Gobierno de la ciberseguridad

Gestión de incidentes y crisis, cuando el "MundoReal" impacta en primera persona.

noreply@blogger.com ((c) Javier Cao Avellaneda) — Sun, 22 May 2022 16:38:00 +0000

Este blog técnico siempre ha orientado sus contenidos a compartir conocimientos en la materia o comentar situaciones cotidianas analizadas desde la perspectiva de la seguridad de la información.

Sin embargo he descubierto que con el paso del tiempo, también ha puesto en valor su capacidad de dejar constancia en el tiempo de mi forma de ver las cosas e incluso de la evolución profesional desde que llevo recogiendo entradas hace más de 20 años ya. Es por tanto un blog-log de mi vida profesional y de mi evolución personal que describe mi historia y mis cicatrices.

Hacía tiempo que tenía abandonada esta parcela de mi vida pero, estas últimas semanas, he tenido la oportunidad de disfrutar de suficiente tiempo y serenidad para poder ordenar el trastero de los pensamientos. Lo que voy a describir en esta entrada está relacionada con el proceso de gestión de incidentes /crisis pero contextualizado al ámbito personal, explicando mi propia experiencia sobre lo vivido en estas últimas cuatro semanas y cómo contar con herramientas de nuestra disciplina me han sido muy útiles. En la vida es importante tropezar y aprender de las cicatrices que el cuerpo va recogiendo para evolucionar. Quizás contarlo y comentar lo que para mí han sido factores clave que han permitido llevar mejor este tipo de situaciones, permita a otros recoger algunas ideas que puedan aplicar en su caso concreto.

Esto además encaja con la última de las actividades del proceso de gestión de incidentes, en donde una vez finalizada la batalla, toca analizar, reflexionar y recapitular bajo la fase de "lecciones aprendidas". He valorado durante varios días hasta dónde llegar a ser transparente respecto a mis emociones... y lo que a continuación describo lo hago con conocimiento de causa. Comenzamos...

Gestión de incidentes de ciberseguridad.

La mejor propuesta de procesos y referencia principal la estableció "NIST 800-61 Computer Security Incident Handling Guide" allá por 2012. Las actividades del proceso quedaban establecidas en 4 fases principales, donde la primera de ellas era propia de diseño y el resto ya operativas cuando el incidente se produce. El siguiente gráfico muestra de forma sencilla estas actividades y simplifica de forma bella la propia naturaleza de estas actividades. Como puede verse, el feedback es constante, tanto entre las fases operativas (detección/analisis y contención/erradicación/recuperación) como entre las fases iniciales y finales (ajustes desde las lecciones aprendidas hacia el propio diseño del proceso para asegurar la mejora continua.

Todo esto cobra sentido cuando se identifica claramente que la toma de decisiones en un entorno dinámico sometido a incertidumbre debe basarse en un ciclo de gestión retroalimentado basado en el OODA LOOP.

Esta dinámica de trabajo permite en todo momento estar estudiando la información de entrada, obtener conciencia situacional para identificar riesgos, situación, respuesta de ajuste para minimizar consecuencias y respuesta para lograr variar o revertir los riesgos identificados.

Una vez realizada esta pequeña exposición teórica, ahora vamos a iniciar la reflexión más intima de cómo es posible emplear conocimientos de unas disciplinas en otras para obtener nuevos enfoques a la hora de resolver problemas. Es lo que denominamos Hibridación de disciplinas como base para la innovación que aplico constantemente que detecto algún patrón.

Contexto de situación.

Como pequeña descripción de contexto debo decir que estas dos últimas semanas (desde primeros de mayo de 2022 para contextualizar puntualmente el momento en el blog) estoy de baja por enfermedad. Aunque continuo en proceso de diagnóstico y valoración de daños, un virus no informático hackeó mi oído interno causando daños en el sistema del equilibrio y el sistema auditivo del hardware afectado (lado izquierdo) con degradación casi completa de la audición. Ello, acompañado de unos síntomas severos de vértigo que inutilizaban el sistema locomotor, la capacidad de mantener la verticalidad y andar de forma normal y generaban colateralmente una denegación de servicio del sistema digestivo que expulsaba cualquier solido o liquido que quisiera procesar. En resumen, una degradación completa que sólo me permitía estar en cama tumbado sin casi poder probar alimento durante 3 días. Vista la situación y su severidad, tuve que acudir a urgencias para una valoración del estado. En una primera visita, los síntomas eran severos y se empezó a administrar medicación inicial de contingencia para arrancar primeras fases del tratamiento y posteriormente al día siguiente, con una valoración también ya completa de la degradación del sistema auditivo izquierdo, se procedió al ingreso hospitalario inmediato.

El tratamiento requería dosis fuertes de medicación una vez al día y la realización de una prueba relevante de diagnóstico por imagen con el objetivo de analizar el estado de situación de la zona del oído interno (donde residen los huesos más pequeños del cuerpo humano) mediante resonancia magnética.

Como dato relevante, con 48 años en este momento, no había pasado todavía en mi vida hasta esta fecha una sola noche ingresado en un hospital. Mantenía una ficha en blanco como usuario de la sanidad española en atención hospitalaria. Por tanto, todo lo que iba a vivir desde ese momento en adelante era nuevo para mi, visto desde dentro y no desde la posición de acompañante que había sido siempre mi rol en estos temas.

El proceso de gestión de incidentes llevado al ámbito de la salud.

A continuación pretendo ir reflejando algunas reflexiones que estuvieron en mi cabeza en cada momento y que ayudaron a una mejor canalización de todo lo que estaba pasando. Esta es la experiencia que comparto por si puede ser de ayuda a cualquier que haya llegado a leer hasta aquí. No ha sido fácil valorar el coste/beneficio de mostrar esta parte tan intima … pero si en algo puede ayudar, merecerá la pena.

Fase de detección.

Todo comenzó con un pequeño pitido en el oído, no muy molesto y una sensación de atenuación del sonido. Inicialmente creí que podría ser suciedad en el oído y acudí al médico para que lo mirara. En el contexto temporal, esto fue el evento 0 situado en el tiempo el día 1 de mayo de 2022. Tras comprobación y revisión no se detecta nada pero si parece que hay una pequeña inflamación y me administran antibióticos para 5 días.

Esa misma noche, de madrugada, me despierto con gran sensación de mareo y angustia que provoca directamente tener que ir al baño a vomitar. El video que muestro a continuación simula perfectamente cómo veía todo al levantarme de la cama.

Tras llamar al médico de urgencias y administrarme medicación para el cese del vómito, al día siguiente de nuevo viene otro médico para valorar los nuevos síntomas y me proporciona medicación para el vértigo. Solo estaba tranquilo totalmente tumbado pero no podía ingerir alimento y casi nada de líquido porque enseguida lo volvía a vomitar. Según lo comentado por el doctor, en un par de días debía mejorar o habría que ver qué pasaba. Llega el miércoles, la cosa no mejora y la sensación de vértigo me impide andar con normalidad porque todo me da vueltas. Es en ese momento cuando noto ya de forma relevante una pérdida auditiva severa en el oído izquierdo y el acúfeno interno mucho más intenso. Consulto con mi hermano que es médico ( urólogo) y me comenta que ya hay que acudir a urgencias. La cosa no ha evolucionado y los síntomas ya no son algo llevadero. En este caso, contar con un asesoramiento especializado que valore los síntomas y establezca el nivel de urgencia fue esencial para atajar a tiempo los eventos detectados.

Como reflexiones respecto a la gestión de incidentes en esta fase de detección, es importante tener en consideración las siguientes cuestiones:

Inventariar cualquier situación o evento significativo que adquiera carácter de anómalo o de indicio o sospecha vinculable al incidente. En la fase de detección hay que tratar de reunir la máxima información que permita en la siguiente fase un mejor diagnóstico.
Tener o identificar criterios de severidad para decidir cuándo el incidente está evolucionando negativamente y va a requerir un escalado o una nueva valoración de la severidad. La toma de decisiones debe ser proporcional a los umbrales que se van identificando y debe estar clara cuál es la línea roja que activa la "contingencia" o "crisis". En mi caso, había síntomas que ya hacían necesario acudir a urgencias para escalar el diagnóstico de forma urgente y recibir una atención más especializada.

Fase de análisis o triaje.

El miércoles cuando me ven en urgencias me indican ya un posible diagnóstico rápido y comienzo con una medicación inicial de corticoides que es la forma de mitigar la inflamación que puede estar causando todo esto. Me citan a consulta al día siguiente para una valoración completa y la realización de una audiometría. Tenía dos dolencias simultáneas y no es habitual que se hubiera producido una pérdida de audición tan severa.

Al día siguiente la audiometría constata la merma auditiva tan acuciante del oído izquierdo y tras valorar la prueba me informan que tienen que ingresarme. Como el motivo principal es la administración de altas dosis de corticoides, me dejan ir a casa e ingresar por la tarde para ya pasar noche en el hospital. Como he comentado antes, hasta la fecha no había estado ingresado y empezará ahí un descubrimiento del funcionamiento del entorno hospitalario desde el punto de vista del paciente.

He de decir que el persona sanitario es de admirar. La vocación y entrega al trabajo, el trato al paciente, la humanidad para empatizar con las situaciones de cada uno forman parte de su día a día. En mi caso el trato ha sido en todo momento exquisito y sólo puedo estar agradecido a todos los que he conocido. Tenemos una sanidad que es un tesoro y que habría que mimar más.

El jueves por la mañana, tras unas primeras extracciones de sangre para la realización de analíticas completas, me indican que voy a estar con altas dosis de corticoides y que tienen programada por protocolo para la semana siguiente (miércoles 11, el día D), una resonancia magnética.

Con esta descripción de situación ya me hago una composición de lugar. Hay "evidencias" que me permiten saber cuál será el contexto de los próximos días aun sin todavía tener claro el diagnóstico. Hago inventario de "certezas" y valoro contexto y decisiones a tomar:

Voy a pasar al menos una semana ingresado. Hay que planificar la logística con la familia para que las rutinas habituales y el día a día de mis hijos sea impactado lo menos posible.
Las analíticas no tienen valores raros, salvo cuestiones relacionadas con la medicación. He de destacar aquí el papel que también ha tenido el acceso a los datos clínicos que permiten los sistemas de información del Servicio Murciano de Salud. Desde hace tiempo, tenemos vía aplicación movil o página Web acceso al portal del paciente. En este entorno, a través del servicio Ágora, el ciudadano tiene acceso a todos los informes y documentos clínicos que se van generando. Esto me permitía descargarme tanto las analíticas como los informes de valoración que me iban entregando en consulta. En cierta forma, iba pudiendo conocer resultados que luego los médicos me valoraban al pasar consulta. Esta accesibilidad ha sido un punto positivo a destacar.
La resonancia es una prueba clave para el diagnóstico. Hasta ese día no se podrá conocer la gravedad del asunto y por tanto, toca esperar. Este quizás fue el punto crítico, porque la "severidad del incidente" según resultado podría dispararse a niveles muy altos. Es aquí cuando aparece en escena la palabra "tumor, normalmente benigno" como posible origen de un brote tan severo e inmediato. Hasta ese día no se podrá saber si el origen está vinculado con ese diagnóstico.

Como reflexiones respecto a la gestión de incidentes en esta fase de triaje, es importante tener en consideración las siguientes cuestiones:

Es esencial valorar la situación en base a los "hechos confirmados" y las "evidencias reales". En mi caso había potenciales hipótesis que podrían llevarme a escenarios más complicados... pero adelantar acontecimientos y situaciones futuras no iba a sumar. Por tanto, cabeza fría y ajuste de la valoración de la situación a lo que es "cierto en el momento en el que se decide todo". Es en ese momento cuando recurro a uno de las imagen-fuerza que me acompañarán estos días. Importa el hoy y el mañana. El pasado sirve para retroalimentar conductas y aprender de errores.

Hay que asimilar rápido los cambios. El futuro no es como uno quiere sino como se presenta. Por tanto, es posible que tenga que convivir en el futuro con una merma auditiva. Tengo que empezar a valorar en qué va a afectar e iniciar los cambios que sean necesarios para poder convivir con esta nueva situación. Como acción inmediata ya he adquirido un nuevo monitor con altavoces y micro incorporado que ya no requiere utilizar cascos. Además al ser panorámico, minimiza el movimiento de cabeza y hace mucho más cómodo todo. Mi nuevo setup asegura una mayor ergonomía y comodidad en esta nueva situación.

En relación a la gestión de incidentes, implica que hay que valorar qué se tiene y qué se debe conseguir tener para tener mejores herramientas en las fases siguientes del incidente, donde habrá que poner la carne en el asador: "contención, erradicación y recuperación". Qué bien me había venido también leer recientemente el libro de Maite Moreno "Gestión de incidentes de ciberseguridad" porque había repasado recientemente todas estas actividades. Yo conozco perfectamente la norma de referencia ISO 27035 porque en Govertis soy formador en esta materia. Doy clases de gestión de brechas de seguridad en los cursos a DPD de la certificación DPD de AEC y también he ido profundizando en la materia para dar soporte en consultoría tanto al diseño de procedimientos de gestión de incidentes/crisis como a ejercicios de escritorio Table Top Exercise (TTX) de los que ya he diseñado y ejecutado varios simulacros para organizaciones muy relevantes del ámbito nacional de sectores tan críticos como el energético o el financiero. Este "expertis" me estaba dando herramientas intelectuales de gestión de la situación de un valor incalculable. A esta mochila profesional tengo que añadir que en mi época universitaria también fui educador de los scout y tuve que enfrentarme a un par de accidentes severos con evacuaciones de emergencia que me hicieron ver cómo en situaciones de crisis, en vez de caer en pánico, surgía de mi una serenidad y una tranquilidad para tomar decisiones que no imaginaba poseer. Estas "soft skills" que no se enseñan, son capacidades que en ciertos momentos hacen muy diferente a las personas y sus reacciones.

Comunicar la situación a partes interesadas directamente afectadas. Esta es una actividad de gestión del incidente que discurre en paralelo a las acciones técnicas de valoración y toma de decisiones pero "ESENCIAL" durante todo el proceso. Tal como se determina en la norma de gestión de incidentes, es necesario realizar un inventario de "partes interesadas" y tener claro para cada una de ellas los siguientes puntos:

Expectativas de comunicación y frecuencia de contacto.
Canales de comunicación a emplear.
Mensajes

En este caso, tuve de nuevo un golpe de suerte. El hospital es universitario y tenía desplegada la red Eduroam, por lo que tenía internet sin límite mientras estuviera ingresado. No me iba a faltar ancho de banda. Por ese motivo, me llevo la Tablet de mi hija al hospital que me permite tener aplicaciones de ocio y televisión pero la suite O365 para tener acceso a Teams y correo y poder seguir participando de algunas cosas que estaban en curso o apoyando a compañeros al menos en reuniones. Todo ello con la prudencia adecuada de evitar que estos comportamientos pudieran agravar la situación, pero no me habían contraindicado nada al respecto. Además estar activo me mantenía distraído e hizo que los días jueves, viernes, lunes y martes pasaran más rápido. Tenía la cabeza ordenando cosas del trabajo y la vida aprovechando la pausa forzada.
Respecto al inventario de partes interesadas, era fácil:

Familia: mis hijos fundamentalmente tenían que ver la situación como algo temporal, incomodo pero poco relevante. Debían verme como siempre pero sin poder tener contacto presencial. Por suerte hoy en día con la videollamada y la mensajería, el contacto es continuo y la "sensación de proximidad" puede ser tan intensa como se quiera.
Jefes y compañeros: trasmitir la potencial duración de la situación para que se tomaran medidas de ajuste y mucho optimismo porque estaba todo controlado. En este caso además, recibía el apoyo tanto de ellos como de los compañeros con los que tenía interacción.

En relación al uso de la tecnología, hay que maximizar los beneficios que nos proporcionan nuestros nuevos medios y las posibilidades que permiten de jugar con ellos. Para quitar hierro al asunto cuando hablaba con mis hijos (11 años) siempre usaba las capacidades de Facetime para gastarles bromas durante la conversación. Las situaciones no son realmente como ocurren sino como se perciben y el humor es una varita mágica que hace maravillas en este aspecto. El canal puede complementar al mensaje y condicionan mucho la percepción de lo que está ocurriendo.

Fase de contención, erradicación y recuperación.

Actualmente puedo decir que estoy en esta fase. Todavía tengo pendientes, en esta semana que entra, el paso por consulta para la realización de nuevas pruebas de valoración de la audición que proporcionará nueva información. En concreto, se identificará si hay una situación de estancamiento o de mejora y los siguientes pasos. En cualquier caso, en estos momentos lo importante es, de forma proactiva, hacer todo aquello que pueda suponer una mejora o permita avances en la recuperación. La actitud a mantener, dosificando fuerzas es siempre de ir subiendo escalones... porque con el tiempo, la distancia recorrida será mucha.

Como reflexiones respecto a la gestión de incidentes en esta fase de contención, erradicación y recuperación, es importante tener en consideración las siguientes cuestiones:

Identificar los roles a involucrar en donde cada miembro sume su máximo potencial. No todos tenemos capacidades para todo tipo de actividades pero repartiendo bien los roles, se cubren muchos frentes y cada miembro del equipo de respuesta frente a incidentes (ERI) o gestión de crisis (Comité de crisis) puede aportar. Las capacidades requeridas en estos equipos son muy variadas:

Capacidades técnicas vinculadas al tipo de incidente y los conocimientos necesarios para tomar decisiones sobre las actuaciones de contención, erradicación y recuperación.
Capacidades de gestión y tomas de decisiones.
Capacidades de comunicación.
Capacidades de realizar el seguimiento y registrar a modo de bitácora lo que va aconteciendo para posteriormente tener claro el time line del incidente.
Capacidades de motivación y coordinación para gestionar al equipo, su cansancio y su descanso.

Tener claro los criterios que deben priorizar la toma de decisiones en cada momento:

Contención: cortar la hemorragia, resolver el problema o lograr minimizar tanto el tiempo de daño como sus consecuencias. El foco en esta fase se sitúa en parar cuanto antes la causa de daño. Cuando el incidente tiene naturaleza de "one shot", es decir, el impacto inicial es inmitigable, la contención en estos casos debe velar por poder contrarrestar los efectos negativos del incidente. En seguridad de la información, cuando hablamos por ejemplo de "fugas de datos" donde el daño se vincula a la confidencialidad, no existirá reparación posible. Lo que habrá en estos casos que valorar es la viabilidad, si fuera posible, de revertir o hacer caducar la información filtrada para que su impacto sea menor. Esto por ejemplo aplica en fugas de contraseñas o hashes donde el valor de la información lo proporciona la propia información pero ésta puede ser renovada o hacerla caducar.
Erradiación: el foco aquí se centra en observar qué respuesta van teniendo las acciones que vamos tomando y si vamos logrando que la situación esté controlada y empecemos a revertir los daños. Según la naturaleza del incidente, en erradicación lo que buscamos es tratar de eliminar el origen y limpiar los entornos afectados haciéndolos llegar a un "estado de confianza" anterior al incidente que permita pasar a la fase de recuperación con garantías de no volver un paso atrás o con la tranquilidad de que el agente agresor ya no tiene control o posibilidad de acceso al entorno afectado.
Recuperación: con las fases anteriores ya finalizadas, en este momento se inicia la normalización al momento anterior al incidente para dejar las cosas como al principio. De nuevo, según la naturaleza del incidente, las acciones técnicas a realizar permitirán mas o menos lograrlo. Estará también esta fase condicionada por los resultados de las medidas preventivas y de recuperación que hayamos desplegado de forma previa y la fiabilidad de sus resultados. En esta fase es esencial la adecuada estrategia de backup que la organización hubiera establecido y sobre todo, las garantías de que este proceso fuera fiable y contara con garantías que eviten llegado a este momento, que lo que era una salvaguarda se convierta en un fracaso que aumente el impacto inicial del incidente. En muchos casos de ransomware el drama no llega cuando se detecta la afectación sino cuando se descubre que el backup está afectado y no podrá ser utilizado como salvaguarda.

Fase de lecciones aprendidas.

Finalmente, una vez acaba la batalla, pero sin dejar excesivo tiempo para el olvido, es importantísimo hacer el ejercicio de revisión y valoración de todo lo ocurrido. Es en parte el objetivo de todo esto que he escrito hasta aquí, y la forma de pasar página saliendo más fuerte. Cuando imparto formación en gestión de incidentes y la transición a crisis, me gusta siempre comenzar con esta imagen que describe bien lo que debe significar "lecciones aprendidas". En japonés crisis tiene dos símbolos con palabras que parecen antónimas: peligro/oportunidad. No había identificado hasta ahora lo cierto y relevante que es la palabra "oportunidad" vinculada a crisis. Como se suele decir, todo tropezón supondrá heridas... pero lo peor de todo sería no aprender.

La fase de “lecciones aprendidas” es de feedback completo sobre todo lo establecido y de identificación de desviaciones o ausencias relevantes que hayan podido condicionar la correcta ejecución. Es por eso que la flecha de feedback va desde "lecciones aprendidas" a "preparación", porque es en esa fase donde se realiza el diseño de todo el proceso y se describen todas las actividades del resto de fases.

¿Qué cuestiones se deben revisar en lecciones aprendidas?

El objetivo es garantizar que una siguiente ejecución tiene como punto de salida una mejor capacidad de respuesta a partir de lo ya ocurrido e identificado. ¿Qué puntos se deben tratar?

Cuestiones vinculadas al proceso, la coordinación y la comunicación:

Definición de roles, asignación clara de responsabilidades, localización de las personas, protocolos de coordinación.
Revisión de actividades: En este caso, si se puede segmentar el análisis en las fases de gestión. Valorar qué hay que cambiar o mejorar respecto a:

Detección.
Análisis y valoración.
Contención
Erradicación
Recuperación

Cuestiones técnicas:

Valoración de herramientas: necesidades detectadas que no están cubiertas, entornos o herramientas que habrían supuesto una ayuda de haber podido contar con ellas.

Como vemos, esta fase debe generar un informe final de ajuste que permita la retroalimentación hacia todas las fases existentes realizando ajustes frente a desviaciones o ausencias de criterios o de oportunidades de mejora para limar fallos. A lo largo de este post me he ido ayudando de Liz Fosslien, una dibujante que tiene la capacidad de mostrar desde la sencillez los pensamientos clave que hacen robusto el proceso de mejora y superación. Tengo pendiente adquirir su libro porque como habréis podido comprobar, sus ilustraciones tienen una "energía de comunicación brutal". Para que la podáis tener localizada, esta es su web.

Toca terminar con esta imagen que también resumen bien todo lo anterior. En situaciones difíciles solo tenemos dos caminos: el bloqueo o pánico o la reacción serena para coger al toro por los cuernos y tratar de evolucionar para salir del agujero. No vas a poder cambiar los hechos pero si puedes controlar el cómo los vayas a afrontar.

Tener unos pilares fuertes, una "familia" que actúa como red de cobertura y apoyo que hace fácil lo difícil y tratar en cada momento de sumar al máximo son las claves del éxito. En mi caso, todo ha sido viento a favor que ha hecho todo más llevadero... y ha generado una dinámica positiva que ha contribuido a acelerar para bien todo.

Espero que esto sirva para dar herramientas a quien en algún momento se vea en situaciones parecidas o extrapolables a la experiencia contada. Nos gusta pensar que andamos por la vida atravesando grandes avenidas pero en realidad, cada paso que damos siempre lo hacemos en una cuerda floja. De repente la vida nos pone en contexto y nos hace ver "lo anómalo que es la tranquila normalidad que vivimos cada día".

La vida nos fuerza en muchas ocasiones a parar. Con cierta sabiduría, creo que las cosas no pasan por azar sino que llegan en momentos que es necesario detenerse a reflexionar. En mi caso, estas tres semanas han sido de auditoría interna del camino recorrido y ha sido gratificante ver que solo hay “oportunidades de mejora” pero ninguna desviación ni no conformidad. Estoy donde quiero estar, con todo en su sitio y equilibrado. Hace días Bernardo Quintero escribía una frase que suscribo, “la vida me ha enseñado que se puede perder ganando y ganar perdiendo”. A lo largo de mi carrera profesional he tomado decisiones donde lo familiar o personal ha primado sobre lo profesional. Decidí salir de Madrid cuando no compartía ese ritmo acelerado de vida con mi carácter, salir de Almería trabajando para una entidad financiera y aterrizar en una pyme para montar el area de seguridad de la información. Ahora, disfruto de mi ciudad, un entorno tranquilo donde mis hijos tienen sus rutinas, van a mi mismo colegio y tienen un ambiente adecuado. Estas cosas no tienen precio… pero sigo trabajando en lo que me gusta, con cada día más vocación y pasión y ahora, en Govertis/ Telefónica Tech con proyectos increíbles de altísima complejidad que jamás habría podido soñar tener y sin salir de casa. Hay que valorar lo que se tiene y disfrutarlo. Como dice el proverbio popular "No hay paraíso hasta que se ha perdido".

Gobernanza de la seguridad.

noreply@blogger.com ((c) Javier Cao Avellaneda) — Fri, 11 Feb 2022 11:17:00 +0000

Tras una racha muy larga, excesivamente extensa, vuelvo a crear una entrada en mi añorado blog. La vida no da para todo, y hay que saber dónde hay que poner el foco en cada momento. Mis últimos años laborales han sido y son intensos, con una dedicación importante que lleva a tratar de compensar a "los míos" en el tiempo libre. Eso supone abandonar ciertos "hobbies" que me permitían reflexionar y compartir al público las cuestiones que consideraba de interés.

En menor medida, (también me estoy quitando), mi canal de Twitter @javiercao si mantiene esa afición. Bueno, lo que me ha motivado a crear una nueva entrada en el blog es la publicación esta semana de un magnítico documento del CCN-CERT, del Centro Criptológico Nacional (CCN), que ha publicado en su portal el informe “Aproximación al marco de gobernanza de la ciberseguridad”.

