Carpe Diem

Mi haiku

noreply@blogger.com (Antonio Ramos) — Mon, 09 Apr 2012 10:00:00 +0000

Me gustó una entrada que leí hace algún tiempo en the [non]billable hour en la que proponen a modo de haiku, un ejercicio de simplicidad para contar a lo que nos dedicamos.

Ya sabéis que un haiku es ese poema breve japonés de tres versos de cinco, siete y cinco sílabas respectivamente (definición de la Wikipedia), pero el ejercicio propuesto cambia las sílabas por palabras. En concreto, lo que nos proponen es responder a tres preguntas utilizando cinco, siete y cinco palabras, respectivamente.

Las tres preguntas que tenemos que responder para crear el haiku de lo que hacemos son las siguientes:

¿A quién ayudo? (responder con 5 palabras)
¿Qué hago por ellos? (responder con 7 palabras)
¿Por qué me necesitan? (responder con 5 palabras)

Me ha parecido un ejercicio interesante e innovador para el típico elevator pitch, ¿qué? ¿Os animáis?

Yo os dejo aquí el mío como consultor en seguridad...

Ayudo a organizaciones con información

a resolver problemas de seguridad en sistemas

con soluciones eficaces y eficientes

... puedes seguirme en twitter.com/antonio_ramosga

Comentarios al Estudio de Seguridad Privada de Fundación ESYS

noreply@blogger.com (Antonio Ramos) — Tue, 20 Mar 2012 10:16:00 +0000

El pasado 29 de febrero, la Fundación ESYS presentó en el marco de SICUR su "Estudio de Seguridad Privada en España. Estado de la Cuestión 2012" (pdf). Gracias a ISACA Madrid, he tenido la oportunidad de seguir de cerca la elaboración de este estudio y me parecía interesante analizar sus conclusiones como continuación a entradas anteriores relacionadas con la convergencia de la seguridad.

Antes de entrar en materia, creo que deberíamos aclarar que tradicionalmente se consideran tres tipos de apellidos para la seguridad: la seguridad física, la seguridad de la información y la ciberseguridad. La primera se encargaría de los activos físicos (edificios, personas, instalaciones...), la segunda protegería la información en sus distintos formatos (donde los sistemas de información tienen un peso relevante pero no exclusivo) y la última se centraría en las amenazas ciber. Considero este aspecto importante porque ayuda a entender mejor la situación:

La seguridad de la información incluye la seguridad informática pero también ciertos aspectos de seguridad física (protección de la información en papel, protección de los servidores...)
Se producen ciertas áreas de solape, por ejemplo, a la hora de proteger la información en papel, ¿quién es responsable?

Por este motivo, habría preferido que en el estudio se hiciera referencia a la ciberseguridad en lugar de a la seguridad informática, creo que hubiera sido más acertado.

Entrando en materia, lo primero que llama la atención es que, al margen de los problemas que puedan existir en la seguridad física, 8 de las 14 conclusiones hacen referencia a la ciberseguridad y 2 de ellas son comunes.

En relación a estas conclusiones, me gustaría comentar lo siguiente:

No considero que la ciberseguridad requiera de una regulación específica, más bien la regulación en materia de seguridad debe contemplar todas sus perspectivas, no solo la seguridad física (como ocurre actualmente).
Coincido, por tanto, en que debe realizarse desde una perspectiva integral, pero entendiendo las diferencias que existen entre ambos ámbitos y, lógicamente, sin que ninguna perspectiva tenga ninguna prevalencia sobre la otra.
Se me antoja complicada la elaboración de baremos que permitan valorar la calidad del servicio prestado de manera general dadas las múltiples variantes de servicio que existen pero, bueno, es cuestión de trabajarlo, tampoco es imposible.
También coincido en la necesidad de contar con información estadística sobre incidentes de ciberseguridad, para que sea posible aprender y entender lo que está pasando y la evolución de las amenazas.
Respecto a la formación reglada, es cierto que existen múltiples posgrados y másteres en seguridad de la información por lo que el asunto no es tanto que no exista una formación reglada adecuada sino que, más bien, sea reconocida u homologada la existente.
Finalmente, en cuanto a la responsabilidad, no sé si debe existir una sola persona o no que aglutine toda la responsabilidad en materia de seguridad, lo que desde luego es obligatorio en el mundo actual es que ambas funciones estén coordinadas.

Por otra parte, las propuestas de actuación se han clasificado en: Marco legal, relación público-privada, profesionalidad y formación y reconocimiento social. En relación a estas propuestas, también me gustaría comentar algunos aspectos:

La regulación que se establezca para la ciberseguridad debe contemplar / entender las particularidades de la misma y no tratar de replicar los mismos conceptos porque es posible que algunos no tengan mucho sentido.
La coordinación, en caso de incidentes, entre los ámbitos públicos y privados es fundamental. En este sentido todo lo que se pueda avanzar en colaboraciones entre CSIRTs públicos y privados será de agradecer.
Las titulaciones oficiales no deben tratar de regular las funciones de las personas en las organizaciones (Director, Jefe, etc... ) más bien, deben centrarse como en cualquier otra práctica en garantizar unos conocimientos mínimos y luego, cada organización decidirá lo que hace falta para cada puesto.
Finalmente, el tratar de hacer avanzar la seguridad a través del canal de la Responsabilidad Social Corporativa lleva siendo explotado durante bastante tiempo por la ciberseguridad con unos resultados bastante escasos. Desde mi punto de vista, me parece mucho más adecuado que se integre en el ámbito de la protección civil.

En cualquier caso, me parece un primer acercamiento a la situación que vivimos actualmente y que puede servir para empezar a caminar en una mejora de la protección gracias a la colaboración entre seguridad física y lógica. Ya veremos lo que nos depara el futuro.

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

Aplicar velocidad a la seguridad

noreply@blogger.com (Antonio Ramos) — Mon, 12 Mar 2012 09:39:00 +0000

Tras la lectura de "Velocidad" que comentamos la semana pasada, me hice la pregunta de si podrían aplicarse estos principios al mundo de la seguridad.

Y desde luego, hay una lectura que creo que puede ser de mucha utilidad para los profesionales de la seguridad. Derivado del principio de TOC de que lo que importa es la maximización del rendimiento del sistema en su totalidad y no los óptimos locales [y que, precisamente, es la causa principal del fracaso de Lean en la mencionada novela], los profesionales de la seguridad deberíamos preguntarnos si las medidas que estamos proponiendo contribuyen a un mayor rendimiento del sistema global (es decir, la organización en todo su conjunto) o si, por el contrario, nos estamos limitando a generar óptimos locales.

Es decir, tendríamos que centrarnos en la organización en su conjunto, identificar la limitación del sistema y:

trabajar para que dicha limitación siempre esté operativa. Es decir, implantar los mecanismos preventivos para que dicha limitación no sufra percances, pero también medidas detectivas para identificar la materialización de incidentes y, finalmente, medidas reactivas para que el impacto sea el menor posible. Lo que en terminología TOC se denominaría subordinarse a la limitación.
valorar las nuevas medidas en función de si contribuyen a un mayor rendimiento o a menores costes operativos o inventarios. Estas son las tres principales medidas utilizadas por TOC para la contabilidad y que, en el fondo, afectan a todas las decisiones empresariales.

En este contexto, habría que considerar que:

Posiblemente, la limitación no estará aislada y puede ser que se vea afectada por un fallo de seguridad de algo que, no siendo propiamente la limitación, esté conectado a ella. Por ejemplo, si la limitación fuera nuestra página web, quizás podamos tener una intrusión no directamente sobre el servidor web, sino cualquier otro sistema en la misma DMZ (por ejemplo). Por tanto, tendremos que analizar vías para reducir los elementos que pueden afectar al correcto funcionamiento de la limitación del sistema.

Existirá legislación que tengamos que cumplir y que, como condición necesaria para operar en un mercado haya que cumplir, con independencia de su relación con la limitación.

Por otra parte, es interesante como los principios de lean hablan de minimizar el despilfarro, como la "eliminación de todas las actividades que no son de valor añadido y redes de seguridad", es decir, que por aligerar los procesos no debemos hacerlos inseguros...

Finalmente, se pueden aplicar todos los principios lean a los procesos de seguridad que diseñemos, eliminando todo tipo de desperdicio: movimiento, sobreproducción, espera, transporte, procesado extra, corrección, inventario y el conocimiento desconectado. Pero sin olvidar que todo lo hacemos subordinados a la limitación del sistema...

¿Qué os parece el planteamiento? ¿Arriesgado?

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

Lectura: "Velocidad"

noreply@blogger.com (Antonio Ramos) — Thu, 08 Mar 2012 10:00:00 +0000

Esta es la última obra que he leído de las novelas de gestión sobre la temática de TOC. En este caso, los autores (Dee Jacob, Suzan Bergland y Jeff Cox - el mismo que escribió La Meta) abordan la problemática de emplear a un mismo tiempo el sistema Lean, Seis Sigma y la propia Teoría de las Limitaciones.

Se trata de una obra de lectura fácil que aborda bastantes de los elementos de TOC: la multitarea en contraste con el sistema de delay, los árboles de la realidad actual y futura, la subordinación de la producción a la limitación, la elevación de las limitaciones o no... aderezada por algunas perlas como la explicación de cómo la facturación por horas es un incentivo a la ineficiencia (algo que ya hemos tratado antes por aquí).

