Carpe Diem

¿Tiene sentido que una ley exija gestión de riesgos?

noreply@blogger.com (Antonio Ramos) — Sat, 11 Apr 2020 08:00:00 +0000

(Foto: "Risk_block_letters", Paul Cross, https://flic.kr/p/q3sLdP)

En los últimos años es habitual encontrarnos con legislación que requiere al sujeto obligado de la implementación de un proceso de análisis y gestión de riesgos (algunas referencias previas en este blog aquí y aquí). Por ejemplo, sin ir más lejos, el famoso Reglamento General de Protección de Datos (más conocido por RGPD) o el Esquema Nacional de Seguridad (ENS).

Tal y como yo entiendo la gestión de riesgos, una organización hace este ejercicio e implementa este proceso para seleccionar aquellas medidas de seguridad que, en función de su perfil de riesgo, maximicen la inversión en ciberseguridad. Por lo tanto, y volviendo al título de esta entrada, ¿tiene sentido que una norma exija realizar una gestión de riesgos?

La respuesta depende del tipo de norma que sea. Podríamos decir que, a este respecto, existen dos tipos de normas:

Las que están fundamentadas en un principio de responsabilidad (el famoso accountability) - Por ejemplo, la actual Ley de Protección de Infraestructuras Críticas o el ya mencionado RGPD.
Las que definen de manera objetiva lo que tenemos que hacer para cumplir - Dentro de estas estaría el ENS o PCI-DSS.

En el caso de las primeras, SÍ tiene sentido ese análisis y gestión de riesgos puesto que el principio es "actúa con responsabilidad y haz lo que consideres oportuno para lograr el objetivo". Por tanto, el análisis de riesgos ahí se convierte en la herramienta que gradúa ese ejercicio de libertad de elección. Cada organización implementa las medidas que considera en función de su perfil de riesgo: organizaciones que se quieran arriesgar más, pondrán menos medidas y al revés... pero cada una, bajo su responsabilidad.

En el caso de las segundas, claramente, NO. En estas normas que son prescriptivas en cuanto las medidas que la organización obligada tiene que implementar, ¿qué sentido tiene pedirle a una organización que haga un ejercicio de análisis cuando el que ha redactado la normativa ya ha decidido qué medidas son las que hay que implementar? En mi opinión, la inclusión de esta exigencia solo responde a una moda o a una intención de "quedar bien" y decir que la norma está basada en la gestión de riesgos...

Otra cosa es lo que podamos pensar sobre cuál de las dos opciones es más acertada o contribuye más a conseguir el objetivo de la norma, pero esto es algo que discutiremos en la próxima entrada.

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

Nariz hambrienta [offtopic]

noreply@blogger.com (Antonio Ramos) — Wed, 11 Mar 2020 11:32:00 +0000

Extremadura. Pueblecito en los límites del Parque Nacional de Monfragüe. Verano de 1950 (año arriba, año abajo). Mediodía. Más de 40º a la sombra y ni pizca de aire.

El sabueso recorre las calles desiertas del pueblo a paso lento, levantando la nariz para captar mejor los olores que salen por las ventanas sin cristales de las cocinas por las lumbres a pleno rendimiento preparando los guisos para los que están a punto de llegar de trillar o de cuidar las cabras.

Por fin parece que capta un rastro que le gusta y lo sigue como hipnotizado hasta la puerta de una casa de una sola planta. Zagüan y cocina unidos. En su interior, a la mesa, el padre, la madre y tres hermanos se disponen a comer.

Justo cuando la madre retira el guiso de la cocina, tocan a la puerta:
- "¿Tío Angel?", preguntan desde fuera.

Todos se sonríen.

- "Pasa, pasa. Nos disponíamos a comer", contesta el padre, que es demasiado alto para la época y demasiado ancho para los tiempos que corren, sabiendo como va a terminar la conversación.
- "¡Qué bien huele!", responde el recién llegado.
- "Sí, ayer un cabrito se jirió y hoy ha habido que matarlo. El señorito nos ha regalao un cacho, así que el guiso hoy lleva chicha", aclara la madre y cocinera.
- "!Ya decía yo!. Se huele desde fuera", se explica el sabueso.
- "¿Gustas?", pregunta el tío Ángel sabiendo ya cual va a ser la respuesta. Pero no le importa, todo lo que tiene de grande, lo tiene de bonachón y generoso.
- "Pues ya que lo dices; hoy no me ha dado tiempo a preparar rancho", responde el cartero sacando una cuchara de madera de la faldiquera.

La familia hace sitio al recién llegado, asumiendo que hoy les ha tocado a ellos dar de comer al cartero del pueblo.

Esta historia está basada en una anécdota que mi padre me ha contado en varias ocasiones para ilustrarme cómo era la vida en su niñez de posguerra en un pueblo del Norte de Cáceres.

Opinión acerca del WannaCry

noreply@blogger.com (Antonio Ramos) — Sun, 08 Oct 2017 15:26:00 +0000

(Cross-posted con el blog de ISACA Madrid, aquí)

Se ha escrito mucho [y mucho más se va a escribir] sobre el incidente del pasado 12 de mayo, más conocido por WannaCry (ya sabéis, Quiero-Llorar). En este caso desde ISACA Madrid no querríamos “aburrir” a nadie con un montón de lugares comunes y de reflexiones rápidas y sin mucho fundamento [llevamos ADN de auditores y eso no se nos está permitido], pero es nuestra responsabilidad no dejar pasar este incidente para resaltar aquellos aspectos que nos parecen más relevantes, como lecciones que debemos aprender, en lugar de seguir llorando:

Toda organización (si habéis leído bien, toda) debe hacerse una pregunta: ¿Qué voy a hacer cuándo sea atacada o sufra un incidente de ciberseguridad? Esta pregunta, a su vez, tiene varios componentes: ¿Qué capacidad de resistencia al ataque tengo? ¿Con qué rapidez podré detectar que estoy siendo atacada? ¿Dispongo de mecanismos para dar una respuesta rápida? ¿He establecido mecanismos para aprender de los incidentes que sufra?
El hecho de sufrir un incidente no debería ser noticia (hasta el más maniático con sus hábitos de limpieza puede sufrir una infección). Ya sabemos que, desde el punto de vista de los medios de comunicación, puede ser relevante, pero desde luego, nosotras, como profesionales no podemos caer en la tentación y asumir que todo el mundo puede “infectarse”. Lo que, a cambio, sí debería ser noticia sería nuestra incapacidad para responder [ojo, el intercambio no es trivial]
La implementación de medidas adecuadas de protección y recuperación no es responsabilidad de ningún área técnica, es responsabilidad de los propietarios/accionistas y de los órganos de dirección… igual que se involucran en la toma de decisiones sobre la tesorería, la gestión de stocks, o la estrategia comercial, deben [repito, deben] implicarse en la toma de decisiones en esta materia… y si no se encuentran preparados, aquí les dejamos un documento muy sencillo para empezar…”Ciberseguridad: Lo que el Consejo de Administración Necesita Preguntar” <https://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Cybersecurity-What-the-Board-of-Directors-Needs-to-Ask.aspx>
Los controles diseñados son para ser implantados y debe vigilarse su efectividad. Tener controles y procedimientos y no aplicarlos sistemáticamente es inaceptable para un auditor de sistemas. Esa debilidad trae estas consecuencias.
Y por último, y no por ello menos importante, este incidente debe hacernos reflexionar sobre nuestro grado de dependencia y vulnerabilidad de las tecnologías de la información. Para lograr el objetivo que llevamos en el lema de ISACA: “Sistemas valiosos y fiables”, hace falta que las organizaciones presten atención, se ocupen y dediquen recursos a contar con los medios necesarios para asegurar la continuidad de sus operaciones y el alineamiento de los sistemas con los objetivos corporativos y para ello, es fundamental e imprescindible, contar con profesionales cualificados que sean capaces de identificar las medidas y operar los sistemas de manera fiable… ¿sería lógico pensar que una organización que depende de sus sistemas de información para funcionar no haya puesto a sus mandos a profesionales cualificados para esa función?

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

Concienciación [modo chirigota]

noreply@blogger.com (Antonio Ramos) — Wed, 10 May 2017 07:15:00 +0000

Gracias a mi hermana he llegado a un estupendo vídeo de una chirigota de 'Tintineo Caletero' que trata nada más y nada menos que sobre… ¡¡las contraseñas!!

Pero sobre lo que querría reflexionar no es en sí sobre el vídeo de la chirigota que, por otra parte, es una herramienta de concienciación estupenda [creo que el humor es el mejor instrumento para la enseñanza] sino sobre cómo los autores han llegado a ese resultado final. Me refiero a que, viendo sus actuaciones de años anteriores, he descubierto que, en realidad, la chirigota que acabamos de ver es el resultado de la fusión de las dos siguientes:

Versión inicial sobre la contraseña (comienza en el 1'48")
Chirigota sobre la declaración de la Infanta Elena (comienza en el 4'24")

De la versión de 2014 a la de 2017 hay una clara mejora de la contraseña: Es mucho más larga y, además, tiene números... en conclusión: La concienciación que se está haciendo en la sociedad en materia de seguridad está calando y, hasta en las chirigotas, la gente sabe lo que es importante en materia de seguridad... "mayúsculas, minúsculas y números"... ¡¡aunque siguen poniendo "la misma pa'tó"!!

Lectura: Camino a la Servidumbre (o de como Trump ganó las elecciones)

noreply@blogger.com (Antonio Ramos) — Mon, 26 Dec 2016 09:00:00 +0000

No tenía previsto escribir nada en relación a esta obra de Hayek que acabo de terminar de leer porque es, ciertamente, bastante técnica y no veía la forma de encajar una entrada que fuera, a la vez, corta e interesante.

Pero eso fue hasta que llegué al capítulo en el que el autor reflexiona sobre si Alemania y Rusia tuvieron mala suerte con los dictadores que surgieron del nacional socialismo y del comunismo, pero en otros países podría ser de otra forma y quizás los dictadores que acabaran gobernando fueran "buenos dictadores" y, por tanto, utilizaran bien el poder que tendrían.

En dicho capítulo, Hayek expone que todos estos gobiernos estuvieron precedidos por épocas de "desafección con los pesados y lentos procesos democráticos" en los que "el hombre que parezca suficientemente fuerte y resuelto 'para hacer que las cosas se hagan' es el que tiene un mayor atractivo. [...] Lo que se busca es alguien con un soporte sólido como para inspirar la confianza de que puede conseguir lo que quiera." [No me diréis que no os suena a alguien, ¿verdad?]

