Auditoría y Seguridad de Sistemas de Información

plusplussecurity mi nuevo blog

noreply@blogger.com (Unknown) — Sun, 21 Aug 2016 10:09:00 +0000

Si has caído por este blog, hay muchos y muy buenos en Español, mi camino me ha llevado a tierras irlandesas donde a día de hoy trabajo para IBM. Por tener una herramienta a modo de libro de notas he abierto otro blog, esta vez en inglés y lo puedes encontrar aquí:

http://plusplussecurity.blogspot.ie/

Nos vemos en www.miguelangelhernandez.es

noreply@blogger.com (Unknown) — Tue, 16 Feb 2010 19:14:00 +0000

Por si no has llegado al final de la entrada anterior... me puedes seguir en:

http://www.miguelangelhernandez.es

Continuamos andando el camino a ver hasta donde nos lleva

Salu2 y hasta pronto!!

Primer año del blog!!! y... Punto y Seguido

noreply@blogger.com (Unknown) — Tue, 16 Feb 2010 08:00:00 +0000

Hace ahora un año que me decidí a, tras un post voluntarioso, lanzarme a la blogesfera a ver qué me podía ofrecer y qué podía ofrecer a los demás desde mi humilde conocimiento de la seguridad de la información. Así rezaba aquel primer post:

Hoy, finalmente me he decidido a comenzar este blog con la temática que anteriormente propuse y con el objetivo de realizar como mínimo una publicación por semana, que es lo que ahora mismo me puedo permitir. Espero que todo lo que aquí expongo os resulte interesante y os sirva para vuestra actividad diaria, para comentárselo a un amigo, para ponerlo en práctica en casa o para cualquier otra faceta que os pueda resultar de interés, eso si, siempre dentro de lo legal :).

Hoy hace ya un año y este blog ha sobrevivido a los que han sido los peores momentos de mi vida en lo que a lo familiar se refiere por lo que he decidido que se merece la oportunidad de seguir adelante y tratar de conseguir aquellos loables deseos con los que se inició.

Las estadísticas de este blog están muy lejos de las de los mejores en esta temática pero acabo de arrancar y esto es un camino largo que se anda paso a paso, sin prisa pero sin pausa.

En Noviembre del año pasado tuve el mayor número de visitantes rozando los 700 y se han contabilizado un total de 4141 usuarios únicos absolutos con un total de 9.498 páginas vistas.

Un total de 5781 visitas provenientes de 53 países distintos me dan aliento y ánimo a seguir adelante con esta iniciativa que tantos buenos ratos me ha dado y espero que también a vosotros. Quiero mandar desde aquí un cordial saludo a todos mis amigos de latinoamérica a los que Internet les permite pasarse por Murcia de manera asidua a hacerme una visita al blog ;). También me gustaría por supuesto agradecer a todos los que, desde España me habéis visitado y me seguís, algunos me consta que desde el primer día.

Alrededor de unos 40 lectores suscritos por rss me siguen desde diversos feeds, a todos ellos, gracias, sois la parte más visible de que lo que escribo suscita cierto interés, gracias por vuestra paciencia en momentos de poca actualización y por vuestra fidelidad.

Tras los apartados de cifras y agradecimientos, ahora voy con mis votos para este ciclo 2010-2011, así tenéis cosas que echarme en cara si no las cumplo :).

Disponer de una actualización más continuada
Realizar artículos largos dedicados a alguna temática de la seguridad
Hablaos más de peritaje informático, análisis forense y hacking
Informaos de mis lineas de investigación en IDS y haceos un monográfico sobre Sistemas de Detección de Intrusos.
Comentaos libros que os puedan resultar de vuestro interés
Y como no, tratar de que el contenido sea más atractivo

Y ahora si, aquellos que quieran comprobar si lo que he descrito anteriormente lo voy a cumplir o me vais a poder dar de galletas las que queráis, de ahora en adelante vais a poder seguirme en www.miguelangelhernandez.es.

Os pediría a todos aquellos que sigáis interesados en mis publicaciones que os suscribiéseis al nuevo feed que podréis encontrar en la nueva ubicación puesto que la operación de redirigirlos no me convencía.

Nos vemos en www.miguelangelhernandez.es

Entrevista a un SCAMMER

noreply@blogger.com (Unknown) — Fri, 12 Feb 2010 09:31:00 +0000

Categoría: Seguridad de la Información

El SCAM es el intento de captación de víctimas mediante ofertas de trabajo en apariencia suculentas que esconden un sórdido objetivo, la estafa. ¿Quien no ha recibido el típico correo de la empresa "adiconocsed" ofreciéndote ser "Jefe comercial del departamento de intercambio de monedas y divisas"?. Pues bien, hoy podeis ver de primera mano cómo es un SCAM a través de una entrevista realizada por Bruce Schenier a un Scammer Nigeriano, no os lo perdáis, no tiene desperdicio.

http://www.schneier.com/blog/archives/2010/02/interview_with_16.html

TOP 10 en carreras ligadas a la Seguridad

noreply@blogger.com (Unknown) — Wed, 10 Feb 2010 07:44:00 +0000

Esta mañana, mientras ojeaba el correo, he hecho caso a uno que normalmente miro poco (el resumen de Information Security Career de Likedin) y me he encontrado un artículo que os puede resultar interesante. Habla sobre 10 posibles itinerarios profesionales y qué es lo que supone el dedicarse a cada una de esas actividades. Junto con esta información, figuran algunos lugares donde se pueden encontrar cada uno de estos trabajos. Fijaos en el número 1... hay algo aquí en España que se parece bastante a eso... aunque tiene un nombre más sencillo ;).

Por supuesto, esto es sólo la opinión del autor.

Salu2!

