Para finalizar nuestra serie sobre seguridad en las eléctricas (véase [1][2]), y dado que como ya adelantamos en nuestro primer post el área que hemos llamado “de empresa” no va a ser objeto de un artículo específico —a fin de cuentas, en este caso se comparten casi todos los elementos de seguridad con organizaciones de cualquier otro sector—, vamos a hablar hoy del área funcional de control y los aspectos de seguridad más destacables en la misma.

El área de control está formada por una red de centros con un objetivo muy específico: el control —como su nombre indica— de la calidad de la energía y del tráfico de la misma, en cualquier punto de la cadena, desde las centrales de producción hasta nuestras casas (realmente, no hasta nuestras casas tal cual, pero casi). Aquí, sin duda, los activos más relevantes —aparte de las personas, que siempre son lo más importante— son por un lado los elementos tecnológicos de control y por otro la información que estos elementos manejan, y por tanto la principal amenaza es el sabotaje, tanto físico (atentados o vandalismo contra los centros de control) como lógico (ataques a los sistemas de control, intrusiones…).

Cuando uno lleva mucho tiempo relacionado con entornos de monitorización y aspectos relacionados, tanto a nivel técnico como de gestión, acaba viendo sistemas susceptibles de ser monitorizados por todas partes (y las implicaciones derivadas). Verán porqué les digo esto.

En mi empresa, S2 Grupo, tenemos una máquina de vending, ya saben, de esas que sirven botes de refrescos, rosquilletas y chocolatinas varias. Ya conocen la estructura: la máquina tiene varios estantes, uno encima del otro, y cada estante está formado por varias filas con diferentes productos; similar a la de la imagen. El problema es que algunos compañeros hemos observado que existe un significativo margen de mejora que podría ser aprovechado mediante un sistema de monitorización y control del consumo de los productos. En realidad, no es que exista margen, sino que parece que no existe ningún tipo de gestión racional del consumo de los clientes. Veamos cuáles son los problemas:

Este post pretende ser la primera entrada de lo que será una serie relacionada con el futuro Esquema Nacional de Seguridad.

La idea con esta serie es informar sobre el Esquema Nacional de Seguridad: su origen, a quién afecta tanto directa como indirectamente, los puntos destacables, y cómo afectan estos aspectos a los diferentes actores involucrados. A lo largo de las distintas entradas profundizaremos más en los puntos del Esquema Nacional de Seguridad que entendamos más relevantes, siempre con la idea de que se produzca información útil y eminentemente práctica. Como introducción, en esta primera entrada hablaremos del origen del Esquema Nacional de Seguridad, para lo que se hace imprescindible hablar de la Ley 11/2007. Si desean echarle un vistazo al primer borrador, del pasado 15 de julio, lo tienen disponible desde la página del Consejo Superior de Administración Electrónica.

La tecla mágica es una interrupción que permite comunicarse con el kernel en situaciones de inestabilidad en una máquina Linux, que viene habilitada por defecto en la gran mayoría de kernels precompilados de las distribuciones actuales. En caso de que compilemos el núcleo a mano, la opción “Magic SysRq Key” se encuentra en el menú “Kernel Hacking”. En el fichero de configuración del kernel recibe el nombre de CONFIG_MAGIC_SYSRQ por lo que realizando un “grep” de éste veremos si la hemos habilitado (debe aparecer CONFIG_MAGIC_SYSRQ=Y).

No es un secreto para nadie que una parte importante de los problemas de seguridad de los sistemas de información tiene su origen en defectos de las aplicaciones que éstos ejecutan. Tampoco lo es que estos defectos, que se manifiestan en forma de vulnerabilidades, se introducen en el software durante su proceso de desarrollo. Lo que a día de hoy no es algo aún suficientemente conocido, es la solución a este problema.

Históricamente, la industria del software ha funcionado usando una dinámica de liberar al mercado productos con un escaso nivel de madurez y se ha ocupado sobre la marcha de corregir los defectos que fueran apareciendo (véase el enfoque de Berkeley frente al del MIT en la entrada de Javier Vela al respecto, ¿Peor es mejor?). La situación actual es algo distinta ya que la capacidad del entorno de encontrar y explotar vulnerabilidades es muy elevada. Por tanto, liberar una aplicación al mercado, especialmente si está destinada a ofrecer servicios al público a través de Internet, sin haber tomado un mínimo de medidas para evitar la aparición de vulnerabilidades, es sin lugar a dudas una invitación al desastre.

