Carpe Diem

Análisis "Blueprint for a Secure Cyber Future"

noreply@blogger.com (Antonio Ramos) — Mon, 23 Jan 2012 08:20:00 +0000

Desde que se publicó en noviembre del año pasado, tenía en el "to do" este documento del Departamento de Seguridad Nacional de los EE.UU. (DHS) en el que se define la Estrategia de Ciberseguridad (pdf).

Aunque es un documento de 50 páginas, se queda en 25 sin los apéndices, por lo que es bastante asequible.

En la imagen adjunta podéis ver un pequeño mapa mental que he ido preparando mientras lo leía (si alguien lo quiere, no tiene más que pedírmelo).

Esta estrategia de ciberseguridad deriva directamente de la Estrategia de Seguridad Nacional publicada por el Presidente Obama (pdf) y del hecho de que proteger el ciberespacio sea una de las 5 áreas en las que se organiza la misión de la seguridad nacional.

Toda la estrategia parte de una visión que transcribo porque es bastante ilustrativa: "Nuestra visión es un ciberespacio que supone una infraestructura secura y resiliente que permite la innovación y la prosperidad y que protege por diseño la privacidad y otras libertades civiles. Una infraestructura en la que podemos usar el ciberespacio con confianza para avanzar en nuestros intereses económicos y mantener la seguridad nacional en todas las condiciones".

Esta visión se traduce en dos áreas de acción: Proteger nuestra Infraestructura de Información Crítica HOY y construir un ciber-ecosistema más fuerte para MAÑANA [hay que ver cómo me suena esto a los típicos objetivos que se establecen con TOC].

Cada área de acción conlleva una serie de metas, en total 8, repartidas a partes iguales entre las dos áreas:

Proteger nuestra infraestructura de información crítica hoy:

Reducir la exposición al ciber-riresgo
Asegurar una respuesta prioritaria y la recuperación
Mantener una conciencia compartida sobre la situación
Mejorar la resiliencia

Construir un ciber-ecosistema más fuera para mañana:

Capacitar a los individuos y a las organizaciones para operar de manera segura
Construir y utilizar protocolos, productos, servicios, configuraciones y arquitecturas más confiables
Construir comunidades colaborativas
Establecer procesos transparentes

Finalmente cada uno de estas metas se desarrolla en objetivos, generando un total de 20 que conllevan el desarrollo de toda una serie de competencias básicas que debe llevar a cabo el DHS.

Algunos aspectos que me gustaría destacar:

Que desde el comienzo se reconoce que el objetivo de un ciberespacio más seguro es compartido y que el Gobierno, por si solo, no puede lograrlo.
El respeto a la privacidad y los derechos civiles desde el propio enunciado de la visión.
El equilibrio entre proteger lo de ahora y mejorar el futuro.
La descripción detallada del rol del DHS que figura en el apéndice A del documento.
El peso que tienen las infraestructuras críticas y su protección [¿será un preludio del peso que tendrá el CNPIC en España en el futuro?]
Finalmente, que cuando lees el documento encuentras en muchos apartados la referencia a mecanismos ágiles de gestión (automatización, capacitación de los usuarios, propiedad compartida, rapidez de puesta en marcha...) que nos llevan a pensar que la agilidad y la seguridad cada vez van a estar más unidas [en lugar de opuestas, como piensan algunos].

Puedes seguirme en twitter.com/antonio_ramosga

Resumen del 2011 de Carpe Diem

noreply@blogger.com (Antonio Ramos) — Sun, 01 Jan 2012 14:48:00 +0000

Cuando faltan unos días para el sexto aniversario del blog (el 18 de enero), voy a continuar con la tradición comenzada el año pasado de revisar las visitas durante el año que acaba de terminar.

El primer dato es el número de visitas: 6.569 (prácticamente un 26% más que en 2010), lo cual no está nada mal, considerando que solo he escrito 21 entradas (menos que nunca). Y no es que escriba menos, sino que estoy "compartiendo" mi actividad bloguera con n+1 (23 entradas), leet security (4 entradas) e INTECO (2 entradas); así que, en total, han sido 50 entradas en el año.

El top 5 de entradas consultadas en 2011 han sido:

La tradicional, "Cifrar versus encriptar"
El eslabón más débil de la cadena
Auditor de protección de datos
[S21sec)
¿Hacemos un Plan Director?

Y las entradas de 2011 más vistas han sido:

Finalmente, la mayoría de los 4.753 visitantes siguen siendo de España (un 68%), lo que significa que han aumentado a un 32% los que me visitáis desde el extranjero (por orden de magnitud): México (343), Argentina (194), Colombia (187), Perú (107) y el resto ya con menos de 100 visitantes (Chile, Estados Unidos, Venezuela, Ecuador, Reino Unido...)

Puedes seguirme en twitter.com/antonio_ramosga

Democracia 2.0 [offtopic]

noreply@blogger.com (Antonio Ramos) — Thu, 08 Dec 2011 09:00:00 +0000

Las circunstancias económicas de estos tiempos y la respuesta dada por la clase política, más preocupados por ellos mismos que por los que los votamos, aderezado por el movimiento 15-m, me ha hecho reflexionar sobre lo poco representado que me siento por los dirigentes políticos.

Me ha dado por pensar: ¿Habrá alguna otra forma de organizarnos? ¿Son los partidos políticos la mejor opción? ¿Es la democracia la mejor opción?

En el proceso reflexivo, se me han pasado muchas ideas por la mente: Intervención del sector financiero estilo economía planificada, listas abiertas, pasar de los partidos políticos y de la democracia... y otras locuras varias.

Al final, la conclusión de mis reflexiones es algo que he llamado 'Democracia 2.0' que, básicamente, consistiría en la democratización de la democracia gracias a Internet.

Me voy a tratar de explicar. En mi opinión, la cuestión es que, hasta la aparición de Internet, la democracia necesitaba mecanismos de representación porque no existía una forma sencilla de comunicación que permitiera a los ciudadanos hablar, debatir sobre los aspectos que les preocupaban y expresar su opinión. Hacían falta unos intermediarios, unos vehículos que canalizaran las opiniones de los ciudadanos, y es ahí donde surgen los partidos políticos.

Pero Internet, la Web y las redes sociales han cambiado el escenario. En el momento actual, podríamos decir que es cuestionable la necesidad de todos aquellos que hasta ahora funcionaban como "simples" intermediarios de información. De igual forma que los medios de comunicación o las agencias de viaje están intentando vislumbrar como será su futuro o si tienen futuro puesto que las redes sociales han demostrado su capacidad para actuar como nexo entre los emisores de las noticias y los destinatarios o la Web sirve perfectamente para planear unas vacaciones, los partidos políticos tendrían que pensar si tienen futuro.

Es decir, ¿para qué necesito unos partidos políticos que actúen como el "teléfono escacharrao" entre sus votantes y los órganos de Gobierno? ¿Por qué tengo que "casarme" con un programa político cerrado si me pueden gustar unas medidas de unos y otras de otros? ¿Por qué tenemos que sufragar los costes de mantenimiento de los aparatos de los partidos o las campañas electorales?

En definitiva, ¿para qué necesitamos a los partidos políticos si gracias a Internet todos los ciudadanos podemos expresar nuestra opinión sobre cualquier tema en cualquier momento? ¿No podríamos funcionar con unos gestores que se limitaran a ejecutar las instrucciones que recibieran de la ciudadanía en su conjunto mediante mecanismos de votación on line? Al fin y al cabo sería como sustituir el Congreso de los Diputados por un 'Congreso de los Ciudadanos' donde en lugar de inferir la opinión de toda la ciudadanía a través de los votos de unos cuantos, se podría tener la opinión en directo de los ciudadanos.

No cabe duda que esta vía tendría grandes retos por delante: seguridad de los sistemas de votación, usurpaciones de identidad, difusión del eDNI, mecanismos para disponer de información suficiente para la toma de decisiones [¿OpenGovernment?] y un largo etcétera, pero, en mi opinión, si este sistema se implantara, estaríamos hablando del sistema democrático más puro posible donde los ciudadanos harían oír su voz de manera continua, no una vez cada cuatro años.

En fin, perdonad por la reflexión totalmente offtopic de la temática de este blog, pero llevaba tiempo dando vueltas y me apetecía compartirla con los que leéis este blog.

Puedes seguirme en twitter.com/antonio_ramosga

España y la ciberguerra

noreply@blogger.com (Antonio Ramos) — Mon, 05 Dec 2011 14:53:00 +0000

El objetivo de esta entrada es reflexionar sobre las declaraciones de uno de los responsables del CCN-CERT que han causado cierto revuelo estos días de atrás.