A lo largo de 47 páginas, se detallan los elementos clave para establecer el marco de gobernanza de la ciberseguridad. Cabe recordar que la gestión de la ciberseguridad requiere de un marco de gobierno en el que se designen a los organismos o unidades responsables de dicha gestión y se definan claramente sus competencias en este ámbito, que deberán ser conocidas por toda la organización.

No existen demasiadas referencias tan claras respecto a las distintas capas que conviven en un área de seguridad. En mi carrera profesional siempre me he situado en la problemática vinculada con el "Gobierno y gestión" y poco (al principio si me tocaba cacharrear) en la capa operativa. En cualquier caso, siempre es bueno tener claro que en este campo de batalla, hay múltiples frentes y la toma de decisiones se encuentra estructurada y jerarquizada.

El documento propone un modelo básico de referencia para el gobierno de la seguridad.

Descarga:

https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/6431-aproximacio-n-al-marco-de-gobernanza-de-la-ciberseguridad/file.html

CISO y DPO, más que amigos en casos de incidentes.

noreply@blogger.com ((c) Javier Cao Avellaneda) — Sun, 11 Jun 2017 18:05:00 +0000

La aprobación del RGPD (o en ingles GDPR) está planteando, sobre todo en las organizaciones que no pertenecen a la zona Euro y que por tanto no tenían legislaciones en materia de protección de datos, una actividad intensa para este 2017 que será el año de la adecuación. Sorprende ver qué hay más interés y análisis del tema en el extranjero que en nuestro país. Aquí, la maltrechada LOPD, vista como una ley de segunda división, está lejos de alcanzar las cotas de cumplimiento que debieran ser razonables.

Es evidente que la protección de datos de carácter personal es ya vista por muchos modelos de negocio como una ventaja competitiva. Los continuos escándalos relacionados con fugas de información y el alto coste reputacional que ha tenido para muchas de las empresas afectadas ha podido servir para valorar el papel que juega la privacidad. Además, contribuye a ello que la percepción del usuario final sobre las consecuencias que tiene una inadecuada protección de sus datos.

La jueves pasado tuve la oportunidad de poder explicar, en el V Congreso APEP la problemática de la notificación de las violaciones de seguridad y una de las cuestiones que surgió en el turno de preguntas fue precisamente las casuísticas de la toma de decisiones entre DPO y CISO y los posibles conflictos.

En mi modesta opinión, creo que en empresas grandes, ambas figuras van a ser necesarias y complementarias. Cada uno aporta una visión distinta de un mismo problema y por tanto, deben contar con voces propias dentro de un comité de gestión de crisis.

El CISO aporta a ese comité el conocimiento interno de las medidas de seguridad que están implantadas, un detalle de los problemas que puedan existir (Fruto de actividades como los pentesting que se hayan contratado, las tareas de auditoría interna o bien la gestión de vulnerabilidades propia de la organización).

Por su parte, el DPO aporta a ese comité un conocimiento de los distintos tratamientos de datos que se llevan a cabo en la compañía, los niveles de riesgo identificados y una estimación de las consecuencias que pueda acarrear en materia de protección de datos. El DPO, por la condición que tiene el cargo, será el interlocutor en caso de incidentes, con la Agencia Española de Protección de Datos y debe ser el responsable de recabar la información establecida por el Art. 33 respecto a la notificación de las brechas de seguridad.

Como ya comenté en el monográfico dedicado al nuevo reglamento en el día de la protección de datos del 2016 para APEP, la notificación de las violaciones de seguridad supone un proceso de gestión de incidentes maduro.

Existen diferentes criterios que pueden ser válidos. Vamos a ver los tres más importantes.

NIST.
Descrito en el documento 800-61 Computer Security Incident Handling Guide, como siempre, los americanos adoptan un esquema de funcionamiento muy pragmático y que resuelve de forma completa pero sencilla el problema que abordan. Este proceso de gestión de incidentes se centra en las siguientes fases que muestra este gráfico.

ENISA.

Es un ciclo con mas fases y que detalla el documento Good practice for incident management. El ciclo está mas detallado y contempla fases como el triaje para la valoración de acontecimientos y la respuesta proporcional en función de varios parámetros: tipo de evento, severidad, área afectada, etc.

ISO 27035.

El estándar unifica criterios y establece las fases comunes que deben ser planteadas dentro de un proceso de identificación y gestión de incidentes.

En todos estos marcos de trabajo es necesario destacar la importancia que tienen las lecciones aprendidas. Se puede tropezar una vez, pero si ocurre, es muy importante aprender para que no vuelva a suceder lo mismo sin haber incorporado alguna mejora.

En cualquier caso, cuando se sospecha que un incidente puede estar ocurriendo o ya ha ocurrido y se está en fase de contención y respuesta del mismo, CISO y DPO juegan en el mismo equipo y su única misión es lograr minimizar en la medida de lo posible, los daños o impactos que pueda causar la brecha de seguridad. En situaciones de contingencia no se está para discusiones internas ni para medir egos. En esos momentos lo primero es salvar al paciente y posteriormente ya se harán los análisis que correspondan para que en las lecciones aprendidas se determinen nuevas decisiones o cambios que afecten al proceso de gestión de incidentes.

El CISO en caso de incidentes será quien tenga que llevar la voz cantante respecto a qué mejoras o medidas paliativas se pueden incorporar para que la crisis se resuelva. Al DPO le debe tocar valorar si con ello, el incidente en materia de protección de datos, se subsana o si se requiere alguna acción más. Además, debe valorarse si además de informar a la Autoridad de control, se requiere la notificación al afectado (válida como respuesta en aquellos casos en donde sea prioritario hacer caducar la información filtrada para que pierda vigencia como los casos donde se filtran usuario y contraseña).

Como creo haber explicado, CISO y DPO son dos remeros de un mismo barco que además deben trabajar coordinados y juntos cuando se trata de salir de una brecha de seguridad.

Ciberseguros, un complemento a la gestión de la seguridad.

noreply@blogger.com ((c) Javier Cao Avellaneda) — Wed, 04 Jan 2017 12:47:00 +0000

El presente post es una extensión de una conversación surgida en un hilo de Whatsapp sobre este tema y que creo, conviene explicar de forma más extensa.

Ya el año pasado, algunas de las aseguradoras empezaron a ofrecer a ciertos clientes la posibilidad de contratar ciberseguros frente a los riesgos tecnológicos que preocupan en muchas organizaciones. Tal como explica el documento de Thiber, un monográfico sobre ciberseguros que recomiendo leer, existe una preocupación general por parte de las empresas sobre cómo gestionar la incertidumbre que genera la inseguridad informática. Según el sector y la regulación, las consecuencias son diversas y por tanto, la necesidad de poder hacer frente a estas situaciones se hace más compleja.

Antes de entrar en materia, voy a tratar de contextualizar un poco el proceso de toma de decisiones en materia de gestión del riesgo tecnológico.

Hasta la fecha, un CISO ha contemplado como marco de trabajo el desarrollo de las estrategias de seguridad pensando en la construcción de medidas de protección que den buenos resultados. En este contexto, la utilización de estándares y buenas prácticas como ISO 27001 han sido las opciones más habituales por aquellos que se han preocupado por robustecer su posición en materia de seguridad. Además, la regulación en general también ha establecido e impuesto unos mínimos controles operativos que han tratado de obligar a la puesta en marcha de aquellas medidas de protección consideradas básicas para lograr mitigar los riesgos más preocupantes. Este ha sido el enfoque por ejemplo de la legislación en materia de protección de datos de carácter personal o las normas PCI-DSS para la protección de información sobre medios de pago.

Bajo el prisma de la gestión, el rol del CISO hace de puente entre la Alta Dirección (cuyo rol es la toma de decisiones) y la parte operativa (cuyo rol es la aplicación de las medidas y su monitorización). El CISO por tanto debe fundamentar su trabajo en revisar los resultados obtenidos por las medidas y las métricas de eficacia implantadas para modificar los niveles de riesgo y comunicar a la Alta Dirección los resultados obtenidos y los efectos sobre los umbrales de riesgo gestionados.

Esta jerarquía en la toma de decisiones queda muy bien explicada en el NIST Cybersecurity Framework, una referencia para el gobierno de la seguridad que hay que tener en mente siempre. En este documento, podemos encontrar los diferentes ciclos de información y retroalimentación que implica la gestión operativa del riesgo tecnológico.

Quienes tienen construido un adecuado marco de gestión de la seguridad saben que el RIESGO es el elemento central de la toma de decisiones. En la fase de análisis, la organización debe ser capaz de identificar los diferentes elementos que determinan el estado de la seguridad de la información de una organización como ilustra mi siguiente gráfico.

El CISO, como experto en la materia, debe establecer para cada escenario de riesgo qué opciones de gestión son planteables y proponer a la Dirección unas determinadas acciones (Proyectos o actuaciones dentro del plan de tratamiento de riesgos) que tengan por objetivo llevar los niveles de riesgo a unos umbrales aceptables por la Dirección. En cada caso, según el tipo de medida y su estrategia, se centrarán en la identificación, prevención, detección, respuesta o recuperación frente a incidentes. De nuevo el NIST Cybersecurity Framework nos sirve para identificar qué decisiones son las más adecuadas en cada caso y qué estrategia de mitigación del riesgo nos resulta más viable poner en marcha para poder satisfacer las necesidades de negocio. Los ciberseguros entran, dentro de este marco, como una opción dentro de la función de respuesta (Cuando hacen frente al proceso de respuesta frente al incidente y suministran apoyo o cobertura) o recuperación (Cuando hacen frente a indemnizaciones, gastos o multas una vez los daños ya se han producido).

Como ya se ha dicho en este blog más de una vez, las opciones de gestión de riesgo son solamente cuatro: Aceptar, evitar, reducir o transferir. En aquellos casos en dónde estamos incorporando medidas de seguridad, nuestra opción pasa por la reducción de riesgos. Es frecuente también que la opción de evitar los riesgos no sea viable por suponer el cese de la actividad que genera riesgo y eso no ser aceptable por parte de Dirección. Por poner un ejemplo claro, en una organización dedicada al e-commerce no es una opción frente a riesgos vinculados a una intrusión informática el no disponer de la Web como canal de venta. Ese riesgo deberá contar con cualquier otra medida pero no con una que suponga el cese del propio negocio, obviamente.

Cada escenario de riesgo tiene un contexto diferente y plantea unas hipótesis de impacto a la organización concretas que deberá valorar. Influye mucho en las opciones de tratamiento y su viabilidad el tipo de organización, su cultura interna, su modelo de negocio, su sector y las regulaciones establecidas. Vamos a ver en el siguiente apartado qué papel pueden desempeñar los ciberseguros.

Los ciberseguros como una opción de transferencia de riesgo.

Las empresas dedicadas a los seguros tienen como misión la gestión de la incertidumbre que plantean determinados eventos y su modelo de negocio se fundamenta en el análisis de las estadísticas y un conocimiento profundo de las probabilidades para ganar dinero con ello. Cada tipo de seguro se diseña para la protección frente a determinados sucesos y establece unas condiciones aseguradas (en cuyo caso el asegurado percibe unas indemnizaciones por daños según criterios de estimación pactados y tasados por peritos) y unas exclusiones (condiciones que si el asegurado no cumple, permiten al asegurador no hacer frente a las consecuencias del suceso).

Teniendo esto claro, los ciberseguros tienen una juventud relativa que hacen que todavía los modelos estadísticos no sean lo suficientemente maduros como para poder calibrar y pronosticar bien escenarios futuros. Por este motivo, las pólizas de contratación de este tipo de seguros suponen una declaración previa por parte de la organización que pretende contratarlos de qué nivel de madurez en materia de gestión de la seguridad ha conseguido implantar.

Es normal que la empresa aseguradora, que hará frente a los daños, quiera saber en qué medida el cliente potencial puede o no ser víctima y cual es su exposición a riesgos tecnológicos. En función de ese nivel de madurez, la aseguradora ajustará la prima del seguro (la cuota fija que debe pagarse por parte del asegurado para gozar del nivel de cobertura frente a incidentes deseado). Obviamente, cuanto mayor nivel de seguridad y madurez demuestre la empresa que quiere contratar el seguro, menor será la póliza exigida por la aseguradora. Es evidente que quien se protege bien tiene menos probabilidades de ser víctima, y por tanto, la aseguradora exigirá menos cuota por la póliza.

Una de las reflexiones del monográfico de Ciberseguros de Thiber va en esta linea. El hecho de que entren las diferentes aseguradoras a ofrecer este tipo de productos tiene como beneficio general (Siendo muy optimistas respecto a cuál debe ser la cultura de sus potenciales clientes) que las organizaciones van a tener que robustecer sus políticas de seguridad de la información para poder satisfacer algunos de los requisitos que estas empresas aseguradoras entienden como mínimos para poder contratar, ya que el proceso de contratación requiere a sus clientes el cumplimiento de unas cautelas mínimas de ciberseguridad como condición sine qua non para la contratación de las pólizas.

Por tanto, lo primero que hay que tener claro es que para que la aseguradora nos respalde, nosotros deberemos haber garantizado un nivel adecuado de protección según lo que declaramos en el momento de la contratación, suponiendo que todas las medidas que decíamos tener han sido efectivas. De hecho, las aseguradoras normalmente incluyen en el contrato que sea una peritación realizada por ellas las que valore qué ha sucedido y qué dosis de responsabilidad ha podido tener el cliente en el incidente.

Los ciberseguros son una opción interesante de transferencia de riesgo para las siguientes casuísticas:

Situaciones donde los daños son difíciles de cuantificar o haya que hacer frente a indemnizaciones, sanciones o multas de terceros que no se pueden valorar a priori pero que son adecuadamente cubiertas por las establecidas por la póliza.
Situaciones donde se quiere contar con la capacidad externa de asumir costes por incidentes pero que en vez de aprovisionar fondos de reserva, se quiera contar con el respaldo de la aseguradora.
Situaciones donde la prestación de servicios de la organización requiera por parte de sus clientes potenciales, disponer de seguros como estos para que queden tranquilos y contemplen este tipo de seguros como un factor diferenciador respecto a la competencia.

Los ciberseguros no son una opción suficiente cuando se aplican a escenarios de riesgo que tienen un impacto directo en el core de nuestros servicios de negocio. Por ejemplo, si el incidente es una fuga de información de datos de nuestro área de I+D+i, las indemnizaciones no van a reparar el daño a la compañía dado que nuestros "secretos" han dejado de serlo y van a permitir a potenciales competidores beneficiarse de todo nuestro esfuerzo a mucho menor coste. Si el incidente supone la fuga de datos de clientes, podrá hacer frente a sanciones pero no podrá servir para recuperar la reputación o credibilidad ya que los daños si se han producido y el seguro sólo REPARA.

La letra pequeña de los ciberseguros.

Como hemos comentado al principio, el objetivo de toda aseguradora es ganar dinero a base de su conocimiento sobre estadísticas y probabilidades. Todo seguro por tanto, en la fase de contratación, debe dejar claro en qué hipótesis iniciales deben basarse esos cálculos y qué exclusiones no quedarán cubiertas.

Respecto a las hipótesis iniciales, los ciberseguros normalmente incluyen cuestionarios de valoración del nivel de gestión y madurez de la seguridad. Para ello, como es normal, debe preguntarse por todo tipo de medidas de seguridad y se debe valorar y calibrar su adecuado funcionamiento. Es fundamental entender por parte de la entidad que quiere contratar que mentir aquí no tiene sentido, puesto que en caso de incidente, la aseguradora podrá en la peritación o en el análisis forense encontrar que las premisas iniciales no eran ciertas y por tanto, no hacer frente a las indemnizaciones por posible fraude.

También es esencial entender bien lo que figuran en los apartados de exclusiones. Este tipo de secciones en los seguros sirven para marcar las rayas rojas por parte de la aseguradora respecto a lo que SI que respaldan y lo que NO. Por tanto, todo lo que son exclusiones son zonas no cubiertas y por tanto, escenarios de riesgo de nuestra organización que no han sido transferidos.

En estos apartados figuran siempre declaraciones respecto a lo que se entienden como "Actos deshonestos y fraudulentos y deliberados del asegurado" o "Responsabilidades asumidas por contrato o acuerdo".

En un ciberseguro que he tenido que analizar (Y que tuve que leer varias veces), una de las exclusiones hacía referencia a cualquier incidente informático ocasionado por una vulnerabilidad técnica conocida y no resuelta por el cliente. Es decir, la aseguradora no se hacía cargo de aquellos casos de intrusión en donde el atacante explote vulnerabilidades que tienen parche disponible pero que no ha sido instalado por la organización. Si realizamos un análisis técnico de dicha afirmación, lo que la aseguradora sólo cubre son los incidentes ocasionados por vulnerabilidades "Zero-day". Sin embargo, las estadísticas revelan que en un alto porcentaje de los incidentes más serios, las causas siempre son originadas por sistemas sin parchear.

Consejos para la contratación.

Para finalizar este extenso post, como recomendaciones generales para utilizar este tipo de productos, creo necesario considerar los siguientes puntos:

Implicar al área de TI en la toma de decisiones y al personal de seguridad de la información si lo tiene.
Identificar bien qué compromisos asume el asegurado para gozar de la cobertura contratada.
Analizar bien las exclusiones para tener claro qué escenarios de riesgo no se incluyen en la póliza.
Valorar si las indemnizaciones, junto con las franquicias a pagar en cada caso, suponen de verdad el apoyo necesario en caso de incidente.

Todo cliente, por mucho marketing que le hagan o muchos cantos de sirena que pueda escuchar de comerciales debe tener claro lo que el ciberseguro NO ES:

No servirá de nada si usted no goza de unos niveles de protección básicos y no cumple sus compromisos respecto a la eficacia de las medidas. Si ocurre un incidente que podía evitarse, lo más normal es que la aseguradora no se haga cargo por incumplimiento de responsabilidades asumidas en contrato.
No va a ser la solución a todos sus males. Transferir riesgos es una opción pero no siempre válida en todos los casos. Si el incidente, por ejemplo, supone la fuga de datos de sus clientes, la aseguradora podrá darle una indemnización pero la credibilidad, reputación y confianza de sus clientes no volverá con eso.
No es una bala de plata que implica cruzarse de brazos. El seguro no le cubrirá si la causa del incidente es interna debida a negligencia en la protección.
Puede ser un coste extra inútil si no tiene claro qué ha contratado y en qué condiciones podrá utilizarlo. Cuando haya sufrido el incidente no será el mejor momento para comprobar si la cobertura era o no la adecuada.

Espero que este extenso post sea de ayuda y aclaración respecto a esta nueva opción de gestión del riesgo que hay que saber bien contextualizar para rentabilizar y optimizar su eficacia.

Carta a los Reyes Magos para el 2017 de un candidato a CISO.

noreply@blogger.com ((c) Javier Cao Avellaneda) — Thu, 29 Dec 2016 13:00:00 +0000

Siguiendo ya la tradición por estas fechas de mi carta a los Reyes Magos como en el año 2012, 2013 y 2014, esta sería la epístola que enviaré este año. Aunque el blog ande un poco huérfano este año, espero tener un 2017 más activo y centrado en cultivarlo, regarlo y hacerlo crecer.

Este año ha sido verdaderamente complicado. Las nuevas amenazas nos han puesto a prueba y hemos podido comprobar que nuestra "confianza" a veces se basa en esa falsa sensación de tranquilidad que aporta la ausencia de incidentes. Sin embargo, la llegada del ransomware en este 2016 ha roto estas realidades ficticias y hemos tenido que correr a apagar fuegos como ya sucediera en los años noventa. Ya es una evidencia que el cibercrimen se ha industrializado y ha venido para quedarse. Su silencio sólo obedece en muchos casos al tiempo que necesitan para estudiar a la presa seleccionada antes del ataque aunque sectores como la banca están centrando sus objetivos.

Este ha sido un año relevante para la "ciberseguridad". Además de mostrar su músculo, ha influenciado de manera decisiva en acontecimientos transcendentales para la humanidad como puede ser la filtración de los papeles de Panamá o el caso Hilary Clinton con la posible influencia que haya podido tener sobre el resultado electoral. Ya veníamos avisando que la información es poder pero además, ahora se está institucionalizando su uso por parte de los Estados y las organizaciones cibercriminales para sacar buen provecho de ello. Además, por fin Europa ha ganado el pulso a los lobbys que han pretendido durante años enterar el Reglamento Europeo de Protección de Datos (RGPD o GDPR) y ya tenemos su aprobación y entrada en vigor vigente. El año 2017 se verá influenciado por tanto por proyectos de adecuación a la nueva cultura de la privacidad que el Reglamento pretende implantar con carácter universal.

Así que de nuevo tengo que pedir algunas cosas para este año 2017 que empieza. Mi lista es la siguiente:

Este año necesito refuerzos muy importantes desde la capa de inteligencia de red. La monitorización continua, la detección de anomalías y obtener conciencia situacional respecto a lo que ocurre en los sistemas de información, si ya era importante, ahora es un recurso vital para poder defender con diligencia los sistemas de información. Ya pedí estas cosas en el año 2014 y no me hicisteis caso... ahora ya no son una opción, son una línea de defensa básica para responder en el menor tiempo posible y por tanto, minimizar daños. Ya creo que los CISO asumimos que el incidente sucederá pero nuestra misión es la detección temprana y la expulsión del intruso a la mayor brevedad posible.

La concienciación del usuario final será como todos los años otro frente sobre el que trabajar pero quizás ahora más urgente dado que el ransomware explota sobre todo la ingenería social como vector de ataque. Si antes eran claves en la protección del puesto de trabajo, ahora con la dispersión de los dispositivos móviles (BYOD) todavía se hace más necesario que estén al día en cuanto cómo proteger la información que custodian. Ya no sólo es necesaria la concienciación, ahora debemos establecer planes de capacitación para transformar al usuario final en parte del muro de defensa. La creación de portales de autoformación internos, la generación de simulacros planificados para comprobar el nivel de conocimiento interno deben formar parte del plan de formación de cualquier organización.

Respecto al cumplimiento normativo, el año 2017 va a ser muy importante. El nuevo RGPD ya no apela a la puesta en marcha de medidas mínimas sino que establece como principio de protección la "responsabilidad activa", es decir, la demostración de que los niveles de protección son adecuados y que las medidas implantadas funcionan. Además, ahora desde el comienzo debe pensarse en la seguridad por "defecto y diseño". Ya no valdrán las excusas de no haber considerado las medidas suficientes porque la fabricación ya contempla el respeto de la privacidad en la reglamentación. Ademas, la novedad que supone el tener que notificar las violaciones de seguridad también tiene que ser adecuadamente valoradas por las áreas de la Organización que protegen la "reputación" de la institución. Si no puedes permitirte que tu imagen sea cuestionada o que la confianza de tu empresa sea puesta en duda, deberás realizar las inversiones que sean necesarias para garantizar al máximo que no tendrás impacto por estos motivos. Por tanto, desde ya debemos considerar la prevención como una "inversión" que evitará "gastos" o "costes" operacionales para subsanar las carencias que no han sido contempladas de forma preventiva. Las fugas de información de empresas muy notables deben hacer pensar que "cuando ves las barbas de tu vecino pelar, pon las tuyas a remojar". Además, las sanciones del nuevo RGPD que son cifras económicas altas o porcentajes entre el 2 y el 4% de la facturación ya no son nada desdeñable.

Respecto a la posición del CISO en la Organización y la aparición del DPO (Data Protection Officer del RGPD), espero que esta novedad sea un motivo de alegría porque se suma un nuevo cargo en la Organización que debe preocuparse por garantizar la seguridad de la información. No creo que el DPO vaya a ser un competidor del CISO pero ambos puestos tendrán que colaborar y complementarse. En algún caso, incluso, podrán ser la misma persona para tener que cubrir las necesidades de cumplimiento y de seguridad con un único rol. En cualquier caso, la aparición de la certificación en el artículo 44 del RGPD también va a evitar seguramente que la privacidad pueda ser abordada por cualquier a cualquier coste. Será necesario pasar por un proceso de acreditación para poder otorgar sellos de cumplimiento. En este escenario, la ISO 19600 para sistemas de gestión de compliance o la ISO 27001 de Gestión de la Seguridad de la Información van a tener un papel importante aunque puede que aparezca en escena una ISO centrada en privacidad. Ya está en la fase final la norma para realizar los privacy impact analysis bajo el número 29134.

Al contrario que otros años, este si que quiero incluir un deseo en lo personal. Llevo ya escribiendo cartas donde voy contando cómo veo la evolución de mi pasión, la ciberseguridad pero tengo la sensación de estar estancado profesionalmente. Este 2017 si que deseo con todas mis fuerzas un cambio de rumbo tras 16 años dedicado a esto. Si es la primera vez que me lees, estas son mis cicatrices en la materia que reporto a Linkedin. Tengo en mente nuevos servicios que pueden formar parte del catálogo de grandes consultoras aunque realmente lo que me gustaría es por fin entrar en una gran organización que quiera crear el área o la tenga ya creada para formar parte de un equipo centrado en este trabajo. Estar dando vueltas de cliente en cliente es bonito porque aprendes casuísticas muy diferentes y abordas muchos retos pero se pierde esa sensación de "construir algo" y demostrar con resultados los logros obtenidos. Tengo claro que el 2017 debe ser un año de cambio y de salir de la zona de confort para evolucionar respecto a los cambios ya comentados. Mi principal problema es Murcia, una zona desértica en estos temas que todavía no sitúa a un CISO en el organigrama de las empresas más importantes aunque tengo la suerte de trabajar para muchas de ellas. Es un mal síntoma para la competitividad de muchas de ellas... pero supongo que tendrán que sufrir un incidente muy serio para aprender la lección. Por desgracia hasta que no hay facturas por pérdidas, no se invierte en prevención.