En este caso, no tengo citas preparadas (como de costumbre) pero, a cambio, tengo un concepto que me parece que puede resultarnos muy útil: poka-yoke. Este término que se utiliza en el sistema Lean, es un término que proviene del japonés y significa literalmente "a prueba de errores". Un ejemplo claro, como nos dice la Wikipedia es el conector USB ya que no permite conectarse al revés, solo de la forma correcta.

Y, ¿por qué digo que puede ser útil? Bueno porque muchos fallos de seguridad se producen por errores y si adoptáramos la filosofía poka-yoke podríamos, en teoría, evitarlos... vamos algo así como "seguro por defecto".

Puedes seguirme en twitter.com/antonio_ramosga

Lectura: "Buy*in"

noreply@blogger.com (Antonio Ramos) — Mon, 05 Mar 2012 09:30:00 +0000

La traducción literal del término sería la de "compra al por mayor" y el subtítulo del libro es "Evitando que tu buena idea sea abatida".

Precisamente por esto me lo compré. Para ver si me ayudaba con uno de los aspectos más difíciles que me he encontrado en mi carrera profesional: Conseguir que otros te compren tus ideas y superar la sensación de frustración que se te queda, cuando después de trabajar en un planteamiento que, a tu juicio, favorece a todo el mundo, sin embargo, no sale adelante en la típica reunión en la que todos parecen estar en contra.

Y la verdad es que, al menos me ha dado algunas pistas. En primer lugar, saber que existen, básicamente cuatro estrategias de ataque: confusión, muerte por demora, provocando miedo y ridiculizando/asesinando al personaje. Y en segundo, como se debe enfocar la propuesta de una idea:

No temer a los que quieren distraer.
Responder siempre de manera simple, directa y honesta.
Mostrar respeto por todo el mundo.
Observar la audiencia (no solo a los que te disparan) [al fin y al cabo, es muy difícil convencer a todos, solo te hace falta convencer a la mayoría más amplia posible].
Anticiparse y prepararse para los ataques por adelantado.

La estrategia de respuesta a los ataques que proponen los autores es muy sencilla: Capturar la atención de las personas, ganarse sus mentes y ganarse sus corazones [nada más y nada menos].

Y, para finalizar, las típicas citas:

"Incluso un persona inteligente o creíble, si se le hace temoroso, puede no solo oponerse a una propuesta, sino también atacarla".

"Algunos individuos pueden ser increíblemente hábiles para meterte en una discusión tan compleja que cualquier persona simplemente abandona".

"Un acercamiento de abrumar con datos y lógica [...] puede, sin querer, hacer que sea más difícil de desarrollar y conseguir la atención necesaria para que te compren la idea".

"Disparar de vuelta a los atacantes puede ser satisfactorio emocionalmente por unos momentos pero esa satisfacción será efímera".

"No desperdicies tu tiempo tratando de convertir a una minoría que está tan emocionalmente comprometida con una ideología que nunca soportará tu idea. No puedes".

"La mayoría de los ataques [...] tienen éxito porque nos ponemos a la defensiva y respondemos con un ataque. Y una vez que comienza una guerra, todo lo que te preocupa estará en riesgo".

Puedes seguirme en twitter.com/antonio_ramosga

Lectura: "The Cash Machine"

noreply@blogger.com (Antonio Ramos) — Wed, 29 Feb 2012 09:00:00 +0000

Este libro, de 2004, trata sobre la aplicación de las técnicas de TOC (ya sabéis, Teoría de las Limitaciones) al proceso de ventas. Al igual que la mayoría de este tipo de obras, es una "novela de negocios" que trata, a través de una historia, de transferirnos sus conceptos en esta materia.

En resumen, TOC nos propone tres ideas básicas para el proceso de ventas:

Las ventas se pueden operar como cualquier otro proceso, de manera, sistemática [de hecho, es lo que da nombre al libro, la máquina del dinero].
La cadena o embudo prospecto-a-dinero en cualquier organización está intimamente relacionada. Una mala gestión de las restricciones en dicha cadena tendrá un efecto directo sobre la generación de efectivo de los negocios.
El síndrome de final de trimestre no es un axioma.

Es decir, aplica los conceptos típicos de TOC (identificación de los cuellos de botella y su gestión, cadena crítica para la gestión de proyectos, drum-buffer-rope, etc.) a la gestión de las ventas.

Para finalizar, os dejo con algunas citas del libro:

"Tenemos que recordar la meta - hacer dinero. Las ventas, la cuota de mercado, la entrega de producto o los ingresos no son la meta. Enviar productos poco fiables es un generador de costes, no de flujos de caja".

"[...] el crecimiento es un resultado. Es el resultado de nuestras acciones, no su causa. Es genial cuando se produce, pero es catastrófico cuando es forzado, cuando no hay fundamentos reales detrás del crecimiento. Cuando no hay fundamentos, el crecimiento no crea valor, crea una burbuja. Y las burbujas, ya lo sabemos, tienden a explotar. Antes o después".

"Si fallamos en planificar bien, o fallamos en ejecutar bien el plan, es mejor pagar el precio de las consecuencias a corto plazo y reorganizarse".

(Sobre la multitarea) "Lo que os pido [...] es encontrar un número razonable de proyectos a hacer al mismo tiempo. Ni diez ni uno, pero quizás dos o tres. Enfocaros en ellos, acabarlos incluso si algunas veces parece que tenéis tiempo de inactividad. Una vez que hayáis decidido el número de proyectos que podéis hacer frente comodamente, !no los excedáis!"

Si trabajáis en ventas y queréis mejorarlas, creo que la aplicación de TOC os ayudará sin lugar a dudas.

Puedes seguirme en twitter.com/antonio_ramosga

Lectura: "Macrowikinomics"

noreply@blogger.com (Antonio Ramos) — Thu, 23 Feb 2012 10:00:00 +0000

Gracias a la Fundación Telefónica (@FundacionTef) tuve la oportunidad de escuchar a Don Tapscott y además, llevarme de premio el libro... ¡todo un detalle!

Y como estoy recuperando la tradición de compartir mis lecturas [que la tenía un poco olvidada], le ha tocado el turno hoy a la "segunda parte" de Wikinomics (que ya habíamos comentado por aquí) que, como su nombre indica es la aplicación de la economía wiki presentada en su primera obra a los conceptos macro, es decir, a sectores de la economía en lo que ellos han identificado que será necesario un gran cambio para adaptarse a la nueva realidad que nos presenta Internet y este mundo tan conectado como el que tenemos.

Los autores repasan muchos temas de actualidad: el cambio climático, la educación, la salud, la investigación, los medios de comunicación, las industrias de la música y la televisión... y también, la evolución de lo público [este tema me ha resultado de especial interés y, además, coincide bastante con mis planteamientos de Democracia 2.0].

Si hubiera que ponerle un pero al libro sería su enfoque totalmente a favor de Internet y de lo 2.0, quizás estaría bien que se analizara las consecuencias que no son tan fenomenales...

Pero, en cualquier caso, para todos aquellos que estemos interesados en modelos de negocio y en el efecto de Internet en nuestra sociedad es una obra necesaria, por lo menos, a mi entender.

Antes de dejaros con las habituales citas, solo destacar la gran importancia que dan los autores a la transparencia como herramienta de control, habilitador de nuevos modelos y driver de la 'wikieconomía'.

Las instituciones que se establecieron a raíz de la II Guerra Mundial [...] no son ya las adecuadas para ayudar a reconstruir la economía global o las nuevas formas de gobierno sostenibles.

La innovación colaborativa puede tener aspectos negativos, incluyendo ajustes duros para las industrias cuyos modelos de negocio estaban basados en escaseces que ya no son tales.

No podemos confiar solamente en la competencia y la persecución de la ganancia económica a corto plazo para promover la innovación y el bienestar económico.

Dado que la Web reduce los costes de transacción y colaboración, el talento puede estar dentro o fuera de las firmas.

Después de todo, las ideas y la tecnología no cambian el mundo; la pasión, el apoyo de la comunidad y la ejecución, sí.

Enseñar a los jóvenes como escrutar, validar y poner las cosas en contexto estará entre las tareas más difíciles para los educadores. Por otra parte [...], habiendo crecido en una cultura de millones de correos falsos, timos e intentos de engañar, han aprendido que, o comprendes el entorno o pagas el precio.

Internet es el reflejo y también un amplificador de todo en la sociedad.

Dar valor al consumidor, no control, es la respuesta en la economía digital.

La televisión está en la senda de convertirse en una de las muchas aplicaciones atractivas de la Web.

La gente prefiere alquilar bits que comprar átomos.

En la primera oleada de democracia se establecieron instituciones elegidas y responsables del gobierno, pero con un mandato público débil y una ciudadanía inerte; la segunda oleada estará caracterizada por una representación fuerte y una nueva cultura de deliberaciones públicas construidas sobre una ciudadanía activa.

Quizás necesitemos un nuevo modelo de legitimidad. No debemos olvidar que los líderes en la mayoría de los países democráticos rigen con el apoyo de menos de un cuarto de la población.

Más que asumir que la autoridad para actuar en nombre de la población se deriva solamente de un mandato electoral de cuatro años, la legitimidad podría ser ganada por cualquier organización abierta a la participación pública y suficientemente transparente en sus objetivos, operaciones y progresos.

El mundo conectado simplemente crea nuevas posibilidades. Pero su potencial para desencadenar lo bueno y lo malo solo puede ser realizado por personas que actúan con libertad y con capacidad de elección.