Vaya por delante mi más sincero respeto a la labor de los miembros de nuestras fuerzas y cuerpos de seguridad y, en particular, la del CCN-CERT.

No pude estar en Valencia y, por tanto, voy a opinar en función de lo que se ha escrito en los medios de comunicación sobre el tema (en concreto, aquí y aquí).

En general, tengo que reconocer que estoy de acuerdo con la opinión que ha expresado Lorenzo en Security by Default, es decir, hay que INVERTIR en seguridad, pero eso de "pasar al ataque" suena un poco heavy.

Como no pude estar, voy a hablar en función de la información que tengo, pero en cualquier caso, no tengo al CCN como un organismo dado a irse de la lengua. Es decir, creo que dicen lo que quieren decir y que, cuando lo dicen, es por algún motivo.

De hecho, hay que poner en contexto las declaraciones. El evento tiene lugar el día 24 de noviembre:

Cuatro días después de las Elecciones Generales y en pleno período de agitación interna en la Administración Pública en previsión de los cambios que se ven venir y donde todo el mundo está haciendo sus movimientos para quedar lo mejor posible en la nueva foto.
Una semana antes de la reunión del G6 en París en la que participó también la Secretaria Napolitano del DHS americano.

Por tanto, en mi opinión, todo responde a una maniobra perfectamente organizada para reclamar lo que todos llevamos diciendo mucho tiempo: "Hay que INVERTIR en seguridad". Lo que ocurre es que, si decimos esto simplemente, todos sabemos que no va a ir a ningún titular de ningún medio de prensa, por lo tanto, para asegurarnos de que el mensaje llega, es necesario poner algunos fuegos artificiales y es ahí donde tiene su encuadre lo de "pasar al ataque".

Para mi, cuando el CCN dice esto, lo que nos está diciendo [o mejor dicho, lo que está diciendo a los que acaban de llegar al Gobierno] es: "Señores, estamos sufriendo ataques todos los días y con los medios y recursos de los que disponemos es cuestión de tiempo que consigan el objetivo. Debemos ser proactivos; tenemos que dotarnos de herramientas y profesionales que puedan actuar en el ciberespacio".

Ahora bien, dicho esto, en lo que no estoy de acuerdo es en lo de "contando con el sector privado". Es decir, si por contar con el sector privado se entiende fomentar el desarrollo de una industria de seguridad puntera en el mundo, me parece perfecto. Si por el contrario, lo que entendemos es que vamos a subcontratar la defensa de nuestra nación en empresas privadas, me temo que no puedo estar de acuerdo. A mi juicio esta labor corresponde a nuestro ejército y no veo a nuestro ejército subcontratando la misión de Afganistán... es decir, al igual que en lo concerniente a Tierra, Mar o Aire, nadie se plantea la subcontratación, tampoco deberíamos plantearlo en el ciberespacio (si se le puede llamar así).

Para mi gusto, veo mucho mejor iniciativas como la de la agencia de inteligencia GCHQ británica para contratar profesionales de seguridad.

En definitiva, que fuegos artificiales aparte, veo bien que se reclame mayor atención para la seguridad de la información y la ciberseguridad por parte de los gobernantes, aunque preferiría que se hiciera directamente por nuestro Ejército.

... Puedes seguirme en twitter.com/antonio_ramosga

Risk and Agility (II)

noreply@blogger.com (Antonio Ramos) — Mon, 28 Nov 2011 11:08:00 +0000

[Esta entrada ha sido redactada conjuntamente con Mario López de Ávila, nodosCTC aka @nodosenlared]

En la entrada anterior vimos que los enfoques 'Priorizar - Reducir' basados en nuestras capacidades predictivas presentaban algunos problemas a la hora de manejarnos en entornos que no fueran simples y conocidos.

Por si eso fuera poco, aunque lográramos identificar las amenazas que nos deben preocupar, el enfoque ‘Priorizar – Reducir’ depende de estimaciones precisas de probabilidades e impactos. Pero hay una montaña de evidencias, experimentales y empíricas, que refuerzan la hipótesis de que los seres humanos somos notablemente incompetentes a la hora de realizar este tipo de estimaciones, especialmente en situaciones complejas e inciertas. El hecho de que podamos asignar un número a una probabilidad no significa que la tengamos bien determinada. De hecho, esta forma de actuar tiende a engendrar en las personas una confianza excesiva, infundamentada, en sus propios cálculos. Nuestra mente, fruto de la evolución natural, es literalmente una chapuza. Hay multitud de ‘atajos’ que utilizamos constantemente a la hora de evaluar nuestro entorno y tomar decisiones que nos llevan a equivocarnos una y otra vez al estimar una probabilidad o tratar de determinar la magnitud de las consecuencias de un evento. Sesgos cognitivos como el sesgo de disponibilidad o de anclaje nos inducen a error de manera sistemática y difícil de evitar.

Por último y de forma paradójica, en entornos impredecibles, los planes que formulamos, los mismos que deberían protegernos reduciendo los principales riesgos y/o minimizando el daño que nos pueden causar, pueden llegar a ser parte del problema. Algunos autores, como Mintzberg[1] o Klein[2], han señalado que la planificación de riesgos reduce el compromiso de las personas en una organización con un estado de alerta imprescindible en situaciones de gran incertidumbre. Una vez que el plan se ha aprobado e implantado, los gestores en la organización se “relajan”, porque se sienten protegidos. Los planes centran tu atención en lo que eres capaz de predecir, haciendo más fácil pasar por alto lo desconocido e imprevisible. Los planes resisten el paso del tiempo mejor que las capacidades reales de la organización, por lo que quedan obsoletos mucho antes de lo que se suele creer. Además, las medidas adoptadas reducen. por lo general. la flexibilidad organizativa. Una organización menos flexible es menos capaz de adaptarse a un suceso imprevisto, reacciona más tarde y a menudo de manera menos eficaz. Es menos robusta.

En resumen, los enfoques tradicionales de riesgos nos hacen confiarnos en exceso en situaciones complejas e inciertas y en la mayor parte de los casos reducen la capacidad del equipo o de la organización para manejar los riesgos. En ámbitos complejos, no podemos hablar de mejores prácticas o siquiera de buenas prácticas. Cuando no hay relación evidente entre causas y efectos y sólo podemos avanzar prestando atención a los patrones emergentes, mediante ensayo y error, el enfoque acertado para la gestión de riesgos es el que denominamos ‘Adaptativo’. De acuerdo con este enfoque, en situaciones inciertas deberíamos apoyarnos menos en priorizar y reducir riesgos y más en estar preparados para responder a eventos inesperados, reconfigurando procesos y estructuras sobre la marcha para adaptarse a la situación.

En nuestra opinión, podemos aprender mucho de los enfoques Agile utilizados en actividades como el desarrollo de software o de productos complejos. Los valores, principios y prácticas ágiles, de forma natural, nos llevan a minimizar los riesgos inherentes en proyectos ‘inciertos’, pero no sólo eso. También contribuyen a aumentar la capacidad para lidiar con perturbaciones e impactos imprevistos, así como a gestionar dicha capacidad. Una organización ágil es una organización ‘resiliente’, capaz de ajustar su funcionamiento antes, durante o después de haber experimentado una cambio, de modo que su comportamiento apenas se vea afectado. La resiliencia se refiere pues a algo que el sistema ‘hace’ [una capacidad o un proceso], más que a algo que el sistema ‘posee’.

Los enfoques Agile ayudan a crear y mantener la resiliencia de un equipo o de una organización facilitando el conocimiento de la situación, permitiendo compararla en cualquier momento con la situación deseada y proporcionando los medios para realizar los ajustes necesarios para corregir cualquier desviación del rumbo. Y todo esto se hace prácticamente en ‘tiempo real’.

En nuestra opinión, es momento de cambiar nuestra manera de proceder: En lugar de enfocarnos en construir fortalezas inexpugnables, deberíamos enfocarnos en ser capaces de responder en situaciones impredecibles.