Coches de Segunda Mano: Minimizando el riesgo

noreply@blogger.com (Unknown) — Tue, 09 Feb 2010 17:07:00 +0000

Hola de nuevo a tod@s,

Hoy me voy a saltar (solo un poco) la temática del blog en general y os voy a hablar de mi última experiencia en mi afán por conseguir una buena oportunidad en la adquisición de un coche de segunda mano. Como en cualquier otro aspecto de la vida, aquí también hay un riesgo. Sin duda alguna, la compra de un coche de segunda mano es una de las operaciones en la que te la juegas, ya lo decía la madre de Forest Gump, "la vida es como una caja de bombones, nunca sabes lo que te va a tocar".

Hace mucho que persigo un coche en concreto, no procede señalar cual, y hace un par de semanas encontré por Internet lo que parecían ser dos buenas oportunidades, una en Girona en un concesionario de la casa y otra en Valladolid que era una venta de particular (o eso parecía), me decidí a ir en orden a por la primera y voló, el vehículo duró 24 horas y fue rápidamente adquirido, además en Tenerife, con lo que me quedé algo como así 0_0.

Ni corto ni perezoso me dirijo al supuesto propietario del segundo vehículo y bueno... aparentemente todo estaba bien, parece que esta todo en orden y el precio sin llegar a ser el chollo del primero me convence. Me desplacé 650km para poder ver el coche y empecé a ver cosas extrañas... el coche tenía 4 años y medio y 60 y pico mil kilómetros, sin embargo en el libro de revisiones aparecía sólo una, al año de vida del vehículo y con 30000kms con lo que te viene la pregunta, ¿Cómo puede ser esto? si sigue la progresión, el coche debería tener por encima de los 100.000... psshsss pssshss (esto es el sonido de la mosca detrás de la oreja).

Quedamos en que si todo está en orden adquiriré el vehículo y me dispongo a realizar mi particular investigación con el objetivo de reducir el riesgo de la operación. Me dirijo a la Dirección General de Tráfico, cojo un papelito y pago las tasas correspondientes (7,80) y me hago con el historial del vehículo. Allí figura el nombre del propietario que no es quien me lo vende, el que me lo vende es un comercial de otro concesionario de marca distinta a la del vehículo. Bueno, tengo que intentarlo, no me culpen, llamé a San Google y le pregunté y voilá, di con el dueño!!!. El dueño del vehículo me confirmó que había sido suyo y que efectivamente el coche tenía 107.000 kms aproximadamente, cosa que dista bastante de los que a mi me presentaban, además el libro de revisiones había sido manipulado.

Lo peor es que tras hablar esto con un abogado parece ser que es muy difícil meter mano en asuntos de este tipo porque no suponen una contra prestación para el denunciante, simplemente repercutiría negativamente en el denunciado, además de esto, hay que denunciar donde ocurren los hechos e ir a declarar allí en el juicio. Lo único que se podría hacer es pedir daños y perjuicios una vez haya concluido el primer pleito.

¿Cómo termina todo? con el vehículo en su sitio y yo en el mio que estamos los dos mejor. La investigación me salvó.

Pero esto no es todo, las compras de coches de segunda mano por Internet están llenas de timos mucho peores que éste, gente que pone a la venta coches que no existen e intenta vendértelo sin que lo veas o que le pagues una señal a lo que sigue un "ya te has quedado sin tu pasta". Personas que dicen estar en Australia y que han ganado el coche en un divorcio o gente que los vende porque se ha ido a Inglaterra y claro, allí se conduce por el otro lado. La Neurosis es la base de un buen tratamiento del riesgo, en estos casos no te dejes llevar por tus deseos de adquirir el vehículo, sé lógico, piensa lo peor y acertarás.

Salu2!

10 viñetas de seguridad en aeropuertos

noreply@blogger.com (Unknown) — Mon, 08 Feb 2010 07:41:00 +0000

Hola,

Para que esta mañana de lunes empeceis la semana con buen pie y buen humor os dejos estas viñetas, algunas son muy buenas ;).

Fuente: http://www.schneier.com/

Publicados el ENS y el ENI

noreply@blogger.com (Unknown) — Mon, 01 Feb 2010 07:38:00 +0000

Hola a tod@s,

Tras una semana de "vacaciones", ya se sabe, son vacaciones del trabajo habitual pero hay otros cuantos miles de cosas que hacer, me he encontrado con que el viernes pasado se publicó el Esquema Nacional de Seguridad y el Esquema Nacional de Interoperabilidad. Por fin y tras un largo camino disponemos de las herramientas que vienen a garantizar un acceso seguro y fiable de los ciudadanos a los servicios ofrecidos vía intenernet por las administraciones públicas.

Aquí podeis encontrarlos:

Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. PDF (BOE-A-2010-1330 - 50 págs. - 1130 KB)
Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica. PDF (BOE-A-2010-1331 - 18 págs. - 311 KB)

Salu2!!

¿Es válido el enfoque actual de seguridad para el futuro?

noreply@blogger.com (Unknown) — Thu, 14 Jan 2010 10:39:00 +0000

Categoría: Seguridad de la Información

Recientemente publiqué en Twitter que analizaría una noticia que encontré en CSO. Esta noticia titula "El enfoque tradicional de la seguridad TI ya no es aplicable, según Ernst & Young". Me llamó la atención cuando lo analicé desde el punto de vista de cómo plantea ISO 27001 la seguridad de la información mediante un enfoque basado en proceso. Cada cosa que leía me planteaba más dudas sobre las afirmaciones que allí se hacen. Esta noticia está basada en una entrevista hecha a Gerry Chng. Aquí dejo mi opinión al respecto sin el ánimo que se entienda como una crítica sino simplemente como un punto de vista. No dudeis en darme el vuestro propio.

Chng cree limitarse a cuestiones como securizar la infraestructura, evitar la entrada de hackers o centrarse en el mantenimiento de la conformidad con las normas son algunas de las medidas de seguridad que han ido quedando obsoletas, teniendo en cuenta la emergencia de nuevas tecnologías.

