InfoSecMan Blog

Por la naturaleza de mi trabajo suele ser bastante habitual el tener que firmar acuerdos de confidencialidad con nuestros clientes. La información que manejamos o los lugares en los que estamos suelen tener un valor importantísimo para las organizaciones, que de ser difundido podría tener graves pérdidas para las mismas.

La mayoría de las compañías (no todas) están bastante concienciadas y es una de las primeras cosas que se hacen al comenzar un proyecto, a veces incluso en la fase de oferta.

Esto está muy bien y enlaza ligeramente con lo que comentaba ayer de “quién vigila al vigilante”… ya que no lo vigila nadie, por lo menos que sea “mudo” (habitualmente no solemos ser “sordos” 😉 ). Parece claro que una persona o compañía externa que va a introducirse en el núcleo de nuestra compañía debería firmar, al menos, un acuerdo de confidencialidad.

Pero, yo me pregunto: ¿cuántas compañías de las que conocéis tienen firmado un acuerdo de confidencialidad con su empresa de limpieza? ¿cuántas tienen un protocolo de actuación definido ante fugas de información por ese medio? ¿la vuestra lo tiene? (no hace falta que contestéis, no es necesario…).

Como podéis suponer, los empleados de las empresas de limpieza son los usuarios con mayores privilegios de toda la organización. Pueden acceder (y lo hacen a diario) a todos y cada uno de los rincones de nuestras organizaciones: CPD, despachos de altos directivos, almacenes, etc. Tienen acceso físico a todos nuestros dispositivos pudiendo introducir mecanismos maliciosos de obtención de información (como Keyloggers físicos, etc.) y ¿quién los controla? … o aún mejor, ¿tienen alguna responsabilidad por escrito en sus contratos? ¿saben o están obligados a no decir lo que leen en los documentos encima de las mesas?

Siempre pensamos que esas personas “no son un problema”, que esas cosas sólo pasan en las películas y que la formación que tienen no les permite entender lo que ponemos en nuestras pizarras (permitidme que me ría). ¿Por qué? ¿No sería muy interesante para un competidor conocer los próximos movimientos de una compañía? ¿Y qué le impide el introducir un topo en esa empresa de limpieza para hacerlo? ¿Vosotros no lo haríais si la ganancia fuese importante?… ¿y si no hubiéseis firmado un acuerdo de confidencialidad sería ilegal que obtuviéseis esa información por el mero método de la observación?

Estoy muy preguntón hoy, así que lo dejaremos para la semana que viene. Yo hoy me llevaré el portátil a casa, que nuestra señora de la limpieza tiene la costumbre de ¿ordenar? la mesa… porque lo que hace es ¿ordenarla? …. mmm…

Ya que es viernes, y llega el fin de semana, podríamos pensar también en firmar un acuerdo de confidencialidad con la cafetería, bar o restaurante más cercano a nuestra oficina…. ¿o me váis a decir que allí nadie habla de cuestiones confidenciales? ja! 😉

Ayer, mientras volvía en coche de Madrid tuve la oportunidad de coincidir en el camino con varios vehículos del ejército. El primero me impresionó bastante. Se trataba de un camión articulado (aparentemente civil) que transportaba un tanque de dimensiones considerables (al menos para los que no estamos acostumbrados a este tipo de “dispositivos de seguridad”) y que circulaba sin ningún tipo de escolta ni acompañamiento (con la salvedad del típico coche tras él señalizando una mercancía de dimensiones importantes). Tal fue mi sorpersa que no pude por menos que hacerle una foto…

Continué circulando y con un espacio de una media hora entre cada uno, pude ver otros 2 tanques, mucho más adelante iba un convoy del ejército con 2 Hummer, un par de camiones y algún otro vehículo, pero todos ellos desperdigados y sin ningún tipo de vigilancia aparente.