[1] Mintzberg on Management by Henry Mintzberg (Paperback - Aug 21, 2007)

Management? It's Not What You Think! by Henry Mintzberg, Bruce Ahlstrand and Joseph Lampel (Hardcover - Sep 15, 2010

[2] Streetlights and Shadows: Searching for the Keys to Adaptive Decision Making by Gary A. Klein (Sep 30, 2011)

The Power of Intuition: How to Use Your Gut Feelings to Make Better Decisions at Work by Gary Klein (Paperback - Jun 1, 2004)

Risk and agility (I)

noreply@blogger.com (Antonio Ramos) — Thu, 24 Nov 2011 10:55:00 +0000

[Esta entrada ha sido redactada conjuntamente con Mario López de Ávila, nodosCTC aka @nodosenlared]

Abstract

En ámbitos complejos, caracterizados [entre otras cosas] por una incertidumbre elevada, la gestión de riesgos tradicional, con enfoques predictivos, es no sólo inefectiva, sino hasta peligrosa para los equipos y organizaciones que la emplean. Basamos esta afirmación en evidencias científicas procedentes de disciplinas como la Behavioral Economics o la Psicología Cognitiva, además de en muchos años de experiencia y muchos análisis de riesgos realizados. En este tipo de situaciones, los enfoques más efectivos son los denominados adaptativos, que permiten el desarrollo en el sistema de una cualidad que denominamos ‘Resiliencia’. La resiliencia se puede definir como la capacidad de un sistema para ‘absorber’ perturbaciones y adaptarse de modo que su función, estructura e identidad permanecen esencialmente intactos. Dicho de otra manera, los enfoques adaptativos contribuyen al desarrollo de sistemas más robustos, capaces de manejar mejor los impactos que reciben y sus consecuencias.

Los equipos y organizaciones que se mueven en ámbitos complejos deben adoptar prácticas que les ayuden a ser más ‘resilientes’, esto es, que les preparen para detectar de forma temprana, atajar y minimizar cualquier riesgo que se les presente, así como para recuperarse en el menor tiempo posible, al menor coste posible, de cualquier impacto negativo y, por último, para convertir cualquier contratiempo en una fuente de nuevas oportunidades. Un ejemplo de este tipo de enfoques, empleados con espectacular éxito en el ámbito del desarrollo del software y, en general, de la gestión del desarrollo de productos complejos, son las denominadas metodologías Agile, como puedan ser Scrum, Extremme Programming o Crystal. En nuestra opinión, la Seguridad de la Información puede verse beneficiada del estudio y adaptación de estas y similares metodologías, así como de los valores y principios que las inspiran.

Artículo

Cualquiera de nosotros podría citar de memoria, con tan sólo variaciones de menor entidad, cuáles son los pasos básicos en una gestión efectiva de los riesgos. En primer lugar, es necesario identificar de manera sistemática las amenazas que pudieran afectar a nuestro proyecto u organización. A continuación, trataremos de establecer un orden o prioridad en esas amenazas identificadas, centrando nuestra atención en aquellas más preocupantes. Este paso normalmente implica estimar la probabilidad de ocurrencia así como la magnitud de las consecuencias o impacto de cada uno de las amenazas identificadas. De esta manera, podemos determinar qué amenazas llevan implícita un mayor nivel de riesgo. Para dar respuesta a esos riesgos desarrollaremos planes para reducir los de mayor gravedad y/o minimizar el daño potencial. Estos planes pueden llegar a ser muy detallados, establecer hitos con los que podemos medir nuestro progreso, así como establecer indicadores que nos alertarán de cualquier peligro inminente. Por supuesto. el plan por sí solo no nos ayudará, debe ser correctamente implantado. Por último, es necesario hacer un seguimiento cercano de las actividades recogidas en el plan, para comprobar si éste está siendo efectivo. Si algo empieza a ir mal, aumentaremos la vigilancia. Y si aparecen nuevos riesgos, volveremos a empezar el ciclo.

Estamos tan acostumbrados a trabajar de esta manera que rara vez nos paramos a pensar que éste es solo uno de los posibles enfoques desarrollados por la humanidad para manejar el Riesgo. Llamamos a este enfoque ‘Priorizar – Reducir’, puesto que estas son las actividades clave en el proceso. Este es un enfoque que ha dado buenos frutos durante décadas en ámbitos tan distintos, como la seguridad en construcción y obra civil, como en entornos industriales. Es también el enfoque imperante en Seguridad de la Información hoy en día, ejemplarizado en instrumentos tales como el Software Risk Evaluation (SER) v2.0 del Software Engineering Institute o la familia de normas ISO/IEC 2700x. Ahora bien, ‘Priorizar – Reducir’ sólo puede ser efectivo si se dan determinadas circunstancias. En primer lugar, debemos ser capaces de identificar todas las amenazas. Puede parecer obvio, pero esto no es tan fácil si te mueves en un ámbito tan complejo y dinámico como el de las tecnologías de la información. Con cada avance técnico surgen nuevas amenazas y el ritmo de la innovación, especialmente en la última década, es sencillamente asombroso. Nos quedamos sin referencias: los registros, el histórico de incidentes, pierde rápidamente su utilidad y continuamente nos enfrentamos a amenazas que no sólo no preveíamos, sino que tan sólo unos meses atrás eramos incapaces de imaginar. De hecho, cuando analizas proyectos fallidos, los elementos de riesgo más devastadores resultan ser a menudo cosas en las que nadie pensaba o podía imaginar.

Lo cierto es que ‘Priorizar – Reducir’ tiene sentido, sobre todo, cuando nos movemos en ámbitos conocidos, poco complicados o simples, pero cuando debemos abordar un proyecto o trabajar un sistema en el que no hemos trabajado nunca, del que no existen experiencias previas, ¿cómo es de esperar que sea nuestro desempeño al tratar de anticipar todos los riesgos? La respuesta es que nuestro desempeño será, en el mejor de los casos, muy pobre. Hay multitud de experiencias que demuestran una y otra vez que haríamos bien en desechar la ilusión de que podemos identificar riesgos en condiciones de novedad, complejidad y dinamismo. No podemos ver el futuro, no podemos prever o identificar riesgos y no podemos manejar lo que no podemos ver o comprender. Es más, los trucos que hemos ido desarrollando a partir de nuestra experiencia pasada probablemente sirvan de poco en el futuro cercano.

(continuará)

Mi propuesta para los candidatos a Presidente del Gobierno

noreply@blogger.com (Antonio Ramos) — Sat, 22 Oct 2011 15:29:00 +0000

Como los partidos políticos están en época de hacer propuestas para ganar nuestros votos, se me ha ocurrido hacer mi carta a los Reyes Magos para ver si convenzo a Rajoy y/o a Rubalcaba (que parecen los más adelantados en la carrera) para que incluyan algunas promesas en sus programas electorales.

Básicamente mi carta tiene una sola petición pero que tiene unas cuantas consecuencias en forma de leyes que habrá que modificar. Mi petición es muy sencilla:

Equiparar la seguridad de los sistemas de información a la seguridad patrimonial

Seguramente a muchos puede parecerles una tontería pero, sinceramente, creo que, como sociedad moderna, nuestra prosperidad y nuestro futuro depende de que la seguridad en el mundo online tenga el mismo tratamiento que tiene la seguridad en el mundo "real" partiendo del supuesto de que, en el futuro, las mayores amenazas vendrán del mundo ciber.

Y con esto no quiero que nadie piense que estoy pensando en una Internet super-regulada y vigilada, sino que en los mecanismos de gestión y las leyes existentes se adecuen al siglo XXI.

Voy a tratar de dar algunos ejemplos:

Reforma de la Ley de Seguridad Privada

Tenemos una Ley que establece un marco de control para las empresas que proporcionan servicios de seguridad privada e incluso una capacitación mínima para los "vigilantes" de seguridad. Y, por otra parte, "cualquiera" puede proveer de servicios de seguridad informática.

Reforma de la Ley de Protección Civil

En este caso nos encontramos con una Ley que persigue proteger a personas y bienes en situaciones de grave riesgo colectivo y que en su vertiente de previsión y prevención exige la elaboración de planes de protección pero que, actualmente, no considera en estos aspectos los sistemas de información cuando, en el momento actual, fallos de sistemas pueden ocasionar verdaderas situaciones de crisis [ya lo habías comentado antes aquí].

Facilitar la gestión de riesgos de seguridad al estilo de los riesgos laborales

Es indudable que, aunque forman más del 95% del tejido empresarial español, las PYMEs son un "problema" a la hora de implantar este tipo de políticas, ya sea por un tema de recursos, de capacidad o de disposición.

Por este motivo, podría adoptarse una decisión al estilo de lo desarrollado para la gestión de riesgos laborales, haciendo que las pequeñas empresas puedan hacer uso de un servicio gratuito proporcionado por la Administración [de hecho, en mi opinión, este servicio ya se ha creado y lo proporciona el CERT de INTECO].

