InfoSecMan Blog

Charlaba ayer con mi compañero Carmelo sobre el caso real de un cliente en el que el estado de la seguridad es “indeterminado”, y con “indeterminado” me refiero a que no se tienen datos reales y contrastados de cómo de bien o mal está en ese sentido (aunque “intuitivamente”, parece claro que está bastante mal), puesto que nunca se ha hecho un estudio o análisis al respecto debido a la vorágine que rodea a su negocio (punto este que ya hemos comentado bastantes veces y que fue uno de los orígenes que nos planteó la creación de IS2ME).

Pues bien, de cara a comenzar con la implantación de la seguridad en esa organización el primer paso será saber cómo está realmente, es decir realizar un diagnóstico o “gap analysis” (informe SEIS en terminología de IS2ME) de los distintos aspectos de la seguridad para poder, a continuación, establecer un plan de acción una vez evaluados y gestionados los riesgos existentes en la organización.

Llegados a este punto, cabe mencionar que se trata de una organización de cierta dimensión, con distintas ubicaciones y un tamaño considerable. ¿Qué nos viene en ese momento a la mente? Establecer el alcance de ese estudio, de ese diagnóstico, ¿verdad?. Pero, si lo que queremos es mejorar el nivel de seguridad de toda la organización, no de un área o departamento, ni buscar una certificación para un determinado servicio, ¿cómo podemos establecer el alcance adecuado de forma que el resultado del diagnóstico de la organización nos sirva para elevar ese nivel de seguridad?

De forma teórica y extremadamente ortodoxa, si lo que queremos es asegurar toda la organización, el alcance del estudio debería englobar su totalidad (distintos departamentos, distintas ubicaciones, todos los procesos, etc.). Sin embargo, esto haría que el proyecto tomase una dimensión que, en la práctica, haría que no se obtuviesen resultados “palpables” hasta pasado un buen tiempo (varios meses), y cuando digo “palpables” me refiero a disminución del riesgo asumido por la organización demostrable ante la alta dirección.

Por otra parte, la opción más fácil sería reducir el alcance únicamente a un determinado departamento o unidad de negocio, teniendo en cuenta sus relaciones con el resto, etc. Esta opción sería la más sencilla y abordar su diagnóstico, así como su análisis e incluso evolucionar hacia su certificación sería algo rápido y abordable. El “pero” en este caso, es que aún habiendo hecho esto y obteniendo un resultado demostrable y con un plazo relativamente corto, no estaríamos disminuyendo significativamente el riesgo real asumido por la organización (salvo en el supuesto caso en que ese departamento o unidad de negocio supusiese un % muy significativo del volumen de negocio de la organización).

Entre una y otra elección existen toda una gama de opciones que pueden aportar más en uno u otro sentido, y la pregunta aquí es: ¿cómo seleccionar el alcance adecuado del diagnóstico en una organización en la que su estado de madurez en seguridad es extremadamente básico y que no tiene, a priori, elementos para valorar una u otra opción?

La solución propuesta es la que, mediante IS2ME creemos la más efectiva y eficiente en este tipo de empresas. El objetivo es rentabilizar al máximo el uso de los recursos obteniendo los mejores resultados para la disminución del riesgo con el empleo de los mínimos recursos necesarios, es decir diagnosticar el menor % de procesos (con sus activos correspondientes) que represente el mayor % de volumen de negocio de la organización. Por ejemplo, evaluando el 20% de los procesos de la organización que supongan el 80% de su volumen de negocio, probablemente nos daremos cuenta que para englobar el 85% del volumen de negocio, el % de los procesos de la organización evaluados deberá ser mucho mayor (por encima del 50%) y por tanto el retorno de inversión en los recursos utilizados a corto plazo, será mucho menor.