Necesitamos un nuevo tipo de líderes en la industria que [...] vean la mejora del valor para los accionistas como complementario a mejorar el estado del mundo y que entiendan que los negocios deben operar con un nuevo conjunto de principios.

Puedes seguirme en twitter.com/antonio_ramosga

Seminario "Risk, Agility and Information Security"

noreply@blogger.com (Antonio Ramos) — Mon, 20 Feb 2012 09:45:00 +0000

Tras las entradas que escribimos allá por el mes de noviembre tituladas "Risk and Agility" (en dos partes: uno y dos) y que dio lugar incluso a una entrada en el blog de ISACA, Mario (@nodosenlared) y un servidor hemos seguido trabajando sobre el concepto, hasta llegar a desarrollar el seminario que os quiero comentar.

Lo hemos titulado "Risk, Agility and Information Security" y se impartirá, por primera vez, en Pamplona el próximo 27 de marzo, en la sede del CEIN. Lo hacemos allí por el apoyo que nos brinda esta institución y por su apoyo a todas las iniciativas ágiles, especialmente en el mundo del emprendimiento [de esto os puede contar mucho más Mario].

Aunque en los enlaces anteriores, tenéis toda la información, me gustaría destacar que contaremos con un ejemplo magnífico de la mano de David Barroso (aka @lostinsecurity), que creo que no precisa de presentación, ¿verdad?

También me gustaría resaltar que hemos pensado tres tarifas, en función del momento en que se realice la inscripción:

Innovators - 350€ (hasta el 21 de febrero)
Early adopters - 400€ (hasta el 12 de marzo)
Majority - 450€

Finalmente, también me gustaría destacar el enfoque eminentemente práctico del seminario: El objetivo que nos hemos marcado es que los asistentes se lleven una serie de herramientas que les ayuden en su tarea del día a día.

En el seminario analizaremos los fallos de los enfoques predictivos, cómo podemos adaptarnos mejor a los cambios que se producen, cómo podemos incluir los principios ágiles en la gestión de la seguridad y cómo todo ello se traduce en unos sistemas más resilientes.

Estamos convencidos de que la propuesta, además de innovadora, refleja la evolución que ha tenido la seguridad de la información, como podremos ver a lo largo de todo el seminario, aunque nuestros métodos y procesos se están quedando un poco retrasados... ¿no os llama la atención?

¡Os espero en el seminario!

... puedes seguirme en twitter/antonio_ramosga

Principios básicos para el uso de la computación en la nube

noreply@blogger.com (Antonio Ramos) — Fri, 10 Feb 2012 11:00:00 +0000

Cuando nos planteamos (o nuestra organización se plantea) llevar alguno de nuestros servicios a la nube nos surgen muchas dudas y es evidente que no es una decisión trivial. Por este motivo, ISACA publicará en breve un documento titulado "Guiding Principles for Cloud Computing Adoption and Use" en el marco de su serie sobre la visión de la computación en la nube.

Como todavía queda algún tiempo hasta su publicación, pero he tenido la suerte de participar en el grupo de trabajo que lo ha elaborado, me gustaría compartir las principales recomendaciones recogidas en dicho documento.

La idea es ayudar a aquellos en el proceso de "pasarse a la nube", de forma que el cambio en la manera en la que la tecnología es adquirida y gestionada en las organizaciones y las presiones que esto supone normalmente sobre la estructura de la organización, la cultura, las políticas y procedimientos sean lo menor posible.

Para ello, se proponen seis principios para la adopción y uso de la computación en la nube que guiarán a los directivos afectados de forma que la implantación de esta nueva manera de provisión de servicios TIC produzca las menores presiones y áreas potenciales de riesgo posibles.

Los seis principios propuestos por ISACA son los siguientes:

Capacitación. Planificar la computación en la nube como un facilitador estratégico más que como un acuerdo de outsourcing de una plataforma técnica.
Coste beneficio. Evaluar los beneficios del uso de la nube basándose en una comprensión completa de los costes de la nube comparados con otras plataformas tecnológicas.
Riesgo empresarial. Adoptar una perspectiva de riesgo empresarial para gestionar el uso de la nube.
Capacidad. Integrar toda las capacidades que los proveedores ofrezcan con los recursos internos para ofrecer una solución técnica exhaustiva.
Responsabilidad. Gestionar la responsabilidad mediante una definición clara de lo que corresponde al proveedor y a nosotros como usuarios.
Confianza. Hacer de la confianza un elemento esencial de las soluciones en la nube, incorporándola en todos los procesos de negocio que dependen de la nube.

(Cross-posted con el blog de INTECO)

Puedes seguirme en twitter.com/antonio_ramosga

Lectura: "El viaje al poder de la mente"

noreply@blogger.com (Antonio Ramos) — Sat, 04 Feb 2012 15:01:00 +0000

Suelo leer las obras que va publicando Punset, es como una tradición... Y esta obra, en particular, me llamaba la atención, aunque tras leerla tampoco creo que sea de sus mejores. Quizás se deba a que me voy acostumbrando y no existe factor sorpresa.

Lo que más me ha llamado la atención han sido las reflexiones relacionadas con la toma de decisiones y los sesgos que tenemos a la hora de pensar en el futuro. Explica muchos de los problemas que me encuentro, sobre todo, en relación a la gestión de los riesgos.

Como es habitual, os dejo con mi colección de pasajes favoritos:

"Al contrario que los primates sociales más evolucionados, no queremos cambiar de opinión ni que nos maten. No sólo somos incapaces de predecir, sino que tendemos a imaginar el futuro calcando el pasado. No hemos querido aceptar que las intuiciones son una fuente de conocimiento tan válida como la razón"

"Las especies que han sobrevivido en el tiempo geológico son las que supeditaron los intereses básicos del individuo al cuidado y la supervivencia de su propia especie".

"Muchas personas toman decisiones no en función de lo que ven, de lo que consideran bueno o malo, sino en función de lo que creen, de sus convicciones (código de los muertos: pautas de conducta excelente hace miles de años, que han dejado de ser útiles y que, no obstante, siguen vigentes)"

"Los humanos también pueden cambiar de opinión, pero odian tener que hacerlo".

"La ignorancia parcial puede ser útil, y siempre sucede así cuando, en el mundo real, el reconocimiento del nombre está correlacionado con lo que se quiere saber (En ocasiones decidimos mejor con poca información)"

"Es tremendamente importante entender que las personas hacen cosas terribles no siempre porque sean malas, sino porque no quieren romper las reglas"

"Se toman mejores decisiones cuando se recurre a una sola y buena razón, en lugar de a diez".

"En promedio, los individuos tienden a creer que la pérdida de su puesto de trabajo, de su salud y hasta de la muerte afectará primero a los demás que a sí mismo."

"Las moléculas de nuestras emociones comparten conexiones íntimas con nuestra fisiología, de la que son inseparables. Las emociones son, ni más ni menos, lo que une la mente y el cuerpo".

Puedes seguirme en twitter.com/antonio_ramosga

Análisis "Blueprint for a Secure Cyber Future"

noreply@blogger.com (Antonio Ramos) — Mon, 23 Jan 2012 08:20:00 +0000

Desde que se publicó en noviembre del año pasado, tenía en el "to do" este documento del Departamento de Seguridad Nacional de los EE.UU. (DHS) en el que se define la Estrategia de Ciberseguridad (pdf).

Aunque es un documento de 50 páginas, se queda en 25 sin los apéndices, por lo que es bastante asequible.

En la imagen adjunta podéis ver un pequeño mapa mental que he ido preparando mientras lo leía (si alguien lo quiere, no tiene más que pedírmelo).

Esta estrategia de ciberseguridad deriva directamente de la Estrategia de Seguridad Nacional publicada por el Presidente Obama (pdf) y del hecho de que proteger el ciberespacio sea una de las 5 áreas en las que se organiza la misión de la seguridad nacional.

Toda la estrategia parte de una visión que transcribo porque es bastante ilustrativa: "Nuestra visión es un ciberespacio que supone una infraestructura secura y resiliente que permite la innovación y la prosperidad y que protege por diseño la privacidad y otras libertades civiles. Una infraestructura en la que podemos usar el ciberespacio con confianza para avanzar en nuestros intereses económicos y mantener la seguridad nacional en todas las condiciones".

Esta visión se traduce en dos áreas de acción: Proteger nuestra Infraestructura de Información Crítica HOY y construir un ciber-ecosistema más fuerte para MAÑANA [hay que ver cómo me suena esto a los típicos objetivos que se establecen con TOC].

Cada área de acción conlleva una serie de metas, en total 8, repartidas a partes iguales entre las dos áreas:

Proteger nuestra infraestructura de información crítica hoy:

Reducir la exposición al ciber-riresgo
Asegurar una respuesta prioritaria y la recuperación
Mantener una conciencia compartida sobre la situación
Mejorar la resiliencia

Construir un ciber-ecosistema más fuera para mañana:

Capacitar a los individuos y a las organizaciones para operar de manera segura
Construir y utilizar protocolos, productos, servicios, configuraciones y arquitecturas más confiables
Construir comunidades colaborativas
Establecer procesos transparentes

Finalmente cada uno de estas metas se desarrolla en objetivos, generando un total de 20 que conllevan el desarrollo de toda una serie de competencias básicas que debe llevar a cabo el DHS.

