Cómo conocí a CARMEN, PILAR, CLARA…

Estimados lectores, no se lleven a engaño por el título del post; no tengo tanto éxito con las mujeres como éste puede sugerir (ya me gustaría a mí). Tampoco guarda relación alguna con Ted Mosby y Cía. Ni que decir tiene que tampoco es una sinopsis de los Ángeles de Charlie. Aprovechando el comienzo de año, las buenas intenciones y que hace casi un año que no me dejaba caer por estos lares, he decidido escribir un post que pretende arrojar un poco de luz respecto a todos estos nombres de mujeres que están resonando de un modo u otro en el ámbito de la ciberseguridad.

Seguro que ustedes ya conocen a PILAR, un clásico del análisis de riesgos. Pues bien, este tipo de denominación se está siguiendo para otras iniciativas/proyectos/aplicaciones de ciberseguridad que se están promoviendo desde el Centro Criptológico Nacional (CCN). Que aunque no dejan de ser acrónimos, sí que es verdad que consiguen captar nuestra atención. A continuación les haré un breve resumen para explicarles de que tratan estas iniciativas, para que cuando oigan hablar de ellas sepan por dónde van los tiros.

CARMEN (Centro de Análisis de Registros y Minería de Datos): La iniciativa CARMEN surge en 2012 con el objetivo de proporcionar una solución para la detección temprana de uno de los tipos de ataques más peligrosos y sofisticados en el ámbito de la ciberseguridad: las amenazas persistentes avanzadas, o APTs (Advanced Persistent Threat), que es como las llama todo el mundo. En estrecha colaboración con S2 Grupo, a finales de 2014 fue presentada la versión 3.0 de CARMEN, herramienta que se perfila como unas de las grandes apuestas del CCN. Carmen consiste en una herramienta para la detección de APTs mediante el análisis en tiempo real de logs y procesos de minería de Datos.

PILAR (Procedimiento Informático lógico de Análisis de Riesgos): PILAR es probablemente la más conocida de las herramientas de seguridad y también la precursora de esta tendencia de usar tan femeninos nombres. Es una herramienta de análisis y gestión de riesgos que implementa la metodología MAGERIT, tiene un amplio calado en la administración pública Española y reconocido prestigio internacional. Por supuesto, proporciona un total cumplimiento a los requisitos establecidos por el ENS en cuanto a análisis y gestión de riesgos.

LUCIA (Listado Unificado de Coordinación de Incidentes y Amenazas): Lucia es un proyecto que surge en 2014 y supone la apuesta del CCN para la implantación de un sistema de gestión de incidentes común para las administraciones públicas, que persigue dar cumplimiento a los requisitos del ENS en cuanto a gestión de incidentes y mejorar la coordinación entre los distintos organismos y el CCN-CERT. Lucia es una gran iniciativa para establecer un lenguaje y unos mecanismos de gestión de incidentes comunes, con todas las ventajas que esto supone.

INES (Informe Nacional del Estado de Seguridad) [PDF]: El proyecto INES data de 2014 y da cumplimiento al artículo 35 del ENS, proporcionando una plataforma para recoger y gestionar la información sobre el estado de seguridad de las distintas Administraciones públicas. Así pues, INES en la práctica es una plataforma telemática puesta a disposición de los Responsables de Seguridad de las Administraciones Públicas, que proporciona un sistema sencillo para evaluar el nivel de adopción del ENS y el nivel existente de seguridad de la información. Esta plataforma permitirá un seguimiento generalizado del grado de implantación del ENS y tener una visión global siempre ayuda.

CLARA: He de pedir disculpas porque no he podido averiguar que significa este acrónimo. CLARA es la más reciente de todas estas iniciativas y fue publicada el pasado diciembre. En su descripción dice ser una herramienta para el cumplimiento del ENS. Aunque me imaginaba una aplicación para cumplir con los requisitos documentales del ENS, ha resultado tener un propósito muy distinto: CLARA permite verificar la aplicación de las plantillas de seguridad de las guías 850A, 850B, 851A y 851B en nuestros sistemas de información. Estas guías se centran básicamente en dar cumplimiento desde un punto de vista técnico a los requisitos del ENS en entornos Windows 7 y Windows server 2008 R2.

Espero que esta información les haya sido útil y haya dado a conocer estas iniciativas entre aquellos que no las conocían. Me gustaría cerrar este post destacando la gran labor del CCN en el ámbito de la ciberseguridad, así como la de otros organismos públicos que velan por la seguridad de la información, como son la Agencia Española de Protección de Datos o el Instituto Nacional de Ciberseguridad (INCIBE).

Comments

  1. Es para lo único que sirven las mujeres en España, para poner nombres a proyectos…qué triste

  2. La verdad es que he pensado lo mismo. Las mujeres somos simplemente un objeto para “llamar la atención”

  3. Es cierto hay pocas mujeres trabajando en el ámbito de la informática (así, en general). Pero realmente, ¿es motivo de enojo que se creen esos acrónimos? ¿Se deben cabrear los progenitores por el programa PADRE, o los bailarines de tanga por usar SAMBA?
    No creo que las vueltas que le hayan podido dar al nombrar una lista, informe o herramienta sea mucho más denigrante que pensar que sólo se ha visto a las mujeres como “objetos para llamar la atención” (por cierto, cuando se hace una regla nemotécnica se recomienda emplear palabras conocidas porque LISA es más fácil que ASIL por ejemplo)

  4. Te han faltado MARTA (Motor de Análisis Remoto de Troyanos Avanzados) y MARIA (MultiAntivirus IntegrAdo). :)

    Buen post.

  5. La verdad es que no conocía ni a MARTA ni a MARIA.

    Muchas gracias María,

  6. El significado del acrónimo CLARA: Customized Local And Remote Analisys tool

  7. También está REYES (REpositorio común Y EStructurado de amenazas y código dañino)