Por ello, creemos que una opción adecuada y eficaz para realizar el diagnóstico, “gap analysis” o desarrollo del informe SEIS en este tipo de organizaciones con falta de madurez en seguridad, es “abarcar” toda la organización aunque llegando a una profundidad del diagnóstico limitada, es lo que llamamos “alcance global con profundidad limitada”. Esto es, no se tratará de evaluar todos y cada uno de los procesos y activos de la organización en el mayor detalle, sino aquellos representativos con el mayor volumen de negocio y que supongan el mayor riesgo para la organización (siguiendo la idea ya mencionada en el anterior párrafo). Un método adicional además del volumen de negocio manejado (y conocido habitualmente por el interlocutor o cliente) será el muestreo, que permitirá obtener muestras representativas del estado de seguridad de procesos y activos de la organización.

Con esta opción, el resultado obtenido del diagnóstico (o Informe SEIS, o Gap Analysis) habrá identificado el estado de seguridad de la organización completa, identificando aquellos puntos que suponen mayor riesgo para la organización y aportando estos resultados en un plazo de tiempo muy corto que permite a la alta dirección poder tomar decisiones en base a estos resultados para disminuir de forma inmediata los riesgos asumidos globalmente por la organización, y mejorar así su estado en lo que a seguridad de la información se refiere.

Cierto es que este diagnóstico no será completo (o al menos no tan completo como si se definiese formalmente un “alcance global de profundidad completa”), pero sí cumplirá el objetivo perseguido inicialmente: disminuir el nivel de riesgo asumido por la organización, obteniendo los mejores resultados, con los menores recursos y en el menor plazo de tiempo posible.

La consecución de una labor de este tipo, trae como consecuencia adicional (y positiva) el avance en el grado de madurez de la organización en lo que a seguridad de la información se refiere y sienta la base para, una vez mejorado su estado en seguridad (y por tanto disminuido el riesgo asumido y aumentado su valor), comenzar el camino hacia una implementación más formal siguiendo en este caso ya un enfoque clásico de implantación de SGSI, que de otra forma sería inabordable en organizaciones de este tipo, y definiendo para esa nueva fase o proyecto el alcance más adecuado, ahora ya sí con elementos de valoración adecuados tras haber realizado las labores mencionadas.

Siempre comentamos en este foro que los ataques y las amenazas que más nos deben preocupar son aquellas que son dirigidas y con intención. Esto es una realidad puesto que al existir intención se emplean más recursos en la utilización de una técnica más elaborada en el tipo de ataque.

El phishing es un tipo de ataque que últimamente estamos viendo en las noticias y que muy probablemente muchos de nosotros recibimos periódicamente a través de mensajes falsos provenientes de nuestros bancos, servicios on-line como PayPal, etc.

Normalmente este tipo de ataques no tienen una gran complejidad y en la mayoría de los casos pueden ser catalogados incluso como “burdos” (traducciones a nuestro idioma espantosas, datos falsos que llaman mucho la atención, etc.), aunque a veces sí que se pueden ever ejemplos de ataques con cierto grado de elaboración.

Me he encontrado un documento muy interesante elaborado por un grupo de trabajo de la facultad de información de la Universidad de Indiana allá en el 2005 en el que describen un experimento muy interesante. Elaboraron un ataque de phishing dirigido hacia sus propios alumnos, y para su desarrollo utilizaron técnicas de ingeniería social con la información pública que de ellos conseguían en Internet y más concretamente en redes sociales como MySpace, LinkEdin, etc. lo que hizo que los mensajes “falseados” fuesen bastante más “creíbles” (con origen de una persona conocida, sobre temas en común, etc.).

Los resultados son muy interesantes y el análisis que realizan del experimento es muy entretenido: desde cómo lo llevaron a cabo técnicamente, hasta los procentajes de ataques exitosos conseguidos (muy altos), su distribución por año en el que estaban estudiando (los “novatos picaban más”), o incluso por estudios (los estudiantes de IT son lo que menos “picaron”, aún así con más de un 30%). Incluyen también el carácter de los comentarios aparecidos en los foros de la universidad relativos al ataque/experimento, etc.

