InfoSecMan Blog

Hace unos meses reflexionábamos aquí sobre lo posible que sería que en breve apareciesen nuevos “virus” que se propagasen a través de bluetooth y que infectasen los nuevos teléfonos móviles que todos tenemos en nuestros bolsillos.

Pues bien,  según distintas fuentes (la noticia ha tenido cierta repercusión también fuera de España) la policía ha detenido al “primer creador de virus para móviles” (esto no es estrictamente cierto, pero bueno estamos hablando de prensa “generalista” 😉 ). Esta noticia tampoco es que sea nada excesivamente importante, pero es curioso que sin demasiado esfuerzo el indivíduo haya conseguido, según parece, infectar 115.000 móviles de “gama alta” (con sistema operativo Symbian).

… espero que no haya utilizado los aeropuertos para lanzar la “infección”, en ese caso podrían pedirme responsabilidades por dar ideas 😉 … ¿será el último virus de este tipo que veamos?…

Uno de los temas que comentamos durante nuestra pasada visita a Inteco con la Comisión de Seguridad de Asimelec fue la necesidad de existencia de una correcta y completa taxonomía de este campo nuestro que tanto nos da que hablar que es la Seguridad de la Información.

Cada proveedor, cliente o profesional, llama de distinta forma a las mismas cosas, y lo que suele ser más preocupante,  llama de igual forma a cosas totalmente distintas, causando todo esto una confusión en el sector de la que ya hemos hablado en este medio hace tiempo.

La existencia de una taxonomía adecuada, consensuada y aceptada de forma general por la comunidad supondría un importante avance en este campo permitiendo homogeneizar los términos y, desde el punto de vista práctico, comparar peras con peras y manzanas con manzanas.

En este sentido, me parece una aproximación muy interesante y bastante completa la que ha publicao Craig S. Wright a través del SANS Reading Room. Lástima que sea en inglés…

Podéis acceder a la publicación aquí.

Ayer tuve la oportunidad de visitar con la Comisión de Seguridad de ASIMELEC la sede del Inteco en León, en una jornada que resultó muy interesante, tanto en lo personal como en lo profesional, al poder compartir bromas, anécdotas y opiniones durante el viaje de ida y vuelta con el resto de compañeros y amigos de la Comisión, además de conocer de primera mano las actividades que Inteco está llevando a cabo y sus objetivos a medio y largo plazo.

Mi compañero y amigo Julián Inza incluye una breve crónica de nuestra visita y un vídeo promocional del Inteco. Podéis acceder aquí.

Recuerdo con cierta nostalgia como descubrí Internet cuando estaba en la universidad. Mi primer contacto creo recordar que fue por el año 93 (creo, podría ser 94). Toda una revolución. En aquel momento solo utilizaba el email y los grupos de news (y rara vez el gopher). No había spam, ni informacion comercial alguna, aunque sí que habia virus (muy distintos de los de hoy).

El campo de las tecnologías de la información en general, y el de la seguridad en particular, son un área de conocimiento relativamente nuevo que tiene unas pocas décadas, y aún menos sus profesiones asociadas. Sí, alguien podrá decir que puede tener más de medio siglo, pero si comparamos esa profesión con la de arquitecto, médico o cocinero, caeremos en la cuenta que relativamente, hace un par de horas que existen.

Esto ha llevado a que hasta el momento el mercado en general y las organizaciones no hayan tenido que “lidiar” con la “desaparición” de sus profesionales más valiosos. Y es que señores, la gente se jubila. Estamos comenzando a asistir a las primeras jubilaciones de profesionales de las IT. Este fenómeno que podría parecernos “anecdótico” no lo es tanto, más teniendo en cuenta que habitualmente las características de este tipo de profesionales son un tanto especiales y podríamos encuadrarlas en dos ámbitos: grandes expertos en tecnologías ya casi desaparecidas o en desuso (como sistemas operativos y lenguajes de desarrollo antiguos, mainframes, etc.) o personal de alto nivel ya ubicado en puestos de gestión con una amplia visión estratégica de su campo.