Hasta ahí todo bien. Sin embargo lo que más me sorprendió fue el encontrarme en una gasolinera uno de esos camiones que transportaban otro tanque, parado sin, aparentemente, ninguna vigilancia. Será que soy un poco paranoico pero, ¿no deberían tener algún tipo de vigilancia este tipo de vehículos? ¿o realmente la tienen y es tan buena que yo no me he dado cuenta?

Pensando en el que estaba estacionado en la gasolinera (supongo que mientras su conductor paraba para descansar o realizar cualquier otro tipo de acciones) me preguntaba… ¿cómo se arranca un tanque? ¿tienen llave? ¿tendrán algún tipo de control de acceso avanzado? ¿se le podrá hacer un puente? Si tienen llave… ¿quién la tiene? ¿las habrán intercambiado entre los distintos camiones? 😉 Si alguien “robase” un tanque (tendría que saber algo más que yo de todo esto), ¿cómo sería posible detenerlo?… intuyo que un control de la Guardia Civil no sería suficiente…

¿Qué opináis? ¿El transporte de estos vehículos tiene más seguridad de la que he visto? (estoy seguro que sí… o eso quiero pensar)… o se basarán en la seguridad a través de la ocultación (Security Through Obscurity), no difundiendo cuándo, cómo, ni por dónde se van a transportar… ¿opiniones? ¿comentarios?

Y en algo más cercano a nuestro campo… ¿si trasladáseis vuestro CPD, escoltaríais los sistemas más críticos de alguna forma? … ¿o enviaríais vuestros Firewalls, plataformas documentales, CRMs, etc. con toda la tranquilidad con un transportista externo? (más sobre esto más adelante) 😉

Siempre se comenta “¿quién vigila al vigilante?” a lo que podríamos añadir “¿quién protege al protector?”…

Joseba hace una muy buena reflexión sobre la seguridad informática. Especialmente acertada la comparación de Internet con el mundo real. ¡Enhorabuena Joseba!

Prefiero no comentara nada y que lo leáis vosotros mismos. De imprescindible lectura: aquí.

A veces uno tiene la sensación cuando habla con determinados “profesionales” que, o bien estamos trabajando en distintas áreas, o hablamos distintos idiomas (y de distintos temas)… o tienen mucha suerte, o son muy inconscientes. No es la primera vez que en un cliente (y a veces no en un cliente) me encuentro con la situación de inexistencia casi total de alguien con conocimientos de seguridad que pueda promover la implantación de la seguridad en la organizaión.

La situación es que deben nombrar a alguien “responsable” de seguridad (por cumplimiento de la normativa, de la legislación, de objetivos internos, etc.) que se encargue de implantar la gestión de la seguridad en la organización, de administrar sus dispositivos de seguridad (firewalls, principalmente) y de entender las necesidades de la compañía en esas materias. Ante tal necesidad, en muchas ocasiones pretenden que alguien que no sabe nada de temas de seguridad, en un par de semanas esté capacitado para “gobernar” estos temas, o en el mejor de los casos con una formación muy básica.

Es el momento entonces, de explicar que las cosas no son tan sencillas. Que “saber de seguridad” no es saber únicamente configurar un firewall de un determinado fabricante, que hay que saber bastantes más cosas (qué os voy a decir yo aquí que no sepáis ya). Este problema es más acuciante cuando se da no en “clientes” sino en “proveedores”, y es que hay compañías que piensan que una pequeña formación “cualquiera” puede ponerse a ofrecer servicios de seguridad. Esta suele ser la causa de la existencia de algunas compañías cuya calidad de sus servicios es seriamente discutible y por tanto los proyectos que llevan a cabo en sus clientes, no siempre tienen los resultados esperados (creo recordar que ya había hablado de algo así meses atrás), lo que en determinadas ocasiones puede traer asociadas responsabilidades legales para sus clientes. ¡Tremendo!

