea no productiva), si bien es algo utópico, ya que  en el mundo real, raramente se conseguirán proyectos productivos sin inversión en acciones comerciales de algún tipo.

Finalmente también he comprobado que, salvo en organizaciones de una dimensión muy importante en la que cuentan con equipos totalmente independientes para servicios internos y externos, los mismos profesionales que ofrecen servicios externos y emplean su tiempo en proyectos productivos, habitualmente están implicados, en mayor o menor medida, en procesos de seguridad interna a la organización (administración u operación de sus dispositivos de seguridad,  participación en su SGSI, etc.). Una vez más, a mayor tamaño de la organización, menor participación en este tipo de tarea. En este caso el perfil más técnico o de gestión no he comprobado que influya tan determinantemente en su participación en la “seguridad interna”.

¿Qué opinión os merecen estos resultados? ¿Son comparables a los que vosotros manejáis? ¿Os habéis parado siquiera a realizar un estudio de este tipo en vuestra organización, equipo o en vuestro propio trabajo? ¿Conocéis algún estudio “más serio” en este sentido?

Ya tenéis algo para pensar en este puente (aquellos que os vayáis de puente, claro). Buen “macro-fin-de-semana”!! 🙂

Paseando por Plaza de Castilla en Madrid, hace unos días tuve oportunidad de ver un par de ejemplos de qué es lo que NO se debe hacer respecto a seguridad física en una organización (o Ayuntamiento 😉 ).

Como decía, iba caminando junto a los juzgados que están en esa plaza cuando descubrí una ventana abierta en el bajo de los mismos. Justo al lado de esa ventana está situada una fotocopiadora con fácil acceso desde el exterior. Creo que huelga decir que sería trivial el facilitar unos documentos (por ejemplo fotocopiados) a alguien en el exterior sin pasar ningún tipo de control de acceso… preocupante, cuando menos.

Y para continuar con la “deformación profesional” que me asalta últimamente, unos 20 metros más adelante me encontré con lo que podéis ver en las siguientes fotos:

Pues sí. Es (creo) el panel de control de los semáforos de una de las zonas más concurridas de la ciudad. Sin ningún tipo de restricción (la tapa estaba quitada), y con la tarjeta controladora en perfecto funcionamiento.

Como véis por la fecha era un domingo, pero 2 días después la situación era la misma.

¿Opiniones? ¿Qué pasaría si extraigo la placa controladora? … 😛

Es viernes, y de vez en cuando me gusta dejar aquí algún enlace divertido y entretenido que no sea excesívamente técnico, lo que unido al poco tiempo disponible que tengo últimamente hace que este post sea un pasatiempo interesante para aquellos que nos gusta la seguridad de la información.

Ayer, mientras buscaba contenidos adicionales para una presentación que tengo que dar, me encontré casualmente con unos vídeos muy interesantes elaborados por nuestros amigos de Segu-Info desde Argentina.

Se trata de distintos tópicos abordados en las películas sobre seguridad de la información. A través de un buen y entretenido montaje de distintas películas (que casi todos vosotros habréis visto) van revisando distintos tópicos desde una perspectiva, cuando menos, “espectacular” 😉

Que los disfrutéis y paséis un fin se semana estupendo (en realidad es un único video dividido en 3 partes en YouTube).

Todos sabemos que si queremos eliminar información no basta sólo con “borrarla” del disco duro, ni siquiera con hacer un “degauss” del mismo (aún así queda información remanente recuperable con equipos especializados en laboratorio) y no digamos de la información impresa. Como sabéis existen compañías que se dedican a “recomponer” los restos en papel procedentes de destructores de documentos (en la mayoría de los casos utilizando técnicas de visión artificial) y yo mismo hice un pequeño experimento (cuando tenga tiempo dejará un par de fotos del mismo aquí) en el que pude comprobar que incluso quemando el papel, las cenizas que resultantes, si no son totalmente destruidas (“moliéndolas”, por ejemplo) contienen aún información: aún quemadas, se pueden leer perfectamente las hojas impresas (o lo que queda de ellas). Eso sí, basta con tocarlas ligeramente para que se conviertan en polvo (que intuyo ya no es reconstruible 🙂 ).