Servicios en la nube regulados

Los servicios en la nube, en particular los de infraestructura (IaaS) y los de plataforma (PaaS), son la electricidad del siglo XXI y, en este sentido, necesitan de un entorno normativo en el que se puedan proveer en las mismas condiciones de garantía que la primera.

A diferencia de los puntos anteriores, este aspecto es totalmente innovador y seguramente necesitará de un tratamiento a nivel europeo pero, quien sabe, quizás sea la manera de hacer España puntera en estos aspectos.

Seguramente no son los únicos aspectos a modificar, pero es un principio. ¿Se os ocurren más ejemplos?

Puedes seguirme en twitter.com/antonio_ramosga

Jornadas Técnicas 2011 de ISACA Madrid

noreply@blogger.com (Antonio Ramos) — Tue, 18 Oct 2011 08:47:00 +0000

Es cierto, llevo missing unas cuantas semanas, soy culpable.

Pero prometo que no he estado de vacaciones. De hecho, me gustaría comentar que una de las actividades a las que he estado dedicado con bastante profundidad este tiempo: las Jornadas Técnicas 2011 de ISACA Madrid.

Este año, como novedad, las organizamos junto a otra asociación, el itSMF España que, por fortuna nos ha posibilitado organizar unas mejores jornadas, con muchos más medios y más recursos que ISACA Madrid en solitario. Estoy convencido de que es una unión muy interesante y el congreso que ha resultado, itgsmVISION11, va a ser de gran interés para una gran pluralidad de profesionales y va a generar unas posibilidades de networking sin precedentes en el sector.

El kif de la cuestión ha sido abordar esa colaboración sin perder la singularidad de nuestros asociados que esperan atender a unas jornadas donde se hable de auditoría de sistemas de información, de gestión de la seguridad, de control de riesgos y, por supuesto, de gobierno de las TIC, sin olvidar otros aspectos como el cumplimiento normativo y las nuevas legislaciones.

Para ello, los que hemos estado involucrados en la organización de las Jornadas confiamos en haber preparado un cocktail de interés:

Desde ISACA HQ, Derek J. Oliver nos avanzará todo lo que hay que saber sobre el nuevo Process Assessment Model y COBIT5.
Jesús Bermejo, de BANKIA, nos hablará sobre la experiencia de fusión tecnológica de 7 entidades financieras.
Elena Maestre (PwC) y Tomás Martín (CNPIC) nos contarán las implicaciones de la nueva Ley para la Protección de las Infraestructuras Críticas sobre las funciones de auditoría y seguridad.
Javier Berciano (INTECO-CERT), reflexionará, desde el conocimiento, sobre mejores prácticas y consejos para la gestión de incidentes.
Sobre gobierno de las TIC, tendremos dos aportaciones. Por un lado, Miguel García (AtoS) y la Comisión de Gobierno del capítulo informaran de sus avances y de las opciones de integrar el gobierno empresarial y el de las TIC.
Ramiro Mirones (Ernst&Young) nos demostrará que la auditoría continua es posible explicando algunas experiencias prácticas.
El primer día finalizará con Mario López de Ávila (nodos), profesor del IE, nos invita a reflexionar sobre la posibilidad de que dos conceptos aparentemente incompatibles como la agilidad y el riesgo, en realidad, no lo son tanto.
Luís Carro (Deloitte) comenzará el segundo día con una reflexión sobre las soluciones GRC y su aplicación en el entorno corporativo.
Finalmente, una mesa de debate entre CIOs, cerrará las Jornadas.

Lo mencionado aquí solo es una pequeña parte de las ponencias que habrá en el Congreso, solo os he mencionado las que hemos coordinado desde ISACA Madrid, pero podéis ver todo el detalle aquí.

Así que, después de todo este esfuerzo, espero veros los próximos 24 y 25 de octubre en el Hotel Holiday Inn.

... puedes seguirme en twitter.com/antonio_ramosga

Oslo, ¿un suceso evitable?

noreply@blogger.com (Antonio Ramos) — Wed, 27 Jul 2011 07:30:00 +0000

Imagen aérea de Utoya

Han pasado ya cinco días desde los desgraciados sucesos de Noruega y no salgo todavía de mi asombro de cómo puede ser que un ser humano haya infligido tanto dolor, no solo a otros seres humanos, sino a sus propios compatriotas y, además, jóvenes que no habían tenido tiempo casi de despertar a la vida...

Escribo esta entrada porque me gustaría compartir las tres o cuatro ideas que no se me van de la cabeza en relación a estos tremendos sucesos.

¿Se podría haber evitado?
Bueno, probablemente sí... ahora que sabemos lo que ha pasado seguro que somos capaces de identificar eventos, sucesos que deberían haber hecho disparar alguna alarma. Aunque no es menos cierto, como siempre recalca B.Schneier, que "los puntos son más fáciles de conectar después de los sucesos pero antes es prácticamente imposible": ¿No se controlan los elementos que permiten construir un artefacto explosivo?, ¿no se registran las adquisiciones de abono que pueden utilizarse para fabricar bombas? ¿no se...?

La pregunta que debiéramos hacernos sería, ¿qué precio deberíamos pagar para evitar sucesos tan extraordinarios? Hago esta pregunta porque utilizando modelos como el de zero trust (confianza cero - propuesto por un analista de Forrester), para evitar este tipo de eventos hemos de registrar y analizar la actividad de todos los individuos para detectar comportamientos "anómalos"... es decir, la aplicación de este modelo nos llevaría a un modelo de Estado - Gran Hermano que registra y controla la actividad de todos sus ciudadanos, vamos que, adiós a nuestra libertad. Sinceramente, no lo veo.

Otra vez, un cisne negro
Efectivamente, ¿quién, en su sano juicio, se iba a imaginar que algo como lo ocurrido podía suceder? Al margen de que la situación en Noruega fuera o no excesivamente relajada [yo no voy a entrar a valorarlo], si alguien hubiera dibujado este escenario y hubiera defendido que era necesario prevenirlo, o lo habrían despedido, o habrían desechado su protección por la baja probabilidad de ocurrencia.

Entonces, ¿qué podemos hacer para prevenir los cisnes negros? Bueno, me temo que no podemos predecir el futuro. Si hacemos caso al bueno de Taleb, solo nos queda "centrarnos en las consecuencias, no desperdiciar esfuerzos en tratar de estimar la probabilidad, y prepararnos para la siempre brusca aparición de un cisne negro". Es decir, ¿no estamos hablando de resiliencia?

Los insiders son los peores
Sabemos desde hace mucho tiempo que la mayor parte de los incidentes son originados por los usuarios internos, pero sucesos como los ocurridos nos lo enseñan de la manera más cruda posible.

Si sabemos que esto es así, ¿por qué no dedicamos más esfuerzos a concienciar a nuestros usuarios? ¿por qué seguimos invirtiendo en herramientas y descuidamos a los usuarios? Quiero decir, ¿cómo pretendemos evitar la fuga de información con herramientas informáticas cuando tenemos dentro de nuestra organización una masa laborar profundamente descontenta y totalmente desalineada con los objetivos de nuestra organización? [me temo que si quieren, van a encontrar la forma de saltarse las medidas]. En realidad, creo que conozco la respuesta: No queremos o no sabemos (o no nos interesa) invertir de verdad en las personas; el esfuerzo es mucho mayor en orden de magnitud que si instalamos una nueva herramienta.

¿No hay otra forma de enfocar el problema?
Creo que hay evolucionar en esto de la gestión de la seguridad... Hay demasiados indicadores que nos están empujando irremediablemente:

La realidad es, cada vez, más compleja.
El enfoque preventivo y basado en el cálculo de la probabilidad nos está dando demasiados disgustos.
Los individuos siguen siendo el eslabón más débil [el factor limitante, para los frikis de TOC].

En fin, necesitaba compartir lo que me bullía en la cabeza...

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

Estrategia Española de Seguridad. Un análisis ciber

noreply@blogger.com (Antonio Ramos) — Mon, 18 Jul 2011 08:10:00 +0000

Hace unos días se publicó la denominada "Estrategia Española de Seguridad. Una responsabilidad de todos" (pdf) como resultado del trabajo de un grupo liderado por Javier Solana (del que ya hemos hablado en algún momento aquí).

En mi opinión, un documento de obligada lectura (no llega a 100 páginas) para todos aquellos que, de una forma u otra, participamos de la industria de la seguridad, en su sentido más amplio. Más aún considerando el subtítulo del documento: Una responsabilidad de todos.