Yo que antes de estudiar nada de informática ni temas de seguridad, lo que estudié y en lo primero que me titulé fue en la música (glups! otro detalle para esos ingenieros sociales de ahí fuera… 😉 )  veo cierta similitud con esos anuncios del tipo “Aprende a tocar el piano en 4 semanas, … con el curso BBB de piano aprenderás a tocar el piano delante de tus amigos, ligarás mucho más y vencerás tu timidez”. Cada vez que escucho algo así, por una parte se me ponen los pelos como escarpias y por otra pienso apenado en la desilusión de los pobres clientes engañados (especialmente a lo de ligar más, me refiero 😉 ). Otro ejemplo lo tenemos en “Aprenda a hablar Inglés correctamente en 3 meses”…

El negocio músico-filológico debe dar resultado, porque escucho la publicidad bastante amenudo en la radio. En la seguridad parece que, de momento, también da resultado ya que esas empresas con “profesionales dudosos” siguen ofreciendo servicios y ganando dinero… mmm… quizás debería ponerme en contacto con BBB para ofrecerme para escribir un curso de “Aprenda Seguridad en 2 semanas: todo lo que no sabe, y como hacer que los demás piensen que sí lo sabe”. Si el pago se hace al contado, añadiría un apéndice de regalo: “Creáselo usted mismo: realmente sí que lo sabe, lo que pasa es que es muy humilde”.  DVD, Título y Certificación altamente profesional de regalo 😉

¿Tenéis una hora y media disponible próximamente? ¿os interesa conocer cuál es el estado del arte en cuanto a seguridad en Bluetooth y cuáles son los riesgos que asumes cada vez que llevas el bluetooth de tu móvil o PDA activado sin necesidad?

Si es así, os recomiendo encarecidamente ver el siguiente vídeo:

Hace ya unas semanas que mi compañero y amigo Ignacio Paredes y yo venimos trabajando en algo que hace ya tiempo que echamos en falta en nuestro trabajo: un método de implementación de la seguridad de la información en las medianas empresas que conjugue por una parte, las necesidades de cumplimiento y desarrollo de un sistema de gestión de la seguridad de la información según estándares internacionalmente reconocidos, y por otra, la obtención de resultados a corto plazo que permitan disminuir el riesgo que este tipo de organizaciones están asumiendo (en muchos casos por desconocimiento) y presentar resultados casi inmediatos a la alta dirección (tan reacia inicialmente de forma habitual a la implantación de este tipo de medidas).

Nuestras diversas ocupaciones nos han venido impidiendo publicarlo con la prontitud que nos gustaría, pero en los próximos días esperamos darlo a conocer a la comunidad y publicarlo en diversos foros. Y por qué no comenzar difundiendo la introducción del mismo en este Blog, de uno de los autores.

Por ello, como anticipo, os incluímos aquí la introducción de IS2ME: Seguridad de la Información a las Medianas Empresas (Information Security to Medium Enterprises). Durante la semana que viene publicaremos la totalidad del documento y podréis bajároslo directamente desde esta web y algún otro enlace que haremos público.

En cualquier caso estaremos encantados de recibir vuestros comentarios, opiniones, críticas (o felicitaciones 😉 ).

Aquí tenéis la introducción:

“Los términos PYME (Pequeñas y Medianas Empresas) o SME (Small and Medium Enterprises) representan un concepto muy difundido en todo el mundo para hacer referencia a un tipo de empresa con un número reducido de trabajadores y cuya facturación es moderada, factores estos determinantes para identificar una organización de este tipo. Teniendo en cuenta estos parámetros, existen diferentes criterios dependiendo de cuál sea el país elegido,  por lo que en este documento se identificarán como medianas empresas aquellas organizaciones con un número de empleados inferior a 500 (aproximadamente) lo que, de forma general, engloba a más del 90% del total de las empresas existentes en el mundo y a más del 99% de las existentes en la Unión Europea.