Entiendo que se refiere a la conformidad legal, no a la conformidad normativa en términos de seguridad según ISO 27001 porque allí precisamente se detallan todos los ámbitos de seguridad que se deben tener en cuenta (organizativo, físico, ambiental y lógico).

La necesidad de centrarse en la información misma se hace, según este experto, evidente a la luz de los diversos incidentes que se produjeron el año pasado cuando se robaron datos de forma masiva de diversas grandes organizaciones, como consecuencia de su negligencia en cuanto a la seguridad.

Una conducta negligente en cuanto seguridad implica que los riesgos no se estaban gestionando y/o las leyes aplicables no se estaban cumpliendo. Una vez el riesgo se encuentra gestionado se ha tomado una decisión acerca de si se Mitiga, Transfiere, Evita o Acepta y lo único que se podría echar en cara es que en algún momento durante el Análisis de Riesgos y/o aplicación del Plan de tratamiento de riesgos, hubo alguna desviación ya que la seguridad al 100% no es alcanzable. Habría que conocer los diferentes casos y las explicaciones que se han dado para cada uno de ellos, sinceramente me gustaría saber a cuales se refiere exactamente (igual se lo pregunto y os lo cuento).

Chng señala el cloud computing como ejemplo de tecnología llamada a cambiar el enfoque que las empresas hacen de la seguridad de su información, principalmente porque en este modelo los datos no residen en las instalaciones corporativas. “Cloud computing presenta una fuerte dependencia de Internet y, por tanto, hace más crítico que no se produzcan caídas en la conectividad para mantener la continuidad del negocio”, explica.

Ah!, ahora se a lo que se refería cuando decía: "teniendo en cuenta la emergencia de nuevas tecnologías". Y tiene mucha razón, pero ahí está otra vez 27001, el análisis de riesgos y la gestión de relaciones con terceros. Será la organización la que tendrá que decidir si realmente quiere que sus activos estén en una ubicación que no es de su propiedad y en ese caso, estimar las garantías necesarias que debe cumplir el depositario de la información. Todo esto tendrá que trasladarse a la relación contractual. Derecho a Auditoría, Conformidad con ISO 27001 con alcance a todos los procesos de almacenamiento, indemnizaciones por incumplimiento, SLAs, etc serán algunas de las medidas a contemplar.

En cuanto a la conformidad, debe enfocarse con cuidado, según Chng, y no convertirla en el principal criterio para considerar que la información está adecuadamente protegida. “La conformidad con las reglas internas y legales no se traduce necesariamente en una buena seguridad. Puede resultar de gran ayuda pero resulta cara, y no es sostenible”, asegura, defendiendo que la mejor estrategia al respecto consiste en comprender lo que se pretende con las normas exigidas y enfocar la conformidad como una práctica de seguridad producto a producto.

Estoy de acuerdo en que la conformidad con la legislación aplicable no es requisito suficiente para una buena seguridad. El mejor ejemplo lo tenemos con la LOPD y su Reglamento de Desarrollo. Su cumplimiento no garantiza la seguridad pero no es una elección, sea como sea de cara y de difícil de sostener. Coincido en que no se debe caer en que el cumplimiento legal es, a día de hoy, una garantía de seguridad en un alcance organizativo, pero a su vez no entiendo cómo hay quien se plantea cumplir la ISO 27001 sin ni siquiera haberse planteado cumplir la LOPD.

Teniendo en cuenta todas estas consideraciones, en opinión de Chng, una buena estrategia de seguridad de la información debería incorporar cuatro elementos: gestión proactiva y continua de la seguridad en lugar de reactiva y puntual; iniciativas de seguridad efectivas en costes para satisfacer los requerimientos regulatorios; definir las fronteras de los retos operacionales; y atender a los riesgos derivados de las tecnologías emergentes.

Y esto es (salvo connotaciones de índole económico) lo que promulga ISO 27001, que por si cabe alguna duda es ya desde hace algún tiempo el enfoque actual de seguridad.

Tras más de una lectura se puede llegar a la conclusión de que la intención de Gerry Chng es probablemente incentivar la protección basada en la información y de forma indirecta las normativas de cumplimiento voluntario que la gestionan, pero creo que la traducción, en ocasiones, si no "interpretas" juega malas pasadas, en este caso, por culpa del término "normativa".

Todo comentario es bienvenido, como siempre.

Salu2!

Aprobado el Esquema Nacional de Seguridad

noreply@blogger.com (Unknown) — Mon, 11 Jan 2010 10:21:00 +0000

Hoy estamos de enhorabuena, en realidad lo está toda España sea o no consciente. El Consejo de Ministros ha aprobado el ENS que será publicado bajo un Real Decreto.

Lo único que espero es que el Gobierno se moleste en que este Esquema Nacional de Seguridad sea Auditado e Impuesto a todas las Organizaciones bajo el alcance legal de la ley 11/2007 y no quede en un papel, aunque probablemente, si no lo hace en primera instancia, el devenir de los acontecimientos acabará por dar argumentos de sobra para que así sea.

Este ENS requiere en mi opinión de personal especializado y un cuerpo de auditores capacitado para verificar su cumplimiento ya que aquello que se pretende salvaguardar no es baladí... tiempo al tiempo.

Podéis ver más detalles aquí.

Fuente: sociedad de la información

Salu2!.

ISO/IEC 15408 Common Criteria (III)

noreply@blogger.com (Unknown) — Thu, 07 Jan 2010 12:43:00 +0000

¿Cómo se dividen los niveles de seguridad?, ¿cuántos son y cómo se pasa de uno a otro?