Sin lugar a dudas, es un documento que toca todos los palos y que dibuja una imagen del escenario actual muy acertada y que, sobre todo, nos centra en un contexto mundial que no podemos obviar en este tipo de análisis.

Dado su interés, me ha parecido oportuno realizar un pequeño análisis y destacaros lo que me ha parecido más interesante, desde mi perspectiva personal de seguridad tecnológica, o como podríamos denominarla, "ciber":

Se deja claro desde el principio que estamos hablando de un asunto en el que todos tenemos alguna responsabilidad. Aunque es algo que, más o menos, los profesionales de la seguridad tenemos claro, es importante que se deje claro desde el principio que la seguridad depende del eslabón más débil y que, dado el nivel de dependencia y de interconexión entre todos los actores sociales, los unos dependemos de los otros y al revés.
Se recalca el hecho de que es necesario un enfoque integral para poder afrontar los retos que nos presenta la seguridad. E integral en distintas dimensiones, en cuanto a los territorios y también, claro está en cuanto a los ámbitos de aplicación (es decir, que es necesario ahondar en la vía de colaboración entre las seguridades "lógica" y "física").
Se identifican 6 principios básicos: Enfoque integral, coordinación, eficiencia, anticipación y prevención, resistencia y recuperación e interdependencia responsable.
Se reconoce al ciberespacio como un ámbito más en el que hay que actuar y las ciberamenazas como uno de los riesgos principales, en línea con las estrategias de defensa de las naciones más avanzadas.
Para mejorar la seguridad en el ciberespacio se proponen como líneas de actuación: Fortalecer la legislación, reforzar la capacidad de resistencia y recuperación de las infraestructuras críticas (esto me suena a resiliencia) y fomentar la colaboración público-privada.
Finalmente, para su implantación propone nuevos órganos a crear en la Administración Pública. Concretamente, la creación de un Consejo Español de Seguridad, una Unidad de Apoyo en el Gabinete de la Presidencia del Gobierno y un Foro Social de Expertos como órgano consultivo.

Una vez comentados los aspectos relevantes, también querría daros mi opinión sobre algunos aspectos:

Me gusta el enfoque de "estar preparados para lo imprevisible", es decir, asumir los cisnes negros como habíamos comentado ya por aquí (esto se traduce en trabajar en la resiliencia de nuestros sistemas).
En cierta forma, parece adoptar también el manifiesto agile cuando dice "esta era de incertidumbre es también un tiempo de grandes oportunidades, si entre todos sabemos gestionarlas. [...] debemos afrontar el cambio con confianza, responsabilidad y eficacia".
Estoy de acuerdo en el enfoque de coordinar a los distintos agentes sociales para aumentar la eficiencia de las inversiones en seguridad [espero que sirva para evitar despilfarros como, por ejemplo, el de los 18 sistemas sanitarios distintos existentes en la actualidad].
Creo que la concienciación de la Sociedad es uno de los aspectos fundamentales para mejorar el nivel de seguridad y asegurar el éxito de la estrategia. Quizás este aspecto podría ser uno de los primeros en los que trabajar en la coordinación de los distintos agentes y mejorar la eficiencia en el uso de los recursos porque existen multitud de iniciativas inconnexas trabajando en este sentido. En cualquier caso, la coordinación no significa que alguien tenga el papel dominante, sino que los distintos actores encuentren su hueco en cada iniciativa a desarrollar... al menos, es mi punto de vista.
En mi opinión, cuando se habla de avanzar en el planeamiento conjunto de capacidades defensivas y utilizar y desarrollar las posibilidades existentes desde la Agencia Europea de Defensa (AED), no debe olvidar que también deben incluir el ciberespacio a la hora de desarrollar esas capacidades.
Un aspecto sumamente importante es el reconocimiento de que la capacidad de los Estados para resolver problemas globales es cada vez más limitada, por lo que es necesario cooperar con otros Estados y organizaciones internacionales. En este sentido, hay mucho trabajo por hacer, ¿os imagináis que se pudiera establecer un pacto de forma que las Fuerzas y Cuerpos de Seguridad del Estado estuvieran habilitadas para actuar contra cibercriminales que utilizaran servidores en un país extranjero para cometer cualquier tipo de delito contra nuestro país o compatriotas gracias a este tipo de acuerdos?
Al hablar de fortalecer la capacidad de los medios de alerta temprana, de nuevo, no debemos olvidar la dimensión ciber. En este sentido, es necesario trabajar en la coordinación de los distintos CERTs existentes a nivel nacional; en mi opinión, el Estado debe dar un paso adelante en este sentido y dotarse de los medios que garanticen esa coordinación (al margen de que pueden coexistir múltiples centros cada uno con su constituency.
En cuanto a las infraestructuras críticas, hay que darse cuenta de que, aunque es cierto que se está trabajando en este sentido a través del CNPIC, el foco se ha puesto en la prevención de los ataques intencionados (terroristas) pero no se garantiza que tengan sistemas redundantes e independientes de otras tecnologías y operadores. Por tanto, coincido con lo recogido en el plan de ampliar las líneas de acción establecidas en el Plan Nacional de Protección de IICC
Lógicamente me parece perfecto que se invierta más en tecnologías de seguridad y formación de personal especializado pero, dada la situación económica actual, ¿de dónde vamos a sacar los fondos para hacer la dotación presupuestaria correspondiente?
Para finalizar, me ha resultado muy interesante la elaboración de una Estrategia Española de Ciberseguridad como estrategia de segundo nivel destacada.

[Os pido perdón por la longitud de esta entrada]

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

Guía para cumplir con PCI DSS si usamos virtualización

noreply@blogger.com (Antonio Ramos) — Thu, 14 Jul 2011 12:46:00 +0000

El pasado 14 de junio, el PCI Council publicaba la segunda versión del suplemento informativo titulado "PCI DSS Virtualization Guidelines" (pdf) elaborado por el grupo de virtualización [como es lógico].

El documento está muy bien trabajado, a mi entender, y recoge los principales aspectos relacionados con esta tecnología. En concreto, la guía incluye:

Una descripción a alto nivel de lo que es la virtualización.
Cómo la virtualización afecta a la definición del alcance.
Los principales riesgos que supone su uso.
Recomendaciones a la hora de implantarla, tanto con carácter general, como cuando se mezclan entornos de distintos niveles de riesgo o afectados o no por PCI DSS.
Recomendaciones para entornos de computación en la nube.
Una pequeña guía para realizar una evaluación de riesgos en entornos virtuales.
Y finalmente, un repaso de cómo afecta la virtualización en cada uno de los 12 requerimientos del estándar (anexo).

Como decía, un documento muy bien trabajado, en el que no nos encontramos con grandes sorpresas y del que destacaría lo siguiente:

Lógicamente, si cualquier componente virtual está conectado o es parte del CDE (cardholder data environment), entonces el hipervisor también está dentro del alcance, de forma que si es una máquina virtual la que está en el alcance, tanto el sistema que la aloja como el hipervisor también deberían considerarse dentro del alcance.
A nivel de riesgos, la virtualización supone una nueva superficie de ataque que hay que considerar, además de añadir cierta complejidad que nos dificultará la implantación de algunas medidas de seguridad. En especial, la mezcla de máquinas virtuales con diferentes niveles de seguridad es un aspecto que tendremos que valorar con mucha cautela para no poner en riesgo nuestros sistemas.
En cuanto a las recomendaciones que nos proponen son las de esperar (evaluar los riesgos asociados a su uso, entender el impacto sobre el alcance, utilizar los menores privilegios y la segregación de funciones...), pero quizás habría que hacer énfasis en que incluye, cierta orientación para asegurar el hipervisor y las máquinas y el resto de componentes virtuales.
Para lo que denomina entornos mixtos (es decir, donde se mezclan componentes virtuales con diferentes requisitos de seguridad), básicamente, la recomendación es segregar. Pero segregar de verdad, entendiendo que no es tan sencillo como en entornos físicamente separados ya que, en algunos casos, por la propia naturaleza de este tipo de sistemas no será factible y nos veremos abocados a que todo este incluido en el alcance.
Respecto a la computación en la nube, el resumen sería depende. Depende del tipo de nube, de los servicios que se utilicen, etc. [muy en línea con el documento que elaboramos en el CSA-ES] En general, lo que nos viene a decir es que hay que definir muy bien quién se encarga de qué en relación a la seguridad (ver tabla al comienzo de esta entrada, también muy parecida a la que hicimos para el CSA-ES, por otra parte) y que recaerá sobre el proveedor esencialmente demostrar que se cumple con los requisitos del estándar puesto que el usuario no tendrá visibilidad sobre muchos elementos de la provisión del servicio, siendo prácticamente imposible en algunas modalidades cumplir (nubes públicas, por ejemplo).