Los profesionales de la seguridad de la información habitualmente involucrados en temas como el gobierno y la gestión de la seguridad de la información, sus métricas, estándares, proyectos de firma digital e infraestructuras de clave pública o consolidación de registros, entre otros, sufren cierta pérdida de perspectiva al asumir como cierto y existente el conocimiento, implantación y la cultura en seguridad de la información en las empresas en general, cuando la situación real, en el caso de las medianas empresas, es otra. Un pequeño número de empresas tienen unos niveles muy altos de implantación de seguridad de la información mientras que la gran mayoría tiene carencias importantes en el conocimiento de la seguridad en general, y en la implantación de las medidas técnicas y organizativas asociadas, en particular, existiendo una clara falta de madurez en las organizaciones de este tipo en lo que a seguridad de la información se refiere.

Habitualmente no existe en estas empresas una estructura organizativa adecuada, careciendo en muchos casos de la figura del responsable de seguridad, cuyo rol asume  la misma persona responsable de IT (sistemas y/o comunicaciones), lo que unido a la falta de responsabilidad explícita y a las importantes carencias formativas en el área de seguridad de la información, hace que las medidas de seguridad implantadas suelan ser muy básicas y respondan en casi todos  los casos, a necesidades puntuales para solventar un problema existente, o a la implantación de una nueva funcionalidad o aplicación dentro de la organización.

La labor diaria, el “día a día”, no permite a sus responsables tomar una visión de conjunto o realizar una planificación y gestión adecuada de la seguridad, lo que a su vez se traduce en una falta de concienciación de la alta dirección en estos temas y por ende, en la asunción de unos niveles de riesgo inaceptables para la organización que desafortunadamente, suelen materializarse en el momento de la ocurrencia de un incidente de seguridad o de la necesidad de cumplimiento de una ley o norma, que habitualmente tiene asociado un importante impacto en el negocio. Es en ese momento de forma inmediata, o de forma más planificada si la organización cuenta con una mente preclara que logre impulsar una iniciativa previa en ese sentido, cuando se requiere la presencia de los profesionales de la seguridad de la información para, por una parte solucionar los problemas existentes en esa materia, y por otra comenzar el camino hacia la disminución del riesgo y la implantación de las medidas de seguridad adecuadas.

Suelen ser requisitos indispensables marcados por la compañía en estos casos, la pronta disponibilidad de resultados que disminuyan el riesgo existente, la implantación de medidas de seguridad críticas a corto plazo y con total certeza, la presentación de un plan de acción que permita tanto a la alta dirección como al actual responsable de seguridad (camuflado como responsable de tecnologías de la información) identificar qué recursos serán necesarios y cuál será el camino que deban seguir para incorporar la seguridad como un requisito más en sus procesos de negocio.

Ante tamaño reto, el profesional de la seguridad de la información siempre podrá abordarlo mediante un enfoque tradicional siguiendo las metodologías y estándares existentes (ISO 27001 principalmente) y por tanto comenzar con el proceso de implantación del SGSI (Sistema de Gestión de la Seguridad de la Información) mediante las consabidas fases, cuya descripción no es objeto de este documento, pero que como referencia se mencionan a continuación:

Definición de la política y alcance del SGSI
Establecimiento de Responsabilidades y Recursos
Registro de activos
Gestión del riesgo
Selección de controles aplicables
Establecimiento de aplicabilidad
Implantación

El seguimiento estricto de estas fases en este tipo de empresas suele ser muy complicado debido a la falta de concienciación de la alta dirección y a la inexistencia del entorno inicial sobre unas bases mínimas en lo que a seguridad de la información se refiere. La implantación de medidas de seguridad (controles) no comienza hasta bien avanzado el proyecto (varios meses después probablemente) y por tanto, uno de los fines (justificado, al fin y al cabo) perseguidos por la compañía, la implantación de medidas de seguridad críticas a corto plazo, no es tenido en cuenta inicialmente.

Este enfoque, acertado y completo por otra parte, no suele ser aceptado generalmente, ya que se buscan unos resultados más “inmediatos” y prácticos a corto plazo (“queremos seguridad, y la queremos ahora”), si bien sí que se acepta como el camino a seguir a medio o largo plazo.