Algunos aspectos que me gustaría destacar:

Que desde el comienzo se reconoce que el objetivo de un ciberespacio más seguro es compartido y que el Gobierno, por si solo, no puede lograrlo.
El respeto a la privacidad y los derechos civiles desde el propio enunciado de la visión.
El equilibrio entre proteger lo de ahora y mejorar el futuro.
La descripción detallada del rol del DHS que figura en el apéndice A del documento.
El peso que tienen las infraestructuras críticas y su protección [¿será un preludio del peso que tendrá el CNPIC en España en el futuro?]
Finalmente, que cuando lees el documento encuentras en muchos apartados la referencia a mecanismos ágiles de gestión (automatización, capacitación de los usuarios, propiedad compartida, rapidez de puesta en marcha...) que nos llevan a pensar que la agilidad y la seguridad cada vez van a estar más unidas [en lugar de opuestas, como piensan algunos].

Puedes seguirme en twitter.com/antonio_ramosga

Resumen del 2011 de Carpe Diem

noreply@blogger.com (Antonio Ramos) — Sun, 01 Jan 2012 14:48:00 +0000

Cuando faltan unos días para el sexto aniversario del blog (el 18 de enero), voy a continuar con la tradición comenzada el año pasado de revisar las visitas durante el año que acaba de terminar.

El primer dato es el número de visitas: 6.569 (prácticamente un 26% más que en 2010), lo cual no está nada mal, considerando que solo he escrito 21 entradas (menos que nunca). Y no es que escriba menos, sino que estoy "compartiendo" mi actividad bloguera con n+1 (23 entradas), leet security (4 entradas) e INTECO (2 entradas); así que, en total, han sido 50 entradas en el año.

El top 5 de entradas consultadas en 2011 han sido:

La tradicional, "Cifrar versus encriptar"
El eslabón más débil de la cadena
Auditor de protección de datos
[S21sec)
¿Hacemos un Plan Director?

Y las entradas de 2011 más vistas han sido:

Finalmente, la mayoría de los 4.753 visitantes siguen siendo de España (un 68%), lo que significa que han aumentado a un 32% los que me visitáis desde el extranjero (por orden de magnitud): México (343), Argentina (194), Colombia (187), Perú (107) y el resto ya con menos de 100 visitantes (Chile, Estados Unidos, Venezuela, Ecuador, Reino Unido...)

Puedes seguirme en twitter.com/antonio_ramosga

Democracia 2.0 [offtopic]

noreply@blogger.com (Antonio Ramos) — Thu, 08 Dec 2011 09:00:00 +0000

Las circunstancias económicas de estos tiempos y la respuesta dada por la clase política, más preocupados por ellos mismos que por los que los votamos, aderezado por el movimiento 15-m, me ha hecho reflexionar sobre lo poco representado que me siento por los dirigentes políticos.

Me ha dado por pensar: ¿Habrá alguna otra forma de organizarnos? ¿Son los partidos políticos la mejor opción? ¿Es la democracia la mejor opción?

En el proceso reflexivo, se me han pasado muchas ideas por la mente: Intervención del sector financiero estilo economía planificada, listas abiertas, pasar de los partidos políticos y de la democracia... y otras locuras varias.

Al final, la conclusión de mis reflexiones es algo que he llamado 'Democracia 2.0' que, básicamente, consistiría en la democratización de la democracia gracias a Internet.

Me voy a tratar de explicar. En mi opinión, la cuestión es que, hasta la aparición de Internet, la democracia necesitaba mecanismos de representación porque no existía una forma sencilla de comunicación que permitiera a los ciudadanos hablar, debatir sobre los aspectos que les preocupaban y expresar su opinión. Hacían falta unos intermediarios, unos vehículos que canalizaran las opiniones de los ciudadanos, y es ahí donde surgen los partidos políticos.

Pero Internet, la Web y las redes sociales han cambiado el escenario. En el momento actual, podríamos decir que es cuestionable la necesidad de todos aquellos que hasta ahora funcionaban como "simples" intermediarios de información. De igual forma que los medios de comunicación o las agencias de viaje están intentando vislumbrar como será su futuro o si tienen futuro puesto que las redes sociales han demostrado su capacidad para actuar como nexo entre los emisores de las noticias y los destinatarios o la Web sirve perfectamente para planear unas vacaciones, los partidos políticos tendrían que pensar si tienen futuro.

Es decir, ¿para qué necesito unos partidos políticos que actúen como el "teléfono escacharrao" entre sus votantes y los órganos de Gobierno? ¿Por qué tengo que "casarme" con un programa político cerrado si me pueden gustar unas medidas de unos y otras de otros? ¿Por qué tenemos que sufragar los costes de mantenimiento de los aparatos de los partidos o las campañas electorales?

En definitiva, ¿para qué necesitamos a los partidos políticos si gracias a Internet todos los ciudadanos podemos expresar nuestra opinión sobre cualquier tema en cualquier momento? ¿No podríamos funcionar con unos gestores que se limitaran a ejecutar las instrucciones que recibieran de la ciudadanía en su conjunto mediante mecanismos de votación on line? Al fin y al cabo sería como sustituir el Congreso de los Diputados por un 'Congreso de los Ciudadanos' donde en lugar de inferir la opinión de toda la ciudadanía a través de los votos de unos cuantos, se podría tener la opinión en directo de los ciudadanos.

No cabe duda que esta vía tendría grandes retos por delante: seguridad de los sistemas de votación, usurpaciones de identidad, difusión del eDNI, mecanismos para disponer de información suficiente para la toma de decisiones [¿OpenGovernment?] y un largo etcétera, pero, en mi opinión, si este sistema se implantara, estaríamos hablando del sistema democrático más puro posible donde los ciudadanos harían oír su voz de manera continua, no una vez cada cuatro años.

En fin, perdonad por la reflexión totalmente offtopic de la temática de este blog, pero llevaba tiempo dando vueltas y me apetecía compartirla con los que leéis este blog.

Puedes seguirme en twitter.com/antonio_ramosga

España y la ciberguerra

noreply@blogger.com (Antonio Ramos) — Mon, 05 Dec 2011 14:53:00 +0000

El objetivo de esta entrada es reflexionar sobre las declaraciones de uno de los responsables del CCN-CERT que han causado cierto revuelo estos días de atrás.

Vaya por delante mi más sincero respeto a la labor de los miembros de nuestras fuerzas y cuerpos de seguridad y, en particular, la del CCN-CERT.

No pude estar en Valencia y, por tanto, voy a opinar en función de lo que se ha escrito en los medios de comunicación sobre el tema (en concreto, aquí y aquí).

En general, tengo que reconocer que estoy de acuerdo con la opinión que ha expresado Lorenzo en Security by Default, es decir, hay que INVERTIR en seguridad, pero eso de "pasar al ataque" suena un poco heavy.

Como no pude estar, voy a hablar en función de la información que tengo, pero en cualquier caso, no tengo al CCN como un organismo dado a irse de la lengua. Es decir, creo que dicen lo que quieren decir y que, cuando lo dicen, es por algún motivo.

De hecho, hay que poner en contexto las declaraciones. El evento tiene lugar el día 24 de noviembre:

Cuatro días después de las Elecciones Generales y en pleno período de agitación interna en la Administración Pública en previsión de los cambios que se ven venir y donde todo el mundo está haciendo sus movimientos para quedar lo mejor posible en la nueva foto.
Una semana antes de la reunión del G6 en París en la que participó también la Secretaria Napolitano del DHS americano.

Por tanto, en mi opinión, todo responde a una maniobra perfectamente organizada para reclamar lo que todos llevamos diciendo mucho tiempo: "Hay que INVERTIR en seguridad". Lo que ocurre es que, si decimos esto simplemente, todos sabemos que no va a ir a ningún titular de ningún medio de prensa, por lo tanto, para asegurarnos de que el mensaje llega, es necesario poner algunos fuegos artificiales y es ahí donde tiene su encuadre lo de "pasar al ataque".

Para mi, cuando el CCN dice esto, lo que nos está diciendo [o mejor dicho, lo que está diciendo a los que acaban de llegar al Gobierno] es: "Señores, estamos sufriendo ataques todos los días y con los medios y recursos de los que disponemos es cuestión de tiempo que consigan el objetivo. Debemos ser proactivos; tenemos que dotarnos de herramientas y profesionales que puedan actuar en el ciberespacio".

Ahora bien, dicho esto, en lo que no estoy de acuerdo es en lo de "contando con el sector privado". Es decir, si por contar con el sector privado se entiende fomentar el desarrollo de una industria de seguridad puntera en el mundo, me parece perfecto. Si por el contrario, lo que entendemos es que vamos a subcontratar la defensa de nuestra nación en empresas privadas, me temo que no puedo estar de acuerdo. A mi juicio esta labor corresponde a nuestro ejército y no veo a nuestro ejército subcontratando la misión de Afganistán... es decir, al igual que en lo concerniente a Tierra, Mar o Aire, nadie se plantea la subcontratación, tampoco deberíamos plantearlo en el ciberespacio (si se le puede llamar así).

Para mi gusto, veo mucho mejor iniciativas como la de la agencia de inteligencia GCHQ británica para contratar profesionales de seguridad.

En definitiva, que fuegos artificiales aparte, veo bien que se reclame mayor atención para la seguridad de la información y la ciberseguridad por parte de los gobernantes, aunque preferiría que se hiciera directamente por nuestro Ejército.