En fin, un documento imprescindible dada la profusión de uso de la virtualización en las arquitecturas actuales.

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

Las fusiones y la incertidumbre

noreply@blogger.com (Antonio Ramos) — Thu, 02 Jun 2011 08:00:00 +0000

Hoy he tenido la oportunidad de escuchar a Jaime Anchústegi (CEO de Generali España) en los desayunos que organiza ESADE comentando su experiencia en la fusión de Banco Vitalicio y Seguros La Estrella.

He de reconocer que, al principio, me ha costado seguirlo: Demasiado tiempo hablando sobre Generali... (aunque supongo que es normal en los CEOs; les gusta hablar de "su libro")

Centrándonos en el tema de su experiencia en la fusión, me ha gustado su enfoque pragmático y nada dogmático. No han seguido el manual A o el B, han hecho lo que han considerado que tenían que hacer, lo que era mejor para ellos. Pero, sobre todo, me ha gustado su preocupación porque el proceso de fusión no generara incertidumbre (la incertidumbre provoca desconfianza y la desconfianza mina el compromiso de las personas).

Y sobre todo, me ha gustado que no lo ha contado "sacando pecho", sino como algo que había que hacer. Me explico: El día 0 de la fusión todo el equipo directivo sabía como iba a ser la compañía resultante, su puesto, sus funciones y su equipo... incluso los que no contaban, los que no tenían hueco, les había sido comunicado en una reunión personal con el propio Jaime...

Creo que en estos momentos, ha sido una buena lección para todos aquellos que se encuentran en procesos de este tipo (aunque está claro que no es lo mismo un proceso de fusión cuando uno quiere que cuando está obligado por las circunstancias y el momento viene dado) y que están generando tantísima incertidumbre en sus equipos humanos.

En definitiva, la preparación de la fusión es más larga, pero merece la pena el esfuerzo a cambio de evitar la incertidumbre generalizada en la organización durante el proceso de fusión.

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

El cloud computing y el futuro de los profesionales de la seguridad

noreply@blogger.com (Antonio Ramos) — Mon, 30 May 2011 09:00:00 +0000

Hace ya unos días (prácticamente un par de años) que Gartner "asustaba" a todo el sector con su predicción sobre el fin de los departamentos TIC debido al auge de la computación en la nube (ya sabéis, el cloud computing). Pues bien, hace unos días, y con motivo de la publicación del informe 'Cloud Compliance Report' (pdf) del capítulo español de la Cloud Security Alliance (CSA-ES) en el que he tenido la oportunidad de colaborar como editor y co-autor, estuve debatiendo con algunos conocidos sobre el impacto que puede tener la implantación del modelo de computación en la nube en los profesionales de seguridad.

La pregunta era: ¿Vamos a tener más trabajo en el futuro los que nos dedicamos a esto de la seguridad de la información? Básicamente, veo dos fuerzas. Una positiva, derivada del hecho de la creciente importancia de la información y de los negocios en Internet y otra, negativa (o al menos esa es mi opinión) derivada de la adopción de modelos de computación en la nube.

Como no tuve muchos adeptos, voy a tratar de justificar esta última. No es porque lo diga Gartner, pero coincido con ellos. Es decir, para una gran cantidad de empresas que utilizan infraestructuras, plataformas o incluso aplicaciones relativamente estándar, la computación en la nube les aporta indudables ventajas y esto hará que mucha de la capacidad de procesamiento se mueva de pequeños CPDs de estas empresas/organizaciones a los grandes CPDs de los proveedores de servicios en la nube y esto, en mi opinión, ocasionará también una concentración del trabajo de los profesionales de seguridad e, implicitamente, van a existir redundancias, solapes y economías de escala que harán que tengamos menos trabajo (aunque posiblemente, más interesante y de mayor volumen).

No sé, es mi opinión, ¿cómo lo veis vosotr@s?

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

Cambios en el programa ASV

noreply@blogger.com (Antonio Ramos) — Mon, 11 Apr 2011 09:00:00 +0000

Como había prometido el PCI Council en reiteradas ocasiones, finalmente el programa Approved Scan Vendor (ASV) ha sido modificado para incluir requerimientos de formación para empleados (al menos, dos [y al módico precio de $995/c.u BTW]) a partir del próximo 1 de junio de 2011 (ver nota de prensa en pdf).

En mi opinión, era una medida que se echaba en falta y que generaba inconsistencia con los QSA (aquí se notaba el diferente origen y enfoque de ambos programas), además de que el tema de los escaneos trimestrales se había convertido, como dice un amigo, en "el festival del humor": poca seriedad y rigurosidad y, sobre todo, poco valor añadido; un simple escaneo automático de puertos que se limitaba a contrastar vulnerabilidades típicas.

No digo que esta medida vaya a cambiarlo todo pero, al menos, abre la vía a un cambio de tendencia... ya que no establece otro tipo de condiciones en el programa que, a mi juicio, son necesarias:

Necesidad de validaciones por personal cualificado de cada escaneo (según la Guía del Programa, solo se habla de obligación de resolución de conflictos para vulnerabilidades con un CVSS igual o superior a 4).
Participación de personal formado del ASV en cada escaneo.

Desde luego, por el momento, lo que existe sin lugar a duda es una recaudación adicional por el PCI Council...

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

Sostres, El Mundo y la reforma del Código Penal

noreply@blogger.com (Antonio Ramos) — Thu, 07 Apr 2011 21:45:00 +0000

Hoy hemos asistido a una polémica tremenda (de hecho, ha llegado a ser 'trend topic') derivada del hecho de un artículo publicado en El Mundo que ha sido retirado con posterioridad por el propio medio.

Al margen de lo que me pueda parecer lo que ha dicho y escrito el sujeto en cuestión, me gustaría reflexionar sobre lo que podría haber pasado como consecuencia de la aparición de la responsabilidad penal de las personas jurídicas en la última reforma del Código Penal dado que, como ha reconocido el propio director del medio: "Han fallado los controles".

Según el nuevo artículo 31bis del Código Penal, "las personas jurídicas serán también plenamente responsables de los delitos cometidos [...] por quienes [...] han podido realizar los hechos por no haberse ejercido sobre ellos el debido control [...]", lo que se ha venido a denominar culpa in vigilando.

La verdad es que todo esto es fantasear porque, ni la supuesta apología de la violencia de género está recogida en el código penal, ni ninguna apología está entre los delitos que se pueden imputar a las personas jurídicas pero si no fuera así, la editorial de El Mundo podría tener que demostrar delante de un Juez si su sistema de control interno tuvo un fallo o si no contaba con el debido control para evitar ser condenada penalmente.

Como decía, es ciencia ficción pero, que duda cabe que se abre un nuevo escenario con la reforma del Código Penal, ¿verdad?

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

Qué hacer en caso de compromiso (Guía de VISA)

noreply@blogger.com (Antonio Ramos) — Mon, 04 Apr 2011 13:02:00 +0000

Después de la última nota de VISA sobre el TIP (Technology Innovation Programme) en la que se mencionaba la obligación de contar y probar un Plan de Respuesta a Incidentes era obligatorio una revisión de lo incluido en el documento de VISA al respecto (pdf).

Lo primero que habría que decir es que resulta útil en cuanto a que aporta una relación de (15) aspectos que monitorizar puesto que probablemente indican la existencia de una brecha de seguridad, así como de los vectores de ataque (final del Anexo E). Dadas las dudas que se plantean siempre en cuanto al cumplimiento del requerimiento 10 del estándar, no cabe duda, que toda ayuda viene bien.

En cuanto al procedimiento (Anexo C) no hay muchas novedades respecto a lo comentado ya cuando analizamos el PCI Forensic Investigator. Básicamente, los pasos son los siguientes:

Contener y limitar la exposición.

No acceder a los sistemas comprometidos.
No apagar los sistemas afectados, aislarlos.
Preservar los logs.
Registrar todas las acciones realizadas.
Si se usan redes wireless, cambiar el SSID.
Monitorizar el tráfico de todos los sistemas con datos de titulares.

Notificar a todas las partes inmediatamente (adquirente, VISA...)
Notificar a las pertinentes fuerzas del orden.
Proporcionar todas las cuentas comprometidas a VISA Europa en un plazo de 7 días.
En el plazo de 3 días, enviar un informe del incidente (NOTA: Si se determina que las cuentas afectadas son menos de 10.000, entonces no es necesario que intervenga un PFI y puede realizarse internamente el análisis pertinente y rellenar el cuestionario incluido en la Guía).