En muchos casos (yo conozco algunos) nadie ha tenido en cuenta (o al menos no ha valorado lo suficiente) qué pasaría si esas personas “desapareciesen” de la compañía, y es éste un hecho que está comenzando a suceder.

Comenzamos a identificar importantes carencias ante el “abandono” de un profesional de este tipo y habitualmente, el suplir su puesto está suponiendo una labor francamente complicada.

En el caso del “experto en tecnologías antiguas”, este profesional probablemente lleva encargándose de la administración, gestión o supervisión de unos sistemas durante varias décadas. Es quien conoce todos sus entresijos y la tecnología y lenguajes asociados perfectamente y los nuevos profesionales que se incorporan a la organización no tienen los conocimientos de la misma adecuados, limitándose los mismos a la formación que van adquiriendo de la mano del “maestro”. Huelga decir que ya no existe formación para ese tipo de tecnologías, ni de lenguajes, que las soluciones implantadas en muchos casos son propietarias, se hicieron hacia varios años y lo hizo la persona que ahora se va a jubilar, etc.

Es esta, en definitiva una situación con difícil solución para la que las compañías están buscando alternativas. Entre ellas destacan la externalización de los servicios de soporte (transfiriendo así el problema a una empresa externa que, con suerte tiene un profesional que se jubilará dentro de un par de años en lugar del mes que viene), la externalización de las funciones de sistemas (tranferencia similar, en este caso tecnológica) o la migración de las soluciones existentes a tecnologías y productos actuales, todas ellas suponiendo un importante coste para la organización.

Por otra parte, el otro perfil, el gestor con amplia visión estratégica, tiene una formación, experiencia y visión que difícilmente (en la mayoría de los casos) puede ser reemplazada por un nuevo profesional que no tenga una gran cantidad de años de experiencia (con lo que lo que hace la organización es “retardar” el efecto contratando a otro perfil similar con “un tiempo de caducidad” más largo… es decir, por ejemplo 5 años menos).

En ambos casos, el “traumático cambio” podría eliminarse o reducirse si la organización gestionase adecuadamente su riesgo, si hubiese implantado los controles adecuados no sólo de seguridad, sino de continuidad, de servicio, etc. y sobre todo, si fuese consciente que uno de los principales activos de una organización son las personas que la forman y por tanto, su “continuidad” e  impacto en el negocio debe ser tenida en cuenta en todos los procesos de gestión asociados.

Creo que en los próximos años asistiremos a la aparición cada vez más común de este fenómeno que puede afectar considerablemente a las organizaciones, especialmente si tenemos en cuenta que son las organizaciones más grandes las que mayor perfiles tienen de este tipo (de ambos tipos). Las pequeñas y medianas empresas, sin embargo, suelen utilizar tecnologías más actuales y profesionales mucho más jóvenes… son más baratos… pero ese es otro tema… y otro problema… del que ya hablaremos otro día.

¿Y ahora qué? … es que el tiempo pasa y el mundo avanza que es una barbaridad … no “semos” nadie! 😉 

Supongo que ya todos conocéis a Bruce Schneier, ese “gurú” de la seguridad de la información, y seguro que muchos leéis su blog, sus artículos. Yo tuve la suerte de asistir a una de sus charlas hace unos años en una RSA Conference. Todo un comunicador con una visión muy original de los temas, habitualmente.

Pues bien, estos días estaba dando una conferencia en IT Security Summit en Johannesburgo y en la cena de gala los afortunados asistentes pudieron presenciar como una persona (un actor) con una similitud física sorprendente se presentaba en la cena, con un pasaporte falso, y argumentaba que era Bruce… tuvo que ser divertido.