Y para finalizar, lo que me llamó aún más la atención fue la descripción de las tres razones por las que siempre son los peores elementos de la sociedad los que se imponen en ese proceso:

"Normalmente, es cierto que, en general, a un mayor nivel de educación e inteligencia, más diferentes serán sus visiones y gustos y, por tanto, menos probable que estén de acuerdo en una jerarquía concreta de valores. Como corolario, si deseamos encontrar un alto grado de uniformidad e igualdad de perspectiva, tenemos que descender a las regiones de más baja moral y estándares intelectuales donde los instintos y gustos más primitivos prevalecen."
"Serán capaces de obtener el apoyo de todos los dóciles y crédulos, que no tienen convicciones propias fuertes, pero están preparados para aceptar un sistema pre-cocinado de valores con solo que les sea repetido suficientemente alto y frecuentemente." [aquello de que si quieres que una mentira se convierta en verdad, no tienes más que repetirla suficientes veces]
"Parece ser una ley de la naturaleza humana que es más fácil para la gente estar de acuerdo sobre un programa negativo -en el odio a un enemigo, en la envidia a aquellos mejores- que en cualquier tarea positiva. El contraste entre el "nosotros" y los "ellos", la lucha común contra aquellos fuera del grupo, parece ser un ingrediente esencial en cualquier credo que permita mantener unido un grupo para una acción común". [quizás ahora os expliquéis el por qué de esa continua búsqueda del enfrentamiento]

No puedo evitar recordar en la campaña que ha preparado el elegido presidente americano y pensar, si la historia se repite, ¿cómo no aprendemos del pasado? ¿Era consciente Trump de que estaba aplicando esta estrategia o simplemente ha sido una consecuencia necesaria en estas situaciones? ¿Cómo no se dieron cuenta en la campaña de Clinton de esta estrategia y contra-atacaron?

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

Opinión sobre el ataque a DYN

noreply@blogger.com (Antonio Ramos) — Tue, 25 Oct 2016 11:54:00 +0000

(Cross-posted con el blog de ISACA Madrid, aquí)

El incidente de estos días con el servicio DNS de DYN ha puesto de manifiesto algunos aspectos relacionados con la ciberseguridad que deberían hacernos reflexionar sobre cómo la tecnología evoluciona y las garantías que incorpora. En esta ocasión lo “único” que ha pasado es que no se ha podido acceder a algunos servicios que, al fin y al cabo, no eran esenciales (redes sociales, periódicos online, servicios de streaming, etc.) pero podría haber sido diferente, qué duda cabe.

Pero, como decíamos, al margen de los detalles del incidente, lo que ha pasado y cómo ha pasado, hay algunos elementos de fondo sobre los que es necesario reflexionar:

Se lleva mucho tiempo hablando de la seguridad en entornos industriales y, por extensión, sobre los dispositivos del denominado “Internet de las Cosas” (o IoT por sus siglas en inglés, Internet of Things). Pero parece ser que, inútilmente, porque este incidente ha puesto de manifiesto que siguen siendo dispositivos que cuentan con medidas de seguridad muy básicas y que, desde luego, no se han diseñado teniendo en cuenta la seguridad como uno de sus elementos fundamentales. Es contradictorio observar como los equipos industriales, en general, son diseñados, fabricados e instalados observando altísimas medidas de seguridad (resistencia a presiones, temperaturas, etc., funcionamiento en modo de fallo, apagado seguro…) pero el software de estos mismos equipos no pasa por un proceso equivalente de securización (recomendamos la lectura del documento publicado por ISACA hace unos meses titulado: Sistemas de Control Industrial: Un Manual Básico para el Resto de Nosotros).
Evidentemente, se impone la evolución tecnológica y probar todos los avances con la mayor rapidez posible, pero este incidente debería enseñarnos que estos dispositivos pueden llegar a ser tremendamente peligrosos: (i) porque interactúan con los elementos físicos de nuestro alrededor pudiendo llegar a causar daños físicos; o (ii) su elevado volumen hace que puedan llegar a ser utilizados, como ha sido el caso, como canal para lanzar ataques a terceros objetivos. Por este motivo, tanto usuarios como Administraciones deberían ser consciente de estos riesgos para utilizar / permitir solo aquellos dispositivos que les ofrezcan garantías de seguridad suficientes. De lo contrario, estaremos contribuyendo a crear una sociedad tecnológicamente insegura que puede afectar al deseo de la sociedad de utilizar dicha tecnología.
Por otra parte, la utilización masiva de dispositivos incluye aquellos que están instalados en grandes corporaciones, pero también en pequeñas empresas e incluso en los hogares. Queremos resaltar este aspecto, puesto que, en muchas ocasiones, cuando las Administraciones piensan en establecer medidas de ciberseguridad existe la tendencia a dirigirlas únicamente a grandes corporaciones (véase sino la recién aprobada Directiva NIS que excluye explícitamente a las PYME) cuando éstas pueden ser utilizadas, tanto como un fin en sí mismo (puesto que por ser pequeñas no significa que no gestionen recursos importantes) como un medio para acceder a terceros (ya que pueden estar prestando servicios a grandes compañías o incluso a la Administración).
Desde un punto de vista de gestión del riesgo, es evidente que el impacto de las PYME puede que sea indirecto pero, desde luego, no es despreciable y su impacto puede llegar a ser muy significativo, por lo que no parece un criterio relevante para decidir si una empresa tiene que tomar medidas de ciberseguridad o no. Por ejemplo, en el ámbito de la seguridad vial, el elemento discriminador es la posesión de vehículos industriales: Aquellas empresas que utilicen vehículos industriales han de someterlos a las verificaciones de seguridad oportunas cada 6 meses, ¿por qué no un enfoque parecido en el ámbito de la ciberseguridad? (recomendamos la lectura del documento de ISACA, “Transformando la Ciberseguridad con COBIT5” para un análisis más detallado de estos temas).
Y, abundando en algo que introducíamos en el punto anterior, este incidente también debería hacernos pensar con mucho más detalle sobre la dependencia que tienen los servicios con terceros (en este caso del proveedor del servicio de DNS). A estas alturas de la evolución de Internet, todo está conectado. Nuestras comunicaciones dependen de una compañía de telecomunicaciones, posiblemente un tercero nos ayuda a mantener y administrar nuestros sistemas, los desarrollos son ejecutados por terceros, incluso puedo que algún proceso corporativo sea ejecutado por un experto externo, etc… en definitiva, nuestra seguridad es tan fuerte como el más débil de todos ellos, o dicho de otra forma, no sirve de nada que nuestra parte sea más robusta si no lo son el resto de piezas del engranaje. Por este motivo, es necesario trabajar sobre la ciberseguridad en la cadena de suministro como una de las piezas clave en los próximos años para asegurar la ciberresiliencia de nuestra organización (para una mayor información, de nuevo recomendamos la lectura de un documento de ISACA, “La Empresa Ciberresiliente: Lo que el Consejo de Administración Tiene que Preguntar”).
Finalmente, algo que ya sabíamos, pero que vuelve a ponerse de manifiesto es que no hay enemigo pequeño. La asimetría de los ataques de ciberseguridad es más que evidente y el enemigo, por muy pequeño que sea, puede infligir un daño de dimensiones incalculables… por este motivo, cuando en los análisis de riesgos tratamos de estimar las probabilidades de los escenarios no debemos perder de vista que hay impactos que por muy improbables que nos parezcan no podemos obviarlos simplemente por su baja probabilidad, porque los cisnes negros existen, así que, trabajemos todos los escenarios y en ciberseguridad, sobre todo, los de baja probabilidad y alto impacto porque nadie quiere que su sistema desaparezca porque no consideró que algo altamente improbable acabe sucediendo. Quizás en nuestro mapa de riesgos pueda aparecer como ‘despreciable’ pero debemos tener un plan B por si acaba sucediendo… la continuidad de la organización nos lo acabará agradeciendo; máxime cuando muchos de estos ataques no responden, en absoluto, a hechos aleatorios, sino a ataques intencionados y completamente dirigidos. Esto hace que debamos replantearnos esa “baja” probabilidad, con el tiempo la persistencia, malicia y complejidad de los ataques terminan elevando notablemente su probabilidad (también para saber más sobre este tema, recomendamos la lectura de un par de documentos de ISACA: “Advanced Persistent Threats: How to Manage the Risk to your Business” y “Responding to Targeted Cyberattacks”).

En definitiva, veamos el lado positivo de las cosas y pensemos que este incidente servirá para mejorar nuestra preparación y capacidad de respuesta a este tipo de ataques en el futuro.

...¿Todavía no me sigues en twitter.com/antonio_ramosga?

Lectura: Los 88 Peldaños del Éxito

noreply@blogger.com (Antonio Ramos) — Fri, 09 Sep 2016 16:38:00 +0000

Tuve la fortuna de conocer a Anxo Pérez (@anxo) en el evento anual de ISACA Madrid de hace un par de años en el que participó como ponente de cierre. La verdad es que fue una manera inmejorable de terminar las jornadas porque todos nos marchamos de allí con un subidón importante, gracias a la alegría, simpatía y optimismo de Anxo.

Como ya he comentado alguna vez, ISACA Madrid suele obsequiar a los asistentes a sus eventos con un libro que, por algún motivo, consideran interesante y en aquella ocasión fueron "Los 88 peldaños del éxito" y, desde entonces, tenía pendiente su lectura [ya me vale, ya lo sé...]. De hecho es curioso que justo ayer leí que Anxo anunciaba que lanzaba un nuevo libro, justo ahora que acabo de leerme los 88 peldaños... :)

En cuanto pude os conté feliz que había escrito un nuevo libro, ayer os pude revelar el título...Y HOY LA PORTADA pic.twitter.com/PO2j94QULW
— ANXO PEREZ (@anxo) September 6, 2016

No voy a descubrir nada comentando el carisma de Anxo, así que voy a limitarme a hacer una de las cosas que pide a sus lectores, compartir lo que más no ha gustado de su libro... no voy a desvelar mi máxima de oro, pero casi...

"Los que menos se arriesgan, fracasan poco, pero son los que menos triunfan"

"Lo importante no es la visibilidad ni el reconocimiento que recibas, sino la realización que tú sientas. Los pozos de petróleo son, por encimad de todo, pozos de realización, y lo importante no es cuánto te hacen sentir valorado por fuera, sino cuánto te hacen sentir realizado por dentro"

"Inicia tu bola de nieve no tanto para construir tu huella, sino para inspirar a otros a que construyan la suya"

"Igual que de vez en cuando un piano necesita ser afinado, las ruedas del coche alineadas, o los músculos estirados, tu ego necesita un chequeo que lo mantenga cerca de la realidad y le permita sensibilizarse con otros y a ti apreciar qué tienes, por qué lo tienes y si realmente lo valoras. Ésa es la magia del voluntariado"

"[...] en el éxito se vuela con la autoconfianza unida a la humildad"

"Una persona arrogante busca brillar. Una persona humilde busca crecer"

"El reto de la vida consiste en saber emparejar el tiempo y las prioridades" // [...] la clave del éxito está en hallar el equilibrio, no dando a todos los ingredientes la misma importancia, sino a cada uno la que le corresponde"

"Valora tu tiempo y tu vida. Regálaselo sólo a quienes realmente se lo merezcan. Cada vez que regalas una hora a alguien que no la valora, se la estás negando a alguien que podría merecerla mucho más"

"La intensidad estira el tiempo" // "[...] si lo que vives en un año lo repites durante diez años más, te sobraban los últimos nueve" [esta mención va dedicada además a un viejo amigo: Bienvenido]

"La falta de claridad y concreción en las cosas que hacemos es uno de los principales enemigos del éxito. No definir de antemano por qué estamos en esta reunión, qué nos reportará exactamente este acuerdo [...] significa dejarnos distraer por la manzana en lugar de buscar la pepita"

"En el mundo existen dos grupos, los que hacen que el mundo sea un poco mejor y los que hacen que el mundo sea un poco peor. Este segundo es el grupo de los grises, gente que está descontenta con su vida y que lo único que está dispuesta a hacer para cambiar ese hecho no es mejorar su entorno, sino empeorar el tuyo." [Es triste, pero yo he experimentado este tipo de relaciones]

"El éxito no está en minimizar las pérdidas sino en maximizar las ganancias" [seguro que Goldratt estaría de acuerdo ;) ]

"Mantenerte fiel a tu idea significa perder dinero por honrar una visión y perder en el corto plazo para ganar en el largo, que es aquél en el que el éxito reside"

...¿todavía no me sigues en twitter.com/antonio_ramosga?