Es aquí donde surge la necesidad de una metodología o aproximación que ante escenarios como el mencionado (no debe olvidarse que las empresas que estamos tratando suponen un 99% de las existentes en la Unión Europea), ofrezca una alternativa puente entre el incumplimiento total y la implantación metodológica de la gestión de la seguridad mediante un estándar como ISO 27001.

En este sentido se presenta IS2ME, Information Security to the Medium Enterprise (Seguridad de la Información a la Mediana Empresa) como solución y aproximación para el camino a seguir hacia la implementación de la seguridad de la información en empresas cuyo modelo de seguridad aún no es maduro y desean acometer la labor de implantación de la seguridad de la información y de su sistema de gestión asociado de una forma eficiente, eficaz y práctica, de forma que permita disminuir el riesgo de la organización a corto plazo a la vez que se inicie el camino hacia el cumplimiento de los estándares deseados.

IS2ME persigue también un objetivo social ambicioso: el acercamiento de la seguridad de la información a las medianas (y pequeñas) empresas, fomentando así su penetración en la cultura organizacional del tejido empresarial existente y disminuyendo en general el nivel de riesgo asumido por las organizaciones, aumentando con ello su valor y rentabilidad y elevando, por tanto, el nivel económico de la mayoría de las empresas existentes en la actualidad.”

Los que nos movemos en el mundo de la seguridad estamos asistiendo desde hace un par de años a la aparición de soluciones de “control de acceso a la red” (NAC) en casi todos los fabricantes, tanto de productos de seguridad como de productos de “red”.

Este mecanismo de implementación de políticas de seguridad desde el mismo momento de ingreso en la red es, a priori, muy interesante. Habitualmente las políticas de acceso se aplicaban una vez que el usuario es miembro de la red pero, ¿por qué no aplicar unas políticas iniciales para poder ser miembro de la misma? (tener el equipo actualizado, autenticarse con sus credenciales, antivirus y firewall personal, etc. etc.).

En eso se basa esta tecnología (como siempre de forma muy general y en 2 líneas 🙂 ). En Network Computing han publicado un artículo excelente resultado de una encuesta realizada entre sus lectores y del estado del mercado actual, que refleja a mi juicio de forma correcta y bastante completa, las principales características de NAC, sus beneficios, sus inconvenientes y otras consideraciones de interés. Además, permite obtener el artículo de forma gratuita directamente en PDF.

Os recomiendo su lectura. Artículo completo aquí.

Siempre que hablamos de firewalls personales, pensamos y nos referimos a las utilidades software que habitualmente instalamos en nuestros equipos personales (ordenadores) para evitar intrusiones, filtrar conexiones, etc. pero hoy voy a hablar aquí de otro tipo de firewalls personales que lo que realmente hacen no es proteger nuestros equipos personales, sino  nuestra propia persona (o los datos que podemos tener… y en algunos casos no sabemos).

Poco a poco se va haciendo más conocida la tecnología RFID y se va implantando en soluciones de muy variado tipo (cadenas de suministros, pagos automáticos, control de acceso físico, casas “inteligentes”, etc.). De forma muy general (no entraré en detalles, que me perdonen los expertos) esta tecnología se basa en la existencia de “RFID tags” y “lectores RFID”. Los lectores lanzan consultas a los tags a las que estos responden con la información que llevan almacenada (<1024 bits). En la siguiente figura podéis ver un tag RFID (seguramente ya habréis visto alguno en algún producto que habéis comprado, verdad?).

¿Aplicaciones? Muchísimas. Por ejemplo en almacenes, grandes superficies, etc. Se le pone una “pegatina” (un tag) a un producto y con los lectores podemos saber en todo momento dónde está situado, la cantidad que existe, etc.

Si os paráis a pensar un poquito en esta tecnología, pronto os daréis cuenta de las enormes posibilidades que tiene y de lo mucho que puede afectar a la privacidad de la persona (y a su seguridad), especialmente si tenemos en cuenta que los tags son extremadamente sencillos en su diseño y por tanto incorporan muy pocas o ninguna medida de seguridad (cualquier con cierta intencionalidad podría leer el contenido de la información contenida en los mismos o por ejemplo, activar un explosivo al paso de una determinada persona que tuviese adherido uno de esos tags…).