... Puedes seguirme en twitter.com/antonio_ramosga

Risk and Agility (II)

noreply@blogger.com (Antonio Ramos) — Mon, 28 Nov 2011 11:08:00 +0000

[Esta entrada ha sido redactada conjuntamente con Mario López de Ávila, nodosCTC aka @nodosenlared]

En la entrada anterior vimos que los enfoques 'Priorizar - Reducir' basados en nuestras capacidades predictivas presentaban algunos problemas a la hora de manejarnos en entornos que no fueran simples y conocidos.

Por si eso fuera poco, aunque lográramos identificar las amenazas que nos deben preocupar, el enfoque ‘Priorizar – Reducir’ depende de estimaciones precisas de probabilidades e impactos. Pero hay una montaña de evidencias, experimentales y empíricas, que refuerzan la hipótesis de que los seres humanos somos notablemente incompetentes a la hora de realizar este tipo de estimaciones, especialmente en situaciones complejas e inciertas. El hecho de que podamos asignar un número a una probabilidad no significa que la tengamos bien determinada. De hecho, esta forma de actuar tiende a engendrar en las personas una confianza excesiva, infundamentada, en sus propios cálculos. Nuestra mente, fruto de la evolución natural, es literalmente una chapuza. Hay multitud de ‘atajos’ que utilizamos constantemente a la hora de evaluar nuestro entorno y tomar decisiones que nos llevan a equivocarnos una y otra vez al estimar una probabilidad o tratar de determinar la magnitud de las consecuencias de un evento. Sesgos cognitivos como el sesgo de disponibilidad o de anclaje nos inducen a error de manera sistemática y difícil de evitar.

Por último y de forma paradójica, en entornos impredecibles, los planes que formulamos, los mismos que deberían protegernos reduciendo los principales riesgos y/o minimizando el daño que nos pueden causar, pueden llegar a ser parte del problema. Algunos autores, como Mintzberg[1] o Klein[2], han señalado que la planificación de riesgos reduce el compromiso de las personas en una organización con un estado de alerta imprescindible en situaciones de gran incertidumbre. Una vez que el plan se ha aprobado e implantado, los gestores en la organización se “relajan”, porque se sienten protegidos. Los planes centran tu atención en lo que eres capaz de predecir, haciendo más fácil pasar por alto lo desconocido e imprevisible. Los planes resisten el paso del tiempo mejor que las capacidades reales de la organización, por lo que quedan obsoletos mucho antes de lo que se suele creer. Además, las medidas adoptadas reducen. por lo general. la flexibilidad organizativa. Una organización menos flexible es menos capaz de adaptarse a un suceso imprevisto, reacciona más tarde y a menudo de manera menos eficaz. Es menos robusta.

En resumen, los enfoques tradicionales de riesgos nos hacen confiarnos en exceso en situaciones complejas e inciertas y en la mayor parte de los casos reducen la capacidad del equipo o de la organización para manejar los riesgos. En ámbitos complejos, no podemos hablar de mejores prácticas o siquiera de buenas prácticas. Cuando no hay relación evidente entre causas y efectos y sólo podemos avanzar prestando atención a los patrones emergentes, mediante ensayo y error, el enfoque acertado para la gestión de riesgos es el que denominamos ‘Adaptativo’. De acuerdo con este enfoque, en situaciones inciertas deberíamos apoyarnos menos en priorizar y reducir riesgos y más en estar preparados para responder a eventos inesperados, reconfigurando procesos y estructuras sobre la marcha para adaptarse a la situación.

En nuestra opinión, podemos aprender mucho de los enfoques Agile utilizados en actividades como el desarrollo de software o de productos complejos. Los valores, principios y prácticas ágiles, de forma natural, nos llevan a minimizar los riesgos inherentes en proyectos ‘inciertos’, pero no sólo eso. También contribuyen a aumentar la capacidad para lidiar con perturbaciones e impactos imprevistos, así como a gestionar dicha capacidad. Una organización ágil es una organización ‘resiliente’, capaz de ajustar su funcionamiento antes, durante o después de haber experimentado una cambio, de modo que su comportamiento apenas se vea afectado. La resiliencia se refiere pues a algo que el sistema ‘hace’ [una capacidad o un proceso], más que a algo que el sistema ‘posee’.

Los enfoques Agile ayudan a crear y mantener la resiliencia de un equipo o de una organización facilitando el conocimiento de la situación, permitiendo compararla en cualquier momento con la situación deseada y proporcionando los medios para realizar los ajustes necesarios para corregir cualquier desviación del rumbo. Y todo esto se hace prácticamente en ‘tiempo real’.

En nuestra opinión, es momento de cambiar nuestra manera de proceder: En lugar de enfocarnos en construir fortalezas inexpugnables, deberíamos enfocarnos en ser capaces de responder en situaciones impredecibles.

[1] Mintzberg on Management by Henry Mintzberg (Paperback - Aug 21, 2007)

Management? It's Not What You Think! by Henry Mintzberg, Bruce Ahlstrand and Joseph Lampel (Hardcover - Sep 15, 2010

[2] Streetlights and Shadows: Searching for the Keys to Adaptive Decision Making by Gary A. Klein (Sep 30, 2011)

The Power of Intuition: How to Use Your Gut Feelings to Make Better Decisions at Work by Gary Klein (Paperback - Jun 1, 2004)

Risk and agility (I)

noreply@blogger.com (Antonio Ramos) — Thu, 24 Nov 2011 10:55:00 +0000

[Esta entrada ha sido redactada conjuntamente con Mario López de Ávila, nodosCTC aka @nodosenlared]

Abstract

En ámbitos complejos, caracterizados [entre otras cosas] por una incertidumbre elevada, la gestión de riesgos tradicional, con enfoques predictivos, es no sólo inefectiva, sino hasta peligrosa para los equipos y organizaciones que la emplean. Basamos esta afirmación en evidencias científicas procedentes de disciplinas como la Behavioral Economics o la Psicología Cognitiva, además de en muchos años de experiencia y muchos análisis de riesgos realizados. En este tipo de situaciones, los enfoques más efectivos son los denominados adaptativos, que permiten el desarrollo en el sistema de una cualidad que denominamos ‘Resiliencia’. La resiliencia se puede definir como la capacidad de un sistema para ‘absorber’ perturbaciones y adaptarse de modo que su función, estructura e identidad permanecen esencialmente intactos. Dicho de otra manera, los enfoques adaptativos contribuyen al desarrollo de sistemas más robustos, capaces de manejar mejor los impactos que reciben y sus consecuencias.

Los equipos y organizaciones que se mueven en ámbitos complejos deben adoptar prácticas que les ayuden a ser más ‘resilientes’, esto es, que les preparen para detectar de forma temprana, atajar y minimizar cualquier riesgo que se les presente, así como para recuperarse en el menor tiempo posible, al menor coste posible, de cualquier impacto negativo y, por último, para convertir cualquier contratiempo en una fuente de nuevas oportunidades. Un ejemplo de este tipo de enfoques, empleados con espectacular éxito en el ámbito del desarrollo del software y, en general, de la gestión del desarrollo de productos complejos, son las denominadas metodologías Agile, como puedan ser Scrum, Extremme Programming o Crystal. En nuestra opinión, la Seguridad de la Información puede verse beneficiada del estudio y adaptación de estas y similares metodologías, así como de los valores y principios que las inspiran.

Artículo

Cualquiera de nosotros podría citar de memoria, con tan sólo variaciones de menor entidad, cuáles son los pasos básicos en una gestión efectiva de los riesgos. En primer lugar, es necesario identificar de manera sistemática las amenazas que pudieran afectar a nuestro proyecto u organización. A continuación, trataremos de establecer un orden o prioridad en esas amenazas identificadas, centrando nuestra atención en aquellas más preocupantes. Este paso normalmente implica estimar la probabilidad de ocurrencia así como la magnitud de las consecuencias o impacto de cada uno de las amenazas identificadas. De esta manera, podemos determinar qué amenazas llevan implícita un mayor nivel de riesgo. Para dar respuesta a esos riesgos desarrollaremos planes para reducir los de mayor gravedad y/o minimizar el daño potencial. Estos planes pueden llegar a ser muy detallados, establecer hitos con los que podemos medir nuestro progreso, así como establecer indicadores que nos alertarán de cualquier peligro inminente. Por supuesto. el plan por sí solo no nos ayudará, debe ser correctamente implantado. Por último, es necesario hacer un seguimiento cercano de las actividades recogidas en el plan, para comprobar si éste está siendo efectivo. Si algo empieza a ir mal, aumentaremos la vigilancia. Y si aparecen nuevos riesgos, volveremos a empezar el ciclo.

Estamos tan acostumbrados a trabajar de esta manera que rara vez nos paramos a pensar que éste es solo uno de los posibles enfoques desarrollados por la humanidad para manejar el Riesgo. Llamamos a este enfoque ‘Priorizar – Reducir’, puesto que estas son las actividades clave en el proceso. Este es un enfoque que ha dado buenos frutos durante décadas en ámbitos tan distintos, como la seguridad en construcción y obra civil, como en entornos industriales. Es también el enfoque imperante en Seguridad de la Información hoy en día, ejemplarizado en instrumentos tales como el Software Risk Evaluation (SER) v2.0 del Software Engineering Institute o la familia de normas ISO/IEC 2700x. Ahora bien, ‘Priorizar – Reducir’ sólo puede ser efectivo si se dan determinadas circunstancias. En primer lugar, debemos ser capaces de identificar todas las amenazas. Puede parecer obvio, pero esto no es tan fácil si te mueves en un ámbito tan complejo y dinámico como el de las tecnologías de la información. Con cada avance técnico surgen nuevas amenazas y el ritmo de la innovación, especialmente en la última década, es sencillamente asombroso. Nos quedamos sin referencias: los registros, el histórico de incidentes, pierde rápidamente su utilidad y continuamente nos enfrentamos a amenazas que no sólo no preveíamos, sino que tan sólo unos meses atrás eramos incapaces de imaginar. De hecho, cuando analizas proyectos fallidos, los elementos de riesgo más devastadores resultan ser a menudo cosas en las que nadie pensaba o podía imaginar.