Recordar que existen 10 días para que el PFI realice el informe y que:

En 30 días, tienen que haberse eliminado todos los datos sensibles de auntenticación.
En 90 días, tienen que haberse adoptado todas las medidas de prevención solicitadas.

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

Technology Innovation Programme de VISA Europa

noreply@blogger.com (Antonio Ramos) — Wed, 16 Mar 2011 16:49:00 +0000

Como nos comentaba Jorge, un miembro del grupo 'PCI Spain' de LinkedIn, hace algunos días, VISA relajaba la necesidad de recertificar el cumplimiento de PCI DSS para algunos comercios fuera de los EE.UU., en concreto, a aquellos que hubieran invertido en la implantación de EMV. Claro que como, en un primer momento, solo teníamos información de VISA Internacional había que esperar al comunicado oficial de VISA Europa que es la que manda en esta jurisdicción ;-)

Pues bien, VISA Europa también se ha pronunciado ya al respecto y, aunque su comunicado está en línea con el de VISA Internacional contiene algunas matizaciones a tener en cuenta:

La fecha en la que entra en vigor es el 30 de abril, no el 31 de marzo.
Pone en valor el 'Prioritised Approach', hasta ahora muy poco utilizado por la industria, al relajar el requerimiento inicial de haber cumplido con el estándar a haber cumplido las etapas 1 a 4 de dicho enfoque o simplemente haber pasado por la primera (eliminación de datos sensibles) y tener un plan acordado con el adquirente para las siguientes tres (protección del perímetro, asegurar las aplicaciones de pago y monitorizar y controlar el acceso a los sistemas).
Por contra, endurece las condiciones de acceso al programa, al exigir que sean un 95% las transacciones realizadas con dispositivos con chip, respecto al 75% inicial.

Por lo demás, es lo mismo: Reconocimiento de que la implantación de EMV reduce el valor de los datos (como ya anticipábamos al comentar EMV), impedir el acceso al programa a los comercios que hayan sufrido algún compromiso de datos, exigir la implantación y prueba de un Plan de Respuesta a Incidentes (pdf) y recomendar el cifrado de campos de datos y la tokenización.

Para mí, hay algunos puntos sobre esta noticia que merecen, al menos, una reflexión:

Primero, traslada la sensación de que cumplir con el estándar no es realmente necesario, al considerar, que los 4 primeros pasos del enfoque priorizado son "suficientes".
Segundo, y a mi entender más preocupante: Creo que este planteamiento no soluciona, para nada, el problema subyacente. Me explico: Mientras que existan comercios en los que se pueda operar utilizando los datos sensibles (PAN, nombre y fecha de caducidad) creo que sigue siendo necesario protegerlos. Con la medida adoptada, lo único que hacemos es que vuelva a ser más fácil que existan repositorios de datos sensibles de autenticación al eliminar la obligación de que un tercero independiente verifique la existencia de dicha información en las redes del comercio.
Y tercero, si se sigue reduciendo la obligación de realizar auditorías in situ, ¿hasta cuándo será rentable homologarse como QSA, considerando el alto coste en recursos y fondos necesarios? [el coste para operar en Europa homologando 2 profesionales es de 19.000 USD el primer año y 10.000 USD en años sucesivos]

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

El precio del riesgo

noreply@blogger.com (Antonio Ramos) — Mon, 07 Mar 2011 09:30:00 +0000

Me ha llamado la atención las declaraciones de ayer en Cinco Días del responsable de banca de consumo de Citibank para España y Bélgica, Joel Korneich, sobre los cambios que ha sufrido el banco tras su rescate por el Gobierno de EE.UU. (32.500 millones de dólares inyectados, nada menos). Básicamente han sido dos las frases que querría resaltar, además del titular de la entrevista ("No se debería dar bonus a quien asuma riesgos altos"):

"La experiencia ha hecho que nos concentremos más en la gestión del riesgo y en la estructura de gastos de la empresa"
"Todas las áreas de los bancos tendrían que restringir su ambición y su riesgo"

Aunque suena muy bien, la verdad es que no encaja con el cortoplacismo instaurado en todos los ámbitos de nuestra sociedad actual, tanto en la política, como en la economía o en el ámbito privado.

Para abordar realmente el problema y que las empresas no asuman riesgos excesivos (y esto aplica tanto para prácticas de negocio, como para la gestión de la seguridad) la solución debe pasar porque los usuarios y los negocios paguen por el coste real de lo que consumen y producen (al estilo de lo que propone Don Tapscott en MacroWikinomics para abordar el cambio climático y los productos ecológicos).

Es decir, los productos y servicios que no implantaran mecanismos de seguridad deberían incorporar el coste de los perjuicios que estarían creando (difusión de malware, vulneración de la privacidad de las personas, etc.) de forma que aquellos productos y servicios que sí estuvieran actuando de manera segura fueran competitivos. De esta forma, el propio mercado regularía esta situación, penalizando las actitudes demasiado arriesgadas para la sociedad en su conjunto.

Mientras esto no sea posible y las conductas arriesgadas sigan siendo rentables, va a ser difícil que lo que Joel nos propone pueda tener continuidad en el mundo actual: Los comportamientos arriesgados serán más rentables y serán los que subsistan en nuestra economía de mercado.

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

También he estado en la rooted2011

noreply@blogger.com (Antonio Ramos) — Sat, 05 Mar 2011 19:24:00 +0000

Como siempre, todo un lujo... ponentes alucinantes, organización fresca y diferente y una gran afluencia de congresistas... espero que también acepten mi paper para la rootedCON de 2012.

Por el momento, os dejo con la presentación que utilicé este año. Espero que os resulte interesante:

Asimetría en el mercado de la seguridad [rooted2011]

View more presentations from Antonio Ramos.

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

Hoy, 28 de enero, Día de la Protección de Datos

noreply@blogger.com (Antonio Ramos) — Fri, 28 Jan 2011 08:00:00 +0000

Hoy se celebra por quinto año consecutivo el Día de la Protección de Datos, promovido por el Consejo de Europa y conmemora el aniversario de la firma del Convenio 108 para la protección de personas con respecto al tratamiento automatizado de datos de carácter personal.

Por mi parte, os dejo un enlace a:

La web del Día de la Protección de Datos del Consejo de Europa
Los derechos que tienes en relación a la privacidad de tus datos
Y lo que hemos comentado en este blog sobre privacidad

Para finalizar, comentaros que este año me he apuntado como voluntario al Plan de Comunicación en protección de datos para centros educativos públicos (web de la Agencia de Protección de Datos de la Comunidad de Madrid), va a ser un público muy diferente al que tengo habitualmente... espero estar a la altura...

Actualización: Os dejo un par de links más:

Portal de concienciación protegetuinformación.com (al que ya sabéis que tengo un cariño especial) del ISMS Forum.
Página web del capítulo de Madrid de ISACA.

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

PCI Forensic Investigator (PFI) - Nuevo programa de PCI SSC (yII)

noreply@blogger.com (Antonio Ramos) — Tue, 11 Jan 2011 08:00:00 +0000

Después de la última entrada en la que empezamos a analizar el nuevo programa del PCI Council, tenía pendiente comentar la guía que proporciona sobre la forma de realizar este tipo de investigaciones forenses.

En primer lugar, en cuanto a los informes que hay que elaborar:

Un informe preliminar del incidente (antes de 5 días).
Un informe final (en menos de 10 días laborales).
Un informe sobre los requerimientos de seguridad del PIN (en menos de 10 días laborales).
Un informe de estado mensual con las investigaciones realizadas y en curso.
Un informe anual de análisis de tendencia.

En segundo lugar, en cuanto a la realización propiamente dicha de la investigación (Apéndice A del PFI Program Guide), personalmente destacaría:

La adquisición de evidencias hay que realizarla in situ.
Las evidencias electrónicas deben ser preservadas en una plataforma adecuada para su revisión y análisis por los tribunales de justicia (si fuera necesario).
Verificar que los datos de titulares de tarjetas no siguen estando en riesgo y que el incidente ha sido contenido.
Revisar y determinar los datos de titulares en riesgo (esto significa, entre otras cosas, número y marcas de cuentas en riesgo, examinar todas las ubicaciones potenciales para determinar si se almacenan datos no permitidos - CVC2, CVV2, PIN block... -, si se ha utilizado malware para capturar los datos e identificar el marco temporal).