En fin queridos Reyes, se que éste seguirá siendo un año difícil y las organizaciones, al menos en mi región, todavía no valoran/comprenden y entienden qué pinta la seguridad de la información aunque como cada vez son más frecuentes los ataques al menos se incrementan su sensación de que somos un mal necesario.

Enemigo a las puertas: Threat huntting.

noreply@blogger.com ((c) Javier Cao Avellaneda) — Wed, 05 Oct 2016 22:44:00 +0000

Comentaba en el post anterior, "la bicefalia del CISO" que en el rol del vigilante, es importante conocer los métodos empleados por los atacantes para lograr la intrusión en nuestros sistemas. En los tiempos que corren hemos de asumir que el incidente se va a producir pero nuestro objetivo, al igual que ocurre en Epidemiología, es localizar a la mayor brevedad el caso índice o cero y proceder a aplicar las medidas de contención que sean necesarias.

Estas son tácticas a emplear en los escenarios de respuesta frente a incidentes. Sin embargo, si queremos adoptar una estrategia más preventiva, es necesario que el CISO adopte el papel de "francotirador", a la espera, observante pero alerta, para valorar la situación y anular la acción del enemigo en el momento más adecuado, antes incluso del paciente cero. Como vemos, se trata de adelantar las estrategia de defensa todo lo posible para solventar las situaciones incluso antes de que se produzca la intrusión o al menos, dificultando lo máximo posible el proceso para que el atacante, ante la dificultad, pueda desistir y buscar nuevos objetivos.

En este nuevo escenario, la inteligencia se aplica para avanzar desde la defensa activa hacia una nueva situación donde el conocimiento del enemigo nos sitúa con algo más de ventaja, frente a la situación cotidiana y asimétrica donde el atacante conoce bien al objetivo incluso mejor que el propio CISO que debe defender los sistemas.

En este contexto es interesante conocer las diferentes aproximaciones que se han ido formulando para describir los modelos de ataque, en qué consisten, qué fases contemplan y cómo estos enfoques pueden alimentar nuestra estrategia de defensa. Voy a comentar los siguientes modelos:

Arboles de ataque, de Bruce Schneier. Es una de las primeras aproximaciones para establecer de forma metodológica un proceso de análisis del enemigo y poder representar las diferentes situaciones en donde el entorno protegido puede sucumbir a un ataque. En este tipo de modelos, el CISO se sitúa en su organización y trata de identificar sus puntos débiles para valorar si requiere o no de más medidas de seguridad, o tratar de gestionar de la mejor forma posible las vulnerabilidades.

Cyber kill chain, de Lockheed Martin. Este modelo ya centra su atención en el enemigo y su modus operandi. Para ello, segmenta el proceso de todo ataque en diferentes fases que pasa a describir y analizar. Es uno de los modelos de mayor éxito porque sirve para modelar los ataques basados en APT pero que al ser propiedad de esta consultora tiene copyright. Este modelo contempla que todo ataque recorre las siguientes fases:

Reconnaissance (Reconocimiento): Los atacantes estudian al objetivo y recopilan información para diseñar su estrategia de ataque. En esta fase se emplean todo tipo de fuentes de información disponibles y se empieza a estudiar al objetivo.
Weaponization (Militarización): El atacante construye su herramienta para la intrusión, a menudo, cocinando el tipo de ataque usando la información obtenida en la fase anterior.
Delivery (Entrega): El atacante lanza su campaña y bombardea a las víctimas seleccionadas enviado los anzuelos que vaya a utilizar. Las estrategias pueden ser diferentes como sitios de phishing, malware, ingeniería social, etc.
Exploitation (Explotación): El atacante deben en esta fase lograr tener éxito de forma que alguna víctima cometa un error y ejecute el paquete de entrega de forma que proporcione ya un punto de entrada en los sistemas objetivo.
Installation (Instalación): En esta fase, el atacante debe lograr la persistencia. Una vez la víctima ha cometido el error, el atacante debe lograr completar la operación consiguiendo comprometer el equipo afectado para disponer de un primer elemento dentro del sistema objetivo que le permita extender el ataque.
Command and control (Comando y control): En esta fase, el atacante ya dispone de acceso remoto al sistema comprometido y empieza los movimientos laterales para lograr avanzar hacia su verdadera misión, la obtención de aquello que motivó el ataque. En esta fase debe lograr ser persistente e invisible.
Actions on objetives (Acciones sobre objetivos): En esta fase, el atacante, con conexión desde el exterior, avanza por los sistemas atacados hasta lograr su objetivo. En esta fase es cuando realmente causa el verdadero daño al sistema atacado, o bien, utilizando los recursos a su antojo o bien accediendo a la información por la que quiso entrar en esos sistemas.

Aplicando este modelo, las estrategias de defensa suponen en cada fase del ataque, disponer de capacidades para la detección y mitigación del ataque. El objetivo no es tanto que la intrusión no se produzca (algo casi imposible por la ventaja del atacante frente al defensor que ha sido estudiado de forma previa), sino que el objetivo principal es la detección temprana y la expulsión inmediata del agente hostil, antes de que pueda completar sus objetivos.

La cyber killchain permite por tanto aplicar tanto una estrategia proactiva de prevención y detección temprana como una estrategia de respuesta, contención y mitigación de incidentes. Todo dependerá de en qué fase del ataque hayamos sido capaces de identificar al intruso.

Como CISOs, constructores de la estrategia de defensa, se dispone de diferente tecnología que permite la vigilancia y detección del atacante en las diferentes fases. La siguiente tabla muestra qué opciones puede aplicar el CISO en el proceso de intrusión basado en la ciber killchain.

ATT&CK™, (Adversarial Tactics, Techniques, and Common Knowledge) del MITRE. Este modelo es una evolución de la cyber killchain y puede ser utilizado para caracterizar y describir mejor el comportamiento del adversario una vez logra la intrusión inicial y comienza a buscar su verdadero objetivo. Por tanto, ATT&CK™se centra en estudiar al enemigo cuando ya se encuentra en nuestros sistemas. Esto proporciona un mayor nivel de granularidad en la descripción de lo que puede ocurrir durante una intrusión después de un adversario ha adquirido el acceso. Cada categoría contiene una lista de técnicas que un adversario podría utilizar para realizar esa táctica. Las técnicas se descomponen para proporcionar una descripción técnica, los indicadores, análisis de detección y estrategias de mitigación posibles. Este modelo contempla el análisis de tácticas, técnicas y procedimientos (TTP) que emplea el atacante para llegar a satisfacer sus metas. Como elemento más relevante, este modelo plantea una tabla ATT&CK Matrix que recopila todas las posibles TTP a utilizar por el atacante en cada una de las fases del proceso de intrusión. Esto permite a los responsables de la defensa realizar un gap analysis para valorar en qué escenarios cuentan con elementos que sirven para la detección o respuesta del vector de ataque.

Diamond Model, de Cartagirone y Pendergast. Este es un modelo de orientación más militar que trata de responder al análisis del escenario que debe realizarse como parte de las actividades de inteligencia previa al combate. Existen múltiples disciplinas de recolección de inteligencia que se exptrapolan al contexto de ciberseguridad:

OSINT (Open Source Intelligence). Inteligencia a partir de la información que es pública y abierta, la principal fuente es Internet.

SIGINT (Signals Intelligence). Inteligencia a partir de la intercepción de señales. En este contexto se traduce normalmente como la inteligencia adquirida por redes señuelo, conocidas técnicamente como honeynets o honeygrids.

GEOINT (Geospatial Intelligence). Inteligencia obtenida por medio de la geolocalización; en este caso las fuentes más importantes son los dispositivos móviles y aplicaciones.

HUMINT (Human Intelligence). Inteligencia adquirida por individuos, en el contexto de la ciberseguridad se utiliza como vHUMINT, es decir, entidades virtuales que obtienen información en su interacción con otras personas por medio de redes sociales y canales de comunicación electrónica.

El modelo de diamante aplica la información obtenida para lograr lo que en terminología militar se denomina "Intelligence preparation of battlefield o IPB" donde las labores fundamentales son ganar en conocimiento del enemigo, sus motivaciones, sus capacidades con el objetivo de poder calibrar nuestras oportunidades de éxito. Este tipo de modelos pretende disecionar el proceso de intrusión para dotar a los responsables de seguridad de las organizaciones víctimas de los métodos, procedimientos y herramientas más adecuados para descubrir, comprender y neutralizar las operaciones del atacante en próximos intentos. Si esta información es compartida, permite a otros entornos que no han sido atacados poder adoptar estrategias preventivas de defensa que les permitan evitar otras intrusiones. Este modelo ha sido extensamente explicado en el documento del CCN-STIC-425 CICLO DE INTELIGENCIA Y ANÁLISIS DE INTRUSIONES y permite ahondar en la caracterización del enemigo para identificar el por qué, cómo, quién, cuando de una intrusión.

Como ejemplo curioso, para mostrar la aplicación de este modelo, la empresa de ciber inteligencia ThreatConnect ha colgado un post donde lo aplica al entorno Star Wars en el post "Applying the Diamond Model for Threat Intelligence to the Star Wars’ Battle of Yavin". Como resultado han obtenido este modelo de diamante.

En siguientes post comentaré qué puede aportar el Threat intelligence al CISO si es utilizado dentro del OODA LOOP para decidir y actuar.
En ciberseguridad las cosas están cambiando y la colaboración, la aparición de estándares para el intercambio de información y el análisis de amenazas va a permitir que el CISO ya no sólo pueda aspirar a conocer su infraestructura sino que puede empezar a saber algo más de su enemigo. Se equilibra un poco más la balanza en la frase:

"Conoce a tu enemigo y conócete a ti mismo; en cien batallas, nunca saldrás derrotado. Si eres ignorante de tu enemigo pero te conoces a ti mismo, tus oportunidades de ganar o perder son las mismas. Si eres ignorante de tu enemigo y de ti mismo, puedes estar seguro de ser derrotado en cada batalla."

PD: Si algún lector conoce más modelos de análisis de ataques, puede contribuir vía comentarios para ir incorporándolos al post.

La bicefalia del CISO

noreply@blogger.com ((c) Javier Cao Avellaneda) — Wed, 21 Sep 2016 12:48:00 +0000

Ya comenté en el post anterior "De mayor quiero ser CISO" que actualmente este puesto de trabajo debe gestionar la doble complejidad del escenario de batalla. Por un lado, el CISO debe establecer la estrategia de su propia defensa y considerar cómo construye la seguridad de su organización, pero a su vez, tiene que estar atento al contexto y cómo cambia el mapa de amenazas. Esto, en un entorno dinámico en donde los malos siempre van por delante y con ventaja, supone un reto que es necesario saber gestionar.

Todo profesional de la seguridad debe aplicar una psicología muy particular. Hay un texto esencial sobre este tema de Bruce Schneier en el ensayo "Psychology of security" que describe el funcionamiento del ser humano cuando tiene que abordar el reto de la gestión de riesgos. En este sentido, un profesional de la seguridad piensa diferente cuando ve o le presentan un sistema. Por un lado, analiza las funcionalidades, la complejidad del entorno, los resultados que genera... pero también, otra parte de su cabeza, comienza a pensar en cómo el sistema podrá ser vulnerado. Debe empatizar con el agente hostil para pensar como él y buscar los mismos puntos débiles que él tratará de encontrar.

En este post quiero centrarme en los enfoques de gestión que tenemos que dar a ambas partes de nuestra cabeza para abordar la "construcción de la seguridad" en nuestra organización y la "vigilancia de nuestra seguridad" frente al enemigo.

Construcción de la seguridad.

En este frente, el CISO debe gobernar la gestión y construcción de la seguridad y para ello emplear las buenas prácticas y estándares internacionales existentes, todos enmarcados dentro de la serie ISO 27000. Las necesidades actuales han ido produciendo diferentes revisiones de la norma o la elaboración de normas específicas que han tratado de resolver aquellas cuestiones que la norma general ISO 27001 no ha resuelto bien como pueda ser la Cloud (ISO 27017) o las necesidades específicas de sectores como en financiero, el sanitario, etc. Para quien quiera conocer la situación actual de la serie, la web ISO27001security.com de Gary Hinson nos mantiene actualizados ya que éste autor pertenece a los comités ISO que se encargan de revisar o crear normas dentro de esta serie.

En el proceso de análisis, diseño, construcción y mantenimiento de la seguridad se emplea el famoso ciclo de Demming o modelo PDCA. Bajo esta filosofía, hay una fase de planificación en donde se realiza el análisis de riesgos, la toma de decisiones y la selección de las medidas de seguridad que deben velar por la adecuada mitigación de los riesgos.

El ciclo de mejora continua garantiza la evolución del sistema porque o bien a través de incidencias (Que evidencia a las medidas de seguridad que no cumplen con sus objetivos o las cuestiones sin proteger) que deben generar las adecuadas correcciones o bien a través de propuestas de mejora (Que evidencia aquellos elementos que podrán obtener mejores resultados), el CISO debe ir obteniendo una mejor protección de su organización de forma progresiva.

Vigilancia de la seguridad.

En este frente, el CISO debe controlar al enemigo y reaccionar frente a nuevas amenazas o los cambios de estrategia que puedan tener como resultado el fallo o fracaso de las medidas de seguridad que tiene implantadas. En este contexto, aplicamos otro ciclo de gestión diferente, llamado OODA Loop o ciclo de Boyd. Este es el criterio que adopta un piloto para tener conciencia situacional y tomar decisiones de evasión cuando está bajo la linea de fuego enemiga. Esto se aplica en el mundo de la ciberseguridad dado que nuestros sistemas de información están sometidos de forma constante a la presión de los agentes agresores que intentan el acceso a través de los diferentes vectores de entrada que hacen tener éxito a una intrusión. En este entorno, el CISO debe luchar por tener la mayor conciencia situacional posible, teniendo que identificar qué vulnerabilidades tiene, qué flujos de tráfico son anómalos, qué nivel de alerta están notificando las medidas de seguridad implantadas. Como vemos, el CISO se mueve en el terreno de las operaciones para evadir o defender los sistemas del enemigo. El ciclo OODA consta de las fases siguientes: Observación, Orientación, Decisión y Respuesta como muestra la siguiente figura:

Es en este nuevo escenario en donde actualmente se están poniendo a disposición de los CISOs las nuevas tecnologías de Threat Intelligence y correlación de eventos. Tener una visión clara de qué alertas tenemos y tratar de conocer las herramientas, tácticas y procedimientos de nuestro agresor nos da cierta ventaja a la hora de decidir cómo defendernos.

En este estudio continuo del adversario, existen varias aproximaciones que tratan de formalizar la metodología del atacante, de forma que permita al defensor establecer qué respuesta dar en cada fase. Explicaré en un siguiente post en qué consisten estos modelos de ataque... pero su esencia es que una intrusión o ataque no es nunca un hecho aislado. Para su consecución y éxito, el atacante ha tenido que hacer ciertas labores previas de investigación y rastreo que pueden ser detectables si tenemos los sensores adecuados para identificar estos indicios y que no pasen desapercibidos entre el resto de logs.

Si contamos con labores de Threat Intelligence, el defensor conoce mucha información sobre cómo el atacante (Cuando ya ha sido identificado por alguno de los laboratorios que tratan de desenmascarar estas campañas). Por tanto, podemos parametrizar nuestras defensas para que estén atentas a determinadas conexiones a rangos de IP concretos, la conexión a ciertos dominios o URLs, la presencia en nuestros sistemas de determinados ejecutables con ciertos Hash, etc.

Tal como he titulado al post, el CISO debe saber moverse bien en ambos mundos. Debe gobernar la seguridad de sus sistemas pero tiene que también vigilar al enemigo y el cambio en sus tácticas, de forma que siempre tenga garantías de tener cubiertos todos los flancos. Ambos ciclos, PDCA y OODA Loop pueden convivir perfectamente e incluso complementarse mutuamente. De hecho, los que nos hemos venido dedicando al mundo de la gestión hemos tenido como cimientos la ISO 27001 siempre... contemplando la vigilancia y respuesta como labores operativas que generan correcciones o mejora continua pero ahora vemos en el Threat Intelligence un nuevo ámbito a tener en cuenta para la toma de decisiones, que puede acelerar o priorizar mejor en dónde realizar esfuerzos por implantar medidas.

Este nuevo enfoque, más proactivo, basado en la anticipación ya no se centra en la filosofía de minimizar vulnerabilidades sino que asume que la amenaza es persistente y trata de lograr la intrusión en nuestros sistemas. Por este motivo, los soldados no están a la espera subidos en sus almenas sino que están monitorizando y vigilando continuamente al atacante para adecuar la respuesta de forma continua. En este entorno, es imprescindible contar con una adecuada centralización de logs que junte en un único punto toda la información recogida por los sistemas de seguridad de forma que las alarmas puedan ser correlacionadas y generen alertas al personal de seguridad que puedan ser gestionadas y gestionables (Es decir, el número de alertas a procesar debe ser razonable respecto al personal operativo que debe resolverlas). Este tipo de soluciones técnicas son proporcionadas por sistemas SIEM y complementandas con los dispositivos de seguridad que van siendo capaces de incorporar información obtenida por Threat Intelligence.

CISO, ¡ Enseñame la pasta !

noreply@blogger.com ((c) Javier Cao Avellaneda) — Wed, 14 Sep 2016 17:01:00 +0000

En el post anterior estuve planteando cómo el CISO debe encontrar su misión y establecer las metas de su trabajo. Esa es la parte bonita del diseño de la estrategia de seguridad donde tenemos que pensar en cómo contribuimos al negocio y establecer el rumbo que luego sirva para medir nuestros logros. Como directivo, debemos diseñar cómo medir si nuestra gestión va alineada con las metas corporativas y si además estamos siendo productivos para el negocio.

Sin embargo, esa parte bonita del camino estratégico tiene que considerar también los factores internos que limitan nuestro campo de acción. No he estado presente en un Comité de Alta Dirección pero si me imagino planteando un Plan Director de Seguridad de la Información y ser interrumpido por el CEO o CIO de la organización para preguntar por el retorno de inversión. Una escena que puede caricaturizar esa situación pero que a la vez ilustra cómo "negocio" piensa y ve al área de seguridad es este trozo de la película "Jerry Maguirre" cuando el representante, desesperado, llama al deportista para tratar de convencerlo de que siga con él.

Me imagino al CISO con su Powerpoint, sus cuadrantes de riesgo y sus planes de acción esbozando la estrategia para gestionar todo eso y levantarse el CEO y espetarle: "Enseñame la pasta".

Una de las cosas que todo CISO debe tatuarse para recordar frecuentemente es que NEGOCIO sólo habla un lenguaje: Dinero. Por tanto, cualquier iniciativa, plan, actuación debe encarmarse en este contexto y debe contar con argumentos poderosos que justifiquen ese gasto/inversión.

Mucho se ha escrito sobre este tema, el famoso Return of Security Investment (ROSI) aunque todavía no existen formulas claras para responder.Algunas de las mejores reflexiones donde se plantea la cuestión se encuentran en los documentos Introduction to Return on Security Investment de ENISA y Return On Security Investment (ROSI): A Practical Quantitative Model de Infosecwritters.

El CEO o el CIO de toda empresa, frente a un plan de seguridad, perfectamente puede preguntar en qué medida es rentable o cómo se amortizará la inversión. Es la pregunta envenenada contra la que debemos estar preparados de alguna forma. Como ya dije en el post anterior, nuestro mayor logro será evitar que algo interrumpa al negocio... pero ¿cómo medir aquello que somos capaz de evitar? ¿Cómo se rentabiliza la seguridad?

Esta pregunta, es envenenada por los siguientes motivos:

Exigen que se valore el esfuerzo por reducir el riesgo ... pero a menudo no se cuantifica el coste de "aceptarlo". Esta es una de las cosas con las que más frecuentemente tengo que luchar. Cuando planteamos un análisis de riesgos y el Comité de Seguridad/Dirección "Decide" no hacer nada, esa opción, es en sí misma también una decisión... y por tanto, tiene consecuencias. Lo que es dificil calcular es su coste aunque de alguna forma tendríamos que poder valorar el coste de la "inseguridad". Para ello, la materia prima esencial sobre la que trabajar para poder hacer alguna aproximación y cuantificar qué factura se paga por no estar adecuadamente protegidos son las incidencias. Todo fallo puede deberse a una ausencia de control consciente o inconsciente. Si por ejemplo, tenemos una oleada de correos con malware y generan determinados incidentes, deberíamos calcular cuanto gasto ha supuesto a la empresa cada uno de ellos. De esa forma, un plan de formación podría plantearse como un coste concreto que tendría por objetivo una reducción del número de incidentes y por tanto, una reducción del coste (Que ya se ha sufrido por esta casuística). Por desgracia, no es frecuente calcular qué cuesta la no prevención.
Tenemos que valorar cosas que no han sucedido pero podrían suceder. En muchas situaciones, conocer a priori el impacto es complejo porque un incidente tiene diferentes factores que calcular para tener una valoración completa de daños. Según el tipo de incidente y los activos afectados, los costes pueden ser directos como paradas operativas, cese de servicio, lucro cesante por caída de sistemas... pero también puede haber costes intangibles como daño reputacional, posibles sanciones legales, etc... que pueden engordar la factura a pagar una vez está resuelto del caso. Valorar lo que no ha sucedido no es trivial y debe tener unas ecuaciones claras que hagan racional y comprensible el criterio de estimación utilizado.

El reto no es trivial y cualquier valoración que proporcionemos será cuestionada. Por ese motivo, usemos el criterio que usemos, debemos tener claro cómo se justifica y tratar en la medida de lo posible de hacer fácilmente comprensible el modo de cálculo. En otras disciplinas también se emplean este tipo de estimaciones de futuro y son consideradas razonables. Este es básicamente el modelo de negocio de los seguros, hacer a priori un cálculo de daños a cubrir y definir la cuantía de las pólizas que debe cobrar. En cualquier caso, voy a plantear mi visión sobre el tema. Para ello, es necesario introducir algunos términos que serán necesarios a la hora de realizar estimaciones.

Single loss expectancy (SLE), es el coste de un incidente asumiendo una única ocurrencia en términos económicos. Es necesario destacar que cada tipo de incidente tendrá un SLE diferente.
Annual rate of occurence (ARO), número esperado de ocurrencias de un incidente durante un año. De nuevo, el ARO es diferente según el tipo de incidente. Respecto a aquellos incidentes que nunca han sucedido (cisnes negros), cada organización debe establecer una posición (pesimista u optimista) que valore cuantos incidentes de este tipo quiere considerar y cuantas veces al año.
Annual loss expectancy (ALE), coste de la ocurrencia anual de incidentes de un tipo, en unidades monetarias. Es por tanto el producto del SLE y ARO de un tipo de incidente.

A priori, con estos tres elementos ya se pueden hacer estimaciones de los costes anuales de todos los incidentes. Esto es lo que se conoce como Total ALE (TALE). Con estos factores claros y un buen análisis de incidencias, a priori se podría calcular ya el coste de los incidentes ya sufridos. Para ello, se tendrían que hacer las siguientes consideraciones:

El ARO vendría determinado por la frecuencia de los incidentes registrados (No sería una estimación sino un dato calculado del histórico registrado).
El SLE de cada incidente tendría que objetivarse y cuantificarse. Para ello, los factores a considerar, por CADA TIPO de incidente, serían:

Coste operativo directo:

Coste operativo indirecto:

Respecto a la toma de decisiones, el CISO también debe entender cuales son los flujos de información que condicionan las inversiones y qué papel debe desempeñar como punto intermedio entre la capa estratégica y la operativa. Para ello es de gran ayuda el marco de ciberseguridad para infraestructuras críticas publicado por el NIST, que he osado traducir.

Tal como muestra la pirámide y de forma resumida, las diferentes iteraciones podrían resumirse en lo siguiente:

El primer ciclo debe iniciarse en el análisis de riesgos para plantear a Dirección el mapa de cuestiones que se deben gestionar. Con ese contexto, es la Dirección la que asume, como propietaria de los riesgos su rol respecto a las 4 opciones de gestión: Aceptar, Reducir, Evitar o Transferir.

Acorde con esas opciones, el CISO puede elaborar el Plan Director de Seguridad y plantear un esfuerzo de inversión que el Comité dotará de recursos. Con esta orden de ejecución, deben comentarse los trabajos de puesta en marcha de medidas y traslada la operación y mantenimiento de las medidas de seguridad al área operativa. Esta, además de administrar y gestionar, debe suministrar información de rendimiento que sirva para valorar la eficacia de las medidas.

Con estos datos, el CISO debe retroalimentar su mapa de riesgos y plantear en una segunda fase qué cuestiones se pueden dar por resueltas, qué cuestiones deben mejorar y qué nuevas cuestiones no han sido contempladas y requerirán nuevos esfuerzos inversores.

Teniendo esta pirámide en mente y los conceptos ya explicados para hacer estimaciones, los cálculos del ROSI ya pueden empezar a cimentar en base a una serie de criterios que las áreas de gestión y alta dirección van a ser capaces de entender.

Eficiencia operativa: Toda medida de seguridad tiene dos costes, el de inversión (o CAPEX) y el operativo (U OPEX). En el Post "Ciberseguridad, minuto y resultado: Los malos 3, Los buenos 0 ya comenté como una inversión en prevención puede ser rentable si es capaz de reducir el coste operarativo (OPEX) generado por los incidentes que es capaz de evitar. El coste de la inseguridad genera a menudo un OPEX de "apagar fuegos" que sería evitable o reducible. Ese debe ser el objetivo de toda inversión técnica para mitigar un problema que se deben concretar en una reducción de ARO.
Reducción de riesgos: Contar con medidas de prevención o detección temprana también tiene como beneficio evitar sucesos indeseados. Ello debe reducir los factores SLE o ARO dado que las mejoras en la gestión de riesgos deben disminuir la vulnerabilidad o limitar el impacto. Por tanto, los beneficios en la adecuada gestión del riesgo deberían traducirse en un descenso de las estimaciones dadas para el TALE.
Mejoras al negocio: Este es quizás uno de los factores más complejos de cuantificar, pero una adecuada gestión de la seguridad debe mejorar la disponibilidad, integridad y confidencialidad de los procesos, y por ende, generar una mayor confianza y reputación en los clientes. Estas cuestiones son contribuciones al negocio que sólo puede proporcionar el área de seguridad.