Lo cierto es que ‘Priorizar – Reducir’ tiene sentido, sobre todo, cuando nos movemos en ámbitos conocidos, poco complicados o simples, pero cuando debemos abordar un proyecto o trabajar un sistema en el que no hemos trabajado nunca, del que no existen experiencias previas, ¿cómo es de esperar que sea nuestro desempeño al tratar de anticipar todos los riesgos? La respuesta es que nuestro desempeño será, en el mejor de los casos, muy pobre. Hay multitud de experiencias que demuestran una y otra vez que haríamos bien en desechar la ilusión de que podemos identificar riesgos en condiciones de novedad, complejidad y dinamismo. No podemos ver el futuro, no podemos prever o identificar riesgos y no podemos manejar lo que no podemos ver o comprender. Es más, los trucos que hemos ido desarrollando a partir de nuestra experiencia pasada probablemente sirvan de poco en el futuro cercano.

(continuará)

Mi propuesta para los candidatos a Presidente del Gobierno

noreply@blogger.com (Antonio Ramos) — Sat, 22 Oct 2011 15:29:00 +0000

Como los partidos políticos están en época de hacer propuestas para ganar nuestros votos, se me ha ocurrido hacer mi carta a los Reyes Magos para ver si convenzo a Rajoy y/o a Rubalcaba (que parecen los más adelantados en la carrera) para que incluyan algunas promesas en sus programas electorales.

Básicamente mi carta tiene una sola petición pero que tiene unas cuantas consecuencias en forma de leyes que habrá que modificar. Mi petición es muy sencilla:

Equiparar la seguridad de los sistemas de información a la seguridad patrimonial

Seguramente a muchos puede parecerles una tontería pero, sinceramente, creo que, como sociedad moderna, nuestra prosperidad y nuestro futuro depende de que la seguridad en el mundo online tenga el mismo tratamiento que tiene la seguridad en el mundo "real" partiendo del supuesto de que, en el futuro, las mayores amenazas vendrán del mundo ciber.

Y con esto no quiero que nadie piense que estoy pensando en una Internet super-regulada y vigilada, sino que en los mecanismos de gestión y las leyes existentes se adecuen al siglo XXI.

Voy a tratar de dar algunos ejemplos:

Reforma de la Ley de Seguridad Privada

Tenemos una Ley que establece un marco de control para las empresas que proporcionan servicios de seguridad privada e incluso una capacitación mínima para los "vigilantes" de seguridad. Y, por otra parte, "cualquiera" puede proveer de servicios de seguridad informática.

Reforma de la Ley de Protección Civil

En este caso nos encontramos con una Ley que persigue proteger a personas y bienes en situaciones de grave riesgo colectivo y que en su vertiente de previsión y prevención exige la elaboración de planes de protección pero que, actualmente, no considera en estos aspectos los sistemas de información cuando, en el momento actual, fallos de sistemas pueden ocasionar verdaderas situaciones de crisis [ya lo habías comentado antes aquí].

Facilitar la gestión de riesgos de seguridad al estilo de los riesgos laborales

Es indudable que, aunque forman más del 95% del tejido empresarial español, las PYMEs son un "problema" a la hora de implantar este tipo de políticas, ya sea por un tema de recursos, de capacidad o de disposición.

Por este motivo, podría adoptarse una decisión al estilo de lo desarrollado para la gestión de riesgos laborales, haciendo que las pequeñas empresas puedan hacer uso de un servicio gratuito proporcionado por la Administración [de hecho, en mi opinión, este servicio ya se ha creado y lo proporciona el CERT de INTECO].

Servicios en la nube regulados

Los servicios en la nube, en particular los de infraestructura (IaaS) y los de plataforma (PaaS), son la electricidad del siglo XXI y, en este sentido, necesitan de un entorno normativo en el que se puedan proveer en las mismas condiciones de garantía que la primera.

A diferencia de los puntos anteriores, este aspecto es totalmente innovador y seguramente necesitará de un tratamiento a nivel europeo pero, quien sabe, quizás sea la manera de hacer España puntera en estos aspectos.

Seguramente no son los únicos aspectos a modificar, pero es un principio. ¿Se os ocurren más ejemplos?

Puedes seguirme en twitter.com/antonio_ramosga

Jornadas Técnicas 2011 de ISACA Madrid

noreply@blogger.com (Antonio Ramos) — Tue, 18 Oct 2011 08:47:00 +0000

Es cierto, llevo missing unas cuantas semanas, soy culpable.

Pero prometo que no he estado de vacaciones. De hecho, me gustaría comentar que una de las actividades a las que he estado dedicado con bastante profundidad este tiempo: las Jornadas Técnicas 2011 de ISACA Madrid.

Este año, como novedad, las organizamos junto a otra asociación, el itSMF España que, por fortuna nos ha posibilitado organizar unas mejores jornadas, con muchos más medios y más recursos que ISACA Madrid en solitario. Estoy convencido de que es una unión muy interesante y el congreso que ha resultado, itgsmVISION11, va a ser de gran interés para una gran pluralidad de profesionales y va a generar unas posibilidades de networking sin precedentes en el sector.

El kif de la cuestión ha sido abordar esa colaboración sin perder la singularidad de nuestros asociados que esperan atender a unas jornadas donde se hable de auditoría de sistemas de información, de gestión de la seguridad, de control de riesgos y, por supuesto, de gobierno de las TIC, sin olvidar otros aspectos como el cumplimiento normativo y las nuevas legislaciones.

Para ello, los que hemos estado involucrados en la organización de las Jornadas confiamos en haber preparado un cocktail de interés:

Desde ISACA HQ, Derek J. Oliver nos avanzará todo lo que hay que saber sobre el nuevo Process Assessment Model y COBIT5.
Jesús Bermejo, de BANKIA, nos hablará sobre la experiencia de fusión tecnológica de 7 entidades financieras.
Elena Maestre (PwC) y Tomás Martín (CNPIC) nos contarán las implicaciones de la nueva Ley para la Protección de las Infraestructuras Críticas sobre las funciones de auditoría y seguridad.
Javier Berciano (INTECO-CERT), reflexionará, desde el conocimiento, sobre mejores prácticas y consejos para la gestión de incidentes.
Sobre gobierno de las TIC, tendremos dos aportaciones. Por un lado, Miguel García (AtoS) y la Comisión de Gobierno del capítulo informaran de sus avances y de las opciones de integrar el gobierno empresarial y el de las TIC.
Ramiro Mirones (Ernst&Young) nos demostrará que la auditoría continua es posible explicando algunas experiencias prácticas.
El primer día finalizará con Mario López de Ávila (nodos), profesor del IE, nos invita a reflexionar sobre la posibilidad de que dos conceptos aparentemente incompatibles como la agilidad y el riesgo, en realidad, no lo son tanto.
Luís Carro (Deloitte) comenzará el segundo día con una reflexión sobre las soluciones GRC y su aplicación en el entorno corporativo.
Finalmente, una mesa de debate entre CIOs, cerrará las Jornadas.

Lo mencionado aquí solo es una pequeña parte de las ponencias que habrá en el Congreso, solo os he mencionado las que hemos coordinado desde ISACA Madrid, pero podéis ver todo el detalle aquí.

Así que, después de todo este esfuerzo, espero veros los próximos 24 y 25 de octubre en el Hotel Holiday Inn.

... puedes seguirme en twitter.com/antonio_ramosga

Oslo, ¿un suceso evitable?

noreply@blogger.com (Antonio Ramos) — Wed, 27 Jul 2011 07:30:00 +0000

Imagen aérea de Utoya

Han pasado ya cinco días desde los desgraciados sucesos de Noruega y no salgo todavía de mi asombro de cómo puede ser que un ser humano haya infligido tanto dolor, no solo a otros seres humanos, sino a sus propios compatriotas y, además, jóvenes que no habían tenido tiempo casi de despertar a la vida...

Escribo esta entrada porque me gustaría compartir las tres o cuatro ideas que no se me van de la cabeza en relación a estos tremendos sucesos.

¿Se podría haber evitado?
Bueno, probablemente sí... ahora que sabemos lo que ha pasado seguro que somos capaces de identificar eventos, sucesos que deberían haber hecho disparar alguna alarma. Aunque no es menos cierto, como siempre recalca B.Schneier, que "los puntos son más fáciles de conectar después de los sucesos pero antes es prácticamente imposible": ¿No se controlan los elementos que permiten construir un artefacto explosivo?, ¿no se registran las adquisiciones de abono que pueden utilizarse para fabricar bombas? ¿no se...?