Un texto muy entretenido, cortito (10 páginas), que aunque data de Diciembre de 2005, permanece totalmente actual….

Podéis descargar el artículo completo aquí.

Con la difusión de las tecnologías inalámbricas, la inclusión de tarjetas de red de ese tipo en prácticamente todos los equipos personales, el despliegue masivo de este tipo de redes y la existencia de aplicaciones y utilidades de fácil uso para el establecimiento de conexiones punto a punto o la simulación de puntos de acceso con equipos personales, lo esperado comienza a ocurrir.

Según he podido comprobar en algunos de mis viajes y como confirma también Steve Gold en su blog comienzan a aparecer numerosos puntos de acceso no autorizados (rogue access points) y redes inalámbricas falsas que hacen que el usuario principiante se conecte a ellas (se publican como acceso a internet gratuito, etc.) para a continuación obtener información del mismo, capturar información personal, etc.

En mi caso yo ya he visto redes “cebo” de este tipo en España en hoteles, cafeterías e incluso en el aeropuerto de Madrid, Barajas (estoy seguro que caminando por la calle podemos encontrar muchas más).

Según un artículo de The MetroWest Daily News, se han descubierto puntos de acceso inalámbrico no autorizados en los aeropuertos de Estados Unidos de Los Angeles, Atlanta, La Guardia de Nueva York y O’Hare de Chicago. En el aeropuerto de Chicago se han descubierto más de 20 redes ofreciendo acceso gratis a Internet simultáneamente.

Cada vez más es un riesgo el uso de este tipo de tecnología (como de todas) sin una adecuada precaución, máxime cuando el sistema operativo más difundido entre los usuarios se conecta de forma automática del “punto de acceso” con más potencia que detecte… cuidadín con llevar la tarjeta inalámbrica activada por descuido en nuestros viajes ya que sin ninguna intervención por nuestra parte, puede ocurrirnos que nos hayamos conectado al equipo de un eventual atacante… (tienen que cumplirse ciertas premisas, pero es posible)…

En Darknet han publicado un articulillo recopilatorio de un buen número de enlaces a artículos, vídeos demostrativos y manuales de cómo utilizar Metasploit.

No es nada del otro mundo, pero sí merece la pena como resumen de recursos interesantes para comenzar a utilizar esta interesantísima herramienta (verla en acción en un vídeo siempre es muy estimulante) vital para los test de intrusión, etc.

Echadle un vistazillo.

Errata Security publica un artículo bastante interesante sobre la actitud de los profesionales de la seguridad de la información a la hora de presentar sus ideas o defenderlas ante un determinado foro (generalmente directivo).

El autor presenta en este artículo el conocido “problema” de los “técnicos” (geeks) intentando presentar y defender una idea, y es que en muchos casos (con honrosas excepciones), las habilidades sociales no tienen por qué acompañar los excelentes conocimientos técnicos de un determinado profesional, siendo ese uno de los problemas que más suelen identificar clientes, directivos y otros “puntos de contacto” en las labores habituales.

En el artículo de forma resumida describe breve y claramente algunas técnicas para realizar una presentación adecuada, que podría resumirse en que no “presentes” la idea, sino que la “vendas”, y que utilices ciertas “técnicas sociales” (ingeniería social) para hacerlo de forma más eficiente y exitoso.

De todo el texto, yo me quedo con algo que me ha parecido interesante. Habitualmente muchas ideas fracasan porque se pretende presentar la “mejor” opción, mientras que el interlocutor (y en general el mundo empresarial) lo que realmente necesita es la opción “suficientemente buena”.

Me parece una reflexión interesante, que yo enunciaría en algo parecido a esto: “El profesional de la seguridad de la información en un entorno empresarial real debe tener como objetivo la consecución de las soluciones e ideas suficientemente buenas para cumplir los requisitos de negocio de la compañía. La búsqueda de las mejores soluciones (o soluciones perfectas) puede suponer una utilización de recursos innecesarios que aporten tan solo una leve mejoría a las soluciones suficientemente buenas.”