Para aquellos que queráis profundizar más en el tema y jugar a realizar cálculos sobre los incidentes, el ENISE tiene en la sección de formación para CSIRT un taller práctico sobre cómo hacer estas cosas en diferentes tipos de incidentes. Podéis acceder a estos materiales en el siguiente enlace Cómo calcular el coste de un incidente de seguridad.

De mayor quiero ser CISO.

noreply@blogger.com ((c) Javier Cao Avellaneda) — Sat, 10 Sep 2016 14:28:00 +0000

Ahora que muchas organizaciones y empresas se están planteando ya más en serio esto de la ciberseguridad, llegan las dudas para muchos técnicos o responsables de TI sobre cómo abordar esta problemática de forma holística. Si se sigue planteando como un tema tecnológico donde las soluciones técnicas son el único remedio, el barco hará aguas.

Una de las cosas más bonitas pero también su mayor reto es que es una disciplina en continuo cambio. Una carrera de buenos y malos que se están haciendo continuamente la zancadilla. El objetivo de los malos es maximizar lucro o impacto sobre sus víctimas y el objetivo de los buenos es contrarrestar y reducir al máximo cualquiera de estas fechorías.

Esta batalla tiene ganadores temporales. Hay momentos donde uno de los bandos domina la situación hasta que el contrario reacciona y consigue igualarlo. Quizas, una de las cosas que más influye en el bando de los que defienden es que su mayor logro será garantizar la normalidad, algo a veces no muy visible y premiado por la Alta Dirección que no entiende que preservar la cadena de valor gestionando riesgos es también una forma necesaria de contribuir al negocio. Esto ocurre con cualquiera de las disciplinas que tienen como objetivos la prevención: seguridad física, seguridad alimentaria, prevención de riesgos laborales.

Pero entrando de lleno en la materia es importante destacar que un entorno tan cambiante implica tener claro en marco de gobierno y exige una muy buena gestión. Ambos retos implican tres cosas:

Pensar y decidir es la estrategia, actuar es la táctica. Es de nuevo Sun Tzu y su "Arte de la guerra" la referencia a tener en cuenta. Tal como resume esta frase:

"La estrategia sin táctica es el más lento camino a la victoria. La táctica sin estrategia es el ruido que precede a la derrota".

Para poder "pensar" como CISO dentro de tu organización, lo primero que tendrás que responder es a lo siguiente:

¿Cuál es el valor que genera mi organización? ¿Qué bien es el que debe protegerse? La respuesta a esta cuestión nos llevará a encontrar nuestra misión en relación a qué activos tenemos que preservar.

La segunda cuestión relevante para tener una visión holística del problema debe ser la siguiente:

¿En qué contexto o entorno estoy situado? Esta respuesta debe servir para calibrar escenarios y valorar posible hostilidad. Hay sectores que sufren una mayor presión por parte de los malos porque existe una mayor motivación o interés, el botín en caso de tener éxito es más alto.

Estas dos simples preguntas ya revelan cómo debe pensar un CISO para decidir. En primer lugar, debe mirar para dentro, hacia el lado en el que él se sitúa como garante pero no puede olvidar el otro bando. La gestión del riesgo implica siempre la tupla (Activo, Amenaza).

Otro gran reto del CISO es su propia organización. Cada casa tiene sus particularidades pero en la toma de decisiones nunca se está completamente solo. Para actuar y desplegar tácticas, es necesario recursos y presupuesto. Por tanto, contar con el respaldo interno y el apoyo para la toma de decisiones es fundamental. Como resultado de la fase de pensar, el CISO debe proporcionar a la organización un adecuado diagnóstico de situación, es decir, debe plantear los riesgos que hay que gestionar y tener preparados para ellos cuales son a nivel técnico, los posibles marcos de actuación que mitigan esos peligros.

Llegados a este punto y para resumir las reflexiones planteadas, el CISO debe pensar como ingeniero y establecer unos cimientos sólidos que le permitan construir un edificio robusto y que además, sea lo suficientemente ágil y flexible como para ir reaccionado con el paso del tiempo a los nuevos cambios que se puedan producir. Para ello, la arquitectura del mismo debe contar con unas bases robustas que establezcan una adecuada estrategia y que permitan ir resolviendo en la táctica, las cuestiones de medio y corto plazo que se vayan planteando. La seguridad debe ser siempre un habilitador, un medio para alcanzar objetivos y no un obstáculo. Por ese motivo, la alineación con los objetivos de negocio es fundamental. Si la Alta Dirección, como propietaria de riesgos, quiere desarrollar actividades en escenarios de mucho peligro, el CISO debe aportar su criterio técnico para que esa travesía transcurra sin el menor de los incidentes... Pero no puede convertirse en el Doctor "NO" que para evitar problemas no permite avanzar hacia la meta planteada. Por ese motivo, debe adoptar una actitud proactiva y estar al tanto de todas las decisiones estratégicas para ir avanzando la identificación y evaluación de riesgos.

Un BUEN CISO deben proporcionar:

Un marco para la toma de decisiones, donde toda cuestión debe ser valorada como riesgo y tener en cuenta siempre las necesidades de negocio.
Una visión de los sistemas de información desde la perspectiva de seguridad, pensando más en la dependencia entre negocio y tecnología y analizando siempre la cadena de fallo, aunque sea solo en escenarios hipotéticos de riesgo.
Un plan de tratamiento frente a riesgos, en donde el coste/beneficio se maximice y en donde los criterios de priorización de inversiones tengan por objetivo la mitigación de aquellos riesgos que la Alta Dirección entiende como no asumibles.

Como resume la frase, "o formas parte del problema, o formas parte de la solución". Un CISO debe ser siempre SOLUCIÓN planteando siempre las 4 opciones de gestión del riesgo: Aceptar, evitar, reducir o transferir.

Cuando se traslada a la Dirección un resultado de analizar los riesgos y dado que no son problemas tangibles y reales sino escenarios hipotéticos de todo lo que puede suceder, es tentador guardar la cartera y optar por la opción de máximo ahorro: ACEPTAR. Sin embargo, es necesario hacer ver que está opción es también una decisión con consecuencias.

"La planificación a largo plazo no es pensar en decisiones futuras, sino en el futuro de las decisiones presentes". Peter Drucker.

Cuantas veces hemos visto facturas muy caras en el largo plazo por no haber planificado bien inversiones en prevención modestas que no dan lugar a efectos "bola de nieve". Actualmente nos encontramos en varios escenarios que ejemplifican bien este comentario y me estoy refiriendo a los siguientes:

Ransomware: Su éxito, respecto al factor humano, se debe principalmente a la ausencia de acciones de formación entre el personal para ponerles en conocimiento de cuáles son las formas en las que los malos intentan hacer daño a través de correo electrónico o en navegación Web. El éxito en la parte técnica es debido en muchos casos a la obsolescencia tecnológica de los sistemas afectados. Las medidas de seguridad de un Windows 10 cuentan con la experiencia y el conocimiento acumulado de Microsoft en seguridad. Windows XP tiene ya 16 años y estaba capacitado para gestionar las amenazas de aquella época... Pero las cosas han cambiado mucho desde entonces.
Ataques Web: Las técnicas actuales que se centran en explotar los errores a nivel de aplicación ya no se pueden evitar con políticas de filtrado de conexiones basadas en IP y puerto. Cuantas empresas tienen solamente firewalls con estas capacidades y no son capaces de detectar ataques Web. Actualmente, existe ya tecnología especializada que se centra en resolver exclusivamente ese problema como el WAF (Web Application Firewall) y que permite, entre otras cosas, el parcheo virtual de aplicaciones vulnerables cuando el entorno no puede ser actualizado. ¿Qué significa esto? Que aunque la aplicación que está accesible desde Internet puede tener un bug, el WAF va a detectar su intento de explotación y va a parar el tráfico malicioso que intente entrar a nuestros sistemas por esa vía.

Este es el primero de una nueva serie de post que van a reactivar la actividad de mi blog, que casi tras un año sabático, ha servido para identificar qué temática puede ser de interés y merece la pena compartir con el objetivo de saciar el interés de los actuales y futuros lectores. Cierto es que con el paso de los tiempos ha crecido exponencialmente el número de blogs de seguridad pero no son tantos los que se centran en aconsejar en materia de Dirección y gestión del Área de seguridad de la información. Además, este es uno de los más antiguos que celebrará su 14 aniversario el próximo octubre. Toca ahora restaurar el hábito de buscar cuestiones interesantes a comentar pero al menos, ya he identificado la temática a tratar. En próximos artículos hablare de las siguientes cuestiones:

Estrategias de ataque: Modelo de diamante y la Ciber Kill-Chain.
Estrategias de defensa basadas en conocer las estrategias de ataque.
Threat Intelligence: Conociendo lo que hace tu enemigo y utilizarlo para la prevención.
Compliance como un aliado del área de seguridad.

Lo que si habrá como véis, es un estudio desde los dos lados. El "Threat Intelligence", una nueva y potente herramienta es y será una tendencia en uso. Por fin es posible conocer al enemigo... y eso empieza a dar cierto equilibrio en el pulso de "fuerzas".

El bando que hemos elegido es el más difícil. No tenemos que encontrar el punto débil, tenemos que considerar la protección de todos los elementos. Y además, seremos juzgados el día en que algo ocurra. Por tanto, al menos hay que demostrar diligencia y resultados aunque algo pueda suceder.

Construyendo "conciencia situacional" para evitar o detectar incidentes.

noreply@blogger.com ((c) Javier Cao Avellaneda) — Thu, 06 Aug 2015 05:07:00 +0000

Llevo ya unos meses dedicados a profundizar en la capa operativa de la seguridad. Para mi esta bajada al MUNDOREAL™ está siendo un viaje apasionante dado que me está permitiendo conocer herramientas SIEM que tratan de juntarlo todo con un objetivo único, proporcionar una visión aproximada de lo que puede estar sucediendo para tomar la mejor de las decisiones posibles en materia de detección temprana.

Para ello, he ido dedicando los ratos de ocio a profundizar en la materia tratando de leer (aunque no de la forma sosegada y centrada que me hubiera gustado) diferentes fuentes de información contando para ello con apoyo de diferente bibliografía que a continuación voy a resumir:

Este es un libro esencial dado que fija los conceptos más importantes que deben estar claro en un plan de despliegue de monitorización. Es necesario aplicar criterios de diseño a dónde situar los sensores, qué tipo de información recoger, cuanto tiempo retenerla, valorar los ratios entre cantidad de información y capacidad de proceso, etc.

Este libro complementa al anterior ya que empieza a sentar las bases de la telemetría del estado de seguridad de la red y plantea ya cuestiones más avanzadas sobre cómo procesar la información para obtener conclusiones. Tiene una parte importante centrada en el análisis de datos usando R como lenguaje.

Este tercer libro también es un apoyo importante dado que si en los dos primeros obtenemos una visión del qué es importante conocer, en este se obtiene una visión de "cómo" transmitir aquello que se va conociendo para hacer procesable de forma más rápida y sencilla la información. Este libro no se centra en la monitorización sino que plantea la visualización de todo tipo de datos vinculados a la seguridad.

Hay algunas referencias más que he ido consultando pero a nivel teórico estos son unos buenos pilares para tener claro cómo enfocar el tema. Justo a mitad del proceso, principios de junio, me llegó una invitación a participar en la primera jornada de Ciberseguridad organizada por la Escola de Policia de Catalunya en Mollet del Vallés (Resumen del evento en el blog de empresa que podéis consultar un este enlace.

Este seguramente será el primero de algunos post dedicados a describir el proceso de construcción de un SOC pero mis primeras impresiones, tras conocer ya herramientas y sus capacidades me plantean de nuevo la gran importancia que tiene la capa estratégica y lo verdes que están muchas empresas en "conocerse a si mismas".

Todo se resume en la frase de Federico II el Grande "Quien trata de defenderlo todo, no logra proteger nada". En este sentido, el despliegue de cualquier tecnología orientada a la prevención va a platear preguntas sobre la infraestructura TI de la organización y su impacto en el negocio que sólo pueden ser resueltas desde la visión holística y completa que proporciona un análisis de riesgos. Incluso en las herramientas SIEM existe un importante aspecto a configurar vinculado con los activos en donde la relevancia o severidad de las alarmas está condicionada por el valor de los activos o las redes en las que se producen los eventos. Sin un inventario completo de qué aspectos clave son los que inicialmente deben centrar el despliegue, el equipo de seguridad está perdido y desorientado. Cualquier sistema, con la cantidad de ruido existente en la red, va a empezar a disparar alarmas que habrá que priorizar y ponderar en función de a qué afecta, en qué momento, con qué tipo de ataque. Si a esto sumamos que también de repente aparecen eventos potencialmente peligrosos que eran desconocidos para la organización, tenemos un carajal de cuidado en donde es difícil poner orden y concierto.

Antes de entrar en pánico, debemos volver a los principios, a los cimientos y situar cada pieza de la seguridad en su sitio.

Para poder vigilar es necesario que existan primero decisiones. Tener políticas y normativas de seguridad facilitan las respuestas a cuestiones relevantes sobre lo que está permitido, no lo está, es tolerable pero indeseable o lo que será permitido por cultura de la organización.

Por tanto, dado que los sistemas son complejos y grandes, tenemos que bajar de nuevo al papel y lápiz, aplicar estrategia militar y diseñar con el plano de red, cuales serán los puntos críticos donde vamos a poner centinelas.

También es importante conocer el entorno cambiante de las amenazas que forman el campo de batalla y ser conscientes de cual es el caldo de cultivo en el que se produce una intrusión. Al igual que existe el triángulo del fuego, una intrusión requiere de tres factores: Datos, un punto de entrada o exploit y una forma de robarlos que es a través de la red. De estos tres elementos, dos son gestionados por el que defiende.

En un mundo ideal, las estrategias preventivas como la establecida por el Gobierno australiano con sus 35 actuaciones básicas para evitar una intrusión, que finalmente quedaron reducidas a cuatro aspectos esenciales no funcionan. Pese a ser muy básico, estas cuatro "decisiones" de seguridad son complicadas de desplegar en organizaciones grandes. A menudo es difícil decidir qué se puede ejecutar, tener control sobre el parque de aplicaciones para garantizar que están parcheadas al igual que sobre el parque de sistemas operativos. Lo único que sueles encontrar funcionando es el principio de mínimos privilegios pero como se muestra, es la última de las 4 actuaciones urgentes.

Por ello, es necesario un cambio de enfoque al problema. Migrar la estrategia de pensar que somos capaces de cerrar todos los agujeros a pensar que la intrusión se va a producir seguro aunque no sabemos cuando. Nuestra misión, como responsables de seguridad es tratar de detectar de forma más temprana posible que existe dicha intrusión y expulsar de los sistemas al extraño antes de que sea capaz de recolectar un volumen alto de información que es realmente lo que causa impacto.

El problema principal de los APT no es que existan, sino su persistencia.

En próximos post iré desgranando aspectos importantes a resolver para poder construir conciencia situacional.

Nativos digitales y Padres 2.0: La factura digital de tener pasado enla red

noreply@blogger.com ((c) Javier Cao Avellaneda) — Sat, 11 Jul 2015 08:43:00 +0000

En esta época del año cuando el cole finaliza muchos padres asistimos con orgullo a las fiestas fin de curso y otras actividades similares que ponen fin al año escolar. Muchos padres, plenamente conscientes del peso que tiene Internet en nuestras vidas y de las tendencias tecnológicas que van a condicionar su futuro vemos con preocupación la ligereza y frecuencia con la que los progenitores vuelcan sin control las hazañas de sus peques con las finalidades vinculadas a la difusión entre sus conocidos. Los más prudentes utilizan enlaces a carpetas de servicios de almacenamiento en nube como Dropbox y los menos los cuelgan en sus canales propios de Youtube totalmente en abierto. Además, quienes somos conscientes de la problemática existente tenemos que sufrir agresiones virtuales al ver que a pesar de nuestros esfuerzos por evitar este tipo de situaciones, nuestros menores aparecen acompañando a otros en actividades como fiestas de colegio o celebraciones de cumpleaños.

Aunque este tema lo aborda de forma completa el artículo Festivales de fin de curso: ¿Debe permitirse hacer fotos? lo más significativo, como comentó Ricard Martinez hace unas semanas en el III Congreso Nacional de la Asociación de Profesionales de Privacidad (APEP) son los comentarios de muchos padres al pie del mismo. En ellos se mezcla en muchos casos, el enfado por las medidas a tomar y lo ridícula que les suena la preocupación de los autores.

Quizás, lo que muchos padres no son capaces de ver o entender es la importancia o trascendencia que tienen los hechos que ahora cuelgan en la red para sus hijos ... en el futuro. En un mundo donde el crecimiento de la tecnología es brutal, donde la incorporación de la innovación tiene cada vez ciclos más cortos de penetración es complejo poder vaticinar qué importancia pueden tener los datos del hoy en el mañana. Aunque Gemma Galdon, socióloga y participante en el III Congreso APEP, ha colgado un excelente post titulado "La memoria obligatoria" planteando este nuevo escenario como un elemento que alterará nuestro concepto de libertad, creo necesario como experto en la materia intentar hacer ver de qué estamos hablando y cuales son las cuestiones que nos preocupan a los profesionales que entendenemos de esto y que podemos predecir, por el análisis de las tendencias tecnológicas en curso, cuales son las posibles situaciones que se plantearán en este siglo XXI. Para ello, he creído adecuado usar un relato futurista... al igual que ya hice en el post "El tsunami tecnológico que no pudimos evitar" en el año 2012 para contar la alta dependencia tecnológica en nuestro día a día y por qué la seguridad es una asignatura pendiente. Aquí comienza el relato.

Año 2031. Conversación entre padre e hijo.

- "¿Qué tal va tu búsqueda de trabajo, Pedro?."- Preguntó su padre.
- "Pues no muy bien, Papá. No se qué está pasando pero en las diferentes ofertas online a las que me voy apuntando, en cuestión de minutos aparece la respuesta descartando mi candidatura."- Respondió el hijo.
- "¿Cómo dices? ¿En cuestión de minutos? ¿No te llaman ni siquiera para hacer la entrevista?"- Interrogó de nuevo el padre.
- "Claro Papá. Ahora los departamentos de Recursos humanos tienen algoritmos de selección y scoring automáticos que les permiten evaluar y ponderar las características del candidato. Aprovechan las tecnologías de Big Data y la cantidad de información colgada en la red para realizar en tiempo real un procesado de todo eso y construyen un timeline de los diferentes solicitantes. Luego aplican criterios de selección según ponderaciones que asignan a las actividades que el candidato ha ido evidenciando a lo largo de su vida (pertenencia a asociaciones, actividades deportivas, implicaciones políticas, etc.) Todo está en la Red y los algoritmos son capaces de pronosticar que capacidades, conocimientos, habilidades y aptitudes podría tener el candidato."- Explico Pedro a su padre.
- "Desconocía que hubiéramos llegado a este nivel de automatización."- respondió el Padre que quedó pensativo al conocer los nuevos métodos que se estaban aplicando.
En ese momento, el hijo preguntó al padre. "- ¿Por qué lo hacíais?."
"-¿El qué?"- respondió su Padre.
"-Colgar toda nuestra vida. ¿Era necesario?. Nunca he entendido porqué tienen que conocer mis compañeros de colegio que no sabía nadar con 3 años, que me caía de la bicicleta con 5, que bailaba tan mal cuando era pequeño en las diferentes actuaciones del colegio. Esos son recuerdos de familia pero que deberían haber quedado para nosotros y como mucho, nuestros conocidos más próximos. Ahora pongo mi nombre en Internet y me salen páginas que son capaces de localizar todo mi pasado y reconstruir mi vida."- espetó el hijo.
"-Todo aquello era nuevo. Cuando tu naciste, Youtube tenía pocos años y cualquier cosa que hacías era fácil subirla y compartirla con tus abuelos, primos y demás familia. Nos gustaba mostrar cómo crecías."- respondió su padre.
- ¿Pero Papá, todo accesible sin restriciones a nadie, todo colgado y visible para cualquier internauta en la red? - planteó de nuevo el hijo.
- "¿Cómo iba a saber que todo eso no quedaba en el olvido? ¿No tenía muchas visitas y eran cosas que poníamos para que las vieran en aquellos momentos solo."- respondió de nuevo el padre.
-"Pero eran indexables y estaban en la memoria de Internet para siempre Papá. Quedaban fuera de vuestro control. No podías garantizar que sólo estuvieran en los sitios en las que lo subías porque los contenidos una vez son públicos, ya dejan de poderse limitar."
-"Eramos muy ignorantes hijo. Ahora nos llamarían analfabetos digitales y en aquellas épocas de explosión de las redes sociales parecía que si no estabas metiendo tu vida en facebook o contando lo que hacías en twitter, eras un atrasado tecnológico."

Esta conversación ficticia, hoy en el año 2015 no tiene todavía mucho sentido aunque ya sabemos que los procesos de selección de personal se ven influenciados por las redes sociales. Sin embargo, la memoria eterna y la indexación continua de la red obligan a pensar no en el ahora, sino en lo que podrá suceder en el futuro. Dado que no sabemos los rumbos que pueden mover a las nuevas tecnologías ni cómo los derechos pasarán a ser regulados, es cuanto menos temerario volcar demasiado en un entorno inestable que no sabemos qué consecuencias puede acarrear. Como Padres, somos garantes de la educación de nuestros hijos y debemos preservar su intimidad y dignidad como un bien preciado dado que la reputación (online) ya es un valor en alza que cada vez más condicionará lo que son o pueden llegar a ser nuestros hijos en el futuro.

Si te parece descabellado o exagerado el relato, plantéate sólo como se daban préstamos bancarios hace 10 años. Para poderlo recordar puedes ver series como "Cuentamé como pasó" donde se relata la importancia del Director de oficina en algunos de los momentos más importantes de algunas familias a la hora de otorgar prestamos para cosas importantes y cómo se hace ahora ese proceso. El scoring bancario es una realidad... pero cuando realmente el potencial del Big data y las tecnologías cognitivas sean una realidad cotidiana... ¿de verdad crees que querrás haber colgado tanta información en la red?
Por eso es loable y necesario movimientos y ONG como Padres 2.0 que intentan mitigar el desconocimiento de los tutores y padres en estas materias, para evitar pagar facturas como las comentadas. La ignorancia tecnológica puede ser un elemento discriminador en el futuro y por eso nos toca a todos hacer ver la cara oculta del uso de los nuevos servicios que seducen al usuario con sus cantos de sirena, para atraparlos en una tela de araña de la que es difícil salir pese a existir el derecho al olvido y que nunca sabremos en qué momento podrá acabar devorándonos.

Ciberseguridad: elegir entre la pastilla roja o la pastilla azul

noreply@blogger.com ((c) Javier Cao Avellaneda) — Fri, 24 Apr 2015 12:33:00 +0000

Los que llevamos mucho tiempo en esto de la seguridad (Aunque ahora queda más cool ponerle el prefijo cyber/ciber-seguridad) estamos viviendo un momento dulce en el sector. Los diferentes vaticinios agoreros que hace unos años se veían como "análisis paranoicos" o irreales ahora son considerados amenazas tangibles y potencialmente reales.

Un blog de 12 años de antigüedad que ha ido recogiendo los diferentes incidentes y reflexionando sobre ellos ahora permite viajar al pasado para comprobar que los grandes fuegos actuales en esta materia empezaron no atajando a tiempo las pequeñas cerillas que se iban dejando caer por el monte.

Para muestra, las reflexiones del 2004 o el 2010.

El caso es que ahora la ciberseguridad ocupa portadas de periódicos, los incidentes de seguridad dan para tertulias en programas y existe una mayor conciencia de los riesgos de la red. Sin embargo es un hecho constatado que la seguridad de la información que llama la atención es su versión más mediática, la que mira hacia el experto que es capaz de encontrar agujeros o demostrar cómo una gran corporación ha cometido errores.

Yo entré en esto de la seguridad casi por casualidad al finalizar la carrera tras hacer un proyecto piloto sobre Magerit 1.0. En aquel entonces cualquiera que hablara de riesgo en el mundo de la seguridad era un loco. De hecho mi primera tarjeta de visita ponía e-worker/Hacker en la empresa "Innovative Security Comunications" (INNOSEC) aunque mi trabajo estaba más relacionado con la elaboración de normativas y procedimientos o el análisis de riesgos que fue el factor diferencial que hizo seguramente que fuera contratado.

Sin embargo en aquella época hablar de gestión de la seguridad, de las BS 7799 (partes 1 y 2) no tenía audiencia y mucho menos clientela. En mi caso también había estado trabajando con la recién publicada LOPD y con su R.D. 994/1999 por lo que la protección de datos y la seguridad de la información vinculada al cumplimiento legal fue mi día a día.

¿Y todo este rollo a que viene y qué tiene que ver con el título del post?

Echando la vista atrás he podido entender que en mis comienzos tuve que decidir entre la pastilla roja o la pastilla azul. En su momento el equipo Innosec estaba integrado por dos perfiles puros de hacking, dos administradores de sistemas y redes, técnicos de instalación de firewalls, antivirus y PKI y yo que era el raro y que nadie entendía para que estaba. En aquella época en las discusiones más calientes me tocaba argumentar en la importancia de la gestión y en que algún día las empresas querrían acreditar su seguridad usando normativas, de forma similar a lo que ocurría con la calidad y la ISO 9000.