Nos vamos a centrar en la tercera norma de la familia que define, como antes comentamos, los requisitos de seguridad del TOE. Estos requisitos se definen a partir de conjuntos de requisitos del mismo catálogo agrupados en Niveles de Evaluación de Seguridad (Evaluation Assurance Level o EAL). Éstos EALs representan una escala creciente que balancea el nivel de seguridad obtenido con el coste y viabilidad de adquisición de ese nivel de seguridad. El nivel de esfuerzo necesario para pasar de un nivel a otro se basa en un incremento de:

Alcance: El esfuerzo es mayor porque son más los componentes del producto a analizar.
Profundidad: el esfuerzo es mayor porque aumenta el nivel de detalle de la implementación y el diseño.
Rigor: el esfuerzo es mayor porque se aplica una forma más estructurada y formal

Lon niveles definidos en ISO 15408-3 son los siguientes:

EAL1: Proporciona un nivel básico de seguridad mediante el análisis de la especificación funcional y de interfaces así como de las guías de documentación con el objetivo de entender el comportamiento en materia de seguridad. El análisis se apoya en un testeo independiente de las funciones de seguridad del TOE. Este nivel de seguridad proporciona un significativo avance con respecto a un producto no evaluado.
EAL2: Este nivel proporciona un aumento significativo en seguridad con respeto al nivel anterior requiriendo el testeo por parte del desarrollador, un análisis de vulnerabilidad y unas pruebas independientes basadas en especificaciones del TOE más detalladas.
EAL3: En este nivel se aumentan las capacidades de seguridad solicitando una cobertura de pruebas más completa sobre las funciones de seguridad y mecanismos y/o procedimientos que propocionen confianza de que el TOE no ha sido manipulado durante su desarrollo.
EAL4: Con respecto al nivel anterior, en éste se requiere más descripción del diseño, un subconjunto de la implementación, y mecanismos o procedimientos mejorados que provean confianza de que el producto no ha sido alterado durante su desarrollo o entrega.
EAL5: En este nivel se requieren descripciones semi-formales, la implementación completa y una arquitectura más estructurada y análisis de comunicaciones cifradas.
EAL6: Se requiere un análisis más exhaustivo una representación estructurada de la implementación, una arquitectura más estructurada, un análisis de vulnerabilidades independiente más exhaustivo, identificación cifrada, gestión de la configuración mejorada y más controles en el entorno de desarrollo.
EAL7: Se incrementa aún más la exhaustividad del análisis usando una representación o correspondencia formal y un testing más exhaustivo.

¿Donde encaja todo esto con ISO 27001?

Como alguno ya estaréis pensando CC e ISO 27001 no están ni mucho menos desconectados. Podemos enmarcar a CC dentro del bloque 12 Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información. Dentro de ISO 15408-1 se detalla el proceso que se sigue desde que se identifica la necesidad de desarrollo / adquisición de software hasta que se obtiene un conjunto de requisitos tanto funcionales, como de seguridad y finalmente del entorno, que se deben cumplir para la puesta en marcha del sistema de información en cuestión.

*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************

Ahora podeis seguirme también en Twitter

noreply@blogger.com (Unknown) — Wed, 06 Jan 2010 20:31:00 +0000

Hola a tod@s!!

Desde ayer también podéis seguirme en twitter. Como todo el mundo se suma a la moda, yo he pensado que no voy a ser menos y voy a ver si le saco partido al pájaro... al de twitter XD.

Mi nick es miguelangelher y podeis localizarme fácilmente.

La idea es utilizar twitter para noticias, impresiones o comentarios breves (vamos, para lo que és) y para alguna que otra gilisubnorestuloquesea que se me ocurra ;)

Salu2!.

ISO/IEC 15408 Common Criteria (II)

noreply@blogger.com (Unknown) — Wed, 06 Jan 2010 20:21:00 +0000

*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************

Categoría: Seguridad de la Información

¿Cuales son sus bases?

CC se asienta principalmente sobre cuatro conceptos a saber; Perfiles de Protección (Protection Profiles o PPs), Objetivos de Seguridad (Security Targets o STs), Objetivos de Evaluación (Target of Evaluation o TOEs) y Niveles de Evaluación de seguridad (Evaluation Assurance Levels o EALs). Estos elementos se relacionan y definen como sigue:

Un Perfil de Protección (en adelante PP) es un conjunto de requisitos de seguridad independientes de cualquier tipo de implementación para una categoría de Objetivos de Evaluación que cumplen una serie de necesidades específicas de cara al consumidor. Un PP se confecciona con la idea de que sea reutilizable y defina un conjunto de requisitos que se han mostrado eficaces en dar cumplimiento a determinados objetivos identificados, ya sean funcionales o de seguridad. Un PP debe contener al menos un Nivel de Evaluación de Seguridad (Evaluation Assurance Level o EAL), expuesto más adelante.
Un Objeto de Evaluación (En adelante TOE) es un producto de Tecnologías de la Información o sistema y su documentación asociada en términos de guías de administración y usuario que son objeto de evaluación. Posibles ejemplos de TOEs pueden ser; una aplicación, una aplicación en conjunción con un sistema operativo, un sistema operativo en conjunción con una estación de trabajo, etc.
Un Objetivo de Seguridad (En adelante ST) es un conjunto de requisitos de seguridad instanciados para una implementación concreta que sirven como base para la evaluación de un determinado TOE. Un ST puede hacer referencia a un PP. Un ST es la base para el acuerdo entre todas las partes acerca de la seguridad que ofrece un TOE. Al igual que en el PP, los requisitos de seguridad en un ST deben incluir un EAL de la parte 3 de esta familia de normas.
Un Nivel de Evalaución de Seguridad (En adelante EAL) es un conjunto de requisitos de seguridad que conjuntamente proporcionan un nivel de confianza concreto.

¿Cómo se Organiza?

Bajo las normas ISO 15408-1, ISO 15408-2 e ISO 15408-3 equivalentes a las Common Criteria que podéis descargar desde aquí.

La primera parte de la norma es una introducción y modelo general donde se exponen los principales conceptos de esta familia así como las bases para la unificación de criterios en la evaluación de seguridad del software.