Ya lo decía Voltaire: “la perfección es el enemigo de lo suficientemente bueno”… Gestión del Riesgo pura y dura! 😉

Sorcha Diver (antes Canavan) ha actualizado a través de SANS Reading Room su documento sobre cómo desarrollar una política de seguridad de la información correcta tanto en la gran empresa, como en las PYMES.

En el documento aborda diversos aspectos muy relevantes a la hora de desarrollar un documento de este tipo, así como otras consideraciones no tan técnicas pero sí muy interesantes.

Se trata de un documento de fácil lectura y que puede resultar muy interesante tanto para el profesional acostumbrado a su desarrollo, como para el responsable de una mediana o pequeña empresa que le permitirá orientar de forma adecuada los esfuerzos en el desarrollo de una iniciativa de este tipo (tanto desde el punto de vista organizativo, como desde el más técnico de sus estructura, contenidos, etc.).

Podéis acceder al documento completo aquí.

“Algo se muere en el alma, cuando un amigo se va…”. Así es como empieza la letra de una conocidísima sevillana, y de forma muy parecida comienza el suplicio de algunas organizaciones cuando sufren la pérdida de un empleado de cierta importancia o visibilidad. Y es que dentro de los procesos de continuidad de negocio o de gestión de la seguridad no siempre se le otorga la suficiente importancia a los procesos de gestión de personal, contratación, etc.

En realidad, en muchas organizaciones no se le presta la atención adecuada al análisis de los riesgos inherentes a los activos humanos de la organización. Una de las primeras tareas en cualquier análisis de riesgos es la identificación de activos, y como activos todos sabemos que no debemos pensar únicamente en “activos físicos” (equipos, aplicaciones, etc.) sino que debe tenerse en cuenta que uno de los activos más importantes de una organización (y a veces el principal) son sus empleados y como tal activo, estos deben ser clasificados por importancia (o más bien impacto) en los procesos de negocio de la compañía.

Es evidente que no tiene el mismo impacto en el negocio un empleado con mucha visibilidad hacia los clientes, proveedores o incluso los medios de comunicación que otro que no la tiene, o por el contrario no tiene el mismo impacto alguien con un conocimiento técnico inconmesurable que es el mayor (sino único) conocedor de los sistemas de la compañía que otro cuya experiencia y conocimiento es muy limitado y su nivel de implicación en los procesos internos es mínimo.

Es por ello que al igual que se realiza un análisis de impacto en el negocio (Business Impact Analysis) dentro del desarrollo del proceso de continuidad de negocio para otros activos, debería incluirse de forma explícita y quizás con una cierta clasificación o tratamiento previo, los activos humanos de la organización de forma que la misma tenga claros los riesgos que está asumiendo ante la situación de ciertos indivíduos y, al igual que se evalúan los mismos de cara a la inversión en otras áreas de la seguridad de la información, se estudie hasta qué nivel la organización debe asumir el riesgo y a partir de cuál debería emplear contramedidas para mitigarlo (contramedidas en este caso no sólo técnicas habitualmente, sino de otra índole quizás más personal o económica).

Huelga decir que todo esto debe ser complementado con las medidas técnicas y organizativas que vienen claramente recomendadas como consecuencia de la aplicación de ISO 27002 u otras guías de referencia de la seguridad de la información como son, entre otras:

– la existencia de un código de ética que comunique cristalinamente cuáles son los principios sobre los que se basa y que pretende seguir la organización.

– la existencia de una política de seguridad que desarrolle ese código ético y sea pública, conocida y clara.

– la segregación de responsabilidades, uno de los puntos más importantes.

– la rotación en los puestos de trabajo, para evitar “nichos de poder o de conocimiento”, entro otros temas.

– las vacaciones obligatorias con desvinculación total de la compañía, favoreciendo así por una parte el descanso del empleado y por otra analizar el comportamiento de la organización en su ausencia total.