La presión por cumplir con el calendario y el presupuesto de proyecto y la exigencia de los usuarios por disponer de nuevas funcionalidades, provocan con frecuencia que la seguridad no esté precisamente en la parte alta de la lista de prioridades de los equipos de desarrollo. Además, la eliminación de vulnerabilidades se suele entender como una tarea de la que alguien se encarga en la fase de testeo al final del ciclo de desarrollo, cuando la fase de programación ha concluido.

Para hoy, tenemos un par de breves cuestiones relacionadas tangencialmente con la Seguridad de la Información.

En primer lugar, me gustaría presentarles el blog Spring Art Work, un blog mantenido principalmente por nuestro compañero Néstor Tarín, en el que tratará de cuestiones propias de desarrollo en el uso de frameworks —principalmente Spring, tal y como indica su nombre— utilizados para el desarrollo de aplicaciones (java y .Net) de manera cómoda, sencilla y correcta. Se trata de un blog técnico que incluirá artículos de distintos niveles de dificultad, y puede ser útil para comprender conceptualmente el uso de los frameworks presentados desde un perfil no técnico. Inicialmente su periodicidad será semanal, pero probablemente se incrementará a medida que el blog vaya cogiendo velocidad.

En segundo lugar, si llevan algún tiempo siguiendo el blog, sabrán que de un tiempo a esta parte hemos incrementado la frecuencia de publicación hasta hacerla diaria, exceptuando los fines de semana y algún día suelto que la inventiva está por los suelos. No obstante, teniendo en cuenta la relativa densidad de algunas entradas, tenemos cierta curiosidad por saber cuál sería la frecuencia de publicación ideal para nuestros lectores; si estamos llegando, nos quedamos cortos o nos pasamos. De ahí que hayamos creado la encuesta que les muestro debajo.

¿Qué frecuencia de publicación prefieres?

• Una entrada cada dos o tres días. (53%, 19 Votos)
• Una entrada diaria (y sólo una). (31%, 11 Votos)
• Un par de entradas por día (como mucho). (8%, 3 Votos)
• Me da igual, ya que no las leo el día que se publican. (6%, 2 Votos)
• Dos entradas por día, o alguna más de vez en cuando. (2%, 1 Votos)

Votantes: 36

 Loading ...

Mañana continuaremos con la programación habitual.

Continuando con la seguridad del sector eléctrico que iniciamos el pasado lunes, vamos a comentar hoy aspectos relativos a la seguridad en la producción de energía, sobre todo en las áreas funcionales nuclear, térmica e hidráulica; el área funcional de energías renovables (por ejemplo, parques solares o eólicos) sufre menos amenazas y de menor impacto, siendo quizás el robo el mayor de los problemas a los que se enfrentan estos parques, cuya probabilidad se multiplica por su ubicación en lugares relativamente aislados.

Quizás las amenazas de mayor impacto en la producción eléctrica son las relativas a accidentes (fuego, fugas, explosiones…) y las relativas a terrorismo (bombas —físicas o lógicas, pero especialmente las primeras—, ataques con munición pesada, sabotajes…); en el caso nuclear es tal la preocupación general por el correcto funcionamiento de las centrales, debido a las implicaciones de un incidente, que existen normas nacionales e internacionales para garantizar su seguridad a diferentes niveles. En el caso de España, se considera poco probable un ataque de gran magnitud hacia una central nuclear por parte de ETA —sobre todo porque no resulta fácil para la organización terrorista hacer estallar un artefacto de magnitud sin poner en peligro la vida de sus miembros, y además porque un ataque indiscriminado de esa magnitud podría generar una movilización sin precedentes de repulsa social hacia la banda—; no obstante, las centrales nucleares sí que pueden convertirse en objetivo del terrorismo islámico, además de ser un objetivo prioritario en conflictos bélicos con otros países.

Con poco que hayan seguido este blog, sabrán que no hacemos un uso comercial de éste, primero porque no nos gusta, segundo porque existe contenido mucho más interesante, tercero porque no es ese el propósito de un blog, y por último porque eso supondría ahogarlo irremediablemente. Dicho esto, no obstante, en este caso nos disculparán si hacemos una excepción, que en mi opinión está justificada.