Traduzco textualmente la crónica de uno de los asistentes:

“Anoche fue la recepción de gala en la que pudimos asistir a una pequeña representación de robo de identidad (le llaman teatro industrial) protagonizado por Bruce Schneier. Un impostor apareció en escena y se hizo pasar por Bruce. Falsificó un pasaporte que lo identificaba como Mr. Bruce Schneier. Entonces hizo que su interlocutor buscase imágenes en Google, y los sites FBi.gov y CIA.gov. Todas ellas le identificaban como Bruce. Fue sólo despues de que Bruce resolviese un simple código de bloque (block cypher) con las  palabras “I am Bruce” que el impostor abandonó la escena. “

Podéis acceder aquí a un pequeño vídeo del “auténtico Bruce” explicando la situación. ¡Buen fin de semana! 🙂

“La Seguridad es un proceso dinámico de mejora continua que precisa atención permanente en el ámbito de la organización”

A medida que Internet continúa evolucionando hacia una herramienta y medio de negocio crítico en la vida de las compañías, y los sistemas de información y comunicaciones constituyen un elemento indispensable para su funcionamiento, la Seguridad se convierte en un punto de máximo interés y con una alta prioridad en los procesos de negocio de cualquier organización. Los riesgos de intrusión y ataques, tanto internos como externos, crecen día a día suponiendo importantes pérdidas económicas cuantificadas como tiempos fuera de servicio y degradación del mismo, modificación, pérdida  y eliminado de información y datos críticos, filtrado de datos confidenciales al exterior o devaluación de la imagen pública de la compañía, entre otras.

Sistemas que hace unos años eran considerados como opcionales hoy en día se nos presentan como obligatorios si queremos mantener un nivel de seguridad adecuado en la organización. A diario somos bombardeados con publicidad sobre sistemas o fabricantes que incorporan características novedosas y que debemos incorporar a nuestro parque de sistemas instalados. Las tecnologías involucradas en estas soluciones requieren a menudo de una sólida formación multidisciplinar incluso para su mera comprensión, no digamos ya para su correcta implantación. En este escenario, es fácil perderse en el maremagno de dispositivos, tecnologías o estándares y asumir que la solución a todas nuestras necesidades es una “máquina ideal” que “asegure” nuestros procesos de negocio (paradójicamente como hace no muchos años se pensaba de los firewalls).

Sin embargo, y precisamente porque la Seguridad es un campo multidisciplinar y complejo, la solución nunca es únicamente tecnológica, y mucho menos estática. Es por ello que mi visión de la seguridad trata de interpretarla como una estructura con distintas capas de abstracción que interaccionan entre sí formando un todo compacto, robusto y homogéneo que mejora el valor global de la organización.

Como primera y muy breve aproximación, desarrollando la figura adjunta, podríamos describir las siguientes capas o campos de actuación:

• Legislación. Debería ser la base sobre la que construir el sistema de gestión o metodología de seguridad correspondiente. No hacerlo así supondría incurrir en importantes responsabilidades legales (LOPD, LSSICE, etc.) que acarrearían importantes pérdidas a la organización.
• Estándares/Metodologías. La adopción de estándares o metodologías aceptadas internacionalmente (como ISO 27001 o IS2ME ) en la implementación, gestión y auditoría de la seguridad, beneficiará directamente a la organización de forma análoga a la adopción de otros estándares más ampliamente conocidos (como ISO 9000, ISO 14000, etc.) en otros campos.
• Gestión y Operación. La consecuencia directa de una buena organización y gestión de la seguridad, se materializará en la existencia de unas políticas de seguridad, procedimientos, instrucciones de trabajo y registros que reflejen la gestión y operación habitual de la organización.
• Diseño. Puesto que una parte importante de la implementación de la seguridad es técnica y tecnológica, es necesario un completo y correcto diseño de las arquitecturas, topologías y servicios que la organización ofrece y utiliza.
• Sistemas de Seguridad. La correcta instalación, configuración y operación de los dispositivos de seguridad (firewalls, IDS, IPS, proxies, AntiSpam, etc.) es fundamental y absolutamente necesaria para alcanzar los niveles de seguridad adecuados, pero no deja de ser una minúscula parte del todo que debe tenerse en cuenta en la seguridad de la información.