– la inclusión de la seguridad de forma explícita en las responsabilidades de los puestos de trabajo (y por tanto le existencia de una definición formal de las funciones y responsabilidades de cada puesto de trabajo)

– la existencia de una selección y política de personal adecuada, corroborando la veracidad de los datos aportados por el empleado, referencias, etc. e informando puntualmente de los distintos aspectos que afecten tanto al empleado como a la organización.

– la obligatoriedad de existencia de acuerdos de confidencialidad o no divulgación de información durante su permanencia en la compañía y tras la marcha de la misma y su revisión cuando la situación, personal o corporativa, cambie.

– la inclusión dentro del contrato del empleado de los términos y condiciones del empleo, incluyendo explícitamente cláusulas relativas a seguridad de la información, responsabilidades y derechos legales del empleado, entre otros puntos.

– la existencia de un plan de formación adecuado, no sólo ocupacional, sino de concienciación de la seguridad y los riesgos asumidos.

– la existencia de un proceso formal, conocido y publicado de comunicación de incidentes y anomalías de seguridad (física y lógica), a traves de canales conocidos, con divulgación total entre los empleados de la organización, etc.

– la existencia de un proceso disciplinario formal para los empleados que violen las políticas o procedimientos de seguridad de la organización o las cláusulas existentes en su contrato (algunas de ellas aplicables con total probabilidad incluso después de la finalización del mismo).

Una organización que no tenga en cuenta estos aspectos estará asumiendo muy probablemente un nivel de riesgo muy alto que se verá acrecentado por la existencia de circunstancias que engrosen los valores de probabilidad de ocurrencia de ciertos pares de amenazas/vulnerabilidades asociadas a la seguridad del personal en este caso, como pueden ser circunstancias sociales o personales adversas, alta rotación del personal por dinamismo en el mercado y otras operaciones corporativas que puedan afectar al activo tratado en este caso: las personas.

Quedaría mucho más que decir aquí, y probablemente personas expertas en la gestión de recursos humanos podrían aportar un punto de vista complementario al que escribe esta nota, más centrado como todos sabéis en temas de seguridad de la información, continuidad de negocio y sus aspectos humanos, pero entonces pasaría de ser una mera reflexión o artículo a un trabajo formal en toda regla, que en estos momentos no puedo abordar por falta de, como persona que soy, tiempo principalmente.

Y finalizo ya, incluyendo un resumen de la letra de la sevillana con que comenzaba esta reflexión. Tras leer todo esto, estoy seguro que interpretaréis la letra (de la que no modifico nada en absoluto), de forma sustancialmente diferente:

Algo se muere en el alma, cuando un amigo se va

cuando un amigo se va algo se muere en el alma.
Cuando un amigo se va 
y va dejando una huella que no se puede borrar.

  Estribillo

No te vayas todavía no te vayas por favor no te vayas todavía, 
que hasta la guitarra mía llora cuando dice adiós.

Estribillo

😉

A través de “Noticias ISO27000.ES” descubro la publicación de un interesantísimo documento (curso formación/presentación) por parte de Dan Geer sobre métricas en seguridad en base a la aplicación de las matemáticas a la seguridad de la información.

Ni más ni menos que 350 diapositivas con notas para el ponente publicadas de forma desinteresada. Una lectura muy recomendable.

Podéis descargar el documento completo aquí.

Hablando con mi hija ayer me quedaba la cara a cuadros (más que de costumbre) cuando me comentaba cómo era común entre el grupo de amigas el compartir sus passwords de acceso a sus espacios web (concretamente a sus “FotoLogs”) para “actualizarse” unas a otras sus contenidos.

Esto que de por sí ya es impactante por el uso de la tecnología en la adolescencia, lo es más aún al reflexionar sobre ello y ver cómo la “falta de concienciación” (o de formación, o de consciencia) en materia de seguridad se da desde las más tiernas edades, y lo que es peor, no se corrige habitualmente según va pasando el tiempo.