Lectura: Democracia Electrónica

noreply@blogger.com (Antonio Ramos) — Fri, 02 Sep 2016 07:00:00 +0000

Llega el turno de este ensayo que he de agradecer a uno de los autores, mi buen amigo, José Antonio Rubio que es coautor, junto a David Ríos Insua (@davidrinsua), Jesús María Ríos Aliaga y José Manuel Vera. La verdad es que tenía ganas de leerlo, porque era algo sobre lo que había escrito ya en el blog.

Ahora puedo decir, después de leer el ensayo que me puedo definir como tecnoutópico ya que veo "la red como un medio para propagar globalmente los ideales [...] del ágora ateniense, por medio de la discusión y la votación electrónica. Cualquier decisión podría votarse y podríamos vivir en un sistema de referendo permanente, sugiriendo, incluso, la posibilidad de obviar el sistema de democracia representativa."

El origen es la propia Internet y su eliminación de los costes de transacción, ya que "nuestras actuales institucionales democráticas proceden [...] de tiempos en los que las comunicaciones y los transportes eran difíciles y costosos en tiempo y dinero. Los políticos han desarrollado, en consecuencia, un estilo en el que, salvo en tiempos de campaña, mantienen escasa relación con los ciudadanos".

Los autores son más partidarios de otra visión, más orientada a que la tecnología apoye a la democracia participativa, pero no coincido en los puntos fuertes que le ven:

No veo que la democracia participativa sea un sistema en el que el diálogo y la discusión provoquen cambios de opinión ni una supuesta racionalidad; los partidarios de un partido se encuentran igual de convencidos de los que participan en un chat.
Y si hablamos de simplismo... Los mensajes de los partidos no es que sean el colmo de la complejidad.
El argumento de que solo el 10% de los ciudadanos se involucra tampoco es válido, porque, quizás no se involucran porque perciben/percibimos que involucrarse tampoco sirve para mucho, puesto que son los partidos los que deciden.
Es cierto que el ciudadano medio no tiene tiempo para dedicarle a analizar información, pero tampoco creo que los políticos estén más formados "por definición" para opinar sobre cuestiones cada vez más complejas.
Y sobre el asunto de las responsabilidades por las decisiones en la democracia directa, creo que tampoco los políticos se "responsabilizen" por sus decisiones.

Pero no quiero que penséis que no me ha gustado... :) simplemente que soy un poco más utópico. El ensayo es una pasada, es un compendio alucinante en poco más de 150 páginas de todo lo escrito en esta materia, con referencias a casos reales, herramientas y otros ensayos, estudios y teoría. Una obra imprescindible para todos los interesados en la democracia electrónica.

¡Gracias, José Antonio, por el regalo!

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

Lectura: Hay Vida Después de la Crisis

noreply@blogger.com (Antonio Ramos) — Thu, 25 Aug 2016 12:17:00 +0000

En mi proceso veraniego de leer todo lo que tengo atrasado, le ha tocado el turno a este libro que fue, además un regalo de mi madre... así que ya me vale no haberlo leído hasta ahora por dos motivos: uno, porque era un regalo y, dos, porque es el típico estudio que hay que leerlo en el momento, porque está muy contextualizado a 2013 y el momento económico que se vivía entonces. Aunque leído con un poco de perspectiva también tiene su puntillo para ver si lo que el autor dice se ha cumplido o no.

La obra es del economista, José Carlos Díez (@josecdiez) que también escribe en su propio blog y participa como ponente en múltiples eventos.

Como economista [de formación aunque no de profesión] me ha servido este repaso por la situación española sus causas y sus similitudes con otras crisis pasadas para desoxidar algunos conceptos y para darme cuenta como se pierde aquello que no usas: algunos párrafos he tenido que leerlos un par de veces para asimilar bien lo que el autor decía [más por demérito mío que por falta de claridad del autor, puesto que hay que reconocer lo claro que explica los conceptos para no-economistas].

Aunque no soy, para nada, un experto y sesudo economista, he de reconocer que la visión que aporta el autor coincide en gran medida con mis sensaciones sobre esta crisis que hemos pasado / estamos pasando. Sobre todo, coincido con él en algo que dice claramente casi al final de su análisis, "...si quieres crear opinión y tener credibilidad, tu relato debe ser realista. Y desde el realismo más crudo y el análisis de los problemas sin anestesia, el mensaje es que hay vida después de la crisis. La clave es minimizar el daño y las cicatrices que quedan."

Como mi intención no es ahora hacer una reflexión sobre la crisis española-europea [más que nada porque no estoy capacitado], voy a compartir algunas de las reflexiones y visiones del autor [mucho más preparado que yo] que más me han gustado:

En primer lugar, también creo que el sector financiero está en el origen de la crisis y que la especulación se nos ha ido de las manos, la función del sistema bancario está clara y tiene que dedicarse a eso; el resto es otra cosa que, claro que puede existir pero sin afectar al ahorro.

"El sistema bancario gestiona los depósitos y el ahorro de las familias y tiene un aval del Estado para funcionar. En consecuencia, todas sus operaciones deben hacer con luz y taquígrafos. Hay que volver a poner los bueyes delante del carro y priorizar la canalización del ahorro a los proyectos de inversión de empresas de la economía real. Para ello, tendremos que reformar el sistema financiero internacional y hacerlo más pequeño y menos complejo..."

Supongo que al venir de una familia de trabajadores, como la del autor del libro, es difícil no coincidir en que un reparto más equitativo de la riqueza favorece a todas las partes y a la economía en general [esto me recuerdo que tengo pendiente de leer todavía a Piketty].

"Otro ciclo que debe revertirse es la pérdida de peso de los salarios en la distribución de la renta mundial, así como la diferencia entre las rentas altas y las bajas, que actualmente se ha situado en máximos históricos. [...] no se trata de subsidiar, sino de garantizar la igualdad de oportunidades."

Para cualquiera que haya seguido la actualidad estos últimos años y, si además, como es mi caso, te ha tocado "lidiar" con las instituciones europeas está claro que Europa tiene que dar un paso al frente si quiere ser un jugador en el siglo XXI... por ahora, parafraseando a Ángel Garó (@AngelGaro_), "somos los juegos reunidos Geyper"...

"En Europa, [...] la Gran Recesión ha puesto al descubierto las debilidades institucionales de la unión económica." // "Los europeos tenemos que avanzar en el desarrollo institucional para acabar con los temores de ruptura del euro. La unión bancaria y la creación de un supervisor único ya están en marcha. Faltaría la creación de un fondo de garantía de depósitos único y una entidad liquidadora europea de bancos en crisis."

Y claro, como no iba a salir el tema del austericidio... y es que, al igual que pasa en cualquier empresa [aunque tampoco es algo que se aplique con la generalidad esperada], lo más importante es aumentar la cifra de ingresos, básicamente porque tiene potencial infinito, mientras que la reducción de gastos tiene un límite muy claro, ya que hay un punto por debajo del cual no se puede bajar [y para el que no lo tenga muy claro, le recomiendo investigar un poco sobre el concepto del throughput relacionado con la Teoría de las Limitaciones].

"[...] un ajuste fiscal excesivo profundiza la depresión, empeora la capacidad de pago del país y aumenta el temor de los inversores y la prima de riesgo. [...] Asimismo, los países con tipos de deuda pública próximos al 0% y margen fiscal deben aprobar medidas de estímulo; especialmente Alemania, que supone un 30% del PIB de la Eurozona y compensaría el ajuste fiscal en los países con problemas." porque "En nuestra situación es muy importante que nuestros clientes europeos crezcan para poder compensar con exportaciones la debilidad de nuestra demanda interna. Por lo tanto, hasta que Europa no salga de la recesión, la crisis en España no tiene solución."

"[...] debemos acometer una reforma fiscal en profundiad [...]. Y, por supuesto, hay que reforzar la lucha contra el fraude fiscal. Asimismo, tendremos que abordar una reforma de la administración que mejore la eficiencia y elimine las duplicidades."

Una de las cosas que más me ha llamado la atención es el hecho de reconocer abiertamente que será necesario asumir quitas en los niveles de deuda, porque es "imposible" que se pague... y además, no sólo para la deuda de los países, sino también la deuda privada, incluyendo aquí las deudas de las familias [esta propuesta me ha parecido tan obvia y viable que no entiendo que no se esté llevando a cabo].

"Faltaría reestructurar las deudas que no se pueden pagar y recapitalizar después los bancos europeos, empezando por los alemanes y luego con los franceses y los holandeses, cuya exposición en los países más afectados por la crisis del euro es elevada."

"Es urgente parar la morosidad en el origen renegociando la deuda de las familias y aplicando una quita para conseguir que puedan quedarse en las casas. [...] es mucho más eficiente reestructurar la deuda que ejecutar el embargo y desahuciar." [El autor explica en detalle esta medida y, por ejemplo, clarifica que no sería para todos, pues habría que identificar cuando estamos ante una situación problemática frente a un abuso de especulación]

Y, sobre todo, un mensaje positivo: "tu estado de ánimo es tu destino"... y de fomento de la mentalidad empresarial.

"[...] con una tasa de paro camino del 30%, no hay sitio para la complacencia. Debemos sentirnos orgullosos de nuestras empresas de éxito y de sus trabajadores, pero necesitamos muchas más para bajar la tasa de paro a niveles moral y socialmente aceptables. [...] Para ello, hay que proteger a las nuevas empresas innovadoras como si fueran linces ibéricos en peligro de extinción. Hay que eliminar barreras legales en muchos sectores que favorecen a las empresas ya establecidas y penalizan a las nuevas firmas más emprendedoras e innovadoras. Es preciso acabar con el desmantelamiento de la educación y la investigación de calidad [...], la única estrategia de éxito debe basarse en el conocimiento y el capital humano."

"Los españoles nos hemos convertido en una fábrica de excusas y de lamentos. Los de los millones de personas que han perdido su empleo [...] están justificados [...], el resto tenemos la obligación moral de trabajar hasta la extenuación para sacar el país adelante."

Para finalizar, un gran descubrimiento, la hipótesis de inestabilidad financiera de Hyman Minsky: "dado que el negocio bancario tiene escasa capacidad de diferenciación en los créditos y los depósitos que comercializa, cuando una entidad apuesta por el crecimiento orgánico, lo hace reduciendo sus márgenes de beneficio. Esta reducción de márgenes afecta negativamente a sus accionistas, por lo que se buscan negocios de mayor rentabilidad que llevan aparejados riesgos más elevados, que ponen a su vez en peligro la viabilidad futura del banco y del sistema." Quien no crea que Minsky tiene razón, sobre todo después de Lehman Brothers, Fannie Mae, Freddie Mac, bankia, etc. es que ha estado en otro planeta... Por eso es ineludible asegurar que "el sistema financiero está al servicio de la economía real y ésta tiene que ser su principal función" y, para ello, habrá que "mejorar la regulación y la supervisión y conseguir reducir el tamaño del sistema bancario hasta el mínimo necesario para que cumpla su función principal, canalizar el ahorro a la inversión empresarial."