La pregunta que debiéramos hacernos sería, ¿qué precio deberíamos pagar para evitar sucesos tan extraordinarios? Hago esta pregunta porque utilizando modelos como el de zero trust (confianza cero - propuesto por un analista de Forrester), para evitar este tipo de eventos hemos de registrar y analizar la actividad de todos los individuos para detectar comportamientos "anómalos"... es decir, la aplicación de este modelo nos llevaría a un modelo de Estado - Gran Hermano que registra y controla la actividad de todos sus ciudadanos, vamos que, adiós a nuestra libertad. Sinceramente, no lo veo.

Otra vez, un cisne negro
Efectivamente, ¿quién, en su sano juicio, se iba a imaginar que algo como lo ocurrido podía suceder? Al margen de que la situación en Noruega fuera o no excesivamente relajada [yo no voy a entrar a valorarlo], si alguien hubiera dibujado este escenario y hubiera defendido que era necesario prevenirlo, o lo habrían despedido, o habrían desechado su protección por la baja probabilidad de ocurrencia.

Entonces, ¿qué podemos hacer para prevenir los cisnes negros? Bueno, me temo que no podemos predecir el futuro. Si hacemos caso al bueno de Taleb, solo nos queda "centrarnos en las consecuencias, no desperdiciar esfuerzos en tratar de estimar la probabilidad, y prepararnos para la siempre brusca aparición de un cisne negro". Es decir, ¿no estamos hablando de resiliencia?

Los insiders son los peores
Sabemos desde hace mucho tiempo que la mayor parte de los incidentes son originados por los usuarios internos, pero sucesos como los ocurridos nos lo enseñan de la manera más cruda posible.

Si sabemos que esto es así, ¿por qué no dedicamos más esfuerzos a concienciar a nuestros usuarios? ¿por qué seguimos invirtiendo en herramientas y descuidamos a los usuarios? Quiero decir, ¿cómo pretendemos evitar la fuga de información con herramientas informáticas cuando tenemos dentro de nuestra organización una masa laborar profundamente descontenta y totalmente desalineada con los objetivos de nuestra organización? [me temo que si quieren, van a encontrar la forma de saltarse las medidas]. En realidad, creo que conozco la respuesta: No queremos o no sabemos (o no nos interesa) invertir de verdad en las personas; el esfuerzo es mucho mayor en orden de magnitud que si instalamos una nueva herramienta.

¿No hay otra forma de enfocar el problema?
Creo que hay evolucionar en esto de la gestión de la seguridad... Hay demasiados indicadores que nos están empujando irremediablemente:

La realidad es, cada vez, más compleja.
El enfoque preventivo y basado en el cálculo de la probabilidad nos está dando demasiados disgustos.
Los individuos siguen siendo el eslabón más débil [el factor limitante, para los frikis de TOC].

En fin, necesitaba compartir lo que me bullía en la cabeza...

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

Estrategia Española de Seguridad. Un análisis ciber

noreply@blogger.com (Antonio Ramos) — Mon, 18 Jul 2011 08:10:00 +0000

Hace unos días se publicó la denominada "Estrategia Española de Seguridad. Una responsabilidad de todos" (pdf) como resultado del trabajo de un grupo liderado por Javier Solana (del que ya hemos hablado en algún momento aquí).

En mi opinión, un documento de obligada lectura (no llega a 100 páginas) para todos aquellos que, de una forma u otra, participamos de la industria de la seguridad, en su sentido más amplio. Más aún considerando el subtítulo del documento: Una responsabilidad de todos.

Sin lugar a dudas, es un documento que toca todos los palos y que dibuja una imagen del escenario actual muy acertada y que, sobre todo, nos centra en un contexto mundial que no podemos obviar en este tipo de análisis.

Dado su interés, me ha parecido oportuno realizar un pequeño análisis y destacaros lo que me ha parecido más interesante, desde mi perspectiva personal de seguridad tecnológica, o como podríamos denominarla, "ciber":

Se deja claro desde el principio que estamos hablando de un asunto en el que todos tenemos alguna responsabilidad. Aunque es algo que, más o menos, los profesionales de la seguridad tenemos claro, es importante que se deje claro desde el principio que la seguridad depende del eslabón más débil y que, dado el nivel de dependencia y de interconexión entre todos los actores sociales, los unos dependemos de los otros y al revés.
Se recalca el hecho de que es necesario un enfoque integral para poder afrontar los retos que nos presenta la seguridad. E integral en distintas dimensiones, en cuanto a los territorios y también, claro está en cuanto a los ámbitos de aplicación (es decir, que es necesario ahondar en la vía de colaboración entre las seguridades "lógica" y "física").
Se identifican 6 principios básicos: Enfoque integral, coordinación, eficiencia, anticipación y prevención, resistencia y recuperación e interdependencia responsable.
Se reconoce al ciberespacio como un ámbito más en el que hay que actuar y las ciberamenazas como uno de los riesgos principales, en línea con las estrategias de defensa de las naciones más avanzadas.
Para mejorar la seguridad en el ciberespacio se proponen como líneas de actuación: Fortalecer la legislación, reforzar la capacidad de resistencia y recuperación de las infraestructuras críticas (esto me suena a resiliencia) y fomentar la colaboración público-privada.
Finalmente, para su implantación propone nuevos órganos a crear en la Administración Pública. Concretamente, la creación de un Consejo Español de Seguridad, una Unidad de Apoyo en el Gabinete de la Presidencia del Gobierno y un Foro Social de Expertos como órgano consultivo.

Una vez comentados los aspectos relevantes, también querría daros mi opinión sobre algunos aspectos:

Me gusta el enfoque de "estar preparados para lo imprevisible", es decir, asumir los cisnes negros como habíamos comentado ya por aquí (esto se traduce en trabajar en la resiliencia de nuestros sistemas).
En cierta forma, parece adoptar también el manifiesto agile cuando dice "esta era de incertidumbre es también un tiempo de grandes oportunidades, si entre todos sabemos gestionarlas. [...] debemos afrontar el cambio con confianza, responsabilidad y eficacia".
Estoy de acuerdo en el enfoque de coordinar a los distintos agentes sociales para aumentar la eficiencia de las inversiones en seguridad [espero que sirva para evitar despilfarros como, por ejemplo, el de los 18 sistemas sanitarios distintos existentes en la actualidad].
Creo que la concienciación de la Sociedad es uno de los aspectos fundamentales para mejorar el nivel de seguridad y asegurar el éxito de la estrategia. Quizás este aspecto podría ser uno de los primeros en los que trabajar en la coordinación de los distintos agentes y mejorar la eficiencia en el uso de los recursos porque existen multitud de iniciativas inconnexas trabajando en este sentido. En cualquier caso, la coordinación no significa que alguien tenga el papel dominante, sino que los distintos actores encuentren su hueco en cada iniciativa a desarrollar... al menos, es mi punto de vista.
En mi opinión, cuando se habla de avanzar en el planeamiento conjunto de capacidades defensivas y utilizar y desarrollar las posibilidades existentes desde la Agencia Europea de Defensa (AED), no debe olvidar que también deben incluir el ciberespacio a la hora de desarrollar esas capacidades.
Un aspecto sumamente importante es el reconocimiento de que la capacidad de los Estados para resolver problemas globales es cada vez más limitada, por lo que es necesario cooperar con otros Estados y organizaciones internacionales. En este sentido, hay mucho trabajo por hacer, ¿os imagináis que se pudiera establecer un pacto de forma que las Fuerzas y Cuerpos de Seguridad del Estado estuvieran habilitadas para actuar contra cibercriminales que utilizaran servidores en un país extranjero para cometer cualquier tipo de delito contra nuestro país o compatriotas gracias a este tipo de acuerdos?
Al hablar de fortalecer la capacidad de los medios de alerta temprana, de nuevo, no debemos olvidar la dimensión ciber. En este sentido, es necesario trabajar en la coordinación de los distintos CERTs existentes a nivel nacional; en mi opinión, el Estado debe dar un paso adelante en este sentido y dotarse de los medios que garanticen esa coordinación (al margen de que pueden coexistir múltiples centros cada uno con su constituency.
En cuanto a las infraestructuras críticas, hay que darse cuenta de que, aunque es cierto que se está trabajando en este sentido a través del CNPIC, el foco se ha puesto en la prevención de los ataques intencionados (terroristas) pero no se garantiza que tengan sistemas redundantes e independientes de otras tecnologías y operadores. Por tanto, coincido con lo recogido en el plan de ampliar las líneas de acción establecidas en el Plan Nacional de Protección de IICC
Lógicamente me parece perfecto que se invierta más en tecnologías de seguridad y formación de personal especializado pero, dada la situación económica actual, ¿de dónde vamos a sacar los fondos para hacer la dotación presupuestaria correspondiente?
Para finalizar, me ha resultado muy interesante la elaboración de una Estrategia Española de Ciberseguridad como estrategia de segundo nivel destacada.

[Os pido perdón por la longitud de esta entrada]

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

Guía para cumplir con PCI DSS si usamos virtualización

noreply@blogger.com (Antonio Ramos) — Thu, 14 Jul 2011 12:46:00 +0000

El pasado 14 de junio, el PCI Council publicaba la segunda versión del suplemento informativo titulado "PCI DSS Virtualization Guidelines" (pdf) elaborado por el grupo de virtualización [como es lógico].