El tiempo ha pasado y la seguridad se ha hecho muy mediática pero la atención se presta en los fallos, en donde están los problemas, se centra en la detección o descubrimiento de nuevos peligros... transmitiendo la sensación de que todo tiene agujeros (Porque realmente puede ser así cuando alguien se dedica a buscarlos de forma intensa). La parte mediática y ahora famosilla de la seguridad se centra en los perfiles más destacados del pen testing nacional gracias a que tenemos en estos temas grandes referencias nacionales e internacionales. Creo que España se está haciendo un hueco en este mundillo y cuenta con grandes equipos de pentesting (Equipos rojos o RED TEAMS).

Sin embargo, hay poca reflexión o atención a todos aquellos profesionales que están a diario en primera linea de batalla pero en las trincheras, los que forman los departamentos de seguridad de la información o seguridad informática (Cuando existen porque en muchas ocasiones son los propios sysadmin los que llevan estos trabajos). Ya creo haber comentado la asimetria entre defensa y ataque.

El agresor se limita en una primera fase a realizar actividades de inteligencia, de detección de puntos vulnerables y su explotación. Para ello tiene el tiempo que quiera invertir al respecto y la paciencia que considere atendiendo a la motivación que le lleva a intentar la intrusión. Una vez dentro, en esta segunda fase ya tiene que ir con cuidado porque puede ser cazado y en esa parte del trabajo debe tener muy sigiloso. Si logra la intrusión, se podrá marcar un tanto y habrá logrado demostrar con éxito su hazaña. Si no lo consigue, nadie se enterará y se irá a por otra presa.

Si ahora intentamos ser algo empáticos con los Blue team, su visión del mundo es que todo debe ser protegido. Como buen pastor debe velar por la integridad del rebaño de sistemas y redes, por el mantenimiento de los servicios y por garantizar la continuación del modelo de negocio. Lo más desagradecido de la seguridad es que en general no se percibe la protección como aportación de valor cuando a veces, garantizar la supervivencia es una forma de contribuir al mantenimiento del negocio.

Últimamente que tengo que lidiar con capas directivas de las empresas, estoy intentando explicar que la seguridad de la información también aporta valor a sus compañías aunque no sea intuitivo de ver. De hecho, Cobit 5 destaca entre los tres grandes objetivos de toda organización la optimización del riesgo.

Creo que Miguel Angel Hernandez Menéndez lo expresa muy bien en una de sus transparencias, con el siguiente slide.

Pelear todos los días porque la maquinaria no se pare e incluso reaccione con resiliencia frente a las perturbaciones interas o externas es también una aportación de valor, aunque su percepción sólo llega cuando la inseguridad se manifiesta en forma de incidente. La existencia de los BLUE TEAM se justifican de esta forma. Las tareas del equipo azul están muy distribuidas, implican el control de muchos frentes, de lidiar con las capas técnicas pero también con las capas directivas para intentarles concienciar de la importancia de los asuntos que un equipo azul lleva entremanos. Encima hay que justificar bien la necesidad de recursos, la mejora de la artillería que debe hacer frente a los diferentes agresores, los diferentes fallos que los propios fabricantes van detectando, en fin, un no parar con la presión de no poder dormir tranquilo nunca. En este caso, el día que ocurre algo todos pueden pensar que has fracasado en tu trabajo... pero nadie te felicitará por cada uno de los días en los que todo funciona de forma adecuada y correcta. Toca estar vigilantes en la muralla y con las armas preparadas por si en cualquier momento aparece un ataque... pero eso es estar en el equipo azul y es lo que ya sabes cuando eliges ese color de pastilla.

Por suerte, los diferentes equipos azules ya empiezan a darse cuenta que igual que los malos colaboran, los buenos podemos hacer lo mismo. Hay que destacar la iniciativa del Gobierno americano, en concreto el DHS y su US-CERT que están empezando a crear las piezas necesarias para que la información fluja en unas determinadas formas, La iniciativa tiene tres áreas de trabajo principal que son:

TAXII™, the Trusted Automated eXchange of Indicator Information.
STIX™, the Structured Threat Information eXpression.
CybOX™, the Cyber Observable eXpression.

Los frutos tardarán unos años en llegar pero cuando instituciones, fabricantes y gobiernos empiecen a darse cuenta de que las labores de inteligencia también tienen interés para ir conociendo a los que están en el lado oscuro, se crearán las relaciones para generar una respuesta rápida y sobre todo, para compartir el conocimiento de cada uno de los diferentes blue teams y de su proceso de investigación frente a un ataque. El Mitre lideró hace algunos años la necesidad de identificar con un código único las vulnerabilidades y su importancia y ahora no hay notificación o producto que se precie que no tenga como información de referencia el código CVE.

Yo personalmente me he sentido siempre identificado y motivado por estar en el lado de los que defienden, de los que su misión es lograr que ciertas cosas no sucedan, de los que tienen como misión el intentar realizar modelos de seguridad que sirvan para que la Dirección entienda el escenario de riesgo en el que se mueve y la importancia de las decisiones a tomar para mitigar algunos de los peligros. Sin embargo, en esta parte están aquellos que nunca recibirán una felicitación por su trabajo porque es invisible. Aun así nos gusta nuestro trabajo porque sabemos que las murallas requieren de gente apostada vigilando para que el resto de actores puedan realizar su trabajo.

¿Es la seguridad en el ciberespacio competencia del Estado o un negocio privado?

noreply@blogger.com ((c) Javier Cao Avellaneda) — Fri, 16 Jan 2015 07:41:00 +0000

Hemos visto en estos últimos meses como ha ido cobrando vital importancia la vigilancia en la red y la proliferación de ataques a compañías y estados. Todos los profesionales del sector estamos insistiendo en la necesidad de la prevención y sobre todo la detección temprana... pero últimamente no paro de plantearme una cuestión ¿Pueden los cuerpos y fuerzas de seguridad del estado vigilar preventivamente el ciberespacio? ¿Tienen igual capacidad operativa en Internet que la que tienen en el terreno físico?

Para evidenciar más la cuestión sólo es necesario consultar los diferentes servicios online que han ido apareciendo en estos meses (El último añadido el nuevo servicio Cybertheat Map de FireEye) donde diferentes empresas del mundo de la seguridad son capaces de mostrar en tiempo real que ocurre en Internet. Todos ellos obviamente están utilizando la información recogida por los miles de dispositivos de su marca dispersos por el mundo para poder pintar qué ocurre en Internet siendo en todos ellos la foto parcial de aquello que detectan los equipos instalados en sus clientes.

Aquí os presento 12 de ellas siendo la de Kaspersky, Norse y FireEye de las más impactantes.

1 - Cyber Warfare Real Time Map by Kaspersky (Visualización que recomiendo)

2 - Cyber threat Map by FireEye.

3 - Real-time Web Monitor by Akamai

4 - IpViking Live Map by Norse (Visualización que recomiendo)

5 - Honeypots from the Honeynet Project

6 - Global Botnet Threat Activity Map by Trend Micro

7 - Top Daily DDoS Attacks Worldwide by Google

8 - Security Tachometer by Deutche Telekom

9 - Cyberfeed Live Botnet Map by AnubisNetworks

10 - Global Activity Maps by Arbor

11 - DDoS Attacks by ShadowServer

12 - Internet Malicious Activity Maps by TeamCymru (Visualización que recomiendo)

13 - Globe and WorldMap by F-Secure
14 - IBM X-Force Security Incidents (05-05-2015)

La gran pregunta que hay que plantearse es ¿Podríamos ver servicios así cuya fuente de información sean los cuerpos y fuerzas de seguridad del estado? ¿Pueden actuar en ataques dirigidos o de denegación de servicio de igual forma a como lo harían si fueran ataques físicos?

Quizás donde esta situación plantea más problemas va a ser en la protección de infraestructuras críticas. Imaginemos que una Autoridad Portuaria está sufriendo un ataque de DDoS. Aunque las competencias las tenga el CCN-CERT, como se puede comprobar en su Catálogo de servicios del CCN-CERT su capacidad proactiva de contención o mitigación es limitada siendo más un organismo de asesoramiento en la gestión del incidente que en la parte técnica de resolución del mismo. Llegado el caso, cada organización dependerá de varios factores para tener éxito frente a este tipo de agresiones:

Los operadores de servicios de telecomunicaciones de los que sea cliente.
Los fabricantes de sus productos de protección y su capacidad de actualización.

Por tanto y al contrario de lo que ocurre con la seguridad patrimonial, en el ciberespacio la protección de infraestructuras y organismos va a depender de la colaboración publico-privada que exista. Sobre todo porque como estamos viendo, quién tiene la información de primera mano sobre lo que ocurre por la red son los fabricantes de soluciones de seguridad en primera instancia y los operadores de servicios de telecomunicaciones que enrutan el tráfico de Internet.

Supongo que llegado el caso, deberá crearse un marco legal que diera soporte a un SITEL-2 (Sistema Integrado de Interceptación de Telecomunicaciones) con una estructura para realizar la monitorización de las TIC pero actualmente esa cobertura no existe y a nivel tecnológico también habría que crear un punto único de paso de todas las comunicaciones. Y cuando llegue el momento también habrá que ver cómo se regula para preservar el difícil equilibrio entre la seguridad y la privacidad. En cualquier caso, el problema de privacidad ya existe porque esos datos ya son manejados por empresas para dar servicios.

¿Que deberíamos aprender del año 2014 en materia de seguridad? Empezamos a pagar la deuda técnica.

noreply@blogger.com ((c) Javier Cao Avellaneda) — Tue, 13 Jan 2015 08:50:00 +0000

Como es tradicional en estas fechas y en este blog, toca mirar al futuro y plantearse cuales van a ser los retos y objetivos del 2015. Quizás este año de cara a justificar decisiones ante la Dirección las cosas no vayan a ser tan complicadas dado que el año 2014 si ha destacado por algo ha sido por la evidencia manifiesta de que el cibercrimen está presente en nuestras vidas de forma tangible. Solo hay que recurrir a las web de estadísticas más conocidas para poder comprender que el problema sigue creciendo y que las respuestas siguen siendo insuficientes. Para muestra, consultar los resumenes de dos de mis webs preferidas para estos temas:

http://datalossdb.org/ que lleva registro de las fugas de datos conocidas.
http://hackmageddon.com que realiza una linea de tiempo con los incidentes más relevantes de cada mes del año.

La primera conclusión debe hacer reflexionar de forma clara sobre un hecho: la tendencia sigue en aumento a un ritmo muy preocupante. El gran problema es que no sabemos todavía qué información se puede haber ya fugado y está siendo utilizada en estos momentos para producir nuevos ataques en el futuro. Uno de los mayores retos en la protección de la confidencialidad es que por desgracia se detecta cuando ya no tiene solución y llegado el caso, sólo queda como estrategia el ser capaz de resistir el ataque. Sony no va a reparar el daño que haya causado por ejemplo que hayan sido conocidas las nóminas de su personal. Esta tendencia a atacar mediante la publicación intencionada de datos de carácter personal denominada "doxing".

Como segunda reflexión creo que cabe también admitir que hemos estado cometiendo errores de enfoque y que nuestra aproximación a la inseguridad de la información no ha sido adecuada. Hay aspectos básicos de carácter preventivo que no se han tenido la relevancia e intensidad adecuada y que ahora echamos en falta. De estas actuaciones la más relevante es la formación, capacitación entrenamiento del personal interno para la detección de los ataques más comunes y su prevención. Hemos estado conociendo casos muy notorios de hacking de este año 2014 donde el vector de ataque ha sido el spear phising. Esta técnica mezcla la ingeniería social con la ausencia todavía de medidas de seguridad en el correo electrónico. ¿Desde cuando existe la posibilidad de firmar correo electrónico, más de 10 años? Es evidente que muchos de los vectores de ataque cuentan con medidas de seguridad suficientes para mitigar los riesgos asociados pero el despliegue de estas medidas no ha sido abordado por las organizaciones. Evidentemente en muchos casos por la complejidad o coste de la implantación pero bajo la premisa de una ecuación de retorno de inversión que quizás no ha calibrado de forma adecuada el "coste de la inseguridad". Por desgracia estos cálculos sólo pueden hacerse bien una vez ya ha ocurrido algo y en por desgracia en muchas situaciones el coste del incidente supera en mucho el valor estimado.

El caso Sony es ahora un elemento de reflexión. Esta compañía ya había sufrido un serio ataque hace años pero a pesar de ello ha vuelto a ser de nuevo víctima. Todavía va a ser complicado calcular el impacto económico del incidente y más cuando aparecen noticias como la demanda de Charlize Theron que ha conseguido igualar su sueldo con el de actores compañeros tras conocer los salarios por la filtración producida.

Esto que estamos viviendo donde el hacking se sitúa ya como noticia cotidiana en prensa y donde las ciberamenazas se plantean como un quinto poder es algo que se venía anunciando. Los que nos dedicamos a esto hemos ido empleando en nuestras presentaciones desde hace mucho tiempo la imagen del iceberg para mostrar que los síntomas que en aquellas épocas se iban detectando eran los inicios de una maquinaria que cuando desarrollara con todo su potencial acabaría haciendo estragos. Esta es la transparencia que usaba en el año 2004 para explicar porqué la seguridad iba a ser un problema futuro en los sistemas de información. En aquellos años nos tocaba ser los "paranóicos" cuando nos tocaba decir que vendría el lobo... pero el contexto tenía elementos claros que hacían que los riesgos fueran en aumento y por tanto, que los problemas aparecerían solos. Ha existido desde hace mucho tiempo un caldo de cultivo adecuado para crear la industria del cibercrimen.

El texto que adjunto a continuación es también de una entrada de este mismo blog titulada "Versión de los virus" del AÑO 2004. Este blog se inició hace mucho tiempo y ahora me resulta a veces curioso comprobar cómo la realidad está superando con creces lo que se vaticinaba que podría ocurrir.

"Un fenómeno que viene ocurriendo este ultimo año es la aparición de versiones de los virus más conocidos. Supongo que esto ocurre porque en el "lado oscuro" circula rápidamente el código fuente de los virus más populares del momento y ingenuos programadores o gente sin escrúpulos crea nuevas versiones del código introduciendo mejoras o cambios en los objetivos del virus. Ayer era conocido el efecto que el virus Mydoom.M había tenido sobre los principales buscadores y hoy empieza a sonar una nueva versión Mydoom.O cuyo objetivo es producir el mismo efecto sobre Microsoft.com.

Además, debemos destacar que ya los virus no vienen solos. Se han juntado con otro tipo de amenazas como troyanos o keyloggers para crear un engendro mucho más peligroso. Como digo, se están juntando las fuerzas del mal aprovechándose la potencia dañina de cada uno de los espécimenes creados. Mydoom, Sasser, Beagle, Gaobot, Korgo, y otros espécimenes son al final suma de varios elementos: 1.- Difusión inmediata con técnicas de reproducción y contaminación vírica. 2.- Habilidades para inhabilitar o desconectar el software de protección perimetral y vírico existente en el PC. 3.- Inclusión de troyanos para hacer al equipo un "zombie" y poder lanzar ataques de Denegación de Servicio Distribuida (DDoS) contra diferentes objetivos. 4.- Inclusión de keyloggers para espiar al usuario y de paso, intentar obtener información de sus accesos a bancos on-line para el posterior hurto. 5.- Posibilidad de ejecución remota de comandos sobre el virus para cometer diferentes fechorías e ir modificando el comportamiento del virus en función del interes del atacante.

En fin, que el tema de la seguridad informática se parece cada vez más a un iceberg. A día de hoy, solo conocemos una pequeña porción de los problemas que pueden ir apareciendo. Si bien la industria del software empieza a consierar el tema como una prioridad en el diseño, vamos a sufrir las consecuencias de unos diseños sin pensar en la seguridad de protocolos de Internet y el software todavía unos años más. "

Sin embargo poco a cambiado en cuanto al enfoque de la industria del software. La seguridad sigue siendo una gran desconocida en el diseño del producto (Como nos ha demostrado el mundo de la informática industrial creando ahora un problema de mayor envergadura por la dificultad de seguridad este tipo de escenarios) y donde las consecuencias pueden ser realmente dramáticas y sobre todo, de impacto físico y tangible.

Para terminar, quiero también refrescar otra reflexión que publiqué en el año 2011 bajo el titulo ¿Los errores informáticos, ¿Deben pagarse?.

"Todo parte de una noticia que guardé hace unos días (vía Instapaper que recomiendo usar a aquellos que quieren mejorar su productividad y no verse arrastrados por la navegación compulsiva) donde David Rice, nuevo responsable de seguridad de Apple plantea un impuesto sobre vulnerabilidades como idea para la mejora de la seguridad del software.

Esta propuesta no es nueva y forma parte del discurso de Bruce Schneier que siempre habla de la "economía de la inseguridad". Su planteamiento viene a explicar que la filosofía con la que la industria en general trabaja es el pago por los efectos de la inseguridad, sin atajar la esencia del problema.

Lo curioso del tema es que realmente no se sabe si este enfoque resulte económicamente más rentable que intentar fortalecer la seguridad desde el diseño. Microsoft a base de sufrirlo en sus propias carnes decidió cambiar radicalmente su filosofía y paso a una "seguridad por defecto" como planteamiento de diseño. Y las cosas se hicieron bien desde el principio, atacando el problema desde la raíz, en el proceso de construcción del software. Fruto de aquello, hoy utilizan y aplican la metodología de desarrollo seguro SDLC de la que ya he hablado en este blog en más de una vez.

Lo que sí creo es que empieza a llegar un momento en donde debiera plantearse el proceso industrial de la Ingeniería en Informática, estableciendo unos requisitos mínimos a cumplir y unas garantías mínimas exigibles a los productos hardware o software que se lanzan al mercado. Y no garantías físicas respecto a la seguridad industrial del producto (consumo, rendimiento eléctrico, etc.) sino garantías respecto a los aspectos programados por el software, atribuibles al código que se ejecuta en el dispositivo.

Porque hay una cosa clara, mientras el error o fallo no afecte directamente a la cuenta de resultados de la Empresa que lo causa o genera, la Industria no cambiará. Esa "cláusula comodín" del software que lo primero que dice es que se encuentra ante un producto del que no es exigible ningún tipo de responsabilidad se tiene que acabar. En otras áreas de la Industria se realiza un esfuerzo enorme por garantizar la robustez y fiabilidad de los productos y la Informática no está todavía por desgracia a esa altura. Sólo hay que pensar en las disciplinas asociadas a la seguridad de los materiales de construcción, la seguridad del automóvil, etc... para darse cuenta de lo importante que es el diseño seguro."

Hemos podido comprobar en el caso de las aplicaciones para móviles como el modelo de Apple, donde existe un mínimo control centralizado para la venta de aplicaciones ha tenido más exito (en términos de la problemática de seguridad) que el enfoque de Google donde no existen restricciones para añadir aplicaciones a su tienda. Obviamente los motivos de la centralización y el control de Apple no obedecen a la seguridad pero ésta ha sido una víctima colateral beneficiada por dicha decisión.

Por tanto, como retos para el año 2015 y por tanto, como potenciales objetivos para lograr una mejora de los resultados deberíamos plantearnos al menos las siguientes cuestiones:

Mejorar nuestra "conciencia situacional" en materia TI. Es común en muchas organizaciones el disponer de medidas de seguridad tradicional pero todavía se carece de medición respecto a su alcance y puesta a punto. Este tipo de información nos describen el alcance de las medidas que creemos tener funcionando y sirven para detectar si realmente tenemos todo el parque de equipos dentro del paraguas de la protección. Esto sería simplemente disponer de indicadores del tipo:

% de cobertura del parque de PC con antivirus actualizado.
% de equipos sin vulnerabilidades críticas.

Robustecer la capacitación del personal para disminuir la eficacia de la ingeniería social. Es necesario, al igual que existen políticas vinculadas a la formación en prevención de riesgos laborales o seguridad en el trabajo, que la seguridad de la información tenga el protagonismo necesario dado que como estamos viendo, su ausencia afecta de forma grave al funcionamiento de la organización. Estos planes de concienciación deben centrarse en enseñar al usuario común los vectores de ataque que suelen ir dirigidos de forma específica hacia ellos como el phising o el malware. Existen herramientas y plugins que valoran la reputación de sitios Web y que pueden avisar al usuario cuando está en una Web potencialmente peligrosa. Estos añadidos aportan información sencilla que pueden permitir a un usuario sospechar y por tanto, no ser víctima.
Incorporar, siempre que el presupuesto lo permita, las nuevas tecnologías en materia de protección perimetral basadas en la detección en tiempo real de malware por el análisis del comportamiento y no por su detección de patrones.

El año 2015 probablemente vaya a ser más de lo mismo. Es cierto que ya ciberseguridad ya empieza a ocupar el lugar relevante que tenía que tener reservado desde hace tiempo pero también es verdad que en esta materia estamos aunque una situación de "deuda técnica". Mientras la factura por la ausencia de seguridad ha sido barata... nadie ha movido un dedo... pero cuando ahora el ciberterrorismo se plantea como un quinto poder, se toman cartas en el asunto. Lo grave de esta estrategia es que seguramente sea mucho más cara que la prevención porque hemos permitido durante años que se genere el despligue de software sin controles mínimos. Es lo que intentaba plantear el relato El Tsunami tecnológico que no pudimos evitar en el año 2012.

Privacidad vs conocimiento, esa es la cuestión.

noreply@blogger.com ((c) Javier Cao Avellaneda) — Mon, 15 Sep 2014 15:08:00 +0000

Toca tratar el tema de la privacidad que es un concepto que continuamente se ve sometido a cambios del entorno y por tanto, a menudo nos toca pensar sobre sí es necesaria una actualización. Hace un par de años tuve la oportunidad de poder hablar del Big data que en aquel momento era un concepto incipiente. Para ello me puse a investigar sobre todas las tendencias tecnológicas que pudieran usar esta forma de procesamiento masivo para generar conocimiento. Revisando los contenidos he podido verificar que efectivamente aquellas tendencias se han consolidado y que se han fabricado nuevos dispositivos y sensores para poder generar datos que puedan ser procesados desde esta perspectiva. En este sentido, a principios de año decidí experimentar con el uso de wearables e incorporar en mi vida un elemento de monitorización continúa de la actividad diaria, el sueño y la alimentación. Como creyente de los beneficios de la retroalimentación, la teoría del control y el ciclo de mejora continúa este tipo de dispositivos me iban a permitir comprobar si las sensaciones se conformaban con los datos reales obtenidos.

Lo primero que pude comprobar es que casi todos los dispositivos almacenan la información recogida fuera del mismo, lo que implica el exilio de los datos a la cloud de la empresa de turno . Sin embargo en materia de privacidad también destaca en las condiciones del servicio la promesa de que la información no será cedida o vendida a terceros. Es un punto importante dado que este tipo de empresas no parecen orientarse a vencer privacidad de sus clientes particulares sino a vender el conocimiento acumulado y agregado en términos estadísticos.

En esencia parece que muchos de los estudios relacionados con Big data pretenden el análisis de patrones o tendencias basándose en los resultados estadísticos de la masa de datos obtenidos. En este sentido en muchos casos se apela a ese carácter estadístico y anónimo para entender que no existe privacidad posible. Sin embargo yo soy de los que creen que al menos la recogida para un tratamiento de esa naturaleza si tiene que ser informada al afectado que debe tener la libertad de poder elegir si pertenecer o no a esa masa de datos. Estas empresas asumen que esa materia prima individual es gratis y que ellos pueden explotarla sin más. Valga como ejemplo el estudio realizado por el BBVA y Telefónica sobre los habitos de los extranjeros en sus visitas a Madrid y Barcelona. Sin embargo si fuera necesario obtener consentimiento quizás en un futuro no muy lejano las empresas tendrían que pagar al afectado por tener acceso a ese poquito de privacidad cedida.

La otra reflexión que quiero comentar y que da título al post es que como afectado y defensor de la privacidad, estos dispositivos y algunos servicios webs de tratamiento plantean una importante disyuntiva respecto a sí merece la pena cierto sacrificio de privacidad frente al beneficio que aporta el conocimiento obtenido desde esos servicios sobre tus datos. Es decir, si es interesante ceder datos personales para cambiarlos por información y conocimiento personal. En mi caso las cesiones se realizan de los datos vinculados a movimiento, sueño y comidas y el acceso en modo lectura a estado de cuentas corrientes ( ahí es nada).

Hace unos días aparecía en El País una noticia relacionada con la tendencia de cuantificar la vida y registrarlo todo. El artículo completo cuenta la historia de Nicholas Felton que ve en la recogida de estos datos una forma de recordar. "Cuantificar las actividades me permite poder mirar, de un solo vistazo, amplios periodos de tiempo y condensarlos en una imagen o un número". Desde 2005 Felton elabora un informe anual que sintetiza esos 365 días en la Web http://feltron.com/.

En mi caso la cuantificación está sirviendo para confirmar la existencia de algún mal hábito y actua como i-conciencia al ser machaconamente repetido el mensaje de "debes hacer más de esto..." o "debes cambiar esto otro...". Los datos hacen que veas que efectivamente por mucho que intentes auto engañarte las cosas no cambian de forma sencilla. También es importante poder ver la evolución que tienen los cambios que introduces y ver como las tendencias cambian. En mi caso estoy comprobando como la aplicación que uso empieza a dar recomendaciones vinculadas a la media de población por edad, por perfil, etc. Además es muy importante de cara a la motivación el que te indicen cada día los retos a superar. En este sentido, recibes informes diarios que te indican tus resultados anteriores y te animan a superarlos. Cosas como "el miércoles pasado andaste 3000 pasos, a ver si lo superas..." o "la semana pasada dormiste una media de 6 horas, mejorarlo".