La segunda parte es un catálogo de componentes que contienen requisitos funcionales que se han mostrado eficaces en el cumplimiento de los objetivos de seguridad de un PP o un ST.

En la línea de la segunda parte, la tercera expone los componentes que conteinen requisitos de seguridad para los TOEs. A su vez, esta norma expone los niveles de evaluación de seguridad (EALs).

En ambos casos (para las partes 2 y 3), la organización de los requisitos se hace en base a tres estructuras de mayor a menor ámbito conocidas como Clases, Familias y Componentes, estos últimos albergan en su interior elementos, que son el mínimo nivel de expresión de requisitos.

Todo esto no tendría mucho sentido sin una metodología de evaluación, que es el cuarto documento en discordia y que expone el conjunto mínimo de acciones que debe desempeñar un tester durante una evaluación CC.

*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************

ISO/IEC 15408 Common Criteria (I)

noreply@blogger.com (Unknown) — Tue, 05 Jan 2010 15:37:00 +0000

*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************
o-o-o-o-o-o-o-o-Espacio para felicitaciones :)-o-o-o-o-o-o-o
Me he querido reservar este espacio para felicitaos el año nuevo y desearos lo mejor a todos para este, esperemos que próspero y seguro, 2010 ya empezado.
o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o

Categoría: Seguridad de la Información

Introducción

Common Criteria (en adelante CC) con un total de más de 600 páginas entre las 3 normas nos plantea una magnitud de información en estudio bastante grande, sobre todo para aquellos que, como yo, somos profanos en la evaluación de aplicaciones.

Este post no tiene como objetivo ser exhaustivo en cuanto a todo lo expuesto por las 3 normas que conforman la familia ISO/IEC 15408 sino dar unas pinceladas de lo que se pretende para que nos pueda servir como base de conocimiento suficiente para saber de qué va esto de los criterios comunes (y para posibles post posteriores).

¿Por qué nacen?

Allá por los años 90 surgió la necesidad de conocer qué requisitos de seguridad satisfacía un determinado software, hardware o firmware. Mediante la combinación de los criterios aplicados en Inglaterra, Estados Unidos y Canadá, se constituyó y adoptó por la International Organization for Standardization los Criterios Comunes de Evaluación de Seguridad para Tecnologías de la Información.

El principal objetivo es poner de acuerdo a clientes, desarrolladores y testers sobre qué requisitos de seguridad cumple un determinado producto.

*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************

El espíritu de la seguridad

noreply@blogger.com (Unknown) — Wed, 16 Dec 2009 08:00:00 +0000

Categoría: Seguridad de la Información

Es un hecho innegable que l a importancia de la concienciación en materia de seguridad dentro de la organización es un factor de vital importancia para la seguridad efectiva de la misma. Sin embargo suele ser la gran olvidada, existe la creencia de que invertir en otros aspectos de la seguridad, como el ámbito técnico u organizativo, va a suplir la necesidad de formación cuando la primera barrera de protección es el propio usuario.

Y es que conseguir que la seguridad de la información sea algo tan contagioso como el espíritu de la navidad no es una tarea fácil, primero hay que convencer a los reyes magos de que el espíritu de la seguridad es necesario que llegue a todo el mundo y después conseguir que éste se contagie y cale lo más hondo posible y en el mayor número de personas. Pero esto no basta, como cada año, el espíritu de la navidad vuelve para recordarnos valores que son importantes y es que tenemos la mala costumbre de olvidar las cosas que no se nos recuerdan. Sin duda, no sería lo mismo la navidad si fuese cada cinco años, y por eso, cuando se trata de espíritu , los medios para mantenerlo encendido deben ponerse a intervalos lo suficientemente cortos.

La navidad tiene un plan, para muchos muy agradable y para otros no tanto, pero la cuestión es que nos visitará todos los años en las mismas fechas con sus renos, papá noel, la estrella de oriente, los árboles y los regalos, y con la seguridad debe pasar algo parecido, también debe tener un plan, un plan de formación y concienciación en materia de seguridad que mantenga viva la llama interior de todos antes de hacer un click a un correo con 3500 destinatarios porque cree que va a recibir 250€ por cada correo que envíe, que nos alerte de que los bancos no nos piden nuestras claves o que nos repita interiormente "yo formo parte de la seguridad de esta organización".

El espíritu de la navidad no siempre habitó en nosotros, lo fuimos aceptando a través de una cultura y una educación que nos lo inculcó y nos ha llevado a formarnos una opinión, y en ocasiones un cierto sentir al respecto, ya sea para bien o para mal. Y el problema del espíritu de la seguridad es que no se conoce, no se puede tener una opinión de lo que no se conoce, no se conoce lo que no se divulga, no se divulga lo que no se identifica como importante y lo que no se considera importante cae en el olvido dando lugar a... lo que dios quiera (versión para los creyentes) / lo que el destino nos depare (versión para los no creyentes).

Quizá en generaciones venideras el espíritu de la seguridad vaya junto al de la navidad, ambos cogidos de la mano y en convivencia en una misma persona educada en la generación digital y la cultura de la información con acceso global, pero hoy vivimos una transición que crea un ambiente de especial riesgo por el analfabetismo digital y por el analfabetismo en seguridad, porque, si, efectivamente, no todo el que es (o se considera) conocedor del mundo digital es consciente de los riesgos que implica el que su ordenador esté accesible a 1.007.730.000 personas. Quizá si se le hiciera pensar en 1.007.730.000 personas paseando por enfrente de su casa, algunos con conocimiento de cómo se abren ventanas desde fuera y cómo se rompen cerraduras, se le haga reflexionar y consigamos que nazca en él el espíritu de la seguridad.

Hasta que llegue el momento en el que el espíritu de la seguridad nazca de cada uno de nosotros fruto de la cultura y la educación, habrá que poner posters en las paredes de la organización, avisos en los inicios de sesión, multiplicar la política de seguridad de la organización en más de un sitio visible, comunicar y recordar las directrices para el buen uso de los sistemas y buenas prácticas de navegación y lo más importante; recordarle siempre a todos los usuarios que de su espíritu por la seguridad depende la supervivencia de la organización.