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

Lectura: Start-up Nation

noreply@blogger.com (Antonio Ramos) — Thu, 18 Aug 2016 09:00:00 +0000

Supongo que el hecho de haber iniciado una empresa a partir de una idea despertó mi interés por el emprendimiento y, en particular, por las start-ups de seguridad o ciberseguridad. Y ambos fenómenos conducen indefectiblemente a lo que sucede en Israel en materia de emprendimiento en ciberseguridad, con claros ejemplos de pequeñas empresas punteras que han nacido en este pequeño territorio. Y, sobre todo, ¿por qué este fenómeno no se reproduce en otros lugares [como, por ejemplo, en España]?

Y, en este tema, la obra de Dan Senor (@dansenor) y Saul Singer (@saulsinger) sobre la historia y las causas de este fenómeno es obligatoria. Las casi 300 páginas son una recopilación exhaustiva de citas y referencias para aquellos que, como yo, quisieran aprender y entender por qué tantas start-ups en Israel.

Como digo, la lectura no tiene desperdicio pero destacaría algunas citas que, además, creo que sirven como resumen de la explicación de los autores al fenómeno de emprendimiento israelí (la traducción es mía, así que si hay algún error, ya sabéis a quien culpar):

"Hoy, Israel lidera el mundo en porcentaje de su PIB que va a investigación y desarrollo, creando tanto una ventaja tecnológica crítica para la seguridad nacional, como un sector tecnológico civil que es el principal motor de la economía."

"... la estrecha proximidad de grandes universidades, grandes empresas, start-ups, y el ecosistema que las conecta -incluyendo todo lo necesario desde proveedores, una reserva de talento de ingenieros, a capital-riesgo."

"... lo que se echa en falta en otros países es un núcleo cultural construido sobre una rica combinación de agresividad y orientación al equipo, en aislamiento y conectividad, y en ser pequeño y querer ser grande."

"... lanzar una start-up o entrar en alta tecnología se ha convertido en la cosa más respetada y "normal" para un joven israelí ambicioso. [...] Lo que en la mayoría de los países es algo excepcional, en Israel se ha convertido en casi una carrera estándar, a pesar del hecho de que todo el mundo sabe que, incluso en Israel, las posibilidades de éxito para las start-ups son bajas. [...] El éxito es mejor, pero el fracaso no es un estigma; es una experiencia importante para tu curriculum."

"El secreto, por tanto, del éxito de Israel es la combinación de los elementos clásicos de los clusters tecnológicos con algunos elementos únicos de Israel que mejoran las habilidades y experiencia de los individuos, haciéndoles trabajar juntos más efectivamente como equipos, y proporcionándoles contactos próximos y fácilmente disponibles en una comunidad establecida y creciente."

"... el reto al que se enfrenta cada país desarrollado en el siglo XXI es convertirse en una factoría de ideas, lo que incluye tanto generar ideas en casa como aprovecharse de las ideas generadas en cualquier otro lugar."

Por tanto, tratar de establecer clusters para fomentar el ecosistema de emprendimiento está bien, es condición necesaria, pero no es suficiente. Como los propios autores reconocen, los clusters en Israel no crean las condiciones para el fenómeno de emprendimiento, sino que actúan como facilitador. Así que, mucho me temo que, o trabajamos el aspecto cultural o "montar" clusters solo va a ser un tremendo desperdicio...

Y, siento decirlo, pero en el tema cultural tenemos muuuucho trabajo que hacer, en un país donde lo que primamos no es, precisamente, el esfuerzo sino la cultura del pelotazo... nos queda mucho por hacer...

...¿todavía no me sigues en twitter.com/antonio_ramosga?

Lectura: Kryptos

noreply@blogger.com (Antonio Ramos) — Sat, 06 Aug 2016 09:30:00 +0000

Este libro [como algún otro que he comentado por aquí] llegó como obsequio de ISACA Madrid. Y es que esta Asociación, normalmente, regala a los asistentes a sus jornadas anuales con un libro relacionado con el evento.

De hecho, el ejemplar que tengo está firmado por el propio Blas Ruiz Grau (@BlasRGEscritor), autor de la novela, puesto que tuve la oportunidad de conocer al autor ya que participó en el evento para compartir su experiencia personal y compartir por qué ha decidido destinar el 100% de los beneficios obtenidos a la ONG Educo y su programa de Becas comedor.

Y entrando en la obra, decir que se trata de una novela corta que surge de un experimento propuesto por el autor a sus seguidores de twitter que le enviaron tweets para que formaran parte de la misma... y además, algunos capítulos están escritos por otros autores... en fin, un planteamiento muy innovador y con un resultado muy interesante.

Para los que trabajamos en seguridad, siempre tiene su puntillo leer una novela en la que se incluyen aspectos relacionados con nuestro trabajo/hobby y en este sentido, aunque entiendo las licencias literarias, la verdad es que leer sobre un programa de hacking que lo mismo se salta los sistemas de cifrado [yo sigo prefiriendo cifrar aunque soy consciente de que el uso de encriptar está admitido], que accede a la agenda de un móvil o lo posiciona geográficamente o incluso es capaz de hacer sonar una canción concreta en un equipo específico sin más información que verlo en una sala... quizás sea demasiado...

Por lo demás es una trama que te atrapa, que al principio quizás recuerde un poco a Mercury Rising, pero que luego tiene giros bastante inesperados... sobre todo el desenlace... que tras una gran sorpresa, es capaz de superarse y volver a sorprendernos hasta la última página... ¡enhorabuena!

Y, para finalizar, fiel a la tradición de las citas, incluyo un par que me han gustado; la primera, sobre la declaración que hace la protagonista sobre su ética hacker:

"Creo que lo has entendido. No todo es el dinero, mucho menos para una buena hacker. En muchos casos sólo buscamos el reconocimiento y, créeme, con estas cosas llega [publicación de herramientas]. No todos somos así, por supuesto, pero sí los, digamos, auténticos."

Y la segunda en relación a cómo, para abordar un proceso de regeneración algunos países...

"[...] se nombraron comisiones para tratar de restablecer el orden. Tardaron años en conseguirlo a base de transparencia en las gestiones y cientos de acciones sociales."

¿...todavía no me sigues en twitter.com/antonio_ramosga?

Lectura: El Quinto Elemento

noreply@blogger.com (Antonio Ramos) — Thu, 04 Aug 2016 08:00:00 +0000

Tuve la suerte de conocer al autor de la obra hace unos meses por motivos profesionales, así que no podía no comentar la lectura de "El Quinto Elemento" de Alejandro Suárez Sánchez-Ocaña (@alejandrosuarez).

Yo diría que se trata de una obra periodística que realiza un repaso bastante exhaustivo por la historia reciente de casos e incidentes relacionados con la ciberseguridad que, al final, consigue el objetivo que yo creo que tiene la obra: "Concienciar sobre la importancia de tener en consideración el riesgo que supone la ciberseguridad en el contexto actual de imparable evolución tecnológica".

Y que contiene, como no podía ser de otra forma, algunas citas que me han gustado por distintos motivos y que resumo en los siguientes párrafos.

La primera trata sobre el efecto que ha tenido Internet sobre el mundo del crimen, que no deja de ser la misma que ha tenido en todos los ámbitos de la sociedad: la reducción de los costes de transferencia y la consecuente eliminación de intermediarios y la democratización de la tecnología.

"El gran cambio y la gran diferencia que aporta la era cibernética es que permite un espionaje masivo, sin apenas coste y, desde luego, sin riesgos."
"Otra de las características de esta nueva carrera de armamentos es que el uso de las nuevas armas da lugar a una rápida propagación de las mismas, poniendo fin enseguida a la ventaja competitiva que el desarrollador tenía antes de lanzarla. Mientras que los secretos de fabricación de una bomba atómica no son revelados con su detonación, los de un arma digital como Stuxnet sí, ya que su código es puesto al descubierto tan pronto como se libera en la red."
"[...] las armas nucleares estaban únicamente en posesión de los gobiernos de los Estados mientras que ahora no hay forma de controlar la limitación de ciberarmas, ya que cualquiera puede desarrollarlas o comprarlas."

También hay algunas citas históricas muy interesantes...

"Lord Palmeson, primer ministro británico en el siglo XIX, pasó a la posteridad por su pragmática frase 'Inglaterra no tiene amigos ni enemigos. Inglaterra tiene intereses'".

Y una reflexión muy interesante y que comparto en gran medida en relación al tratamiento que deberían tener las medidas de protección en las compañías y las empresas de ciberseguridad en relación a la seguridad nacional como comenté en esta entrada de octubre de 2011, en la que hablaba de "equiparar la seguridad de los sistemas de información a la seguridad patrimonial".

"De hecho, por ley, determinado tipo de compañías deberían estar obligadas a contar con los servicios de estas empresas [de seguridad informática], y esto no debería ser una opción, ya que su dejadez pondría en riesgo el sistema. [...] No debe estar en manos de empresas privadas la decisión del grado de protección más adecuada, ya que puede caer en la tentación de ahorrar en recursos en seguridad informática, o de poner en manos de personal no formado (por ejemplo, el mismo responsable tradicional de seguridad física de la compañía) la protección de sus sistemas".

"Cada país debe construir su tejido de seguridad que dé servicio a sus compañías críticas, donde el riesgo de guerra económica es real."

"Si la seguridad de los datos, del centro y de los servidores, por la información que se maneja, es crítica, debería serlo también la de los alrededores del edificio. Y esa parte debería estar en manos de las fuerzas de seguridad del Estado."

Así como, su derivada sobre lo que debería ser considerado un arma o un ciber-arma.

"La cuestión es si, a estas alturas del siglo XXI, alguien duda ya de que un ordenador es un arma. Y puede ser de las más peligrosas. Un equipo con conexión, sobre todo si es manejado por alguien sumamente formado, puede hacer hoy en día exponencialmente más daño que cualquier arma de fuego por masiva que esta sea".

Finalmente, reflexiona sobre la consecuencia indeseada del progreso tecnológico, la dependencia de la tecnología.

"Ya en 1998, dos coroneles chinos [...] publicaron un artículo llamado "Guerra ilimitada", en el que destacaban que la excesiva dependencia de Estados Unidos de las tecnologías informáticas aplicadas a la defensa debía ser explotada para conseguir una "ventaja asimétrica".

"Cuando la IoT [Internet de las Cosas] se desarrolle plenamente, la distinción entre el mundo virtual y el mundo físico se habrá evaporado para siempre, los dos mundos se habrán fundido en uno solo de forma indisoluble"

Y, desde un punto de vista personal, me ha "gustado" ver las referencias a empresas muy conocidas para mi (S21sec o Eleven Paths), así como a algún buen amigo (Vicente Díaz, alias @trompi) y, como no, a la importancia de controlar el riesgo-proveedor.