En diversos foros ya se está discutiendo mucho de la invasión en la privacidad que esto supone, de si se debería advertir de la existencia de estos dispositivos en productos que compramos, etc.

¿Qué hacer ante esto? En una universidad de Holanda unos investigadores han desarrollado un “Firewall Personal”… en realidad es un “Firewall RFID Personal” 🙂 De nuevo, de forma general, su funcionamiento se basa en que gestiona los tags que la persona tenga en su proximidad (vamos a decir, con “visibilidad” o “cobertura”) y actúa como un lector RFID. Interroga esos tags y es capaz de emular a esos mismos tags enviando información arbitraria a un eventual lector que estuviese intentando leerlos (es decir, se pone “en medio”, interceptando y modificando esa información).

El producto se llama RFID Guardian, es pequeño, “portátil” y podéis obtener más información sobre el mismo en su página web.

Como nota final, comentaros que NIST ha publicado recientemente (hace un par de semanas) unas guías con recomendaciones sobre medidas de seguridad en RFID, entre las que destacan la utilización de un firewall para separar las bases de datos RFID de otros sistemas IT, la encriptación de las señales de radio, la autenticación de usuarios o la utilización de campos o barreras de metal para prevenir la “fuga de datos” 🙂

Desde el punto de vista personal, yo añadiría una característica adicional al “Firewall Personal” para evitar el reconocimiento de datos físicos… 😉

El próximo jueves día 17 de Mayo se celebrará en Madrid la primera Jornada Internacional ISMS Forum Spain con el tema “Balance Mundial y Retos de la Gestión Profesional de la Seguridad de la Información en España”. Contará con ponentes de alto nivel como Artemi Rallo Lombarte (Director de la Agencia Española de Protección de Datos), Fabrizio Cirilli (Presidente ISMS International User Group), Simon Feary (Director de IRCA) o Elaine Farmer (Data Protection Manager BT GS), entre otros.

Esta asociación inaugura su actividad pública de esta forma congregando a un excelente panel de expertos de ámbito nacional e internacional que durante la jornada aportarán una visión global de la situación actual, los retos futuros y las tendencias que seguirá en los próximos años la implementación de sistemas de gestión de la seguridad de la información.

ISMS Forum Spain es una asociación sin ánimo de lucro. Su principal objetivo es fomentar la seguridad de la información en España. Se constituye como foro especializado para que todas las empresas, organismos públicos y privados y profesionales del sector colaboren, intercambien experiencias y conozcan los últimos avances y desarrollos en materia de seguridad de la información.

Podéis acceder al programa completo de la jornada y a las páginas de inscripción aquí.

Yo asistiré. Si os acercáis algun@ no dudéis en “interceptarme” 🙂

Es viernes, tenéis que comprenderlo.

¿Qué fue de MC Hammer, aquel rapero de los 90 (o 80?) que cantaba aquello de “Can’t touch this”? ¡¡¡Pues resulta que es uno de los miembros del panel de expertos de la Conferencia TechCrunch 20!!!

Más información aquí. 😛

Dicho esto, aprovecho para contar otra breve anécdota. Hoy haciendo labores de “soporte informático familiar” (instalando el ordenador de una prima) me encontré con que uno de los productos que había comprado (sintonizadora de televisión) pedía un número de serie que no traía en ninguna parte de la caja.

Tras unos minutos de cabreo, encontré un número de soporte telefónico al que llamé. Cuál fue mi sorpresa cuando, sin haber proporcionado ningun dato mio, ni del equipo, ni número de serie, número de factura, o cualquier otro dato que pudiese servir como identificación, la amable señorita me proporcionó el número de serie que necesitaba…

… me pregunto si lo harán con todos sus productos software… me h