Dicho esto, he de deciros que como era de esperar también existen compañías que se dedican exclusivamente a la destrucción (schredding) de documentos… y de otras cosas.

SSI es una de las más conocidas. Unos auténticos profesionales. Trituran de todo: papel, cintas, diskettes, plásticos, fotocopiadoras, impresoras, maderas, neumáticos, coches (Dodge, BMWs, etc.), lanchas… (!!!).

Impresionante, sobre todo porque en su página web podéis ver vídeos de cómo se destruyen todas estas cosas (y muchas más) con sus “supermáquinas” PRI-MAX, Uni-Shear, etc.

De verdad, IMPRESIONANTE. Tenéis que echar un vistazo a estos vídeos. Son una medida anti-stress 😉 Imprescindibles los vídeos de la lancha, los coches, impresoras, fotocopiadoras, televisiones o de los rollos de papel, entre otros 🙂 Ya me contaréis …

Hace ya unos meses que dedicamos tiempo en este espacio (echa un vistazo aquí) a comentar las distintas debilidades de Bluetooth, con algunos ejemplos sobre hacking, captura de tráfico, etc.

Retomamos de nuevo este tema gracias a un espléndido trabajo de Joshua Wright, formador senior del SANS Institute y autor del curso “Assessing and Securing Wireless Networks” al que tuve el honor de asistir en Londres el año pasado, y que en esa ocasión impartió otro gran profesional de SANS, Raúl Siles.

En este caso demuestra cómo se puede “secuestrar” un dispositivo manos libres Bluetooth de forma que podamos capturar (escuchar) lo que su micrófono esté recogiendo en ese momento o “inyectar” audio en su auricular para hacer que su dueño escuche lo que nosotros deseemos. Interesante, ¿verdad?.

En el Blog de Gospel tenéis una explicación en español bastante completa y en la web de Josh tenéis todos los detalles, desde la presentación que hizo en el NS2007 de SANS en Las Vegas hace unas semanas, hasta el código fuente de las utilidades que utilizó o la descripción del hardware.

Y por si fuera poco, aquí tenéis un vídeo en el que el propio Joshua explica y hace una demo de esta técnica. Muy bueno!

Este es uno de los principios básicos de la seguridad: cada persona (o usuario 😉 ) debe conocer y saber todo lo necesario, pero nada más que lo necesario (no más), para llevar a cabo adecuadamente su trabajo.

El proporcionar más información de la necesaria puede hacer que una amenaza pueda explotar alguna vulnerabilidad existente en el sistema u organización que de otra forma, era desconocida para ella.

Todo esto viene porque hace unos minutos he recibido una petición de oferta de una importante compañía de este país que proporciona infraestructura básica para el ciudadano en la que, además de incluir el pliego técnico y otros temas, incluye un documento INTERESANTÍSIMO que describe en mucho detalle la red de esa organización, con su topología, servicios, equipamiento, normas, sistemas de gestión, personas de contacto, etc. Más de 130 páginas de información confidencial que suponen la documentación de su infraestructura de comunicaciones y seguridad.

Ni que decir tiene, que para la elaboración de la oferta que solicitan, no es necesaria ni, digamos, el 5% de la información proporcionada.

No quiero ni pensar lo que podría ocurrir si  este documento, que por cierto no tiene ninguna indicación o clasificación de “Confidencial” o “Interno”, etc. cayese en unas manos indebidas… muy pero que muy peligroso sin duda. 🙁

Este tema es algo que cada vez más tendremos que ir adentrándonos en él. Como muchos de vosotros veréis la Voz sobre IP (VoIP) y la Telefonía sobre IP (ToIP) están extendiéndose cada vez más, hasta el punto convertirse en muy breve tiempo en un servicio más que nuestra red y sistemas tendrán que ofrecer.

Mucho se habla sobre su seguridad (más bien sobre su in-seguridad) y del mejor modo de implantación de una solución de este tipo.

En este sentido, mi amigo Raúl Siles ha escrito un artículo muy interesante abordando una primera aproximación a las consideraciones de seguridad que esta tecnología tiene y desarrollando los distintos puntos críticos que muchas veces se le atribuyen.