De toda esta experiencia se obtiene como conclusión que ya tenemos tecnología que van a darnos una nueva perspectiva sobre el mundo. Las personas nos hemos transformado sin darnos cuenta en sensores que registran información y la transmiten a repositorios donde puede ser estudiada y analizada de forma agregada y muy probablemente de ahí salga nuevo conocimiento que permita nuevas decisiones más inteligentes. Citando literalmente a Lord Kelvin, “Cuando puedes medir aquello de lo que estás hablando y expresarlo en números, puede decirse que sabes algo acerca de ello; pero, cuando no puedes medirlo, cuando no puedes expresarlo en números, tu conocimiento es muy deficiente y poco satisfactorio.”

Puede que la víctima colateral de todo ello sea la privacidad aunque seguramente tengamos que plantearnos de nuevo el concepto. Ya a comienzos de año en la entrevista de la APEP con motivo del día europeo de la protección de datos dejaba entrever algunos de estos cambios sobre big data o el IoT. Una de las principales cuestiones que debe plantearse es que debemos actualizar el término "datos de carácter personal" por información o conocimiento de carácter personal ya que las empresas empiezan a juntar puntos y empiezan a unir diferentes tipos de datos para obtener de nosotros "conocimiento". En este sentido la legislación debería empezar a regular los "tratamientos de datos" y no los ficheros, debería hablar de limitaciones en el procesamiento de cierta información para ciertos fines, etc... como digo, orientarse más que al hecho al resultado que tendrá el procesamiento masivo de datos de carácter personal. Para mostrar un ejemplo de estos puntos, podemos analizar el perfil de Google. Hace unos días profundizando en los paneles de configuración de la privacidad dí con la sección Historial de la cuenta donde te indican qué etiquetas ya tienes vinculadas en función del rastro que dejas. El listado total de categorías está descrito en este enlace https://support.google.com/ads/answer/2842480?hl=es&ref_topic=2971788. Obviamente todo es configurable para que nada de esto sea conservado pero el problema es que por defecto está activo y en pocos momentos creo recordar que Google haya hecho demasiado hincapié en informar al usuario sobre todas estas opciones. Yo soy consciente de que doy a Google determinados datos... pero lo que es complejo que pueda conocer es qué información extraen de todo ello y si me interesa o no que puedan comerciar con ella. Aunque este post de Bruce Schneier tiene ya unos años, es interesante su clasificación de los tipos de información que se alojan en una red social. De alguna forma, sirve para plantearse el concepto de “dato de carácter personal” y pensar si es necesaria una nueva redefinición del término cuando estamos ahora en la explosión de los servicios gratuitos que venden “meta-datos”. Lo que gente como Eli Pariser han pronosticado y que explican claramente en su charla Ted "Cuidado con la burbuja de filtros debe tenerse muy en cuenta para nuestros nativos digitales desde ya.

"A medida que las empresas de la red se esfuerzan por adaptar sus servicios (incluyendo noticias y resultados de búsqueda) a nuestros gustos personales, surge una consecuencia no deseada peligrosa: quedar atrapados en una "burbuja de filtros" que nos obstaculiza el acceso a esa información que podría desafiar o ampliar nuestra visión del mundo."

Los nativos digitales son desde el minuto 1 caracoles que van dejando un rastro procesable. El problema es que estos menores que tendrán una historia rastreable serán mucho más predecibles que nosotros como consumidores y de alguna forma, más sencillamente manipulables.

Quizás toca ya subir un escalón en la cadena de tratamiento y empezar a regular el uso de “información de carácter personal” como un conjunto de datos suministrados por el afectado o calculados o derivados del uso de aplicaciones, recursos, etc…”

Fuente: http://www.schneier.com/blog/archives/2010/08/a_taxonomy_of_s_1.html

Below is my taxonomy of social networking data, which I first presented at the Internet Governance Forum meeting last November, and again -- revised -- at an OECD workshop on the role of Internet intermediaries in June.

Service data is the data you give to a social networking site in order to use it. Such data might include your legal name, your age, and your credit-card number. • Disclosed data is what you post on your own pages: blog entries, photographs, messages, comments, and so on.

Entrusted data is what you post on other people's pages. It's basically the same stuff as disclosed data, but the difference is that you don't have control over the data once you post it -- another user does.

Incidental data is what other people post about you: a paragraph about you that someone else writes, a picture of you that someone else takes and posts. Again, it's basically the same stuff as disclosed data, but the difference is that you don't have control over it, and you didn't create it in the first place.

Behavioral data is data the site collects about your habits by recording what you do and who you do it with. It might include games you play, topics you write about, news articles you access (and what that says about your political leanings), and so on.

Derived data is data about you that is derived from all the other data. For example, if 80 percent of your friends self-identify as gay, you're likely gay yourself.

Todas estas reflexiones me llevan a retomar lo que ya expresé en el post "La necesidad de establecer la infoética del Big data" para que exista un compromiso ético de no abusar del potencial de estas tecnologías.

"El Rey desnudo" de la seguridad de la información

noreply@blogger.com ((c) Javier Cao Avellaneda) — Thu, 28 Aug 2014 11:42:00 +0000

Tras el último post sobre ciberseguridad donde pretendí hacer un repaso sobre la situación actual, hoy toca apuntar el foco hacia el lado contrario. Voy a describir qué veo a diario en las organizaciones y cual es el estado del arte en materia de prevención de incidentes. En este sentido mi visión se basa en mi día a día que posiblemente no afecte tanto a empresas muy grandes donde el área de seguridad de la información cuenta con departamento propio y suficientes recursos asignados.

La reflexión principal que da título a este post es que existe una situación de "Rey desnudo" como el cuento de Hans Christian Andersen dentro de los departamentos de TI en materia de seguridad. Las organizaciones creen que están vestidas por tener sistemas de protección perimetral y antivirus pero realmente no pueden valorar si esas medidas los deja "desnudos" frente a los cibercriminales.

Este diagnóstico se fundamenta en los siguientes síntomas que se repiten de forma continuada en casi todas las empresas que visito:

Ausencia de control sobre los sistemas TI. La mítica frase de Thomas Davenport sobre la monitorización y medición "Las mediciones no sólo son necesarias, sino fundamentales. Si no podemos medir, menos podemos controlar. Si no se controla, menos podemos gestionar" refleja que el auténtico control empieza cuando se dispone de un conocimiento completo sobre qué se está gestionado. Aunque "ausencia de control" suena fuerte, cualquier responsable de un departamento de TI creo que debería poder contestar la siguiente batería de preguntas para mostrar que efectivamente tiene todo bajo control:

¿Cuántas IP tiene mi organización expuestas a Internet?
¿Cuál es el porcentaje de equipos con antivirus actualizado?
¿Cuál es el porcentaje de equipos con sistemas operativos actualizados?
¿Cuáles son las aplicaciones instaladas en nuestra organización y cual es el porcentaje de equipos que las tienen actualizadas?
¿Cuál es el porcentaje de usuarios dados de alta que entran de forma continuada a los sistemas de información?

Protección de entornos con medidas invisibles. La gestión de la ciberseguridad es compleja porque se trata de sistemas no tangibles. No podemos "ver físicamente" cómo se encuentra nuestro estado de protección. Este es uno de los principales problemas con el que nos encontramos dado que hay ausencia de información sobre el estado real de la seguridad y de los riesgos asumidos. Imaginemos las preguntas anteriores para un responsable de seguridad física y su equivalente en protección física del perímetro:

¿Cuántas IP tiene mi organización expuestas a Internet? Sería una pregunta equivalente a cuantos puntos de acceso o entradas tienen sus instalaciones. No creo que exista un responsable de seguridad física que no pueda responder a esta pregunta.
¿Cuál es el porcentaje de equipos con antivirus actualizado, con sistemas y aplicaciones actualizados? Sería una pregunta equivalente a conocer si los sistemas electrónicos de protección están funcionando correctamente. En seguridad física siempre existe un cuarto de control y un sistema de gestión y control de alarmas que informa del correcto estado de los dispositivos de prevención y detección.
¿Cuál es el porcentaje de usuarios dados de alta que entran de forma continuada a los sistemas de información? sería una pregunta equivalente a tener claro cuantas tarjetas de identificación están revocadas y cuantos usuarios han sido dados de baja en el sistema de control de accesos físicos. Esta pregunta también se resuelve por los sistemas de control y registros de entrada/salida de personal cuando existen tornos, huellas o tarjetas.

Tecnologías de protección perimetral superadas por el malware. En todas las empresas existe la conciencia general de que los sistemas firewalls y antivirus son suficientes pero esto es así cuando están adecuadamente gestionados y si estás evaluando continuamente su eficacia. En este aspecto es frecuente encontrar que existe tecnología de protección pero nadie vigila y revisa de forma preventiva lo que estas herramientas están detectando. El principal problema actualmente es que como ya conté en el post anterior, los malos están empezando a superar las protecciones tradicionales dado que el malware una vez infectados los equipos se conectan contra sus botnet a través de los protocolos http o https. De esta manera, los firewalls en la protección Dentro-fuera son transparentes y dejan salir todo el torrente de datos que se están fugando hacia el exterior. Es común comprobar cómo los administradores de sistemas están al tanto de los cambios en su entorno tecnológico pero desconocen los avances que se producen en el mundo del cibercrimen. Por tanto, no están al día de cuales son las técnicas empleadas por los atacantes y de esa forma, difícilmente van a poder valorar si sus sistemas de protección siguen siendo eficaces.

Como vemos, la situación no es nada optimista. Recuriendo al clásico Sun Tzu "Conoce a tu enemigo y conócete a ti mismo; en cien batallas, nunca saldrás derrotado. Si eres ignorante de tu enemigo pero te conoces a ti mismo, tus oportunidades de ganar o perder son las mismas. Si eres ignorante de tu enemigo y de ti mismo, puedes estar seguro de ser derrotado en cada batalla." estamos ante un panorama donde la ausencia de incidentes se debe a que no hay atacantes potenciales o existen pero no están evidenciando sus fechorías de forma notoria. Debe destacarse que una fuga de información es indetectable por la víctima cuando se está produciendo y sólo se manifiesta cuando se descubre que lo que tu sabías es conocido por alguien mas. El problema es cuando se trata de secretos industriales y las sorpresas que presentan cuando de repente aparecen productos idénticos donde los malos han atajado robando trabajo de I+D+i costoso de la empresa que ha sido atacada. Por tanto, la sensación de protección en estos casos debería basarse en evidencias objetivas de que realmente estas fugas no se están produciendo y no en la ausencia de incidentes.

Ayer publiqué un Tweet muy interesante de Symantec donde explican cómo aplicar las metodologías usadas en epidemiología para la detección de malware. En este escrito se critica que frente al malware se trabaja con una "seguridad pasiva" donde ya debe existir la vacuna cuando se detecta la epidemia y sabemos que esto no es cierto ya en todos los casos. Esto justifica quizás la declaración de Symantec sobre la poca eficacia de los antivirus con el titular de cabecera Antivirus pioneer Symantec declares AV “dead” and “doomed to failure”.

Hasta aquí toca la descripción del entorno... pero no quiero que este sea un post derrotista. Como buenos guerreros nos toca conocer primero el escenario en el que se produce la batalla para luego diseñar nuestra estrategia. En este sentido, creo importante que asumamos qué se puede gestionar. La ciberseguridad es como una partida de ajedrez. Es un tablero del que solo tenemos la mitad de las piezas (blancas o negras) y sobre ellas SI podemos tomar decisiones.

Por tanto, la estrategia base de toda organización que decida tomar cartas en el asunto pasaría por:
Fase 1. Conocerse a si mismo.

Como primera tarea es necesario conocer a nuestro ejercito. Por tanto debe realizarse inventario de sistemas TI y de elaborar nuestro modelo de seguridad para identificar nuestros riesgos de seguridad. Para ello, es importante destacar que los riesgos no son puramente tecnológicos sino que tenemos que tener una visión completa de los mismos entendiendo que los fallos técnicos producen problemas en las áreas de negocio y son ellos quienes tienen que valorar el impacto de los incidentes. Por tanto, realizar un análisis de los riesgos de la organización respecto a la ausencia de la seguridad en la información propiedad de la empresa. Nuestro objetivo debe ser responder a la pregunta de ¿cuantas IP tiene mi organización? y conocer los impactos de negocio que podría tener el fallo de cada una de ellas.
Como segunda tarea es necesario calibrar el funcionamiento de las medidas de seguridad. ¿Tenemos antivirus en todos los equipos y están actualizados? ¿Están los sistemas bien gestionados respecto a sus vulnerabilidades? Estas son cosas que SI están bajo nuestra responsabilidad y donde SI podemos actuar. Por tanto, es necesario que al menos las medidas que tenemos implantadas nos sirvan para algo.

Fase 2. Detecta a tu enemigo.

Como he dicho el mundo del cibercrimen trabaja como una industria es difícil poder conocer las últimas técnicas que estén diseñando. Sin embargo si que podemos estar vigilando respecto a si algo raro ocurre en nuestros sistemas de información. Hay una frase de Federico el Grande que ilustra bien este hecho "Se puede perdonar ser derrotado, pero nunca ser sorprendido”. Aunque no seamos conscientes de ello, en esta fase se pueden hacer más cosas de las que creemos pero de nuevo todo pasa por cambiar nuestra estrategia para ser más proactivos. Una fuga de información puede ser representada como un triangulo donde los elementos a vigilar son sus tres vértices: datos, vulnerabilidades y tráfico de salida. De estos tres puntos, un Responsable de TI puede tener control de los tres y por tanto, con una adecuada monitorización, es posible la detección temprana de una anomalía que cortada a tiempo no tenga más consecuencia que un susto... pero que si no es detectado puede acabar con una fuga de Gigas que dure meses.

Otro elemento que a menudo no contemplamos es que estamos en escenarios de Cibercrimen y por tanto, los malos están en sus casas cómodamente sentados en sus sillones. Esto que puede parecer una desventaja tiene su parte positiva ya que los datos se tienen que ir por la red. Por tanto, es importante controlar los flujos de salida de información y sus destinos. Esto es lo que tradicionalmente no se ha hecho en la protección perimetral donde los filtros son muy férreos para tráficos Internet->Organización pero muy laxos para Organización->Internet. Si empezaramos a mirar qué conexiones se realizan hacia fuera seguramente tendríamos indicios de equipos que puedan ser sospechosos de estar comprometidos. Por tanto, dado que sabemos el camino que deben seguir los datos en su exilio al exterior, también tenemos identificados los puntos en los que hay que mirar para vigilar que esto no se produzca.

Para acabar, sería necesario que identificáramos aquellos tipos de eventos que es necesario vigilar estableciendo que serán de dos tipos:

Eventos esperados: registros y logs que confirman el buen funcionamiento de las cosas como si los sistemas están actualizados, si los usuarios se loguean con éxito, etc.
Eventos no deseados: registros y logs que informan de anomalías o de acciones preventivas de seguridad y que pueden ser indicios de que algo malo ocurre. En este sentido, por ejemplo, un incremento alto en el número de usuarios bloqueados por error de contraseña puede ser sintoma de un ataque de fuerza bruta, un número excesivo de conexiones entrantes sintoma de un DDoS, etc.

El año pasado por estas fechas, un alumno de TFG en la UCAM y yo nos plateamos como reto establecer un conjunto de eventos de seguridad que deberían ser detectados para confirmar que la seguridad está bajo control. Nuestra intención fue poder establecer un cuadro de mandos de la seguridad que fuera capaz de mostrar con datos si todo estaba bien o había motivos para preocuparse. Para ello, establecimos 6 dimensiones de eventos a vigilar vinculados a la detección de una intrusión y basándonos en lo que si o sí va a ocurrir en un sistema de información cuando esto se produzca. El resultado fue un macro Excel que definía que mirar y donde de forma abstracta para que luego en cada caso y en cada organización, se pueda establecer cómo se puede obtener dicha información. Las dimensiones definidas fueran las que presenta la siguiente transparencia.

Como conclusión general podemos ver que la partida de ajedrez no está perdida desde el inicio. Sin embargo es cierto que la protección de cada Organización va a depender mucho de la tecnología de la que disponga. Los sistemas de protección perimetral ya empiezan a basarse en otras técnicas y no se limitan a valorar direcciones IP y puertos. Actualmente existen sistemas que consultan la reputación IP de las conexiones, entornos que emulan en tiempo real los ejecutables que se envían para diagnosticar en tiempo real si son o no malware tras un análisis de su funcionamiento o tecnologías RASP (Runtime Application Selft-Protection").

En cualquier caso siempre hay algo que hacer y tenemos en nuestra mano al menos no facilitar al atacante el acceso. Para ello, debemos reducir al máximo el número de vulnerabilidades existentes en nuestros sistemas de información lo que implica tomarse las tareas de Patch management más en serio de lo que actualmente se hacen. Aquello de "si funciona no lo toques" debe cambiar porque puede tener como consecuencia que deje de funcionar cuando a alguien de fuera le apetezca (Y probablemente sea en el peor momento para tu organización).

Ciberseguridad, minuto y resultado: Los malos 3, Los buenos 0.

noreply@blogger.com ((c) Javier Cao Avellaneda) — Wed, 14 May 2014 16:06:00 +0000

Mucho se habla últimamente de ciberseguridad y la verdad es que la cuestión debería empezar a preocupar. Cuando ves a tanto experto comentar que la situación está empeorando con titulares como "el mayor ataque ciberterrorista es cuestión de tiempo" de Eugene Kaspersky hemos de suponer que las cosas deben estar muy feas. Tal como expresa el titulo del post quiero aportar mi visión de la situación partiendo de la realidad que me toca analizar día a día y teniendo en cuenta que quien escribe es un profesional de provincia que analiza la realidad de empresas que no están situadas dentro del Ibex 35. En cualquier caso al menos creo interesante comentar cómo se ven las cosas por estas tierras, aunque sean de segunda división.

En primer lugar creo muy relevante hacer constar que la ciberseguridad no es una moda sino más bien una amenaza invisible que no todo el mundo es consciente de que exista o lo que es peor aún, de que pueda impactarle. Obviamente no es cuestión tampoco de dramatizar porque todo este tipo de daños afecta a la información pero cada vez más las consecuencias de la inseguridad sobre los datos pueden alterar el mundo físico y provocar ya daños tangibles y concretos sobre el mundo real. Conscientes de la necesidad de hacer visible este tipo de amenazas, empresas del mundo de la seguridad han empezado a mostrar diferentes tipos de visualizaciones sobre el análisis de tráfico en tipo real que muestra como efectivamente estas cosas suceden. Aquí os presento 12 de ellas siendo la de Kaspersky de las más impactantes.

1 - Cyber Warfare Real Time Map by Kaspersky (Visualización que recomiendo)

2 - Real-time Web Monitor by Akamai

3 - IpViking Live Map by Norse

4 - Honeypots from the Honeynet Project

5 - Global Botnet Threat Activity Map by Trend Micro

6 - Top Daily DDoS Attacks Worldwide by Google

7 - Security Tachometer by Deutche Telekom

8 - Cyberfeed Live Botnet Map by AnubisNetworks

9 - Global Activity Maps by Arbor

10 - DDoS Attacks by ShadowServer

11 - Internet Malicious Activity Maps by TeamCymru

12 - Globe and WorldMap by F-Secure
13 - Threatbutt (vía Ramon Pinuaga)

Voy ahora a narrar, cual periodista deportivo cómo se han producido cada uno de los 3 goles que anunciaba en el titulo del post.

Primer gol (En los primeros minutos de partido).

El primer tanto lo marcan los malos en los primeros minutos cuando la industria del software en general no es casi penalizada por la generación de productos inseguros. Hablamos constantemente de los problemas ocasionados por los fallos software y la necesidad de gestionar la vulnerabilidad pero muy poco sobre la importancia de la seguridad en el diseño. En este tema solo las empresas muy castigadas por el malware fueron capaces de reorientar el proceso de fabricación de software y definir la Trusted Computing. Schneier insiste dentro de su visión económica de la seguridad que mientras sea más barato poner remedio que solventar el problema en el origen, nada motivará a la industria del software a hacer bien las cosas. Y teniendo en cuenta que ahora software tiene casi cualquier cosa, tenemos un problema gordo con la dispersión del software a todas las actividades humanas. En esencia lo que más preocupa actualmente es la seguridad del software orientado a la informática industrial que controla los automatismos en las grandes empresas y las infraestructuras críticas. Es un tema tan específico que en España se ha creado el Centro de Ciberseguidad Industrial y está centrándose en estos temas, es decir, seguridad de la información sobre entornos industriales donde es complejo aplicar las políticas de gestión de la seguridad que se aplican en otros sectores porque son entornos operativamente complejos que no pueden parar su actividad.

Segundo gol (A mitad de partido).

El segundo gol podríamos considerarlo que se ha metido en propia meta dado que está más causado por la falta de control del equipo que defiende que por los méritos del equipo que ataca. Ésta es por tanto una segunda ventaja del mundo del cibercrimen sobre las empresas y está ocasionado por la ausencia o carencia de recursos en el área TIC de las organizaciones para luchar contra estas cyberamenazas. Los departamentos de sistemas de información de las empresas están diseñados para aportar valor y ello se produce diseñando y desarrollando sistemas que amplíen u optimicen el modelo de negocio establecido. En este sentido, los departamentos tienen como misión construir cosas, no preservar los entornos para que los malos no puedan boicotearlos , robarlos o destruirlos. Por tanto, una primera desventaja es la falta de personal especializado que monitorice y vele por el control de la situación. Lo que no deja de resultarme paradójico es ver como las empresas si tienen clara la protección física para amenazas del entorno cercano (Siendo estas quizás poco frecuentes y con pocos agentes agresores) y no para Internet que es un escenario hostil, globalizado y con muchos agentes agresores. Supongo que la causa de ello debe ser la ausencia de percepción de peligro que nos genera la conexión a Internet. En las empresas medianas y pequeñas este tipo de cosas siguen viendose como "de película". El principal problema por tanto es que si nadie mira, cuando las cosas empeoren (Que es lo que está ocurriendo), nadie podrá dar aviso para reaccionar a tiempo. Todavía no nos hemos adaptado al cambio de mentalidad que supone Internet. Como comenta el ensayo titulado Ciberataques por Mikko Hypponen dentro del último libro de la serie BBVA “C@mbio: 19 ensayos clave acerca de cómo Internet está cambiando nuestras vidas”o los cambios son más grandes de lo que parecen.

"El mundo real no es como el mundo online. En el mundo real sólo hemos de ocuparnos de los delincuentes que En el mundo real solo hemos de preocuparnos de los delincuentes que viven en nuestra ciudad. Pero en el mundo online tenemos que preocuparnos de delincuentes que podrían estar en la otra punta del planeta. La delincuencia online siempre es internacional, ya que Internet no conoce fronteras".

Por tanto, debemos entender que la amenaza existe y que no tiene porqué haber una motivación directa para que uno acabe siendo victima de un incidente. Ahí están las estadísticas que documentan las diferentes motivaciones en los casos más relevantes.

Además, los datos no van a mejorar porque tal como indica Mikko Hypponen, la presión policial sobre el cibercrimen es insuficiente.

"Cuando se ponen en un lado de la balanza los daños producidos por la ciberdelincuencia y en el otro la pérdida de vidas humanas, salta a la vista cuáles son más importantes. Adaptarse al rápido crecimiento de la delincuencia online resulta una tarea harto difícil para las fuerzas nacionales de policía y los sistemas legales, pues cuentan con capacidades y recursos limitados para sus investigaciones. Las víctimas, la policía, los fiscales y los jueces casi nunca descubren el auténtico alcance de estos delitos, que se suelen producir más allá de las fronteras nacionales. Los procesos penales contra los delincuentes son muy lentos, los arrestos, contadísimos y, con excesiva frecuencia, las penas impuestas resultan demasiado leves, en especial si se comparan con las de los delitos perpetrados en el mundo real. La baja prioridad que se concede a perseguir a los ciberdelincuentes y la demora en el establecimiento eficaz de penas por delitos cibernéticos transmiten un mensaje equivocado y es el motivo por el que la delincuencia online aumenta a gran velocidad. Ahora mismo, los delincuentes potenciales online son conscientes de que las probabilidades de ser descubiertos y castigados son mínimas y de que los beneficios son enormes."

Hace unos días también se publicaba en El País un titular escandaloso al respecto, "El 95% de los ciberdelitos cometidos quedan impunes". Esta situación de aparente impunidad más el incremento en los réditos obtenidos por los ciberdelincuentes son el caldo de cultivo ideal para que esta "miel" atraiga a más abejas a comer. Las estadísticas dan miedo pero como no se genera alarma social suficiente (Al fin y al cabo solo afecta a información), los esfuerzos policiales se orientan hacia temás de menos envergadura pero más mediáticos (Recordemos que los recursos policiales se deciden desde la capa de la política).

Tercer gol (A final de partido).

Este es quizás el único gol que pueden apuntarse realmente los malos y que se corresponde con el esfuerzo que desarrollan realmente en buscar la forma de lucrarse a costa de los sistemas de información ajenos. En parte, como hemos visto en los dos goles anteriores, sobre un terrerno de juego que no les pone las cosas muy difíciles, han conseguido desarrollar una auténtica industria del malware que ya ha logrado superar las medidas de seguridad perimetral más comunes (Firewalls y antivirus).

Que es una industria no lo duda nadie con solo ver su capacidad de fabricación y el crecimiento esponencial del número de especímenes generados. No es posible semejante ritmo de producción sin organizaciones bien orquestadas que colaboran en la generación de aplicaciones cada vez más sofisticadas que trabajan de forma cada vez más silenciosa. Además, el concepto de malware ha evolucionado hacia el de APT donde la aplicación maliciosa se encuentra durante tiempo en los sistemas de información agazapada, recolectando datos hasta que decide atacar a la víctima. Sobre el tema de APT me parece interesante destacar la reciente revisión realizada por el blog Aeropago21 en el post "Operaciones APT famosas". El año 2013 fue el que dió a conocer esta nueva variante de malware cuando Mandiant hizo publico el informe "APT1: Exposing One of China's Cyber Espionage Units". Desde entonces mucho se habla del tema pero la noticia de hace unos días que más llama la atención ha sido la declaración de Symantec sobre la poca eficacia de los antivirus con el titular de cabecera Antivirus pioneer Symantec declares AV “dead” and “doomed to failure”.