Salu2!

COFEE DECAF please

noreply@blogger.com (Unknown) — Tue, 15 Dec 2009 07:52:00 +0000

Categoría: Análisis Forense

Microsoft lanzó hace unos meses un conjunto de herramientas destinadas al análisis forense de su sistema operativo bajo el nombre de COFEE (Computer Online Forensic Evidence Extractor). Este conjunto de más de 150 aplicaciones se distribuye entre las fuerzas de la ley sin coste alguno en 187 paises alrededor del mundo.

Hoy veo en SANS un kit de herramientas antiforense especialmente dedicado a perturbar las evidencias extraídas mediante las herramientas COFEE. Este kit se denomina DECAF (Detect and Eliminate Computer Assisted Forensics). Dado que COFEE está diseñado para la extracción de evidencias volátiles en un windows en ejecución, la idea que hay tras DECAF es dificultar esa labor monitorizando la introducción de la unidad externa usb que contiene las herramientas COFEE y realizando una serie de acciones una vez se ha detectado con el fin de imposibilitar la recogida de evidencias.

Salu2!

Destrucción de Información, referencias legales y normativas (IV)

noreply@blogger.com (Unknown) — Mon, 14 Dec 2009 07:54:00 +0000

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

Categoría: Seguridad de la Información

Destrucción de Información en Soporte Digital

Ahora bien, todo lo anterior es válido para información que figura en formato papel pero no tiene sentido aplicar la misma vara de medir a los soportes magnéticos. Por ello, cuando se habla de destrucción segura de soportes que contienen información digital podemos optar por dos tipos de destrucción principalmente:

Destrucción por software: si se desea reutilizar el soporte ésta es la única opción y ya comentamos con anterioridad cómo se puede realizar este borrado seguro de información del disco duro aplicando el conocido como algoritmo de Gutmann. Este métido de destrucción de la información por software es mucho más exhaustivo que, por ejemplo, el utilizado por el Departamento de Defensa de los Estados Unidos según el Standard DoD 5220.22-M en lo que a discos en PCs físicos se refiere.
Destrucción por hardware: Este grupo de procedimientos de destrucción es el adecuado cuando la reutilización del soporte no es necesaria o no se considera conveniente porque la información contenida en el soporte está clasificada dentro de una categoría de alta confidencialidad. Disponemos de las siguientes opciones:

Destrucción mecánica del dispositivo: esto implica que una máquina se encarga de realizar una destrucción del dispositivo. Algunas destructoras de papel, también destruyen otros soportes como CDs o disquetes, pero para los discos duros hay que utilizar máquinas o bien que taladren el disco duro agujereando los platos donde figura la información (de otra forma podría recuperarse aunque se haya provocado un daño mecánico montando estos discos sobre otro soporte de iguales características), o bien que literalmente lo planchen o reduzcan a pedazos. Sirva esta imagen que no puedo incluir por derechos de autor como un buen ejemplo.
Destrucción mediante campos magnéticos: En este caso los discos duros son sometidos a intensos campos magnéticos que dejan la superficie del diso ilegible e inutilizada y por ende la información irrecuperable.
Destrucción mediante el fuego: Una opción a tener en cuenta es someterlos a altas temperaturas durante un periodo de tiempo prolongado que permita que los materiales se fundan.

Ya para finalizar os dejo un vídeo sobre una planta de destrucción de soportes y medios:

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

Destrucción de Información, referencias legales y normativas (III)

noreply@blogger.com (Unknown) — Fri, 11 Dec 2009 10:26:00 +0000

Tras este repaso sobre algunas de las referencias legales en cuanto a clasificación que ya existen y que se van a imponer en breve, quiero hacer una reflexión al respecto de cómo se trata la destrucción de la información ligada a los requisitos legales de destrucción y el nivel de clasificación que estos dos marcos legales nos ofrecen.

La norma DIN 32757 regula el tamaño máximo que deben tener los fragmentos de un soporte destruido dependiendo de la clasificación de la información que contiene definiendo 5 niveles:

Nivel 1: Tiras de un máximo de 12 mm de ancho. Documentos generales que deben hacerse ilegibles.
Nivel 2: Tiras de un máximo de 6 mm de ancho. Documentos internos que deben hacerse ilegibles.
Nivel 3: Tiras de un máximo de 2 mm. de ancho / Partículas de un máximo de 4 x 80 mm. Documentos confidenciales.
Nivel 4: Partículas de un máximo de 2 x 15 mm. Documentos de importancia vital para la organización que deben mantenerse en secreto.
Nivel 5: Partículas de un máximo de 0,8 x 12 mm. Documentos clasificados, para los que rigen exigencias de seguridad muy elevadas.

A mayor nivel de seguridad, menor es el tamaño de las partículas resultantes. Podemos entonces establecer para el papel una correspondencia en función de la criticidad de los datos (y las sanciones por fuga de datos en caso de la LOPD) entre los diferentes niveles establecidos por el RD 1720/2007, el ENS y la norma DIN 32757.