"[...] también hay un gran riesgo en nuestros proveedores de servicios. Si usas correo electrónico y tienes un proveedor de telefonía móvil, otro de cable..., entonces tienes decenas de posibilidades de que los empleados de estas compañías puedan acceder a tus posiciones. Bien por algún interés, bien sólo por diversión."

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

Lectura: Hombres buenos

noreply@blogger.com (Antonio Ramos) — Sun, 31 Jul 2016 20:44:00 +0000

Llega el verano y con él, la temporada de lectura. Y el primero de esta temporada ha sido esta obra de Arturo Pérez-Reverte (@perezreverte) ambientada a finales del siglo XVIII en la que dos miembros de la Real Academia Española tienen el encargo de viajar a París para conseguir la primera edición de la Encyclopédie de D'Alembert y Diderot (que curiosamente estaba prohibida en España por la Iglesia católica).

Además de estar basada en hechos y personajes reales, llama la atención por la alternancia entre historia y ficción y por la inclusión del propio proceso creativo del autor en la obra.

Finalmente, y para seguir con la tradición, destacar también algunas citas que más me han gustado:

"Se necesita una política de Estado que aliente a la sociedad burguesa a financiar, viendo negocio en ellas, las ciencias experimentales. En España, la ciencia, la educación, la cultura, todo tropieza en lo mismo. Y a causa de ello, los prudentes callan y los audaces sufren."

"En cualquier caso algo hay que agradecer a que los franceses sean propensos a batirse. Gracias al duelo, o la posibilidad de verse envuelto en uno, en Francia reina una gran cortesía... Quizá la grosería española se deba a su impunidad."

"Todos los recuerdos lo son [útiles]... Todo lo vivido aprovecha, de una u otra forma. Excepto para los fanáticos y los imbéciles."

¿Se puede prevenir todo el malware?

noreply@blogger.com (Antonio Ramos) — Sat, 10 Jan 2015 15:30:00 +0000

Me surge la duda leyendo el artículo de José López Arredondo en Cinco Días sobre el informe de FireEye ("Maginot Revised: More real-world results from real-world tests").

Es evidente que el malware es actualmente uno de los grandes caballos de batalla en el mundo de la seguridad. Es utilizado ampliamente para infectar nuestros equipos, bien incrustándolo en correos electrónicos o ficheros enviados por correo o también difundiéndolo a través de sitios web infectados aprovechando navegadores vulnerables. En cualquier caso, con independencia del vector utilizado, las herramientas de protección (End Point Protection) sufren para detectar y evitar las infecciones dado el alto volumen de malware generado de manera continua y las variaciones utilizadas, por no hablar de los ataques dirigidos (que diseñan malware específico para cada ataque).

Pero, ¿quiere esto decir que hoy por hoy sea imposible detener al malware? Mi opinión es que, clarísimamente, sí que se puede evitar el malware. Pero, evidentemente, no haciendo lo mismo que venimos haciendo hasta ahora.

Actualmente los mecanismos utilizados están basados en lo que se denomina listas negras. Es decir, tenemos una lista que incluye todo aquello que es malo (o que se parece mucho a algo malo que ya hemos visto) y que no se debe ejecutar. Este tipo de mecanismos tiene varias cosas buenas, pero esencialmente, que son fáciles de mantener, sobre todo desde la implantación de modelos cloud que permiten una mayor agilidad para compartir información. Sin embargo, tienen una cosas muy mala y es que si un malware es nuevo y no se ha visto antes, va a poder ejecutarse puesto que no encajara en los patrones implementados por estas soluciones (es como si para abrir una cerradura, dejáramos que cualquier llave la abriera, excepto las que sabemos que no son buenas).

Pero existen otro tipo de soluciones, denominadas listas blancas. Este tipo de soluciones, por contra, solo dejan ejecutarse aquellas aplicaciones en las que podemos confiar (lo que las hace, por otra parte, muy eficientes). De forma que solo debemos incluir en la lista blanca las aplicaciones que hemos verificado previamente y estamos seguros de que son legítimas y no incluyen ningún tipo de malware, lo cual es mucho más eficaz, desde un punto de vista de seguridad.

Entonces, si las listas blancas son más eficaces y más eficientes, ¿por qué no se utilizan? Pues la respuesta es la de siempre, son mucho más difíciles de mantener, nos obliga a identificar las aplicaciones a autorizar, a probarlas previamente, a discutir con los que quieren incluir aplicaciones no-corporativas y a mantener dicho listado actualizado con las nuevas versiones de los ejecutables, etc... en definitiva, muchísimo trabajo que muy pocos están dispuestos a asumir para estar más seguros.

En definitiva, podría prevenirse el malware pero habría que estar dispuesto a asumir el coste que supone el mantenimiento de una lista blanca de ejecutables autorizados... ¿merece la pena? El apetito al riesgo y el impacto asumible de tu organización lo dirán.

A vueltas con Sony, Corea del Norte y Estados Unidos

noreply@blogger.com (Antonio Ramos) — Sat, 03 Jan 2015 20:16:00 +0000

(Este artículo se publicó originalmente en n+1 tiende a infinito, el blog de n+1 Intelligence & Research)

No es que seamos amantes de las teorías conspiranoicas, pero es que nos lo ponen muy fácil. Nos referimos al reciente anuncio de Estados Unidos de aumentar las sanciones a Corea del Norte en relación con el ciberataque a Sony. Esta circunstancia supone señalar directamente al gobierno de Corea del Norte como autor material de los hechos, lo cual no es, en absoluto, trivial. Sobre todo, teniendo en cuenta que multitud de expertos (como Bruce Schneier o Brian Krebs entre otros, entre muchos otros, podríamos decir) dudan de que se pueda atribuir este ataque a Corea del Norte a pesar de las similitudes que se hayan podido detectar con herramientas presuntamente utilizadas por hackers de Corea del Norte previamente y de que nadie dude de las capacidades técnicas de Corea del Norte para llevar a cabo ciberataques. [Incluso en el caso de que se pudiera atribuir el ataque a Corea del Norte, ¿hasta qué punto se puede considerar un acto de guerra y no un "simple" acto de vandalismo como el propio Obama declaró en un principio? Podéis leer más sobre esta duda en este artículo de Chris Weigant]

Pero es que si analizamos las sanciones impuestas por EE.UU. nos encontramos que afectan a diez funcionarios relacionados con la venta de misiles y armas (dos son representantes en Irán y otros cinco actúan en Siria, Rusia, China y Namibia), es decir, nada que ver con el ataque a Sony y a tres entidades norcoreanas: la Oficina General de Reconocimiento (principal organización de inteligencia), la Corporación de Comercio para el Desarrollo de Minas (principal proveedor de armas y exportador de equipamiento relacionado con misiles y armas tradicionales) y la Corporación de Comercio Tangun de Corea (responsable de la compra de tecnología y equipos para soportar los programas de defensa).

Como decíamos al principio, todo este escenario hace que le salten las alarmas a cualquier persona por medianamente cabal que sea: Si a un ataque lleno de incertidumbres, le unimos unas sanciones que alcanzan a entidades que nada tienen que ver con el asunto, cualquiera podría pensar que a todos les ha venido bien señalar con el dedo a Corea del Norte: Al gobierno de Estados Unidos porque quiere enviar una señal a todos aquellos que estén pensando en (ciber)atacarles y también a su Senado para que siga aprobando dotaciones presupuestarias para mejorar sus cibercapacidades, a Sony porque le resultará más fácil defenderse en los juicios que tiene por delante y, si nos apuráis, al gobierno de Corea del Norte que "muestra su capacidad" para enfrentarse a un gigante... pero, en el fondo, no puede dejar de sonarnos a algo que ya vivimos hace algunos años en relación a la supuesta existencia de unas armas masivas en un país de Oriente Medio.

Lo que desde luego sí que es una realidad es que el ciberespacio es ya utilizado por todos los Gobiernos como un escenario más en el que realizan sus operaciones y dónde cada vez más tendremos que ser muy escépticos para no creernos todo lo que nos dicen (como dice @lawwait en su análisis de este mismo asunto), al menos, mientras no mejoren nuestras capacidades para atribuir los ataques que están sucediendo.

¿Hackers de la mafia piratean la fiscalía Anticorrupción?

noreply@blogger.com (Antonio Ramos) — Sat, 27 Dec 2014 12:09:00 +0000

Me ha resultado muy interesante la lectura del artículo publicado ayer en el diario El Mundo sobre los accesos no autorizados a los equipos de varios fiscales adscritos a la Fiscalía Anticorrupción.

En primer lugar porque al fin parece que empiezan a pasar cosas en España; entiéndaseme bien, no me refiero a que me alegre de que pasen, sino de que empecemos a enterarnos cuando pasan, porque lo normal hasta el momento era que no se diera publicidad a este tipo de sucesos. Y por este motivo, mi más sincera enhorabuena a Esteban Urreiztieta y a Eduardo Inda, autores de dicho artículo.

Pero una vez dicho esto, creo que habría que tratar estos temas con algo más de rigurosidad. Ya sé que vender periódicos / noticias estos días es difícil, pero creo que la noticia es igual de buena sin añadirle salsa... Trataré de explicarme a continuación.

Lo primero es que creo que quienes piratean los ordenadores, no son 'hackers', en todo caso serían mafiosos. Así evitaríamos seguir asociando la figura del hacker a la comisión de delitos; algo que no es cierto, pero que, a base de repetirlo, alguno va a acabar creyéndoselo.

Y el segundo asunto sería el de la atribución del acto. Debemos ser conscientes de que aunque se haya detectado un acceso no autorizado desde una IP localizada en Rusia, eso no significa que un ruso haya sido el autor del acceso no autorizado, ni tan siquiera de que fuera alguien situado en Rusia. Existen mecanismos para que alguien desde otro país (por ejemplo, España) pueda navegar utilizando una IP rusa (china, cubana o americana).

Finalmente, me ha llamado poderosamente la atención que, por un lado, pueda considerarse un acceso a una cuenta personal de un fiscal como un "ataque" a la Fiscalía Anticorrupción... ¿no significaría eso que los fiscales hacen uso de servicios personales para la provisión de Justicia? Espero que se refiera a que alguien intentaba obtener información del fiscal para luego intentar acceder a los sistemas "corporativos" del mismo fiscal. Pero, sobre todo, las repetidas referencias a las pérdidas de información... ¿me van a decir que archivos cruciales para las investigaciones no tienen varias copias de respaldo y que, incluso algunos de ellos, solo se encontraban en los equipos de los fiscales? Seguro que no y lo estoy entendiendo mal.

En cualquier caso, no deberíamos extrañarnos de que los potencialmente afectados por las investigaciones de los fiscales intenten, por cualquier medio, incluyendo el acceso no autorizado a sistemas de información, dificultar y torpedear dichas investigaciones. Lo que debe extrañarnos es que no se adopten medidas que asuman que eso va a pasar, es más que asuman que si lo intentan con suficientes medios, tiempo y habilidades lo van a conseguir y se implemente medidas que garanticen la confidencialidad, integridad y disponibilidad de la información incluso cuando los equipos sean accedidos por terceros no autorizados.