El artículo lo titula “¿estamos mejorando la seguridad de la VoIP a la vez que reducimos la seguridad del resto de la red?” y através de distintos puntos, comenzando por las asunciones típicas de inseguridad en VoIP va explicando qué soluciones parecen adecuadas y qué implicaciones tienen.  Infraestructura diferenciada para voz y datos (firewalls, etc.), seguridad en dispositivos dedicados (al estilo de los firewalls de aplicación), y otros puntos de interés son mencionados, además de una respuesta a la pregunta ¿qué es más segura, la VoIP o la telefonía tradicional?… la respuesta…..en el artículo 🙂

Ah! y por si fuera poco, Raúl es el principal autor del nuevo curso de SANS “VoIP Security Course”. Conociéndolo, y habiendo asistido a otro curso impartido por él (“Assessing and Securing Wireless Networks”), os aseguro que quien pueda permitírselo no debería perdérselo. Yo por mi parte voy a intentar incluirlo en el plan de formación de 2008 (cruzaré los dedos) 😉

El artículo completo aquí, y más información sobre el curso aquí.

O más bien, habría que decir buscando trabajo en Auditoría. En este blog y en otros muchos solemos centrarnos en modos de implantación de SGSIs, medidas técnicas de seguridad, de lo buena o mala que es esta profesión o de lo bien o mal que hacemos los trabajos los profesionales que nos dedicamos al campo de la seguridad (consultorías, auditorías, etc.).  Pero rara vez recordamos los momentos en los que todos buscamos trabajo, intentamos conseguir el primer puesto en este campo o, por qué no, intentamos mejorar cambiando de puesto.

Sergio Hernando recoge en su blog un interesante resumen de sitios donde encontrar trabajo en el campo de la auditoría, consejos para mejorar vuestros CVs y modos de afrontar una entrevista.

Sin duda hay lugares en Internet con información más completa para cada uno de esos puntos (él mismo los enlaza desde el artículo) pero me parece un excelente punto de partida para todos aquellos que tengáis que “navegar” por el mundo de la búsqueda de empleo y sobre todo, por el enfoque preciso hacia el área de la auditoría.

Podéis acceder al artículo completo aquí.

Mucha Suerte en vuestra búsqueda!! … pero ¿estáis seguros de que queréis comenzar/continuar en este campo? … con sinceridad, yo a veces me lo planteo… ¿qué tal una casita rural en las montañas de Asturias? 😉

Hace tiempo que sigo el blog (o bitácora) de Paloma Llaneza por lo interesante de sus contenidos, la “frescura” con que los expone y porque hasta donde he visto, no suele tener pelos en la lengua para abordar algunos temas.

Una vez más comparte con nosotros un resumen muy interesante de la última reunión del SC27, donde podéis ver cuál es la línea que se pretende seguir y “por dónde van los tiros” en estos temas.

No dejéis de visitar su bitácora periódicamente. Suele tener contenidos muy interesantes!

Paloma, gracias por compartir con nosotros esa información! 🙂

No, no me he equivocado al teclear. Todas esas siglas tienen tras de sí conceptos y normativas importantes y muy difundidas, pero ¿cómo se relacionan entre sí?

Revisando un material preparatorio del CISSP he encontrado una diapositiva que resume, a mi juicio, muy bien la relación entre todas ellas:

– TQM (Total Quality Management) trata sobre la planificación, modelado, gestión y medida del negocio

– ITIL trata sobre la gestión de la calidad de los servicios de ese negocio (proporcionados por procesos IT).

– COBIT trata sobre los puntos de control de los procesos de negocio.

– Six Sigma trata sobre las cualificaciones y disciplinas para implementar COBIT e ITIL de forma medible estadísticamente.

– CMM/CMMI trata sobre el “madurado” de estos procesos.

– ISM3 trata más concretamente sobre los procesos de seguridad orientados a su madurez [añadido por petición popular]

– Y finalmente, los estándares ISO ofrecen la perspectiva general de cómo llevar a cabo estos procesos siguiendo unas buenas prácticas (entre ellos, IS2ME enfocado a la Mediana Empresa) [añadido por petición propia 😉 ]

¿Sencillo verdad? 😉 Ahle, a ver quién es el guapo que los utiliza todos… 😛