Como muestra la siguiente gráfica, el crecimiento exponencial del número de muestras de malware hace predecible que las tecnologías basadas en la detección de patrones dentro de código no van por buen camino.

La gente de la industria lleva hablando de esto hace tiempo aunque no era políticamente correcto siendo creo los primeros la gente de Hispasec que en esto siempre han sido la referencia. Quizás el problema más grave que tiene este nuevo escenario es la existencia de clases también dentro del ciberespacio. Dado que las soluciones actuales no están frenando el malware, las empresas se van a segmentar en tres tipos:

Las que tienen buen presupuesto de seguridad y que adquirirán las nuevas tecnologías de protección basadas en el análisis del comportamiento del software y no en patrones. Estos dispositivos tienen un precio alto que no todo el mundo puede asumir.
Las que se refugiarán en bastiones bien protegidos subiendo a infraestructuras de nube bien protegidas, alojando sus sistemas dentro de ciudades bien amuralladas que si hayan podido hacer la inversión en protección para amortizarla vendiéndola como servicio de seguridad en nube.
Las que ni saben que los firewalls y antivirus ya no son efectivos y permanecerán de forma incosciente expuestas a la red y a sus sustos. Por desgracia en este segmento se van a situar el 90% de las empresas pequeñas o medianas que ven en la ciberseguridad todavía un tema de ciencia ficción.

El cambio de contexto del que pocas empresas se están dando cuenta respecto de la sofisticación del malware (Y ocasionado por la carencia de personal propio especializado que vaya analizando las amenazas existentes y actualizando los análisis de riesgos como se vió en el segundo gol) es que los malos han aprendido como saltarse las medidas de seguridad. El malware ahora no viene en forma de ejecutable catalogado por el antivirus sino como un software inofensivo que el antivirus no es capaz de detectar. En la ejecución inicial detecta que le faltan trozos y se conecta de forma cifrada hacia los host desde los que poder completarse. Todo ello hablando protocolos comunes como http y utilizando cifrado en el intercambio de información para que los firewalls más avanzados tampoco puedan analizar el contenido del tráfico. En el fondo los malos están utilizando las mismas técnicas que se emplean en la protección legítima de datos pero para unas finalidades diferentes. Por tanto, con este nivel de sofisticación las medidas tradicionales ya están siendo superadas.

Curiosamente además se produce un fenómeno perverso y es la siguiente paradoja:" Quien no puede invertir en seguridad puede tener que asumir mucho más coste ocasionado por la inseguridad". La gestión del riesgo nos lleva a cuatro opciones posibles: trasferir, evitar, reducir o aceptar. A menudo, las capas directivas no asumen que "No hacer nada" es tomar como decisión "aceptar el riesgo" y se arrepienten de la decisión sólo cuando tienen que afrontar los costes de la inseguridad asumida. En este sentido empieza a ser cada vez más necesario evaluar el "coste de la insegurida" y utilizar como métricas de valoración económica los conceptos "CAPEX" y "OPEX". Aun no siendo un experto en la materia, me voy a atrever a hacer un planteamiento económico de la gestión de la seguridad a ver que os parece. Espero que Antonio Ramos lea esto y me corrija si estoy enfocando mal estos conceptos económicos.

Pensemos en un supuesto real de gestión del malware. Sería el caso de un departamento TI que plantea la

adquisición de un equipo avanzado que puede detectar el 50% más de malware que el firewall tradicional.

Aunque la inversión inicial fuera alta (CAPEX o coste de capital), el coste operacional (OPEX o coste operativo) causado por el gasto en personal que tiene que solventar los incidentes detectados hace que a medio y largo plazo, la decisión basada en adquirir el equipo avanzado sea más rentable. Al final de un año cada decisión tendría los siguientes números suponiendo un coste de 30€ de mano de obra por cada acción de limpiar un equipo de malware:

Decisión de no hacer nada tendría estos números: CAPEX: 0€+ OPEX: 378.000€ = 378.000€
Decisión de gestionar el riesgo: CAPEX: 3.000€+ OPEX: 189.000€ = 279.000€

Como muestra el gráfico, una decisión técnica de apuesta por la mejora operacional tiene a medio y largo plazo un resultado más rentable que la decisión de no hacer nada. Además, la aceptación del riesgo está expuesta también a la aleatoriedad del entorno y a la evolución de la tendencia. Es decir, si la agresividad del malware se incrementa, los costes operativos aumentan significativamente siendo entonces la separación entre ambos enfoques mayores. Esto ha sido simplemente un ejemplo sencillo para intentar hacer ver que "no hacer nada" es ya hacer algo y que pensando en rentabilidad económica, puede incluso ser una decisión peor que la que no se quiere asumir por costes iniciales.

La necesidad de establecer la "infoética" del Big data.

noreply@blogger.com ((c) Javier Cao Avellaneda) — Fri, 25 Apr 2014 12:52:00 +0000

Yo empecé en esto de la seguridad en el año 1999 cuando tuve que hacer un análisis de riesgos en una Administración Publica para un proyecto de investigación de la Universidad de Murcia y justo al finalizar el estudio me topé con una recién publicada Ley Orgánica 15/1999 de Protección de datos de carácter personal y el R.D. 994/1999 de Medidas de seguridad para tratamientos de datos automatizados. Recuerdo que en aquel momento y antes de finalizar la entrega de resultados tuve que reorientar las recomendaciones para incluir los nuevos requisitos legales y leyendo la legislación ya me dí cuenta del "teórico" tremendo impacto que podía tener esa legislación si se aplicaba de forma correcta. La privacidad que en aquel momento estaba enfocada en la protección de información cuando era gestionada mediante sistemas informáticos poco a poco ha ido creciendo como asunto de notable relevancia y he podido constatar en primera persona como se va haciendo cada día más presente la frase de "la información es poder". Ha sido tal la incorporación de la tecnología a todas las actividades del ser humano que actualmente nos encontramos en una fase de sensorización (Que me perdone la RAE por la palabra utilizada) del mundo y de las personas. Los primeros elementos tecnológicos destinados a monitorizar situaciones y estados fueron aplicados por las grandes empresas para el control de los procesos industriales de fabricación y producción. Sin embargo, posteriormente este tipo de elementos informáticos han ido disminuyendo en tamaño y aumentando en potencia hasta llegar a los teléfonos inteligentes y los nuevas computadoras corporables o dispositivos "weareables". Estas nuevas tecnologías son atractivas y una auténtica tentación. Yo mismo llevo una pulsera que monitoriza movimiento y sueño asumiendo que estos datos van a una compañía americana. El problema es que el dispositivo asume que los datos se gestionan fuera y las políticas de privacidad cambian según el interés de las empresas. Lo que hoy es potencialmente inofensivo mañana puede cambiar. Y los "sacrificios" de privacidad que conscientemente asumimos hoy pueden pasarnos una factura cara en el futuro. En mi caso, cambio privacidad por conocimiento personal.
Sin embargo, la principal problemática se produce porque toda esta auténtica revolución plantea ahora la capacidad de medirlo todo, incluidas las personas y por tanto, aplicar teorías matemáticas a cosas que hasta la fecha no eran imaginables por carecer de información en tiempo real sobre lo que estaba sucediendo o no ser capaces de establecer las relaciones o vinculaciones entre individuos. Tenemos ahora lo que se empieza a llamarse la "física social" que trata de establecer modelos predictivos del comportamiento social. En este sentido aparece la necesidad de establecer los límites entre lo que potencialmente la tecnología es capaz de hacer y de lo que desde la ética consideramos adecuado que sea permitido. En el siglo XXI nos hemos acostumbrado a que los avances tecnológicos no sean cuestionados y que el ciberespacio sea algo así como un nuevo "Far West" donde el primero que llega se queda con el territorio. La principal diferencia en esta nueva repetición de la historia es que ésto ocurre ahora sobre un terreno invisible y los países no están siendo capaces de calibrar las ventajas o desventajas competitivas que tiene la conquista de este ciberespacio. El terreno de los datos actualmente evolucionará pronto al mundo del conocimiento y las ventajas competitivas en ese ámbito se traduce en inteligencia de negocio que garantiza la supremacía económica. Europa no ha sido capaz de ver que se ha producido un nuevo colonialismo pero esta vez virtual de la mano de las tecnologías. Los ciudadanos europeos somos presa de servicios como Amazon, Google, Dropbox, Ebay,etc...)
Solo hay que ver el mapa que mantiene Jorge Morell en su web "Terminos y condiciones" para evidenciar que ya estamos bastante colonizados, sobre todo porque los servicios más interesantes son aquellos que recogen información sobre nuestros deseos, pensamientos o intenciones (buscadores o redes sociales). Vivimos justo en estos momentos la incertidumbre sobre una nueva reglamentación europea que está siendo torpedeada por los Lobbys de esta nueva economía y que finalmente si no se aprueba antes de las elecciones europeas posiblemente quede de nuevo parada unos años mas. Durante este tiempo, daremos de nuevo manga ancha a los colonizadores del nuevo oro a seguir explotando sin control estas minas de información.

A raíz de la lectura del artículo The Limits of Social Engineering y de Vigilancia líquida de Bauman-Lyon, creo que se empiezan a plantear potenciales escenarios que desde la perspectiva de la ética deberían ser acotados para evitar desmanes o usos perversos del progreso en tecnologías de la información. Ya he comentado alguna vez que en Ingeniería en Informática estudiamos una asignatura relacionada con "Dinámica de sistemas".. Esta disciplina proporciona técnicas para analizar y modelar el comportamiento temporal en entornos complejos. Se basa en la identificación de los bucles de realimentación entre los elementos, como también en las demoras en la información y materiales dentro del sistema. Lo que hace diferente este enfoque de otros usados para estudiar sistemas complejos es el análisis de los efectos de los bucles o ciclos de realimentación, en términos de flujos y depósitos adyacentes. De esta manera se puede estructurar a través de modelos matemáticos la dinámica del comportamiento de estos sistemas. La simulación de estos modelos actualmente se puede realizar con ayuda de programas computacionales específicos. Hasta la fecha este tipo de enfoques no había sido posible aplicarlo a comportamientos sociales porque no eramos capaces de monitorizar qué estaba pasando.

Sin embargo ya existen estudios en determinadas disciplinas orientadas al poder (Política y marketing) que están utilizando estas nuevas tecnologías para elaborar modelos de comportamiento. Estos modelos matemáticos son simulaciones que son capaces de predecir qué sucedería en el sistema real en base a los valores de ciertas variables y se puede jugar con ellas hasta poder comprobar si se llega a un resultado deseado. Ya sabemos que parte del potencial de Google se basa en su capacidad de "predecir el futuro". Como ejemplo filantrópico para vender la imagen del "Don't evil" Google tiene la iniciativa de vigilar la evolución de la gripe. Tal como indica la propia página, "Hemos descubierto que ciertos términos de búsqueda son buenos indicadores de la actividad de la gripe. Evolución de la gripe en Google utiliza los datos globales de las búsquedas en Google para realizar, casi en tiempo real, cálculos aproximados de la actividad actual de la gripe en todo el mundo". La gran duda es saber qué otras cosas es capaz de predecir Google y en qué ámbitos pero esta claro que si Internet fuera un tablero de Risk, hay un potencial ganador que tiene ya conquistado medio mundo como muestra la siguiente visualización de las Webs más visitadas por países. Es posible que este tipo de información "privilegiada" basada en el conocimiento de las inquietudes de los internautas en base a los patrones de búsqueda utilizados son un diamante en bruto que si son utilizados como moneda de cambio podrían justificar algunos saltos a la nube Google.

Además, en psicología está muy estudiado el poder del contexto en la forma de comportarse del ser humano. Si se crea un entorno prediseñado para que ante determinada información de entrada se pueda calcular cual será la difusión de la misma, la generación de influencia y la reacción de los grupos influenciados se podrían establecer estrategias de reacción social. Experimentos de este estilo ya los tenemos presentes con las denominadas "campañas de marketing viral". Sin embargo, en otros escenarios los objetivos podrían ser crear contextos para el empoderamiento o jugar a crear "profecías autocumplidas". Todavía no somos capaces de valorar el gran poder que tienen determinadas herramientas de Internet y su capacidad para crear "burbujas de información" diseñadas más a satisfacer necesidades empresariales que a obtener resultados matemáticamente correctos. La personalización puede esconder un fin perverso que se oriente más a suministrar los datos "diseñados" para que el perfil del usuario no salga de una burbuja y refuerce la categorización que corresponde a su clasificación.

Para terminar, creo interesante comentar las reflexiones finales del artículo de la Universidad de Standford, “Privacy in the Age of Big Data. A Time for Big Decisions”. Creo que llegados este punto seguramente el lector haya podido cambiar la importancia que tiene la protección de datos de carácter personal y lo que va a condicionar en el futuro el poner en valor la necesidad de la defensa de este derecho fundamental que probablemente no hemos ponderado bien cual será su importancia en el futuro. Como vemos, la gestión de información masiva, la correlación de eventos y el conocimiento que se obtenga de ellos sin un criterio de infoética (la ética de la información que es el campo que investiga los asuntos éticos que surgen del desarrollo y aplicación de las tecnologías informáticas) puede ser un caldo de cultivo para situaciones nada deseables. El Big data y sobre todo, el nuevo conocimiento que pueda obtenerse del uso de estas tecnologías tienen un potencial peligro si no hay restricciones éticas porque ciertos tratamientos de datos son una amenaza no solo para la privacidad sino también para la libertad. Cuando las herramientas de los poseedores del Big data sean tendencias, predicciones, patrones de comportamiento las decisiones que tendrán en sus manos serán mucho más relevantes que las que puedan manejar ahora con la clasificación y segmentación de perfiles.

Heartbleed, un toque de atención a la industria del software

noreply@blogger.com ((c) Javier Cao Avellaneda) — Tue, 15 Apr 2014 16:14:00 +0000

Toca tras un periodo de barbecho, retomar la costumbre de publicar pensamientos sobre un análisis técnico del panorama de la seguridad de la información. Y la noticia estrella de la semana y probablemente de estos meses será Heartbleed y las consecuencias de este fallo de seguridad. A colación de estos hechos quiero plantear diferentes cuestiones que han venido a mi mente al analizar qué ha pasado y sobre todo, qué causas están de lo que ha sucedido.

Hace un par de años me atreví a realizar un post titulado El Tsunami tecnológico que no pudimos evitar donde relataba cómo un error informático producía un Pearl Harbour cibernético. En concreto, en aquel relato había un trozo de texto que trataba de hacer reflexionar sobre el proceso de creación de software y sobre la necesidad de empezar a aplicar la cultura de la "seguridad industrial" al proceso de fabricación del software.

La informática nunca quiso ser vista como una ingeniería. Aunque en las facultades se formaba a profesionales para que aplicaran metodologías de desarrollo, se validaran los programas, se formalizaran las pruebas, en definitiva, se creara un producto robusto y estable, aquello penalizaba la rentabilidad de las empresas del software y no era la práctica habitual. Solo las grandes ya habían descubierto que esa manera de generar código era la única viable para dar soporte al ciclo de vida del software. La crisis también tuvo bastante que ver porque fue la cazuela perfecta en donde cocinar todos estos ingredientes: excusas por falta de recursos, saltos al vacío para ahorrar costes y mirar a la nube como la panacea de las TI, carencias de normas de regulación tecnológica que al menos forzaran a unos procesos de desarrollo y fabricación de tecnologías más robustos y sobre todo, la extensión general de que las responsabilidades no son aplicables a las tecnologías de la información y que el "error informático" es un ente sin nombres y apellidos que siempre está en todas las consecuencias pero que no tiene un padre que determine cual es la causa y sobre todo el culpable. En todos los productos tecnológicos era una práctica habitual que aparecieran las cláusulas de "irresponsabilidad" que son todas aquellas cláusulas de responsabilidad que empezaban diciendo "este producto se entrega como está y el fabricante no se responsabiliza de nada".

Por tanto, como primera reflexión creo lo sucedido es un primer toque de atención. Estamos basando nuestra economía en un producto intelectual no tangible que no sufre el mismo proceso de fabricación que todo lo que nos rodea en el mundo físico y además, lo estamos desmaterializando cuando usamos ya términos como "cloud" o "nube" para intentar desvincular el software de los dispositivos electrónicos donde reside y se ejecuta. Sin localización de componentes físicos es más fácil lograr la deslocalización de responsabilidades.

Una segunda reflexión tiene que ver con la seguridad del código abierto. Durante años uno de los principales argumentos para generar confianza en el opensource siempre ha sido la transparencia. Sin embargo, se da la terrible paradoja de pensar que el hecho de que potencialmente haya miles de auditores pueda significar que finalmente no decida intervenir ninguno y que todo el mundo piense que otro hará el trabajo. En el post ¿Por qué tienen éxito el phishing o el scam? Psicología de las víctimas de una estafa referencié el estudio de la Universidad de Cambridge que analizaba la psicología de la estafa desde la perspectiva de la víctima. Y curiosamente en el proceso de timar a alguien se produce la aplicación inconsciente de dos principios que pueden haberse dado en el caso Openssl y que a continuación menciono.

El principio de obediencia social: La Sociedad nos educa y entrena para no cuestionar la autoridad. Los estafadores pueden aprovechar este "otorgamiento previo de confianza" o "nuestra anulación de la desconfianza" para hacer con usted lo que quieran.
El principio del rebaño: Las personas más prudentes y desconfianzas bajan la guardia cuando todo el mundo parece asumir o compartir los mismos riesgos. ¿Seguridad en multitudes? No, si todos los que te acompañan están conspirando contra ti.

Si un desarrollador ve que instituciones relevantes están incorporando el proyecto OpenSSL de dos personas que implementan las operaciones criptográficas, por el principio del rebaño, puede que acabe deduciendo que si estas instituciones se fían será porque el producto es robusto. Si entre esas instituciones aparece alguna con reputación y credibilidad en materia de seguridad, entonces se aplica el principio de obediencia social y probablemente demos por hecho que la seguridad del proyecto opensource es incuestionable. Y de esa forma se entra en un bucle de retroalimentación positiva donde cada vez empresas más relevantes confían en los pasos que dan otras antecesoras y extendiendo el uso de forma masiva para transformarlo en un estándar de facto en ciertos entornos. Y cuando aparece el fallo Heartbleed y la gente empieza a preguntarse cómo ha podido ser, resulta que OpenSSL es un proyecto de software libre basado en SSLeay, desarrollado por Eric Young y Tim Hudson. Dos personas han compartido su conocimiento y código en Internet para que sea utilizado y el uso se extiende tanto que cuando se da a conocer un agujero de seguridad que afecta a las versiones 1.0.1 y 1.0.1f de éste protocolo, acaba afectando a dos tercios de las comunicaciones seguras que se efectúan en Internet. La noticia OpenSSL pide ayuda también revela que muchos de estos productos software están hechos como están hechos. No voy a criticar lo que ciertos voluntarios deciden subir a Internet de forma altruista. Lo que más sorprende es ver cómo hay parte de la industria de las tecnologías de la información que incorporan esas piezas a sus entornos sin realizar ciertos controles de calidad o al menos, contribuyen a que alguien realice estas revisiones en beneficio de la "comunidad".

"En OpenSSL no se trabaja por dinero. Tampoco por la fama, que casi nunca transciende el mundillo de la tecnología, lo hacen porque creen en ello, lo ven cómo una forma de artesanía. No se concreta el sueldo mensual propuesto, pero sí considera que tendrían que rondar los 250 dólares por hora. “Que puede parecer mucho, pero no lo es tanto para un médico o un abogado. Se trata de que se ganen bien la vida”, subraya."

Creo que todos hemos caído en este bucle de generación de confianza espontánea hasta que algo o alguien nos ha planteado el por qué de la situación. De nuevo las revelaciones Snowden hicieron a todos pensar si algunas de las técnicas de la NSA se basaban en la colocación de puertas traseras en determinados elementos estratégicos que permitieran controlar una determinada tecnología. Yo por ejemplo, decidí confiar en Truecrypt cuando leí a Bruce Schneier recomendando el producto como una solución de cifrado robusta. Tras el caso Snowden se empezó a rumorear quién estaba detras de esta aplicación porque no era fácil identificar a sus autores. Hoy la noticia es que hace pocos meses se ha auditado el código fuente de esta herramienta ante la sospecha de si podía ser la NSA la que estuviera detrás de este proyecto y que hubieran colocado una puerta trasera a un programa que se usa extensamente. El informe está consultable en este enlace "Informe de auditoría a TrueCrypt". Todos los usuarios Truecrypt hemos confiando en un producto sin evidencias de su robustez.

Como reflexión final cabe analizar la siguiente infografía que ilustra de una forma bella la cantidad de líneas de código de los productos software actuales. Como se puede ver, la complejidad va en aumento y es bastante probable que el "susto Heartbleed" no sea el último de este año. Existen aplicaciones y servicios que actualmente están basados en la filosofía Lego. Ellos se construyen en base a piezas ya existentes hechas por otros que se referencian y utilizan. Si el error se produce en una pieza situada muy abajo, el resto de elementos software que emplean esa pieza se ven colateralmente afectados por el problema de seguridad y la torre de naipes se cae de golpe. Heartbleed ha sido un primer buen ejemplo de reflexión.

La solución en parte es la certificación ISO 15408 que se aplica a ciertos elementos software pero también habría que ver si hay productos con Openssl certificados. Para quien quiera saber más de esta norma conocida como "Common Criteria" y que se requiere para ciertos productos software en determinados sectores, puede leer la entrada ISO 15408 y el DNI-e, PP para el desarrollo de aplicaciones (Parte I)

Un saludo y esperemos que no pasen 4 meses antes de volver a publicar ;-)

Carta a los Reyes Magos de un Responsable de Seguridad para el 2014.

noreply@blogger.com ((c) Javier Cao Avellaneda) — Fri, 27 Dec 2013 13:37:00 +0000

Siguiendo ya la tradición por estas fechas de mi carta a los Reyes Magos como en el año 2012 y 2013, esta sería la epístola que enviaré este año.

Este año, como en años anteriores he sido bueno y intentado que en mi organización no ocurran incidentes pero el milagro cada año cuesta mayor esfuerzo. Ya son notables los cambios de tendencia en relación al "lado oscuro de la fuerza" y los malos cada vez cuentan con mejores herramientas o aplicaciones que les hacen más fáciles sus fechorías. Es lógico en parte dado que las mismas herramientas que podemos emplear los que defendemos sistemas de información son también utilizables por quienes quieren atacarlos. Lo que se nota ya es que cada año cuentan con mejor artillería y que los conocimientos necesarios disminuyen lo que hace fácil transformar a cualquiera en atacante como nos van mostrando los diferentes informes de inteligencia que van publicando algunos fabricantes como Microsoft.

Como todos los años, dada la ausencia de incidentes graves, el resto de áreas no valoran demasiado el trabajo el área de seguridad pero este año ha sido ya algo más duro resistir porque la hostilidad del entorno va en aumento. Ya los ataques de phishing se dirigen a entornos más pequeños buscando todo tipo de empresas y víctimas potenciales. Así que de nuevo tengo que pedir algunas cosas para este año 2014 que empieza. Mi lista es la siguiente:

Este año necesito refuerzos muy importantes desde la capa de inteligencia de red. Es cada vez más necesario saber cuáles son los flujos de tráfico de mi organización con el exterior. Siempre nos había preocupado vigilar y proteger el tráfico entrante pero dada la sofisticación del malware ahora es necesario poder detectar actividades anómalas o tráfico extraño desde la red interna a sitios de reputación conocida y vinculada al mundo del malware. Este año 2014 que empieza me gustaría poder explotar el análisis reputacional de las IP sobre todo del tráfico desde mi red interna hacia sitios catalogados como malware. La existencia de los APT debe hacernos asumir que la red puede estar infectada y vigilar al menos de que los amigos de lo ajeno no se llevan por la red el botín a que hayan podido llegar usando sus técnicas de ingeniería social y pivoteo por la red. Por tanto, las herramientas SIEM que antes eran un lujo empiezan a ser una necesidad. También la introducción de dispositivos específicos para APT porque los métodos de intrusión cada vez están mas dirigidos a debilidades en las aplicaciones y es complejo tener un entorno homogéneo y un parque controlado de software instalado. Aunque durante un tiempo hemos descartado la filosofía de protección basada en listas blancas, probablemente debamos volver a ella de la mano del puesto de trabajo virtualizado.

La concienciación del usuario final será como todos los años otro frente sobre el que trabajar. Si antes eran claves en la protección del puesto de trabajo, ahora con la dispersión de los dispositivos móviles (BYOD) todavía se hace más necesario que estén al día en cuanto cómo proteger la información que custodian. Además, los ataques dirigidos intentan usar el correo electrónico y la debilidad del usuario final para contagiar un equipo y después pivotar hacia el backend.

Desde las áreas de la organización que velan por el cumplimiento normativo también empiezan a preguntarme cada vez más cuál es el estado de situación de nuestra seguridad. Seguramente los constantes incidentes y fugas de información de empresas muy notables les estarán haciendo pensar que "cuando ves las barbas de tu vecino pelar, pon las tuyas a remojar". Por eso mi primera petición está relacionada con mejorar mi capacidad de "mostrar" el nivel de protección.

El efecto Snowden también se ha dejado notar bastante y seguramente en este año que empieza voy a tener que empezar a reportar a Dirección qué vigilamos y cuál es el nivel de riesgo que la Organización está asumiendo. En este sentido, es una buena noticia que las capas directivas quieran ya saber de mi, que deseen tener cierta "conciencia situacional" respecto a la seguridad de la infraestructura TI que da soporte a sus procesos de negocio sobre todo para poner freno a algunos de los saltos hacia la cloud computing que no estaban calibrando de forma correcta otros factores además del ahorro de costes. Ahora parece que este caso ha puesto de manifiesto lo que desde hace años tenemos claro en nuestra área y es el valor capital que tiene la información como activo de la Organización.