Finalmente, podríamos añadir una capa adicional que puede considerarse incluida en la anterior, pero que por su importancia merece la pena mencionar:

• Código Fuente. Como eslabón final de la cadena y al más bajo nivel, la seguridad también debe ser un requisito a incorporar en cualquier desarrollo que se lleve a cabo (herramientas internas, aplicaciones web, etc.), puesto que el desarrollo suele ser la base de los sistemas de seguridad ya mencionados y de aplicaciones y servicios que forman parte de los procesos de negocio de la organización.

Sirva esta pequeña refelexión como introducción a esta visión (holística) de la seguridad de la información que, cuando el tiempo me lo permita, intentaré ir desarrollando en posteriores entregas.

¿… y pensábais que os engañaba hace unas semanas cuando hacía referencia a la creencia de algunas compañías (proveedores y clientes) que creen que esto de la seguridad es cosa de ponerse un par de días?

¡Ja! Nuestros “amigos” de CCC han sacado un nuevo curso: “Técnico en Protección de Datos y Seguridad Informática”, … ¡y dan diploma!. Como podéis ver en la descripción, el objetivo es que “se adquieran los conocimientos necesarios relacionados con la LOPD, la LORTAD y la LSSI…” … alguien debería decirles que la LORTAD está derogada desde 1999… 😉

… lo que yo decía “y podrás tocar la guitarra fácilmente en tus reuniones de amigos, en la playa o acompañado de esa persona especial que desde hace tiempo deseas transmitirle lo que sientes… en sólo una semana!!” 😉

La respuesta es no (al menos en mi opinión). No olvidemos que la disponibilidad no es más que uno de los parámetros de la tríada (CIA, Confidetiality, Integrity, Availability), y que es uno de los puntos clave de la continuidad de negocio.

Pero en lugar de argumentarlo aquí, os remito a un excelente artículo (últimamente digo mucho esto de los artículos de Joseba, vais a pensar que estamos compinchados, y os aseguro que no es así 🙂 ) de Joseba Enjuto  en su Blog.

Una reflexión muy interesante y que subscribo totalmente.

Casi todos nosotros hemos leído una y otra vez la necesidad de existencia de descripciones formales de los puestos de trabajo, de forma que cada empleado sepa cuáles son sus responsabilidades, a qué está obligado, qué políticas le son de aplicación, qué procedimientos debe utilizar, etc.

Pero creo que igualmente, casi todos nosotros rara vez lo hemos visto aplicado. ¿Tenéis todos una descripción formal de vuesto puesto de trabajo? ¿de qué procesos y tareas sois responsables? … intuyo que no. Esto es muy anglosajón y, aunque muy interesante y necesario, en nuestro ámbito latino suele ser difícil conseguirlo (e implantarlo).

Como ejemplo, hoy leía en un foro internacional al que estoy subscrito (en su mayoría compuesto por gente de nuestro campo de grandes compañías de Estados Unidos) un mensaje de un profesional de nuestro campo que solicitaba ayuda para un tema de mejora en las claves de usuarios, pero lo que me sorpendió no fue el tema técnico sino su última frase en la que indicaba que todo ese tema (de forma muy resumida, creación de una base de datos  de claves de usuarios y sus hashes MD5/SHA1, para comprobar la fortaleza de las mismas, si las repiten, etc. a partir de su LDAP), era parte de su labor como así lo indicaba la descripción de su puesto de trabajo:

“Yes, this is in my job description and I am finalizing password policy that expressly permits me to perform these tests”

¡Impresionante! En serio, ¿habéis visto en vuestras empresas o clientes descripciones avanzadas del puesto de trabajo? … en mi caso, os puedo adelantar que muy pocas y extremadamente generales… otro día hablaremos de las cláusulas relativas a la seguridad de la información que se firman al contratar un nuevo empleado… 😉