En esto precisamente es en lo que se enfoca algo en lo que algunos venimos haciendo énfasis hace algún tiempo: La ciberseguridad nos exige adoptar un nuevo enfoque a la protección de los activos, un enfoque ágil que asegure la resiliencia de los sistemas y de la información.

SPDY, ¿héroe o villano?

noreply@blogger.com (Antonio Ramos) — Mon, 14 Jul 2014 10:00:00 +0000

SPDY, para aquellos que aún no lo conozcan, es un nuevo protocolo desarrollado principalmente por Google que incorpora una mejora en la eficiencia de las comunicaciones y que, además, lleva asociado el cifrado por defecto de todas ellas.

De hecho, este cifrado por defecto es el que hace que merezca la pena analizar en detalle las consecuencias que tendría su implementación desde una perspectiva de seguridad, puesto que SPDY ha servido como base para los primeros borradores del futuro HTTP 2.0.

En primer lugar, y basándonos en el análisis realizado por Jorge Dávila en su artículo titulado "La Internet opaca de SPDY" publicado en el número 110 de la revista SIC (junio 2014), habría que destacar que este nuevo protocolo ya se encuentra implementado en la mayoría de los navegadores (Chrome, Safari, Firefox, Opera...) e incluso por algunos servidores (pocos, pero significativos, como Google Search, Facebook o Twitter). No obstante, mientras se realiza la transición de todos los servidores a SPDY, será necesario contactar con unos servidores que ejerzan de traductores entre HTTP 1.1 y HTTP 2.0 (habiendo sido Google [lógicamente], la primera organización en poner este tipo de servidores proxy a disposición de los usuarios).

Por tanto, para analizar las consecuencias de SPDY tendremos que tener en cuenta dos momentos muy distintos:

la fase transitoria durante la que unos servidores proxy nuevos conocerán todos los detalles de navegación de los usuarios, puesto que deben realizar la traducción de HTTP 2.0 a HTTP 1.1.
la fase final en la que todas las comunicaciones de los usuarios con los servidores a los que se conectan se encontrarán cifradas, utilizando el conocido protocolo TLS (y las cabeceras comprimidas con el algoritmo DEFLATE).

Fase transitoria

El hecho diferencial de esta fase se deriva de la existencia de unos nuevos jugadores en la arquitectura de Internet, unos servidores proxy, que a modo de pasarela canalizan todas las comunicaciones de los usuarios y que tienen conocimiento de las comunicaciones realizadas a diferencia del resto de actores (para los que las comunicaciones están cifradas) al encargarse de traducir entre versiones de protocolos HTTP.

Esta circunstancia supone, claramente, un riesgo para la privacidad de las comunicaciones, en tanto en cuanto, todas las comunicaciones llegarán en claro a dichas pasarelas que se encargarán de adaptarlo a SPDY. No obstante, no deberíamos presuponer que es una situación peor que la actual, en la que todo el mundo puede escuchar las comunicaciones de una persona. En la transición, solo serán las pasarelas, y cualquiera puede implementar pasarelas. Por ejemplo, si los ISPs crearan estas pasarelas, estaríamos en una situación idéntica a la actual. Si utilizamos otras pasarelas, entonces tendremos que "confiar" en los operadores de esas pasarelas.

No obstante, ¿podremos confiar en estos nuevos actores? ¿se les podrá imponer algún tipo de requisito a sus operadores, tipo "que no puedan utilizar la información que gestionan para otros fines distintos a los propios de la pasarela"? En ese caso, ¿quién debería hacerlo y quién podría tutelar que se cumplen?

Finalmente, esta nueva actividad no deja de ser también una oportunidad para aquellos que provean servicios con confianza, ¿por qué no crear "pasarelas" robustas y confiables en el marco de la UE que sean utilizadas por los usuarios que deseen utilizar pasarelas "de confianza"?

Fase final

En este momento, la situación mejorará claramente, puesto que todas las comunicaciones serán secretas y se podrá asegurar la privacidad de las mismas, puesto que se cifrarán punto a punto (siempre quedarán riesgos como ataques man-in-the-middle, o vulneración de los extremos de las comunicaciones - troyanos, etc.) pero al menos, todo lo relativo a las escuchas pasivas se verá reducido, siendo necesario vulnerar un extremo o la connivencia del mismo para escuchar la comunicación.

Por tanto, en general, la confianza debería mejorar puesto que los usuarios podremos estar tranquilos de que las comunicaciones que mantenemos son secretas y solo se conocen por nosotros y por aquellos con los que nos comunicamos y que no pueden ser "espiadas" de manera masiva (tipo NSA).

Reflexión final

Hablando con algunos colegas sobre el protocolo y las motivaciones de Google para impulsar SDPY creo que tengo un punto de vista quizás, un poco diferente.

En mi opinión, está claro que Google está intentando escapar del efecto negativo que el "caso NSA" está teniendo sobre la confianza de los usuarios en los servicios de Internet, asegurándose de que nadie (ni siquiera la propia Google) podrá acceder al contenido de las comunicaciones (para que tampoco el gobierno americano pueda usar la Patrioct Act) y en este sentido creo que, claramente, tendrá un efecto sobre las prácticas habituales de seguridad nacional: A partir de SPDY no se podrán hacer "escuchas pasivas" de las comunicaciones y será necesario que cuando el Estado quiera escuchar mis comunicaciones tenga que "atacar" mis dispositivos de comunicación (smartphone, tablet, PC..) - algo que, por otra parte, no les es ajeno, o eso me parece. Evidentemente esto es mucho menos "eficiente", pero también es mucho menos "intrusivo" y supondrá una acción mucho más orientada de las "escuchas" a objetivos específicos (lo que será más fácil de justificar).

¿Todavía no me sigues en twitter.com/antonio_ramosga?

Tendencias en ciberseguridad (I): Protección "pegada" a los datos

noreply@blogger.com (Antonio Ramos) — Sun, 12 Jan 2014 15:48:00 +0000

(Artículo publicado originalmente en mi página de Medium)

Desde los principios de la informática, el paradigma de la protección ha sido crear un perímetro robusto alrededor de los equipos (física y lógicamente).

Pero, en los últimos años, la emergencia de la computación en la nube y del bring your own device — BYOD ha hecho que el perímetro desaparezca. Nunca más paredes, puertas, cortafuegos, sistemas securizados... serán suficientes para mantener la confidencialidad, la integridad y la disponibilidad de nuestra información.

Hoy en día la información fluye por diferentes tipos de dispositivos, proveedores de servicios y redes de comunicaciones, todos ellos controlados y asegurados por terceras partes, completamente independientes de nosotros (de nuestras organizaciones).

Por esta razón, vamos a ver un cambio de este tipo de medidas de protección a otras "pegadas" a la propia información, con el objetivo de mantenerla segura, con independencia de los dispositivos que se usen para leerla, los servicios utilizados para almacenarla y gestionarla o las redes por las que se intercambia.

De hecho, no es ciencia ficción, tecnologías como prot-on (una start-up española) va justo en esta dirección... y vamos a ver más ejemplos en el futuro próximo... ¿conoces otros ejemplos?

¿Todavía no me sigues en twitter.com/antonio_ramosga?

Estrategia de Ciberseguridad Nacional 2013 (yII)

noreply@blogger.com (Antonio Ramos) — Wed, 18 Dec 2013 09:35:00 +0000

(Este artículo se publicó originalmente en n+1 tiende a infinito, el blog de n+1 Intelligence & Research)

Tras un par de semanas en el que hemos podido digerir con un poco de sosiego la Estrategia de Ciberseguridad Nacional (ECSN) [pdf] y tras mis comentarios iniciales (aquí), creo que ya podemos analizarla con un poco más de detalle.

No creo que aporte mucho repasando los objetivos y las líneas estratégicas, puesto que eso ya ha sido más que comentado, por lo que me centraré en resaltar los aspectos que para mí han sido más positivos y los que me han gustado menos. Todo ello, partiendo de la consideración de que soy de la opinión de que contando con una Estrategia de Seguridad Nacional (ESN) que ya trata la ciberseguridad, esta estrategia no era estrictamente necesaria, aunque entiendo que existen motivadores que hayan llevado a su desarrollo.

En primer lugar, si hubiera que hacer un resumen general, yo diría que es un documento que trata todo lo que tiene que tratar. Es decir, si a cualquier experto le hubieran preguntado qué incluiría, los temas que habrían salido son los que podemos encontrar en el documento: coordinación, mejora instrumentos legales, mejora de capacidades, capacitación y concienciación, impulso al I+D+i... por tanto, empezamos bien.

De hecho, incluye el que para mí es el aspecto básico, la cultura de seguridad [puesto que con una adecuada cultura, el resto de cosas vendrán solas] y también, el enfoque más adecuado para la ciberseguridad del siglo XXI, enfocarnos en detectar y responder [porque prevenir por dónde nos va a llegar el ataque es imposible].

No obstante, esto no trata de hacer un ejercicio de seguidismo, sino de dar mi opinión del documento y he de decir que he encontrado algunas cosas dignas de comentar:

Yo soy muy cuadriculado y que no cuadren las 6 líneas estratégicas de la ESN con la ECSN, me produce cierto desasosiego.
También se puede percibir una cierta relación entre las líneas de acción con ciertos actores. Por ejemplo, apostaría a que la línea de actuación primera ha sido propuesta por el Departamento de Seguridad Nacional, la segunda por el Centro Criptológico Nacional, la tercera por el Centro Nacional para la Protección de Infraestructuras Críticas, la cuarta por la Secretaría de Seguridad del Ministerio de Interior, la quina por INTECO... cuando en mi opinión necesitábamos algo más coral.
Digamos que en lugar de hacer un traje a medida de los actores, me hubiera gustado un perfilado de la realidad al que hubieran tenido que amoldarse los actores. [wishful thinking]
En línea con lo anterior, hecho en falta un análisis detallado del escenario de riesgo al que nos enfrentamos. Dicho diagnóstico debería haber constituido el punto de partida para la estrategia, pero en lo que figura en el documento vemos que hay cierta confusión entre amenazas, actores, tipos de ataques...
Por último, no me parecen elegantes algunos deslices para que iniciativas actuales aparezcan en el documento de estrategia, como el apoyo a las certificaciones de producto... ¿acaso no debería importarnos más las certificaciones de los servicios? Los productos al fin y al cabo, son todos, por definición, inseguros (con mayor o menos probabilidad todos tendrán vulnerabilidades), ¿no?