S2 Grupo ha iniciado un ciclo de conferencias y cursos especializados en la línea del trabajo que desarrolla, y en este sentido, para el próximo mes de diciembre (concretamente, 14, 15, y 16 de diciembre) hemos organizado, en colaboración con New Horizons (actualmente Tecnofor), el segundo curso de formación especializada en ITIL e ISO 20000 con certificación APM GROUP opcional al finalizar la acción formativa. El curso consta de un módulo de Introducción al código de buenas prácticas ITIL, una revisión a la norma internacional ISO/IEC 20000 y un caso práctico de Gestión de Incidencias basado en lo sucedido en el Apollo XIII.

(Véanse las entradas previas de la serie sobre banca y puertos)

Sin duda estaremos todos de acuerdo en que el sector eléctrico en su conjunto, la integridad de sus instalaciones, la disponibilidad del suministro… son elementos básicos para garantizar la supervivencia de muchos servicios profesionales y el bienestar de la sociedad en general (¿alguien imagina pasar unos días sin luz eléctrica en cualquier gran ciudad?). Por todo esto, está sometido a una serie de amenazas que en caso de materializarse causarían un elevado impacto en nuestra sociedad, de ahí que esté considerado Infraestructura Crítica Nacional.

¿Cómo llega luz a nuestros hogares, calles, empresas…? De forma simplificada, en una central de producción eléctrica se transforma algún otro tipo de energía en energía eléctrica; estas centrales suelen ser nucleares, térmicas o hidráulicas, aunque cada vez más están proliferando centrales basadas en energías limpias, como las solares. Esta energía eléctrica se transporta y distribuye a través de líneas de muy largo recorrido, que van desde las centrales de producción hasta las estaciones de transformación; en estas últimas estaciones o subestaciones, se transforma la energía y se hace llegar hasta el cliente final (ya en baja tensión) para su consumo. Obviamente, todo este proceso está altamente controlado desde una serie de centros distribuidos, que velan porque la energía eléctrica llegue correctamente a su destino, detectando problemas en tiempo real y actuando ante los mismos en el menor tiempo posible (lo que podríamos llamar “la seguridad de la energía eléctrica”). Adicionalmente, como cualquier empresa, las eléctricas necesitan de unas instalaciones, personal, infraestructuras… fuera del ámbito de la producción directa: comerciales, directivos, administrativos…

No sé si recuerdan la entrada titulada “El cuento de la lechera en la nube 2.0 (o porqué Google no contesta con rotundidad)” que escribimos en este blog hace ya unos cuantos meses, a raíz de la polémica desatada por Javier Mestre con su crítica al gigante estadounidense y el riesgo de utilizar Google Apps Premium Edition en entornos corporativos.

Sea como fuere, en los comentarios de aquella entrada se creó un (pequeño) debate entre “g” y Edgard que me parece muy interesante de cara a entender qué entendemos por seguridad. Resumiendo, la cuestión se sitúa en torno a la confianza que la declaración/compromiso/”contrato” de confidencialidad que Google genera en el usuario de sus servicios. Edgard lo expresó de una manera cristalina: “[...] Me temo que si Google cumpliera con toda la legislación habida y por haber seguiría siendo una opción un tanto arriesgada desde el punto de vista de la confidencialidad de los datos.“. Efectivamente, no hay que olvidar que el buscador está bajo el paragüas del acuerdo de Puerto Seguro (dejemos de lado las numerosas pegas que tiene este acuerdo, por decirlo de una manera suave), y que sin duda implanta innumerables controles físicos y lógicos para preservar la confidencialidad de los datos que gestiona, independientemente de su tipología. Dicho de otra forma, y dejando de lado los datos de carácter personal, me atrevo a afirmar que hay pocas pegas que ponerle a Google en la gestión de los datos de sus clientes y usuarios, y que legalmente está totalmente regularizado, quizá mucho más que otras tantas multinacionales de telecomunicaciones u organismos públicos. Y aún así, a pesar de esto, Google sigue sin transmitir una sensación de seguridad, cuyos detractores están en muchos casos relacionados con la seguridad de la información.