Entramos en el terreno de la opinión dadas las mínimas diferencias que existen entre niveles adyacentes de la norma DIN 32757. En relación al reglamento de desarrollo de la LOPD y respetando lo descrito en el artículo 92.4 donde no se distingue entre niveles de clasificación de la información de carácter personal, una alternativa es destruir cualquier información de carácter personal en soporte papel mediante una destructora que asegure un nivel 4. Otra posible alternativa puede ser la siguiente:

LOPD nivel bajo <--> DIN 32757 nivel 2
LOPD nivel medio <--> DIN 32757 nivel 3
LOPD nivel alto <--> DIN 32757 nivel 4 o 5

En relación al ENS, podemos establecer la siguiente correspondencia en cuanto a la clasificación que por confidencialidad hace en el artículo 43:

ENS Información Pública --> No es necesaria la destrucción
ENS Información No Divulgable <--> DIN 32757 nivel 3
ENS Información de Difusión Administrativa <--> DIN 32757 nivel 4 o 5

No obstante, el ENS entiendo que tiene una doble clasificación en términos de confidencialidad que quizá debería ser revisada dado que en el Anexo I se vuelve a tipificar la información como básica media y alta dependiendo del impacto generado por un incidente de seguridad. Atendiendo a esta clasificación podríamos tener la siguiente opción:

ENS nivel bajo --> DIN 32757 nivel 2
ENS nivel medio --> DIN 32757 nivel 3
ENS nivel alto --> DIN 32757 nivel 4 o 5

Esta correspondencia establece a su vez una equiparación en términos de destrucción entre los niveles medio y alto y la información de carácter no divulgable y de Difusión Administrativa respectivamente.

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

Pornografía Infantil NO

noreply@blogger.com (Unknown) — Thu, 10 Dec 2009 13:57:00 +0000

Desde seguinfo vi ayer una bonita y necesaria campaña contra la pornografía Infantil que no he dudado un segundo en secundar.

Vaya mi condena ante cualquier abuso a menores y mi propuesta para todo aquel que me lea de que, si dispone de un blog lo publique.

La inocencia de un niño debe ser salvaguardada de cualquier abuso y en especial de los abusos sexuales.

Esta campaña tiene como propósito llenar internet de páginas con las palabras clave empleadas por los pedófilos para dificultar en la medida de lo posible que encuentren el material que buscan.

Pedófilos y Pedrastas NO.

Destrucción de Información, referencias legales y normativas (II)

noreply@blogger.com (Unknown) — Thu, 10 Dec 2009 13:36:00 +0000

El recientemente publicado borrador del Esquema Nacional de Seguridad establece dentro de su capítulo 10 en su artículo 43 una clasificación de la información distinguiendo entre:

Información de Difusión Administrativa: aquella cuya revelación pública no autorizada pueda ocasionar un perjuicio para el procedimiento administrativo o para los intereses de las personas afectadas.
Información No Divulgable: aquella que, sin ser información clasificada, o de difusión administrativa, tenga limitada su publicidad por disposición legal.
Información Pública: toda información que no sea información clasificada, dato de carácter personal, ni esté clasificado como de Difusión Administrativa o No Divulgable por prescripción legal.

En su anexo I, hace una categorización de los sistemas que los divide en tres categorías:

Básica, Media y Alta.

Habla también allí de que un sistema pertenecerá a una determinada categoría dependiendo del impacto que un determinado incidente de seguridad pudiera provocar a nivel organizativo. Hace también una exposición de las dimensiones de seguridad (con la que no estoy de acuerdo) y menciona que debe evaluarse cada dimensión por separado y cómo se debe hacer corresponder cada dimensión con su categoría de seguridad. En el punto 6 del mismo anexo podemos encontrar una secuencia de pasos que nos conducirá hasta la categorización del sistema pasando por:

Identificación de la información manejada según lo dispuesto en el artículo 43
Determinar las dimensiones de seguridad relevantes
Determinar el nivel de seguridad correspondiente a cada dimensión
Determinar la categoría del sistema

En lo relativo a la destrucción de la información, el ENS introduce en su punto 5.5.5 del Anexo II a qué deben aplicarse y qué garantías deben proveer las medidas de borrado y destrucción:

La medida de borrado y destrucción de soportes de información se aplicará a todo tipo de equipos susceptibles de almacenar información, incluyendo medios electrónicos y no electrónicos.

a) Los soportes que vayan a ser reutilizados para otra información o liberados a otra organización serán objeto de un borrado seguro de su anterior contenido.

b) Se destruirán de forma segura los soportes en los siguientes casos:
1º Cuando la naturaleza del soporte no permita un borrado seguro.
2º Cuando así lo requiera el procedimiento asociado al tipo de la información contenida.
c) Se emplearán, preferentemente, productos certificados [op.pl.5]

Como se puede apreciar hace referencia al requisito op.pl.5 que se encuentra en el punto 4.1.5. y que recomienda el uso de productos o equipos cuyas funcionalidades hayan sido rigurosamente evaluadas conforme a normas internacionales o europeas. Reza:

Tendrán la consideración de normas europeas o internacionales, ISO/IEC 15408 u otras de naturaleza y calidad análogas

Sobre ISO 15408 hablaremos en un futuro en este blog.

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

Destrucción de Información, referencias legales y normativas (I)

noreply@blogger.com (Unknown) — Wed, 09 Dec 2009 19:35:00 +0000

En post pasados analizamos las peculiaridades de los entornos compartidos e hicimos mención a la destrucción de datos, dejándola a un lado para otro post. Aquí trato este aspecto, que constituye la última parte dentro del ciclo de vida de la información, su destrucción, desde una perspectiva legal. Para ello se va a tener en cuenta el reglamento de desarrollo de la LOPD y el ENS. Dependiendo del país y del sector empresarial pueden existir otras leyes que vinculen la clasificación de la información con los requisitos a cumplir en su destrucción pero la información aquí contenida puede ser igualmente útil.

Introducción

La clasificación de la información es, sin duda alguna, uno de los puntos comunes a toda normativa ya sea de obligado cumplimiento y origen legal (Ley Orgánica de Protección de Datos, Esquema Nacional de Seguridad) o de cumplimiento voluntario (ISO 27001). Esta clasificación nos permite aplicar medidas de seguridad dependiendo de la criticidad de la información a ser protegida.