Para finalizar, me gustaría añadir algunos aspectos que, a mi juicio, aún figurando en el presente documento deberían haber contado con un mayor respaldo / apoyo / protagonismo:

Los mecanismos de detección y respuesta. Estos fundamentos de la seguridad ágil constituyen el paradigma actual de la seguridad; aunque los mecanismos de defensa siguen siendo útiles, hemos de reconocer que la posibilidad del incidente no la vamos a poder eliminar y tenemos que estar preparados para detectarlo a la mayor brevedad posible y estar preparados para responder con mecanismos ágiles para minimizar el impacto.
Los incentivos para fomentar la adopción de mecanismos de seguridad. Aunque se reconoce la importancia de contar con un entorno ciber seguro, no se mencionan los mecanismos que se van a adoptar para conseguirlo, excepto desde el ámbito normativo y el cumplimiento no es la vía para conseguirlo... Quizás se podría haber iniciado el camino de explorar otras vías (incentivos fiscales, de contratación, ¿mercado de derecho de entornos inseguros?...)
Consideración de la ciberseguridad como materia escolar. Está clara la apuesta de la estrategia por la capacitación, pero quizás una apuesta más clara, habría sido de agradecer; en el sentido de haberse "mojado" más.
Apoyo decidido a la industria nacional de ciberseguridad. No estoy hablando de mecanismos proteccionistas, ni favoritismos, ni nada por el estilo, pero todos los países de nuestro entorno lo están haciendo (EE.UU., Francia, Alemania, Inglaterra...) y eso esta generando que dependamos de terceros para nuestra seguridad. La ciberseguridad puede ser un polo de atracción para talento, inversiones y empresas, por lo tanto, dada nuestra actual situación, podríamos haber aprovechado esta oportunidad.

Pido disculpas por la longitud de esta entrada, pero dada la importancia del documento, creo que merecía la pena.

¿Cuál es vuestra opinión al respecto?

Puedes seguirme en twitter.com/antonio_ramosga

Estrategia Española de Ciberseguridad (I)

noreply@blogger.com (Antonio Ramos) — Wed, 04 Dec 2013 07:25:00 +0000

Parece que, por fin, llega la Estrategia Española de Ciberseguridad. Al margen de lo que algunos podamos pensar sobre la verdadera necesidad de un documento como éste (al fin y al cabo ya tenemos una Estrategia de Seguridad Nacional que identifica las ciberamenazas como fundamentales, ¿no? - ver algunas reflexiones previas aquí y aquí), no creo que podamos esperar muchas novedades respecto al borrador que circuló hace ya muchos meses...

Quizás lo único que cabría esperar serían dos cosas y me temo que ninguna de las dos se ha resuelto:

¿Quién asume las riendas de la ciberseguridad en España? (en definitiva, ¿cual es el modelo de gobierno de la ciberseguridad?)
¿Qué presupuesto nos vamos a dotar para luchar contra las ciberamenazas?

Pues, o mucho me equivoco, o para las dos nos vamos a quedar como estábamos.

Para la primera, va a ser una responsabilidad rotativa anual entre los cuatro que se peleaban por ser el líder en este tema (CNI, INTECO, CNPCI y Defensa), es decir, que nadie, en un año, va a poder hacer nada. En el fondo, me parece muy triste que por no dar nadie su brazo a torcer, nos encontremos en esta situación; creo que dice muy poco por los actores implicados... ¿se imaginan una empresa con un Director General que cambie cada año?

Para la segunda, no hay ninguna dotación presupuestaria, por lo que estamos abocados a seguir tirando con lo que podamos arañar de aquí y de allá... en definitiva que, en España, vamos a volver a hacer el paripé: Vamos a publicar el documento, nos vamos a reunir "cienes y cienes" de veces y ya está... mientras tantos los chinos forman un ejército, el Reino Unido contrata (busca) a 4.000 expertos y de EE.UU., para qué vamos a hablar. Me temo que, al final, vamos a estar fuera de juego y lo peor es que ni siquiera vamos a poder alegar que es que no nos habíamos enterado, porque estando sobre aviso, no hemos sabido jugar la pelota...

Siento decirlo así, porque conozco a varias personas que están trabajando muy duro en este tema y, no les envidio por el reto que tienen por delante, con tan pocos mimbres...

¿De verdad nos vamos a sentir más (ciber)seguros a partir de ahora? ¿A alguien le parece una apuesta seria por la ciberseguridad?

Sinceramente, para haber llegado aquí, podíamos haber sacado este documento al día siguiente de la Estrategia Nacional...

Puedes seguirme en twitter.com/antonio_ramosga

La (in)seguridad y los Estados Financieros

noreply@blogger.com (Antonio Ramos) — Wed, 07 Aug 2013 15:51:00 +0000

(Este artículo se publicó originalmente en n+1 tiende a infinito, el blog de n+1 Intelligence & Research)

En la última edición de la rooted tuve la oportunidad de participar con una ponencia titulada: "¿Y si la seguridad afectara al valor contable de la empresa?" en la que se exploraba la posibilidad de que los fallos de seguridad tuvieran reflejo en la contabilidad de las empresas, mediante una reducción del valor de su activo.

Lógicamente se trataba de un ejercicio teórico y así se comentó durante el turno de preguntas al final de la charla, pero no es menos cierto que hay más ejemplos de metodologías que están tratando de acercar la seguridad a los estados financieros. En particular, esta entrada la vamos a dedicar a comentar brevemente el Modelo de Valor de Seguridad de la Información desarrollado por Ed Ferrara (Analista Principal de Forrester en materia de riesgo y seguridad).

Básicamente el modelo trata de aportar una herramienta a los CISOs para que puedan determinar dónde invertir tomando como punto de partida la valoración de los ingresos generados por la información gestionada por la organización. Aunque no vemos muy novedoso este enfoque (al fin y al cabo, es lo que hacemos en cualquier análisis de riesgos: valorar la información y las TIC por los procesos de negocio que posibilitan), sí que nos resulta interesante la forma en la que trata la seguridad de la información como cualquier otra función de negocio y como aplica los conceptos contables a la valoración de la seguridad (depreciación, métodos de valoración, activos, pasivos, etc.). En particular respecto a los pasivos, más que considerar la información"tóxica", cuya valoración siempre resultará compleja, una estimación del pasivo como una depreciación del activo si no se encuentra bien protegido nos parece más directa y más fiable.

Lógicamente quedaría por determinar la manera en que se calcula ese nivel de inseguridad:

¿Qué mecanismo de valoración se utiliza? Debe ser objetivo, verificable y consistente a lo largo del tiempo.
¿En qué medida se deprecia el valor del activo? ¿Lineal, exponencial...?
¿Cuál es el rol del CISO, del CFO, del auditor interno y/o externo?
¿Qué ocurre con los zero days?

En definitiva, muchas incógnitas que habría que establecer / consensuar, pero que, en mi opinión, proporcionarían un esquema que, al igual que el método propuesto por Ed Ferrara, proporcionaría una guía ligada al negocio para que los CISOs pudieran tomar decisiones sobre dónde invertir en seguridad y que las áreas de negocio valoraran mejor las inversiones en seguridad.

Ya veremos cómo evoluciona la relación entre la seguridad de la información y la contabilidad de las organizaciones...

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

NOTA: Para analizar en detalle el modelo propuesto por Forrester, puedes consultar los siguientes documentos:

"Determine the Business Value of an Effective Security Program - Information Security Economics 101", http://goo.gl/caSFOl
"Determine the Value of Information Security Assets and Liabilities - Information Security Economics 102", http://goo.gl/SJ1DxC

Contratos para la Nube

noreply@blogger.com (Antonio Ramos) — Mon, 29 Jul 2013 15:23:00 +0000

El objetivo de esta entrada es comentar el paper que con ese título (en realidad su título completo es "Contracts for Clouds: Comparison and Analysis of the Terms and Conditions of Cloud Computing Services") fue publicado por la Queen Mary University of London allá por septiembre de 2010 como primer documento de su Proyecto Nube Legal.

El documento cobra actualidad en estos momentos por el llamamiento para expertos de la Comisión Europea para que se identifiquen los términos contractuales justos y seguros para impulsar la computación en la nube (ver nota de prensa).

Como ya saben los que me siguen porque lo he comentado anteriormente, en mi opinión, este es uno de los aspectos más relevantes para conseguir el esperado despegue de los servicios en la nube que tan prometedor parece a todo el mundo. Cuando los usuarios son preguntados por la razón por la que no usan más los servicios de este tipo, una de las razones que siempre aducen es la falta de confianza, las dudas sobre el proveedor. Y en mi opinión, la razón principal por la que esto ocurre [además de por la falta de transparencia de los operadores sobre las medidas de seguridad que implementan] es porque no existen unas cláusulas contractuales obligatorias para este tipo de servicios.

La forma más fácil de verlo es comparando los servicios en la nube (en particular, los servicios de infraestructura) con el suministro de electricidad. Al fin y al cabo, lo que el usuario quieres es algo muy sencillo: corriente continua a 220V o, en nuestro caso, x capacidad de procesamiento. Ya sé que el mercado eléctrico es un mercado regulado, etc., etc. y que el mercado de servicios de infraestructura no lo es [¿quizás debería serlo?], pero creo que la tranquilidad que da al usuario saber que las cláusulas generales han sido "aprobadas" por la Administración, facilitaría (sin lugar a dudas) que los usuarios accedieran a dicho tipo de servicios.

Ahora bien, ¿qué cláusulas establecer? Aquí es dónde cobra interés el estudio mencionado al principio de esta entrada que, a pesar de tener casi 3 años, muestra unas conclusiones muy útiles (y actuales):

Identifica 20 elementos relevantes en los términos y condiciones analizados (contrato, ley aplicable, jurisdicción, arbitraje, uso aceptable...)
Pone de manifiesto la disparidad en la notificación a los usuarios cuando se modifican las condiciones (46 notificados versus 23 no-notificados).
Existen aspectos que son diametralmente tratados por los proveedores respondiendo al hecho de si se trata de servicios de pago o gratuitos, pero también dependiendo de si están gobernados por las leyes de EE.UU. o de países europeos, o del tipo de servicio (especialmente SaaS vs IaaS [de hecho, yo no veo que esto se pueda aplicar al SaaS, pero si a los IaaS]).
Otros aspectos son prácticamente comunes a todos como, por ejemplo, los de uso aceptable de los servicios o la limitación de responsabilidad de los consumidores.
Finalmente, también hay aspectos que están regulados con una gran variación como, por ejemplo, los de actuación en caso de solicitud de revelación de información del cliente o los derechos de propiedad sobre los datos de los consumidores.

También identifica el trabajo una serie de tendencias en todos los términos y condiciones que han analizado, entre los que me gustaría destacar que:

Los proveedores tienden a utilizar como jurisdicción el área en la que se encuentran (esto supone una clara desventaja para los europeos).
La mayoría de proveedores tienden a limitar y restringir su responsabilidad.
Muy pocos proveedores incluyen información sobre la forma en la que protegen la privacidad y la protección de los datos.

En resumen, un reto apasionante para los que se apunten al call-for-experts de la Comisión Europea...

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

Plan de Confianza en el ámbito digital 2013

noreply@blogger.com (Antonio Ramos) — Fri, 19 Jul 2013 14:08:00 +0000

Hace unos días se publicó el "Plan de Confianza en el ámbito digital 2013" (PDF) como parte de los planes que desarrollan la Agenda Digital para España (ver algún análisis aquí) y me ha parecido interesante echarle un vistazo detallado.

En primer lugar, el Plan define tres objetivos principales:

Experiencia digital segura. Fundamentalmente, hace referencia a medidas para fomentar la comprensión de los riesgos existentes en el mundo digital.
Capacidades para la resiliencia En este caso, estaríamos tratando de acciones orientadas a mejorar las capacidades de "prevención, detección y respuesta" (que para mi, ya sabéis que tiene una relación directa con el enfoque ágil de la seguridad).
Oportunidad para la industria y los profesionales. Básicamente, se trata de acciones para fomentar que industria, sector académico y profesionales aprovechen las oportunidades que ofrece la confianza digital.