El documento está muy bien trabajado, a mi entender, y recoge los principales aspectos relacionados con esta tecnología. En concreto, la guía incluye:

Una descripción a alto nivel de lo que es la virtualización.
Cómo la virtualización afecta a la definición del alcance.
Los principales riesgos que supone su uso.
Recomendaciones a la hora de implantarla, tanto con carácter general, como cuando se mezclan entornos de distintos niveles de riesgo o afectados o no por PCI DSS.
Recomendaciones para entornos de computación en la nube.
Una pequeña guía para realizar una evaluación de riesgos en entornos virtuales.
Y finalmente, un repaso de cómo afecta la virtualización en cada uno de los 12 requerimientos del estándar (anexo).

Como decía, un documento muy bien trabajado, en el que no nos encontramos con grandes sorpresas y del que destacaría lo siguiente:

Lógicamente, si cualquier componente virtual está conectado o es parte del CDE (cardholder data environment), entonces el hipervisor también está dentro del alcance, de forma que si es una máquina virtual la que está en el alcance, tanto el sistema que la aloja como el hipervisor también deberían considerarse dentro del alcance.
A nivel de riesgos, la virtualización supone una nueva superficie de ataque que hay que considerar, además de añadir cierta complejidad que nos dificultará la implantación de algunas medidas de seguridad. En especial, la mezcla de máquinas virtuales con diferentes niveles de seguridad es un aspecto que tendremos que valorar con mucha cautela para no poner en riesgo nuestros sistemas.
En cuanto a las recomendaciones que nos proponen son las de esperar (evaluar los riesgos asociados a su uso, entender el impacto sobre el alcance, utilizar los menores privilegios y la segregación de funciones...), pero quizás habría que hacer énfasis en que incluye, cierta orientación para asegurar el hipervisor y las máquinas y el resto de componentes virtuales.
Para lo que denomina entornos mixtos (es decir, donde se mezclan componentes virtuales con diferentes requisitos de seguridad), básicamente, la recomendación es segregar. Pero segregar de verdad, entendiendo que no es tan sencillo como en entornos físicamente separados ya que, en algunos casos, por la propia naturaleza de este tipo de sistemas no será factible y nos veremos abocados a que todo este incluido en el alcance.
Respecto a la computación en la nube, el resumen sería depende. Depende del tipo de nube, de los servicios que se utilicen, etc. [muy en línea con el documento que elaboramos en el CSA-ES] En general, lo que nos viene a decir es que hay que definir muy bien quién se encarga de qué en relación a la seguridad (ver tabla al comienzo de esta entrada, también muy parecida a la que hicimos para el CSA-ES, por otra parte) y que recaerá sobre el proveedor esencialmente demostrar que se cumple con los requisitos del estándar puesto que el usuario no tendrá visibilidad sobre muchos elementos de la provisión del servicio, siendo prácticamente imposible en algunas modalidades cumplir (nubes públicas, por ejemplo).

En fin, un documento imprescindible dada la profusión de uso de la virtualización en las arquitecturas actuales.

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

Las fusiones y la incertidumbre

noreply@blogger.com (Antonio Ramos) — Thu, 02 Jun 2011 08:00:00 +0000

Hoy he tenido la oportunidad de escuchar a Jaime Anchústegi (CEO de Generali España) en los desayunos que organiza ESADE comentando su experiencia en la fusión de Banco Vitalicio y Seguros La Estrella.

He de reconocer que, al principio, me ha costado seguirlo: Demasiado tiempo hablando sobre Generali... (aunque supongo que es normal en los CEOs; les gusta hablar de "su libro")

Centrándonos en el tema de su experiencia en la fusión, me ha gustado su enfoque pragmático y nada dogmático. No han seguido el manual A o el B, han hecho lo que han considerado que tenían que hacer, lo que era mejor para ellos. Pero, sobre todo, me ha gustado su preocupación porque el proceso de fusión no generara incertidumbre (la incertidumbre provoca desconfianza y la desconfianza mina el compromiso de las personas).

Y sobre todo, me ha gustado que no lo ha contado "sacando pecho", sino como algo que había que hacer. Me explico: El día 0 de la fusión todo el equipo directivo sabía como iba a ser la compañía resultante, su puesto, sus funciones y su equipo... incluso los que no contaban, los que no tenían hueco, les había sido comunicado en una reunión personal con el propio Jaime...

Creo que en estos momentos, ha sido una buena lección para todos aquellos que se encuentran en procesos de este tipo (aunque está claro que no es lo mismo un proceso de fusión cuando uno quiere que cuando está obligado por las circunstancias y el momento viene dado) y que están generando tantísima incertidumbre en sus equipos humanos.

En definitiva, la preparación de la fusión es más larga, pero merece la pena el esfuerzo a cambio de evitar la incertidumbre generalizada en la organización durante el proceso de fusión.

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

El cloud computing y el futuro de los profesionales de la seguridad

noreply@blogger.com (Antonio Ramos) — Mon, 30 May 2011 09:00:00 +0000

Hace ya unos días (prácticamente un par de años) que Gartner "asustaba" a todo el sector con su predicción sobre el fin de los departamentos TIC debido al auge de la computación en la nube (ya sabéis, el cloud computing). Pues bien, hace unos días, y con motivo de la publicación del informe 'Cloud Compliance Report' (pdf) del capítulo español de la Cloud Security Alliance (CSA-ES) en el que he tenido la oportunidad de colaborar como editor y co-autor, estuve debatiendo con algunos conocidos sobre el impacto que puede tener la implantación del modelo de computación en la nube en los profesionales de seguridad.

La pregunta era: ¿Vamos a tener más trabajo en el futuro los que nos dedicamos a esto de la seguridad de la información? Básicamente, veo dos fuerzas. Una positiva, derivada del hecho de la creciente importancia de la información y de los negocios en Internet y otra, negativa (o al menos esa es mi opinión) derivada de la adopción de modelos de computación en la nube.

Como no tuve muchos adeptos, voy a tratar de justificar esta última. No es porque lo diga Gartner, pero coincido con ellos. Es decir, para una gran cantidad de empresas que utilizan infraestructuras, plataformas o incluso aplicaciones relativamente estándar, la computación en la nube les aporta indudables ventajas y esto hará que mucha de la capacidad de procesamiento se mueva de pequeños CPDs de estas empresas/organizaciones a los grandes CPDs de los proveedores de servicios en la nube y esto, en mi opinión, ocasionará también una concentración del trabajo de los profesionales de seguridad e, implicitamente, van a existir redundancias, solapes y economías de escala que harán que tengamos menos trabajo (aunque posiblemente, más interesante y de mayor volumen).

No sé, es mi opinión, ¿cómo lo veis vosotr@s?

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

Cambios en el programa ASV

noreply@blogger.com (Antonio Ramos) — Mon, 11 Apr 2011 09:00:00 +0000

Como había prometido el PCI Council en reiteradas ocasiones, finalmente el programa Approved Scan Vendor (ASV) ha sido modificado para incluir requerimientos de formación para empleados (al menos, dos [y al módico precio de $995/c.u BTW]) a partir del próximo 1 de junio de 2011 (ver nota de prensa en pdf).

En mi opinión, era una medida que se echaba en falta y que generaba inconsistencia con los QSA (aquí se notaba el diferente origen y enfoque de ambos programas), además de que el tema de los escaneos trimestrales se había convertido, como dice un amigo, en "el festival del humor": poca seriedad y rigurosidad y, sobre todo, poco valor añadido; un simple escaneo automático de puertos que se limitaba a contrastar vulnerabilidades típicas.

No digo que esta medida vaya a cambiarlo todo pero, al menos, abre la vía a un cambio de tendencia... ya que no establece otro tipo de condiciones en el programa que, a mi juicio, son necesarias:

Necesidad de validaciones por personal cualificado de cada escaneo (según la Guía del Programa, solo se habla de obligación de resolución de conflictos para vulnerabilidades con un CVSS igual o superior a 4).
Participación de personal formado del ASV en cada escaneo.

Desde luego, por el momento, lo que existe sin lugar a duda es una recaudación adicional por el PCI Council...

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

Sostres, El Mundo y la reforma del Código Penal

noreply@blogger.com (Antonio Ramos) — Thu, 07 Apr 2011 21:45:00 +0000

Hoy hemos asistido a una polémica tremenda (de hecho, ha llegado a ser 'trend topic') derivada del hecho de un artículo publicado en El Mundo que ha sido retirado con posterioridad por el propio medio.

Al margen de lo que me pueda parecer lo que ha dicho y escrito el sujeto en cuestión, me gustaría reflexionar sobre lo que podría haber pasado como consecuencia de la aparición de la responsabilidad penal de las personas jurídicas en la última reforma del Código Penal dado que, como ha reconocido el propio director del medio: "Han fallado los controles".

Según el nuevo artículo 31bis del Código Penal, "las personas jurídicas serán también plenamente responsables de los delitos cometidos [...] por quienes [...] han podido realizar los hechos por no haberse ejercido sobre ellos el debido control [...]", lo que se ha venido a denominar culpa in vigilando.

La verdad es que todo esto es fantasear porque, ni la supuesta apología de la violencia de género está recogida en el código penal, ni ninguna apología está entre los delitos que se pueden imputar a las personas jurídicas pero si no fuera así, la editorial de El Mundo podría tener que demostrar delante de un Juez si su sistema de control interno tuvo un fallo o si no contaba con el debido control para evitar ser condenada penalmente.

Como decía, es ciencia ficción pero, que duda cabe que se abre un nuevo escenario con la reforma del Código Penal, ¿verdad?

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?