La mayoría de la gente no es consciente de los riesgos de tener una contraseña muy sencilla o de unas preguntas de recuperación de la clave extremadamente obvias de los servicios de correo por ejemplo (no voy a entrar siquiera en los riesgos de compartir tu contraseña con terceras personas).

Esto que en una adolescente puede suponer un cierto riesgo o incluso que en su espacio web aparezca una afrenta tal como “fulanita está gorda y tiene una verruga”, en otros círculos puede suponer un riesgo real y bastante más preocupante.

Esta parece ser una de las causas de los numerosos ataques dirigidos que se están observando hacia personalidades conocidas, famosos y hombres de negocios como se recoge en el blog “Mind Streams of Information Security Knowledge”. Y es que no nos engañemos, al igual que todos tienen teléfono móvil, todos tienen también correo electrónico y otras cuentas y por tanto, tienen passwords de acceso, etc.

¿Cómo creeis que será la complejidad de la password de acceso de Paris Hilton a alguno de sus servicios on-line? … complicada, complicada… probablemente. 😉 En el artículo comentan algún caso conocido de intrusión en su correo electrónico o blog como el de la cantante BoA, o el de Linkin Park, por ejemplo.

Interés merece también la noticia de que el 26 de Junio, MessageLabs interceptó más de 500 ataques de correo electrónico dirigidos contra personalidades situadas en altos cargos en organizaciones de todo el mundo. El ataque estaba bastante bien diseñado, puesto que incluía de forma individualizada el nombre y cargo de la víctima en el asunto del mensaje. Por lo visto, el 30% de los ataques iban destinados a Chief Investment Officers,  el 11% a CEOs, el 7% a CIOs y 6 % a Directores Financieros… Interesante.

¿Qué pasaría si una serie de ataques dirigidos tuviesen como objetivo algunas de las personalidades del famoseo de este país? ¿cuántas exclusivas surgirían?… desde luego la cuantía económica del “botín” no sería nada desdeñable y quizás fuese mejor incluso que la obtenida de cierta información confidencial de determinadas compañías “serias”, por ejemplo.

Y sí, … Yola Berrocal tiene un Blog… 😉

Hace ya un tiempo comentábamos aquí las implicaciones que la incorporación de las nuevas tecnologías (concretamente RFID) a nuestra vida diaria podía tener en cuanto a vulneración a la privacidad de nuestros datos personales.

Afortunadamente hay gente mucho más inteligente (y con más tiempo) que ha realizado un estudio muy completo e interesante sobre esto. El Parlamento Europeo, y más concretamente el “European Technology Assessment Group”, ha publicado un excelente estudio sobre la tecnología RFID, el uso que se le está dando y el que se le va a dar y cómo afectará a nuestra vida diaria y concretamente, a la privacidad de nuestros datos.

Se trata de un documento de 86 páginas en el que describen acertadamente primero qué es y cómo funciona esta nueva tecnología, qué dice la ley al respecto y cómo los ciudadanos se supone que estamos protegidos en ese sentido, para a continuación analizar cómo se construye la identidad a través de datos RFID a través de diversos ejemplos como tarjetas de fidelización de clientes, de peaje, de transporte público, etc.

Continua el estudio con un análisis de lo que nos espera en los próximos 4 años de incorporación masiva de esta tecnología a nuestra vida diaria, planteando algunos desafíos en cuanto a la conveniencia de la tecnología, control de la misma, etc.

Finalmente, incluyen un apéndice de más de 40 páginas con 24 casos reales de utilización de estas tecnologías con nombres y apellidos analizados convenientemente con sus implicaciones de identidad, con referencias a noticias relacionadas aparecidas para cada uno, la controversia suscitada en la sociedad en cada caso, etc.

Un buen trabajo del que os recomiendo su lectura. Muy interesante. Podéis descargar el documento completo aquí.