Y para lograr, dichos objetivos, proponer 25 acciones en torno a cinco Ejes, cada una de ellas con un presupuesto asignado para el período 2013-2015:

Eje I. Experiencia digital segura		5,80	9,83%
1	Plan de sensibilización INTECO	1,60	2,71%
2	Plataforma de colaboración público-privada para incrementar la cofianza digital	0,60	1,02%
3	Piloto en itinerarios educativos	0,60	1,02%
4	Plan de menores en Internet	1,00	1,69%
5	Punto neutro de gestión de incidentes	2,00	3,39%
Eje II. Oportunidad para la industria TIC		4,10	6,95%
6	Comité Técnico de coordinación	0,00	0,00%
7	Soporte especializado a las estructuras de evaluación de proyectos	0,20	0,34%
8	Refuerzo de la capacidad de detección de demanda temprana	0,90	1,53%
9	Polo tecnológico de seguridad	2,50	4,24%
10	Foro Nacional para la Confianza Digital	0,50	0,85%
Eje III. Nuevo contexto regulatorio		0,60	1,02%
11	Adopción de la nueva regulación europea	0,00	0,00%
12	Esquema de gestión de incidentes de seguridad	0,00	0,00%
13	Esquema de indicadores para la confianza digital	0,60	1,02%
Eje IV. Capacidades para la resiliencia: INTECO 2.0		42,30	71,69%
14	Transformación organizativa y refuerzo	36,00	61,02%
15	Nueva plataforma tecnológica de alerta temprana y servicios de vigilancia tecnológica	3,50	5,93%
16	Nuevos canales de comunicación para la confianza digital	0,90	1,53%
17	Cooperación con la seguridad pública y la protección de las infraestructuras críticas	1,50	2,54%
18	Colaboración en ciberejercicios	0,40	0,68%
Eje V. Programa de excelencia en ciberseguridad		6,20	10,51%
19	Equipo de investigación avanzada	2,00	3,39%
20	Jornadas "Espacio de Ciberseguridad"	0,20	0,34%
21	Formación especializada en ciberseguridad	0,60	1,02%
22	Máster ciberseguridad INTECO	0,80	1,36%
23	Programa de becas INTECO	0,60	1,02%
24	Evento de ciberseguridad	1,00	1,69%
25	Estudio de la viabilidad de una red de centros de excelencia en ciberseguridad	1,00	1,69%

Algunos temas que saltan a la vista:

La medida que más presupuesto tiene asignado (un poco más de un 61% del total) es la destinada a la transformación organizativa y a reforzar INTECO, haciendo que el eje cuarto (capacidades para la resiliencia) sea el eje más dotado presupuestariamente.
Si agrupamos todas las partidas en las que se hace mención expresa a INTECO, nos vamos a un presupuesto de 49,9 millones de € (un 84,58% del total). No cabe duda de que INTECO se ha convertido en la herramienta fundamental del Ministerio, en la piedra angular, para la mejora de la confianza digital.

El gráfico siguiente resume las principales asignaciones presupuestarias a las medidas:

Y el reparto según ejes, quedaría como sigue:

Falta por saber el reparto anual de los 59 millones de € (2,80% del presupuesto de todos los planes que supera los 2.106 millones de €), pero quizás sea lo de menos... Por cierto, el reparto presupuestario del resto de planes, también es ilustrativo:

Plan de telecomunicaciones y redes ultrarrápidas - 200 millones de € (9,50% del total)
TIC en PYME y comercio electrónico - 163,7 millones de € (7,77% del total)
Impulso de la economía digital y los contenidos digitales - 94,43 millones de € (4,48% del total)
Internacionalización de empresas tecnológicas - 134,2 millones de € (6,37% del total)
Desarrollo e innovación del sector TIC - 1.314 millones de € (62,39% del total)
Inclusión y empleabilidad digital - 140,7 millones de € (6,68% del total)

Es decir, resulta que el plan de confianza es la cenicienta de los planes...

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

Acciones en el marco de la Estrategia Nacional de Seguridad

noreply@blogger.com (Antonio Ramos) — Tue, 09 Jul 2013 09:49:00 +0000

En la entrada anterior, empezamos a analizar la Estrategia Nacional de Seguridad de 2013 (pdf) y nos quedamos en el punto de analizar cómo se podrían desarrollar las líneas de acción estratégicas propuestas en dicho documento.

Lo que viene a continuación son algunas ideas... partiendo de la base de que, con lo que dice el documento actual, en mi opinión, no necesitamos de una estrategia de ciberseguridad, ¿qué mas va a aportar que merezca estar en un documento que lleve el nombre de "estrategia nacional"?

Ley de Seguridad Nacional

Alguno estará pensando, "¡Que original, pero si ya dice el documento que se publicará en seis meses!" Pues sí, efectivamente es así, pero lo que me gustaría comentar al respecto es que debería incorporar a dicha Ley los aspectos relacionados con la ciberseguridad, puesto que, al fin y al cabo, se rige por los mismos principios y tiene los mismos condicionantes y ser considerada como algo distinto, especial, de unos pocos "locos" creo que no le hace ningún bien.

Precisamente, tenemos en discusión una propuesta de Directiva Europea para la seguridad de la redes y los sistemas de información que, perfectamente, podría ser incorporada a esta Ley (si se dan los plazos adecuados, claro está).

En esta Ley se podría recoger aspectos fundamentales, como:

La inclusión de la ciberseguridad como un contenido lectivo más en nuestros colegios e institutos llegando incluso a la posibilidad de grados universitarios en esta materia.
La distribución de constituencies entre los distintos CERTs gubernamentales (quién atiende a la industria, quién a las infraestructuras críticas, quién los coordina a todos...).
Las pautas a seguir y los principios a respetar en la coordinación entre los distintos organismos nacionales y con los internacionales pertinentes.
Mecanismos de defensa frente a las amenazas identificadas.
Podría también avanzar en el establecimiento de medidas de seguridad mínimas acorde a los niveles de impacto que impliquen los diferentes sistemas de información / procesos informatizados [disclaimer: Ya sabéis que soy un enamorado del etiquetado de seguridad - lo que me ha llevado a fundar una agencia de calificación de seguridad, leet security que no debe ser una idea muy loca, cuando la Unión Europea la propone también en su Estrategia de Ciberseguridad].
El fomento de mecanismos orientados a la resiliencia, mediante la implantación de una filosofía de seguridad basada en los principios agile (detección temprana, respuesta rápida y apalancamiento en el incidente).
Establecer / clarificar el esquema de responsabilidades en materia de fallos de seguridad (necesidad de notificar, proceso de depuración de responsabilidades, función y responsabilidades de los auditores de seguridad [al estilo de lo que se hace para la auditoría de cuentas], mecanismos sancionadores, etc.)

Ley de Protección Civil

Esta Ley, en teoría, ya está pensada para protegernos de accidentes que puedan afectar a grandes instalaciones por lo que, como ya he comentado anteriormente, solo harían falta retoques para que incluyera también los accidentes que puedan tener su origen en fallos informáticos... digamos que, de igual forma que hay que tener un plan de evacuación en caso de incendio, habría que tener un plan de contingencias informáticas en caso de incidente... ¿o no?

Ley de Seguridad Privada

En este caso, nos encontramos con una regulación que precisamente está en proceso de modificarse y que, como también hemos comentado, debería pasar de ser una Ley pensada para regular las empresas que prestan servicios de seguridad privada a ser una Ley que regule la seguridad privada en sí misma.

En este sentido, hay mucho camino por hacer: ¿Quién puede prestar servicios de ciberseguridad? ¿qué requisitos hay que cumplir? ¿cuáles son sus responsabilidades? ¿hasta qué punto podemos defendernos? ¿con quién hay que colaborar para resolver incidentes? ¿qué requisitos tienen que cumplir los profesionales de la ciberseguridad? Y un largo etcétera.

Asociación público-privada

Finalmente, para no hacer infinita esta entrada [aprovecho para pedir perdón por la longitud], habría que materializar esa colaboración público - privada que ayude al fomento de ese I+D+i que lleva a cabo la industria... ¿por qué no una iniciativa del estilo de la que acaba de realizar el gobierno británico?

Espero haber aportado mi granito de arena a la ingente tarea que ahora queda por delante...

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

NOTA: He preparado un pequeño análisis gráfico de las líneas estratégicas y sus relaciones que puedo compartir con aquel que le interese.

Estrategia de Seguridad Nacional 2013... ¿y ahora qué?

noreply@blogger.com (Antonio Ramos) — Fri, 05 Jul 2013 15:45:00 +0000

Hace ya algunas semanas que se publicó la "Estrategia de Seguridad Nacional" (pdf) y ahora, casi dos años después de comentar la primera versión, no podía dejar de comentar la nueva edición de 2013.

Sin embargo, para ser honestos, he pensado que, dado que esta estrategia es mayoritariamente continuista con la primera, sería más interesante centrarme en las líneas de acción estratégicas, así que he analizado en detalle el capítulo 4 de la estrategia.

No obstante, antes de empezar, tengo que hacer una salvedad. En la estrategia se identifican las ciberamenazas como uno de los riesgos para la seguridad nacional (capítulo 3), además de reconocer el uso nocivo de las nuevas tecnologías como un potenciador de dichos riesgos. En mi opinión, este segundo enfoque es mucho más acertado, quiero decir, las ciberamenazas, en realidad, no suponen un nuevo tipo de riesgo, sino que permite que las amenazas "reales" puedan actuar a distancia y en un entorno nuevo (el ciberespacio).

De hecho, así parece reconocerse implícitamente en el texto, puesto que una lectura con enfoque ciber te hace ver que, realmente, los aspectos ciber aparecen en 7 de las 11 amenazas restantes y en sus respectivas líneas estratégicas, en particular, en:

Terrorismo > Lucha contra el terrorismo
Crimen organizado > Lucha contra el crimen organizado
Inestabilidad económica y financiera > Seguridad económica y financiera
Vulnerabilidad energética > Seguridad energética
Espionaje > Contraespionaje
Emergencias y catástrofes > Protección ante emergencias y catástrofes
Vulnerabilidad de las infraestructuras críticas y servicios esenciales > Protección de las infraestructuras críticas

Y si analizamos las líneas de acción estratégicas, se pueden identificar cuatro elementos que parecen estar en la base de todas las acciones puesto que se repiten una y otra vez:

Fortalecer redes y sistemas de información nacionales (del sector público, de las infraestructuras críticas, del sector privado...)
Marco jurídico operativo y eficaz (para las investigaciones y lucha anti-terrorista, para reforzar la protección de los sistemas clasificados, para la contrainteligencia y para la protección ante emergencias y catástrofes)
Implantación de una cultura de ciberseguridad sólida (en relación a la protección ante emergencias, la contrainteligencia, la protección de sistemas clasificados...)
Coordinación (básicamente en todas las líneas hay una mención a la coordinación - obvio, considerando que uno de los principios de la estrategia es la eficiencia).

En la próxima entrada, veremos cómo se podrían abordar estas acciones (o, al menos, una propuesta).

... ¿todavía no me sigues en twitter.com/antonio_ramosga?