Como no quiero ser muy acaparador, ya en último lugar y en relación al proceso de posibles subcontrataciones quiero pedirte consejo para poder valorar los riesgos que voy a tener que delegar sí o sí en terceros. El outsourcing que ya está implantado en casi todas las organizaciones llega al área de TI transformado en servicios de cloud computing. En este sentido, espero que en este 2014 se creen marcos de valoración o revisión de terceros que permitan de forma sencilla poder comparar la calidad, resiliencia y fiabilidad de los distintos prestadores para no tener que gestionar ese nivel de incertidumbre que actualmente tengo que asumir. Aunque tengo claro que voy a introducir la capacidad de poder supervisar o auditar las delegaciones de servicios que realice, lo ideal sería que existiera un enfoque estandarizado. Espero que el desarrollo de la futura "ISO 27017 Code of practice for information security controls for cloud computing services based on ISO 27002" me ayude al menos a poder solicitar una declaración de aplicabilidad del externo sobre los sistemas que haya podido delegar.

En fin queridos Reyes, se que éste seguirá siendo un año difícil y que las organizaciones todavía no valoran/comprenden y entienden qué pinta la seguridad de la información aunque como cada vez son más frecuentes los ataques al menos se incrementan su sensación de que somos un mal necesario.

¿Confidencialidad por encima de todas las cosas?

noreply@blogger.com ((c) Javier Cao Avellaneda) — Sun, 10 Nov 2013 00:05:00 +0000

El caso Edward Snowden que tanto ha dado que hablar y que seguramente seguirá causando mucho revuelo es un hecho que tiene diferentes perspectivas de análisis y que para los apasionados al mundo de la seguridad de la información nos proporciona interesantes reflexiones.

Personalmente una de las cosas que me ha llevado a plantearme este caso ha sido hasta qué punto es cuestionable usar la confidencialidad como arma de estado cuando se abusa del uso para enmascarar acciones o decisiones que pueden suponer el incumplimiento de la legislación. En este sentido, Snowden entendió que ante el dilema de garantizar el secreto o revelar al mundo las tropelías de su Gobierno esta opción era la más justa.

Quizás una de las cosas que más va a costar asumir es que la palabra "confidencial" tiene que ser adecuadamente empleada para que efectivamente sea garantía de secreto. Es habitual pensar que definir o clasificar algo como "secreto", "restringido" o "confidencial" significa que no se producirá su difusión masiva. Sin embargo, la clasificación de información y la asignación de este tipo de etiquetas significa en el mundo real varias cosas:

Habrá un conjunto reducido de personas que tendrán derecho de acceso y consulta de este tipo de información.
Se controlarán exhaustivamente los accesos y se robustecerán los mecanismos de identificación y autenticación para garantizar que efectivamente solo el reducido número de personas autorizado tiene la capacidad de procesar este tipo de información.
Se aplicarán medidas de protección para el almacenamiento y transporte de este tipo de contenidos siendo el cifrado la herramienta más adecuada.

Sin embargo el caso Snowden como la existencia de Wikileaks ponen de manifiesto que los "secretos de estado" pueden ser una zona oscura que emplee la confidencialidad como tapadera para esconder u ocultar abusos de poder o el incumplimiento de las leyes. El argumento de "Garantizar la seguridad del Estado" supone una tentación grande para aquellos que opinan que el fin justifica los medios. Como bien expresaba el diálogo de la película "Algunos hombres buenos" cuando al final del juicio el abogado interpretado por Tom Cruise presiona en su declaración al Coronel encarnado por Jack Nicholson", cuando es preguntado por si había activado el código rojo, éste superando su nivel de autocontrol explota diciendo "Vivimos en un mundo que tiene muros y esos muros han de estar vigilados por hombres armados. No tengo ni el tiempo, ni las más mínimas ganas de explicarme ante un hombre que se levanta y se acuesta bajo la manta de libertad que yo le proporciono, y después cuestiona el modo en que la proporciono. Preferiría que sólo dijeras gracias y siguieras tu camino. De lo contrario te sugiero que cojas un arma y defiendas un puesto".

La caída de las Torres Gemelas cambiaron la percepción del mundo y durante años la seguridad ha estado por encima de todo, incluso del respecto a las reglas del juego. La Patriot Act que sigue vigente permite al gobierno americano acceder a cualquier tipo de información que consideren potencialmente relevante en la investigación de sospechas que permitan evitar el terrorismo. Para ello, la maquinaria tecnológica de USA ha ido cocinando diferentes tipos de estrategias que junto con su supremacía en el campo de las nuevas tecnologías la han posicionado de nuevo como la gran primera potencia mundial que controla el mundo, salvo que esta vez no nos referimos al físico y tangible que todos vemos sino al que circula por cables bajo tierra y que sirven para construir Internet.

En este nuevo mundo USA juega con muchas ventajas. Posee el mayor volumen de empresas del sector (Cisco, Oracle, Microsoft, Amazon, Twitter, Facebook, Ebay, etc.) que se dedican a recoger o gestionar grandes volúmenes de datos que sirven para alimentar la economía del siglo XXI. Tiene legislación como la Patriot Act que permite la injerencia del Gobierno cuando así lo considera oportuno y dada la globalidad del mundo, es posible que todas las comunicaciones pasen en algún momento por puntos que están bajo su control.

Sin embargo, toda esta tan perfecta maquinaria olvidó desde su pedestal que da el poder de saber que todo puede ser visto o escuchado que en seguridad siempre hablamos de "procesos", "tecnología" y "personas" y como dice el principio del eslabón más débil, "la seguridad será tan fuerte como el más débil de los eslabones". Seguramente al marcar como "confidencial" tantos documentos olvidaron lo que realmente significa esa palabra para que realmente suponga una protección efectiva. Como hemos empezado diciendo, "confidencial" se vincula a que un conjunto de privilegiados podrán tener acceso y conocimiento de los hechos, pero a su vez también supone lealtad, fidelidad y el compromiso de esas personas en velar por el cumplimiento de mantenerla en secreto. No podemos saber si era o no procedente que Snowden por el cargo que ocupaba tuviera acceso al conjunto de información que fue revelada pero lo que sí sabemos que ocurrió es que el conocimiento de los datos y su significado superó el compromiso de lealtad con su Gobierno. Debemos confiar en que siempre el factor humano puede suponer el mejor contrapoder cuando se producen abusos porque siempre puede existir ese pequeño e insignificante "David" que suelte una piedra con su onda para tumbar a "Goliat".

Seríamos ingenuos si pensáramos que Snowden puede cambiar las reglas del juego. Ningún país puede renunciar al espionaje, forma parte del "Arte de la Guerra" al que el propio Sun Tzu da una importancia mayúscula en el capitulo 13.

CAPITULO13: Sobre la concordia y la discordia.

La información no puede obtenerse de fantasmas ni espíritus, ni se puede tener por analogía, ni descubrir mediante cálculos. Debe obtenerse de personas; personas que conozcan la situación del adversario.Si no se trata bien a los espías, pueden convertirse en renegados y trabajar para el enemigo.No se puede obtener la verdad de los espías sin sutileza.Cada asunto requiere un conocimiento previo.Siempre que vayas a atacar y a combatir, debes conocer primero los talentos de los servidores del enemigo, y así puedes enfrentarte a ellos según sus capacidades.Un gobernante brillante o un general sabio que pueda utilizar a los más inteligentes para el espionaje, puede estar seguro de la victoria.El espionaje es esencial para las operaciones militares, y los ejércitos dependen de él para llevar a cabo sus acciones. No será ventajoso para el ejército actuar sin conocer la situación del enemigo, y conocer la situación del enemigo no es posible sin el espionaje.

Debemos confiar al menos en que existirán personas con ética suficiente para anteponer los principios morales a su propio interés y que romperán ese blindaje de la "confidencialidad" para revelar situaciones donde el poder cruza demasiado la línea roja y acaba en la rotura de los principios constitucionales. El problema vendrá cuando la sociedad asuma que la seguridad prime por encima de todo y que sean admisibles cualquier tipo de prácticas porque el fin justifique los medios.

Undécimo cumpleaños del blog

noreply@blogger.com ((c) Javier Cao Avellaneda) — Wed, 23 Oct 2013 17:43:00 +0000

Aunque con unos días de retraso, este mes se celebra el undécimo cumpleaños del blog. Este año no me he prodigado mucho en el número de entradas pero la disminución de la frecuencia viene compensada con la mejora de la calidad. Los dos últimos post enlazan a documentos adjuntos que tienen una extensión considerable y que han sido pensados para facilitar la lectura y uso de los mismos fuera del ámbito del blog.

Como todos los años toca agradecer a los lectores su presencia. Este año además contamos con las nuevas versiones ISO 27001 e ISO 27002 que seguro me permiten generar más contenidos y comentarios sobre las tareas para la construcción de sistemas de gestión de la seguridad de la información. También ando en lo profesional intentando formalizar el deseado cuadro de mandos de la seguridad y para ello, buscando la mejor manera de identificar qué eventos son relevantes para definir el estado de la seguridad y qué metricas las que mejores indicadores pueden proporcionar... pero eso será objeto de un futuro post.

Un saludo,

Análisis detallado sobre la nueva ISO 27001:2013

noreply@blogger.com ((c) Javier Cao Avellaneda) — Wed, 09 Oct 2013 14:13:00 +0000

Tras unos días de vigencia de la nueva ISO 27001:2013 y tras haber realizado ya una lectura más reposada y meditada del nuevo estándar y los cambios introducidos solo puedo decir que esta me gusta mucho el texto de esta versión y que ahora está “mejor enfocada” hacia la valoración del funcionamiento del SGSI por los resultados operativos relacionados con el cumplimiento de los objetivos de seguridad.

En un mundo donde cada vez más la gestión TI es externalizada o delegadas ciertas partes a sistemas que no son propiedad de la organización, es necesario al menos tener identificados los riesgos y garantizar sobre todo que a pesar de eso, podemos proporcionar protección de información a “nuestras partes interesadas” (clientes y los propios departamentos de la Organización).

Como esta revisión ha sido exhaustiva y completa he preferido crear un documento completo con los comentarios sobre la nueva norma para que sea descargable y más manejable que el texto incrustado en el blog.

Podéis proceder a la descarga del documento con licencia Creative Common en este enlace:

Análisis detallado de la nueva ISO 27001:2013

La nueva norma va a tener como consecuencia que empecemos todos a hablar del ansiado "cuadro de mando" de la seguridad de la información. Algo en lo que ya he empezado a investigar y cuyo origen parte de las reflexiones colgadas en el post Ciberdefensa: taxonomía de eventos de seguridad.

Gestión inteligente de información digital (GIID)

noreply@blogger.com ((c) Javier Cao Avellaneda) — Wed, 25 Sep 2013 21:53:00 +0000

Llevaba un tiempo ausente que se ha correspondido con el descanso vacacional y que me ha permitido elaborar un contenido más completo y profundo de lo que suelen ser las habituales entradas en el que llevo trabajando desde principios de septiembre. Su contenido no está explicitamente relacionado con la seguridad de la información sino con la gestión de la misma. Pretende resolver un problema que he venido arrastrando de acumulación de información que por ausencia de gestión no he podido procesar y que finalmente he acabado teniendo que desechar. Acumulaba en Evernote más de 1400 notas que era complicado conservar sin tener que revisar una a una su contenido. Ello me dió que pensar sobre un sindrome que podemos llamar de "infoxicación" o "síndrome de Diógenes digital" y sobre el que a continuación reflexiono. Finalmente he elaborado un documento donde detallo cual ha sido la solución que he dado a mi problema y que puede ser útil y de aplicación para muchos de vosotros también.

Estamos inmersos en la sociedad de la información y cada día podemos darnos cuenta de ello porque somos arrastrados por un torrente informativo que nos satura y aturrulla. Hay un proverbio anónimo que dice "uno con un reloj sabe la hora, con dos no está tan seguro". Este es quizás el mal endémico que produce la facilidad de acceso y la ingente cantidad de fuentes que podemos consultar ahora desde nuestra palma de la mano con el simple acceso a nuestro Smartphone. Las cosas que nos rodean se hacen cada vez más inteligentes y el ser humano va delegando cada vez más ciertas tareas básicas que requieren el uso de algunas de sus capacidades pero que ahora pueden externalizarse. Cada vez recordamos menos teléfonos porque ya no los marcamos número a número, no apuntamos fechas de cumpleaños porque nos llegan notificaciones automáticas y un sinfín de ejemplos más de tareas que estamos delegando en los diferentes gadgets que nos acompañan.

¿Es esto bueno o malo? Es la evolución natural y sólo el tiempo dirá que consecuencias tiene para nuestro futuro y supervivencia. Lo que sí ocurre es que toda esta delegación exterior confía en la existencia de una infraestructura externa permanente que no puede fallar. Si en siglos anteriores el agua ha sido y es un recurso vital, en el siglo XX añadimos la electricidad y en el siglo XXI vamos a añadir la información. La sociedad de la información y el conocimiento se justifica precisamente por esa alta dependencia de estos recursos para sustentar las actividades cotidianas de la naturaleza humana.

Ante estos acontecimientos y quizás provocado por esa necesidad de adaptación y supervivencia que nos es instintiva, es necesario al menos establecer un criterio ordenado de selección y clasificación de información que nos permita procesar y asimilar el torrente de conocimiento al que tenemos acceso a diario. Para ello, lo primero que hemos de asumir es esa pequeña frustración de no poder llegar a todo. Nos cuesta tener que reconocer que somos limitados y en muchos casos nos auto engañamos creyendo que por consultar o mirar gran cantidad de información estamos al día y al corriente de todo. Sin embargo creo que hemos cambiado cantidad por calidad. Ahora es posible y fácil acceder a mucho pero fruto de ese exceso, podemos abarcar muy poco. Esto se traduce en una cultura de la inmediatez y del procesado masivo y superficial que realmente no incrementa el nivel de conocimiento sobre las cosas. Esta forma de procesar información en el ser humano no hace que utilice sus mejores capacidades cognitivas puesto que el uso de estas requieren de la capacidad de concentración de nuestra mente.

Paradójicamente todo lo que nos rodea dificulta cada vez más el disponer de las condiciones necesarias para lograr esa concentración mental que permite a nuestro cerebro rendir al 100%. La introducción de dispositivos móviles, la conectividad a todas horas y de los nuevos hábitos digitales han creado un entorno de permanente interrupción que posiblemente lastre nuestro rendimiento futuro hasta que se produzca una evolución de nuestro cerebro para adaptarse a este nuevo entorno. La multitarea intelectual genera una falsa sensación de rendimiento provocando que en muchos casos, las actividades se realicen con un bajo nivel de atención.

Para intentar poner cierto orden y control al torrente informativo en el que nos vemos inmersos, debe diseñarse una estrategia formal de canalización de los datos que los vaya almacenando en diferentes repositorios según criterios concretos para posteriormente ir procesándolos hasta transformarlos en conocimiento. El presente documento es fruto de un tiempo de reflexión y trabajo sobre esta problemática y presenta lo que llamo "gestión inteligente de información digital o abreviado GIID" que es el método que actualmente empleo para hacer frente al problema de la recopilación, clasificación y uso de la ingente cantidad de información que tenemos que procesar.

Descargar documento "Gestión inteligente de información digital de Javier Cao".

En él explico cual es el sistema que he implementado y que llevo utilizando desde el 1 de septiembre. Se basa en el uso de servicios online como Evernote (Versión premium aunque funciona sobre la versión gratuita) e Ifttt.com. En cualquier caso y dado que es un método, puede aplicarse sobre cualquier otro sistema de gestión de información electrónica si permite utilizar el concepto libreta o carpeta y vincular a cada contenido un conjunto de "etiquetas" o "metadatos".

Esta gestión de etiquetas permite ahora en base a las consultas sencillas que permite hacer Evernote generar diferentes actividades de gestión que forman parte del ciclo de tratamiento de estos "datos" para llegar a convertirlos en conocimiento. Ahora, cuando tengo que procesar mi contenido en Evernote, puedo hacer cosas como estas:

Decidir por el contexto qué puedo procesar. Si tengo conexión a Internet proceso las notas de tipo enlace pero si no la tengo, proceso notas de tipo Adjunto.
Puedo buscar los elementos pendientes de clasificar y ordenarlos en las libretas correctas.
Puedo ver las notas que están "Pendientes" y en función de lo que me apetezca hacer, completar las acciones que desee como "Ver", "Leer", "Escribir"...
Puedo consultar cuales son las notas que han caducado y expurgar el archivo eliminado aquellas cuya fecha de creación es anterior al periodo de caducidad.

Quiero también mencionar que muchas de las inquietudes respecto a la correcta gestión de la información han sido contagiadas de mi ex-compañera de trabajo Susana Verdejo (Twitter @susanaverdejo) con la que compartí en Firma-e algunos proyectos y que me descubrió el apasionante mundo de la gestión documental y ahora la ISO 30300.

Si el método te ha gustado, podrás encontrar en Ifttt.com muchas de las recetas que he creado para implementar la recopilación automática. Puedes buscarlas bajo porque todas empiezan con la palabra GIID o están vinculadas a mi usuario.

Si consideras que este texto ha sido útil e interesante y que puede contribuir a resolver tu problema puedes realizar una donación si te apetece.

Digitalizar o informatizar, esa es la cuestión.

noreply@blogger.com ((c) Javier Cao Avellaneda) — Tue, 09 Jul 2013 22:02:00 +0000

Una de las cosas más bonitas que tiene el trabajo del consultor de seguridad es que te permite visitar todo tipo de organizaciones y analizar modelos de negocio muy variados. A lo largo de los diferentes proyectos que me ha tocado ejecutar he podido ver sectores tan dispares como el hotelero o el militar, empresas de fabricación de productos alimenticios o de desarrollo software.

La presente entrada tiene que ver con reflexiones sobre la vital importancia que tiene hoy en día la gestión de información. Es obvio que todas las empresas se han planteado ya la incorporación de nuevas tecnologías a sus procesos de negocio. Sin embargo, desde la visión de un consultor externo se puede observar cómo en algunos casos el proceso de adaptación se ha quedado en la superficie en muchos casos y en otros cómo ha llegado a cambiar el modelo de negocio por completo.

En todo proyecto tanto de construcción de un sistema de gestión de la seguridad de la información como de protección de datos de carácter personal como de continuidad de negocio siempre el trabajo que toca hacer es el "modelado de la organización". Para ello, el habitual punto de partida suele ser emplear el modelo de la cadena de valor de Porter y tratar de identificar cuales son las actividades primarias y de soporte de esa organización. Cuando tienes suerte y la empresa ya está certificada bajo el esquema ISO 9001 gran parte del trabajo suele estar muy avanzado dado que ya se puede partir de un mapa de procesos que debe definir qué hace esa empresa y cómo logra satisfacer las necesidades de sus clientes. Sin embargo muchas veces ocurre que lo pintado por el manual de calidad dista bastante de la realidad operativa de la empresa. Por desgracia hay sistemas de gestión de la calidad que sólo sirven para ostentar una certificación pero para nada implantan la cultura de la mejora continua dentro de la organización.

En la fase de análisis de riesgos, de análisis de impacto en el negocio o de identificación de los tratamientos de datos de carácter personal el consultor debe analizar para cada empresa cuales son los flujos de entrada de información, los procesos de transformación y las salidas que se producen. En Ingeniería del software durante la carrera nos enseñaban que había que identificar en abstracto todos estos intercambios de información para poder definir el modelo de datos. Para ello empleábamos los diagramas de flujos de datos que son una manera normalizada de definir y diagramar todas estas relaciones entre elementos importantes del sistema de información.

En teoría, la incorporación de las tecnologías de la información en todas las organizaciones debería haber supuesto la elaboración de estos planos de identificación de los procesos de negocio y de las necesidades de información de cada uno de ellos para establecer la mejor manera de incorporar los nuevos canales y las nuevas capacidades operativas que optimizaran los procesos y lograran una mayor eficiencia. Eso hubiera sido "informatizar" la organización. Sin embargo, en muchos casos la incorporación de las tecnologías simplemente ha supuesto la incorporación del correo electrónico como mecanismo de intercambio de información, la creación de una Web para publicitar y anunciar los productos o servicios y la sustitución de máquinas de escribir por ordenadores que generan documentos ofimáticos que se almacenan en servidores de ficheros. Eso es lo que podemos denominar "digitalizar" la organización. Esta es la infraestructura más común que ves en empresas que dicen haberse adaptado al siglo XXI. No se puede negar que estos cambios suponen avances pero ello no implica en el día a día una mejora significativa del rendimiento y la productividad de la organización. En muchos casos, al aumentar el caudal de la información procesada, se ha incrementado la carga de trabajo y al no estar rediseñados los procesos de negocio, los canales telemáticos suponen un cuello de botella. Eso ocurre tradicionalmente con el correo electrónico. Otro de los grandes errores es la ausencia de criterio en la gestión electrónica de documentos, lo que hace del servidor de ficheros un gran repositorio de datos no indexados ni adecuadamente organizados que impide la gestión eficiente de la información en soporte electrónico. La búsqueda de documentos se convierte en una pesadilla porque hemos trasladado los criterios de gestión del papel basados en archivadores y carpetas a la gestión electrónica de documentos, no aprovechando la potencia que implica el uso de metadatos y la categorización de contenidos según cuadros de clasificación documental. Supongo que llegado este punto se puede entender cómo en muchos casos la incorporación de las tecnologías simplemente ha supuesto un cambio de formato respecto al contenido, un proceso de transformar en digital lo que se hacía en soporte papel de forma tradicional.

¿Qué habría sido informatizar la organización?

En primer lugar y tal como empezaba esta entrada, un ingeniero en informática lo que sabe hacer bien es identificar los flujos de información y los procesos de transformación de datos. Debe ser capaz de representar de forma visual el modelo de negocio e identificar los diferentes tipos de documentos, el tipo de datos que se manejan, los repositorios donde se almacenan, etc. Debe construir un modelo de gestión de la información que debe describir qué hace esa empresa y cómo se generan los productos o servicios que forman la cadena de valor de esa organización. Con esos planos, la segunda fase es el rediseño de procesos para adaptar la incorporación de los nuevos medios electrónicos y tratar de automatizar cuando sea posible la recogida y almacenamiento de información para su posterior procesado. Algo que forma parte de la columna vertebral del proceso de administración electrónica que debería estar cambiando el modelo de gestión de las Administraciones Públicas para mejorar en eficiencia y operatividad proporcionando un mejor servicio al ciudadano.

Muchas organizaciones grandes si han tenido que pasar por esta fase de revisar y adecuar sus actividades al uso de las tecnologías cuando han incorporado a su corazón de gestión las aplicaciones de ERP (Enterprise Resource Planning) como Navision, SAP, etc... En muchos casos estos productos ya vienen con un mapa estandar de procesos según el sector y la empresa realmente lo que hace es adecuarse al software en vez lo contrario pero ello en muchos casos se fundamenta en que el modelo de gestión propuesto por el software ya se encuentra muy consolidado y optimizado para ser la forma más eficiente de gestionar.

De identica forma, la informatización también debe identificar cómo gestionar la información en soporte electrónico siendo la gestión documental una pieza clave que permita la iteracción entre las aplicaciones de negocio y la gestión de documentos electrónicos, aprovechando las capacidades de este tipo de herramientas y utilizando su verdadero potencial cuando existe una gestión adecuada de los metadatos vinculados.

En este sentido y dentro de las tendencias de Gobierno TI, parece que empieza a cuajar lo que denominan "Enterprise Architecture" o Arquitectura empresarial que sería esos "planos de la organización" desde la visión de procesos de negocio, aplicaciones y artefactos o recursos informáticos que dan soporte a los sistemas de información. Esta forma de modelar organizaciones está pensada para que todas las capas de la misma puedan utilizar este tipo de planos para adecuar los sistemas de información a las necesidades de negocio.

Estos planos se establecen en capas y permiten desde cada una de ellas subir o bajar en detalle para conocer con exactitud a qué se da soporte o qué recursos necesita.

Formalmente se puede definir la "arquitectura empresarial como que es la lógica de la organización de los procesos de negocio y la infraestructura de TI que refleja los requisitos de integración y normalización del modelo de funcionamiento de la empresa. El modelo operativo es el estado deseado de la integración de procesos de negocio y la estandarización de procesos de negocio para la entrega de bienes y servicios a los clientes."

Esto que suena tan bonito se puede llegar a tangibilizar en esquemas como el siguiente y que permiten a todos los actores de una gran organización conocer exactamente que se hace y qué dependencias y recursos requiere la empresa para funcionar.

El resultado de una adecuada consultoría en seguridad o protección de datos a veces tiene como efecto positivo y colateral el suministrar este tipo de resultados y permitir a la organización identificar deficiencias operativas u oportunidades de mejora que pueden lograr una mejor eficiencia operativa o una mayor robustez de sus sistemas de información frente a los potenciales riesgos que pudieran plantearse. Como conclusión final quería comentar que efectivamente en muchos proyectos uno entra para diagnósticar situaciones y acaba proporcionando una visión completa de qué hace la organización que permite que la comunicación entre Dirección y el área de sistemas de información pueda ser mas fluida. Permite que tanto desde arriba (Top management) se puede visualizar la cantidad de recursos técnicos que son necesarios para soportar a los procesos de negocio como justificar o evidenciar la importancia de determinados recursos técnicos por su vital papel dentro de la posible cadena de fallo y de los impactos potenciales que pudieran ocasionarse en caso de incidentes sobre los procesos de negocio. Aunque los proyectos tienen como objetivo la seguridad, en muchas ocasiones se tienen como resultados colaterales una mejora de la eficiencia operativa o el diagnóstico de puntos de fallo que pueden comprometer la cadena de valor de Porter.