Y, finalmente, en relación con la gestión de las evidencias, tendríamos que considerar (Apéndice B del PFI Program Guide):

Disponer de políticas y procedimientos para su identificación, recopilación, gestión y mantenimiento de su integridad.
Contar con un área de almacenamiento segura y unas instalaciones para su análisis controladas.
Realizar auditorías mensuales de este proceso.
Controlar toda la cadena de custodia de las evidencias.
Mecanismos de gestión de las evidencias (inventariado, registro de actividad, etiquetado, securización, transporte...)
Procedimientos seguros de destrucción (utilizando estándares reconocidos como NIST, FIPS, etc.)
Revisión de todos los trabajos realizados.

En definitiva, me da la impresión de que es un estándar muy, muy trabajado que no pone nada fácil ser un PFI reconocido por el PCI Council... me alegra haber llegado a esta conclusión, la verdad...

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

PCI Forensic Investigator (PFI) - Nuevo programa de PCI SSC (I)

noreply@blogger.com (Antonio Ramos) — Fri, 07 Jan 2011 08:00:00 +0000

El pasado 10 de diciembre el PCI Security Standards Council anunciaba un nuevo programa: el Investigador Forense PCI. Este programa, según describe el propio Council, "establece y mantiene las reglas y requerimientos relativos a la elegibilidad, selección y rendimiento de las compañías que provean servicios de investigación forense para asegurar que cumplen los estándares de seguridad de PCI".

De todas formas, para mí, lo más importante, no es homogeneizar criterios entre marcas o elaborar una lista de forenses homologados, sino el hecho de proporcionar una guía de cómo se tienen que llevar a cabo y reportar este tipo de investigaciones.

Para los que queráis profundizar en el programa, os recomiendo revisar los dos documentos que detallan su funcionamiento: El PFI Program Guide (pdf) y el PFI Supplemental Requirements (pdf).

Respecto a los requerimientos para ser PFI os destaco algunos que me han parecido más relevantes:

Para ser PFI, antes hay que ser QSA (tanto a nivel compañía como individual - roles específicos comentados después).
Aunque inicialmente la organización que aprueba a una compañía como PFI es el Council, en el estándar se habla de 'approving organization' por lo que pueden existir otras aprobadoras (¿quizás las marcas?).
No se puede ser PFI cuando queramos, sino cuando el Council abra una ventana de solicitudes porque exista necesidad. Además, si no cumplimos los requerimientos existe un período de espera de... ¡6 meses!
Hacer un forense es incompatible con haber realizado la auditoría como QSA o ASV en los últimos 3 años y según en qué caso como PA-QSA.
Necesitamos un seguro que nos cubra de responsabilidad profesional por 5 millones de dólares.
Es necesario contar con una división específica de trabajos forenses.
Hay que definir los roles de 'Lead Investigator' y 'Core Forensic Investigator' (éste, para cada zona en la que vayamos a operar).
Además de la formación específica, los investigadores deben contar con certificaciones adicionales como CISSP, CISM, CISA o GIAC y formación/conocimiento de las herramientas que se vayan a utilizar.
Capacidad para analizar y realizar ingeniería inversa de malware.
Es necesario contar con un servicio telefónico 24x7 capaz de proveer de un primer nivel de asistencia.
Ser capaz de desplegar un equipo en situaciones de emergencia en menos de 24 horas.
Iniciar las investigaciones forenses en menos de 5 días laborales.
No se pueden subcontratar estas tareas, a menos que se cuente con la autorización del Council.

Como esta entrada ya ha quedado un poco larga, continuaré con los requerimientos para realizar este tipo de trabajos en una entrada posterior.

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

Resumen del 2010 de Carpe Diem

noreply@blogger.com (Antonio Ramos) — Tue, 04 Jan 2011 16:38:00 +0000

Aunque echo un vistazo de vez en cuando a las estadísticas del blog, nunca las había compartido con vosotr@s, pero me ha parecido interesante el ejercicio después de casi 5 años de vida (el próximo 18 de enero).

Lo primero que os puedo decir es que han sido 5.225 visitas durante 2010, casi un 62% más que en 2009, así que, muchas gracias a tod@s vosotr@s por haber visitado tanto el blog. También es cierto que he escrito mucho más: 67 entradas en 2010 respecto a las 26 de 2009 (lo que supone más de 1 entrada a la semana... ¿no está mal, verdad?) y supongo que eso os habrá animado un poco a visitarme más... :-)

En cuanto a las páginas visitadas, las que más os han interesado han sido:

Y, respecto a las entradas de 2010, las más vistas han sido:

Como curiosidad, deciros que hay visitas de países tan diversos como Vietnam, Polonia, Suecia, Marruecos, Rusia, Cuba, Israel, India, Canadá, Panamá o Alemania, aunque la gran mayoría son de España (4.037 visitas), seguida muy de lejos por México (212) y Colombia (181) [aunque, por otra parte, eso significa que casi un 25% de visitas vienen de fuera de España...]

En fin, que espero seguir siendo de utilidad, mantener el ritmo de escritura y que os siga apeteciendo pasaros por Carpe Diem de vez en cuando...

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

Un 2011 apasionante por delante

noreply@blogger.com (Antonio Ramos) — Thu, 30 Dec 2010 08:00:00 +0000

Año 2011 por Petr Kratochvil

Después de un 2010 con muchos cambios, quería compartir con vosotr@s mis planes para 2011.

En primer lugar, está el reto de la presidencia del capítulo de Madrid de ISACA que ya os comenté hace unos días y al que tengo mucho cariño, por lo que le dedicaré bastante tiempo...

Y en segundo lugar, dos proyectos empresariales que están viendo la luz estos días:

n+1 Intelligence & Research, una consultora enfocada en IT Governance e Information Security Governance que espera convertirse en un referente en el sector gracias a actuar como polo de atracción de profesionales de reconocido prestigio. Este proyecto lo iniciamos 2 socios y en el futuro esperamos ser n+1...
leet security, algo más diferente, por no decir totalmente diferente y que es un proyecto personal, se trata de una agencia de rating de seguridad para proveedores de TI (en principio). Aunque pueda sonar complicado, se trata "simplemente" de aplicar el mismo principio que en los mercados de deuda y evaluar la fiabilidad o resiliencia de los proveedores de servicios, de forma que sus potenciales clientes puedan conocer a priori dicha información sin necesidad de recurrir a auditorías específicas en cada situación.

Siempre me había gustado considerarme como un consultor con iniciativa y quizás, a partir de este año, pueda considerarme como un emprendedor en toda regla, quién sabe...

En fin, como os decía, una año apasionante por delante en el que espero pasármelo bien y disfrutar cada minuto, vamos, como diría Mihaly Csikszentmihalyi, fluir...

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

Prevencion10 - A vueltas con la prevención de riesgos

noreply@blogger.com (Antonio Ramos) — Tue, 28 Dec 2010 08:00:00 +0000

Hace unos días comentábamos sobre la publicación de un reglamento sobre riesgos laborales y los posibles paralelismos con los riesgos de utilización de las TIC.

Pues bien, a finales de noviembre se puso en marcha prevencion10.es, un servicio público gratuito para persigue que empresas de menos de 10 empleados puedan ahorrar importantes gastos en prevención de riesgos laborales ya que les permite elaborar de manera gratuita su plan de prevención en esta materia.

Vuelvo a escribir sobre el tema porque sigo opinando que podría ser una posible evolución que observáramos en materia de seguridad. Al fin y al cabo, lo que cambia es el asunto sobre el que tratar, riesgos informáticos en lugar de riesgos laborales [y evidentemente, las consecuencias, pues los accidentes laborales se cobran demasiadas vidas cada año].

Se me ocurren varias reflexiones al respecto de prevencion10:

¿Debe el Estado proveer este servicio de manera gratuita en clara competencia con el sector privado? Está claro que el Estado debe intervenir cuando "el mercado" no funcione correctamente y supongo que este caso es claro, ¿lo es el de la seguridad de la información?
Esta claro que no existe una Ley en materia de seguridad como la que existe para la prevención de riesgos laborales, ¿podría surgir en el corto / medio plazo? Existen iniciativas no conexas en este sentido: protección de datos personales, de infraestructuras críticas, la reforma del código penal...
¿Podría poner en marcha el Estado una iniciativa similar a prevencion10 pero en materia de seguridad TIC? Está claro que desde INTECO-CERT se ofrece un servicio orientado a PYMEs y ciudadanos, pero no creo que pueda considerarse que es lo mismo.

En fin, me parece un tema interesante sobre el que reflexionar. Os espero en los comentarios (aunque sean males fechas...)

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?