Dentro del marco legal español ya existen reglamentos que aplican la clasificación de la información y que de manera más o menos directa vinculan la clasificación de un activo de información a los requisitos que se deben cumplir en su destrucción. A continuación se resumen las diferentes partes del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos y del futuro Esquema Nacional de Seguridad que tienen implicaciones en la destrucción de la información ofreciendo un vínculo entre dichos requerimientos y otras normativas existentes para cumplir los requerimientos impuestos por la legislación.

Reglamento de desarrollo de la Ley Orgánica 15/1999

El Real Decreto 1720/2007 de 21 de Diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de datos de carácter personal, en su artículo 80 expone;

Las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles: básico, medio y alto.

Esta misma legislación hace referencia a la destrucción de la información en su artículo 88.3.g) en el que menciona en relación a la información que debe figurar en el Documento de Seguridad;

Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.

También lo hace refiriéndose a ficheros y tratamientos automatizados en el Artículo 92.4 donde reza;

Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.

Finalmente impone en el artículo 105.2.d. que lo anterior también es válido para ficheros y tratamientos no automatizados.

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

Curso de Continuidad de Negocio en Murcia

noreply@blogger.com (Unknown) — Fri, 20 Nov 2009 09:38:00 +0000

Categoria: Curso

Últimamente tenemos la suerte de poder disfrutar por esta zona de levante de algunos cursos como el de peritajes que se inicia hoy mismo y como este que os expongo aquí que se realizará los próximos días 10 y 11 de Diciembre en Murcia. Este Curso, organizado por la asociación MURcia Control Y Auditoria (MURCYA) dará una visión clara de lo que supone a día de hoy a nivel organizativo dipsoner de un plan de continuidad de negocio, introducirá los conceptos clave e instruirá en la metodología de implantación de la norma británica BS25999. Todo esto de la mano de los padres de la norma (BSI) y con un precio más que competitivo para aquellos que estamos en la zona del levante español y no tenemos que desplazarnos, con los consiguientes ahorros en costes.

Los detalles del curso los teneis en las siguientes URL:

http://www.murcya.org/node/114
http://www.murcya.org/files/Murcya-Continuidad-NegocioFinal.pdf

y para la inscripción aquí:

http://www.murcya.org/node/111/

Si teneis posibilidades de asistir, no os lo perdais, espero veros allí ;).

Salu2!

La seguridad de la información se afianza a nivel organizativo

noreply@blogger.com (Unknown) — Wed, 18 Nov 2009 11:22:00 +0000

Categoria: Noticias

Hoy visitando las noticias de actualidad me he encontrado con algunos datos interesantes que corroboran la buena salud de la seguridad de la información:

Según la séptima encuesta global sobre el Estado de la Seguridad de la Información, elaborada por PricewaterhouseCoopers y las revistas especializadas CIO y CSO Magazine, entre más de 7.200 líderes empresariales de 130 países, pese a la situación de recesión económica, las inversiones en seguridad de la información no tendrán recortes en las empresas. El 63% de los encuestados afirma que la inversión en seguridad se incrementará o se mantendrá estable en 2010.

A nivel global, el 65% de los entrevistados aseguran que en la actualidad sus compañías disponen de una estrategia global de seguridad de la información. En general, la recesión se ha convertido en el primer y principal motivo para impulsar la inversión en seguridad en las empresas. En muchos casos la seguridad se percibe como una ayuda a la hora de mitigar posibles riesgos asociados a aspectos como la globalización. Todo esto ha contribuido a alinear los objetivos de los responsables de seguridad con los propios de la compañía y por lo tanto, los líderes empresariales han dotado a la seguridad de la información de una cierta relevancia.

Podeis ver la noticia completa aquí.

Fuente: sociedaddelainformación

Salu2!

Curso de Peritajes Avanzados en Murcia

noreply@blogger.com (Unknown) — Wed, 11 Nov 2009 12:59:00 +0000

Categoría: Curso

Entre hoy día 11 de noviembre y el próximo lunes 16 queda abierto el plazo de preinscripción para el curso avanzado de peritaje impartido por Javier Pagès que ha sido organizado por el Colegio de Ingenieros en Informática de la Región de Murcia. Dicha preinscripción se llevará a cabo mediante un formulario ya disponible en la página web del colegio, cuya dirección es la siguiente:

http://www.cii-murcia.es/modules/tinycontent/index.php?id=51

Todos los detalles del curso se encuentran en la siguiente URL:

http://www.cii-murcia.es/modules/news/article.php?storyid=711

Aqui os dejo un enlace a la ubicación concreta donde se impartirá:

http://maps.google.es/maps?q=38.023962,-1.173824&num=1&t=h&sll=38.024042,-1.167984&sspn=0.008046,0.01929&ie=UTF8&ll=38.023906,-

Si alguien decide acompañarme, allí nos vemos!!

Salu2!!

ISO 27004 pendiente de aprobación

noreply@blogger.com (Unknown) — Fri, 30 Oct 2009 16:38:00 +0000

Categoría: Seguridad de la Información

Hola a tod@s, hoy estamos de enhorabuena, estamos a punto de tener un miembro más en la familia y no me refiero a la mía, me refiero a la 27000. Como ya vimos, la norma 27000/2009 se encuentra disponible de manera pública. Este estándar con título "Information technology — Securitytechniques — Information security management systems — Overview and vocabulary" consituye una introducción al Sistema de Gestión de Seguridad de la Información proporcionando una guía para el primer acercamiento al SGSI en términos de vocabulario, funcionamiento y utilidad.

Tras no pocas dificultades, ISO 27004/2009 se puede ver en fase de aprobación en el portal de ISO. Con título "Information technology -- Security techniques -- Information security management -- Measurement" viene a solucionar uno de los más grandes problemas de la seguridad de la información, si es que no el peor, la medición. Este hecho ha sido siempre un quebradero de cabeza e incluso fuente de trabajos de investigación y tesis sobre cómo medir el cumplimiento de los objetivos en materia de seguridad de la información.

Dentro de muy poco tendremos una guía sobre cómo orientar la medición de estos objetivos.

Salu2