De que hablo cuando hablo de…

Una de las cosas que más le llamó la atención a mi compañero de mesa en la oficina (quién venía de trabajar en el ámbito de la ingeniería industrial), fue la increíble capacidad que tenemos los profesionales del sector de las Nuevas Tecnologías para encadenar siglas en una misma frase, como en la siguiente frase: Las copias de respaldo se hacen en un dispositivo NAS que implementa RAID 5 configurado con cifrado AES de 256 bits, con mantenimiento NBD.

El objetivo de este post es tratar de hacer un pequeño repaso de algunos términos que habitualmente se escuchan en el mundillo de las TIC, los cuales se refieren a aspectos como control de acceso, redes, cifrado, cumplimiento legal, cumplimiento de la normativa, entre otros. Les pido a nuestros estimados lectores que me concedan la licencia de resumirles de un modo breve y sencillo cada uno de estos conceptos:

AD/DA (Active Directory / Directorio Activo): Sistema proporcionado por Microsoft para la gestión centralizada de recursos de red, incluyendo la gestión de políticas aplicables, gestión de usuarios y equipos, sistema de autenticación, etc.

AES (Advanced Encryption Standard): Algoritmo de cifrado simétrico con tamaño de llave de 128 a 256 bits.

[Read more…]

Introducción al diseño y certificación de CPDs (TIA 942)

Aun recuerdo con cariño el primer CPD (si aquello se pudiera considerar un CPD) que visite cuando empecé en el mundo de la seguridad. Desde entonces he visitado muchos CPDs, algunos dignos del mismísimo Calatrava (más por lo blanco que por lo curvo) y otros que yo calificaría sencillamente como “entrañables”…... Leer Más

Gestionando riesgos con M_o_R®

– ¡¡¡¡¡Me he dejado el coche nuevo abierto con las llaves puestas en el peor barrio de la ciudad!!!!! ¡¡¡¡¡SOCORRO!!!!!

– Tranquilo, que no cunda el pánico. Conozco una metodología de gestión de riesgos que nos dará la visión adecuada para solucionar este problema… Primero identificaremos las actividades de tu vida que se pueden ver afectadas (como ir recoger a tu mujer, ir a trabajar…) bla bla bla, después identificaremos las amenazas existentes, por ejemplo ocupación enemiga o sustracción. Luego calcularemos el riesgo, mediante una función entre la probabilidad de que suceda y el impacto, descontando de ambos las salvaguardas implantadas…. bla bla bla. ¿Dime cuál es tu apetito por el riesgo? bla bla bla… voy a definir un plan de tratamiento de riesgos….

– ZZZZZZZ

– Perfecto déjame decirte que la solución a tu problema es: Que la próxima vez, cierres el coche y cojas las llave cuando aparques.

[Read more…]

LOPD para nostálgicos

Ahora a todo el mundo se le llena la boca hablando de la próxima directiva europea de protección de datos, del cloud, etc. Pero de vez en cuando está bien echar una mirada atrás para ver de dónde venimos. En este post voy a rememorar una aplicación clásica en protección de datos: el RGPD.... Leer Más

Piedra, papel, tijeras

Hace 2 semanas fui al cine a ver una película que me recomendaron encarecidamente. La película en cuestión se llama ARGO, dirigida y protagonizada por Ben Affleck. Tengo que reconocer que no tenía puestas muchas esperanzas en ella (Daredevil hizo mucho mal a Ben Affleck… bueno, esa y muchas otras), pero luego resulto que más que buena era una película notable (solo tenéis que ver que en filmaffinity le dan un 7,4).... Leer Más

Análisis de riesgos con PILAR (II)

Una vez vistos los pasos previos y el punto de entrada al Análisis de riesgos, el siguiente paso es establecer las dependencias entre los activos desde el punto A.1.4 dependencias, para el cual deberemos seguir el esquema de dependencias propuesto en MAGERIT. En la aplicación podremos definir el grado de dependencia entre los activos de modo global o detallando en las dimensiones de seguridad que son de aplicación.

[Read more…]

Análisis de riesgos con PILAR

Si tienen algo de memoria, recordarán que no hace mucho hicimos una breve introducción a PILAR (Deconstruyendo a PILAR y que en otras ocasiones nos hemos introducido en las metodologías de análisis de riesgos: primera parte y segunda parte).

Si conocen PILAR, sabrán que es una mujer que allá por donde va levanta odios o pasiones; lo pudimos comprobar en los comentarios de la anterior entrada. Será quizá porque puede ser complicada, un poco caprichosa e incluso a veces poco amigable. No obstante, tengo que decir que tiene su encanto y me atrevería a decir que se le coge cariño. Lo que está claro es que no es de las que te cautiva a primera vista.

Bromas aparte, podemos decir que PILAR es la herramienta de análisis de riesgos por excelencia al menos en el sector público (español), por diversas razones y por ser una de las principales implementaciones de MAGERIT. En esta entrada vamos a tratar de continuar la introducción anterior, explicando de modo breve y somero cómo llevar a cabo un análisis de riesgos. Para esto vamos a realizar ejemplo analizando nuestro blog favorito: Security Art Work.

[Read more…]

50 sombras de la seguridad

Estimados lectores, he de reconocerles que la lectura se encuentra entre mis numerosas aficiones (aunque suelo huir de best-sellers) y en este sentido si hay algo que no deja de sorprenderme es que allá por donde paso encuentro a alguna persona leyendo o hablando del “Libro del momento”. Si todavía no saben de qué libro estoy hablando, se trata de 50 sombras de Grey. Pero no se preocupen, en este post no vamos a desgranarles el argumento, únicamente lo hemos tomado prestado por la similitud de la temática que vamos abordar en el mismo. ... Leer Más

Deconstruyendo a PILAR

Siguiendo con la temática iniciada en anteriores post sobre análisis de riesgos en el ámbito del ENS y la metodología MAGERIT (véase Introducción al análisis de riesgos – Metodologías, primera parte y segunda parte), hoy quiero hablarles de una aplicación muy conocida en el mundillo de la seguridad: Procedimiento Informático Lógico de Análisis de Riesgos, que visto así probablemente no les diga nada, pero si les digo PILAR, a lo mejor la cosa cambia.

Muchos de ustedes estarán familiarizados de algún modo con esta aplicación, que cuenta con detractores y seguidores a partes iguales. Si bien debo reconocer que personalmente me encuentro en el segundo bando, el objetivo de este post no es ofrecer una opinión sino introducir a nuestros lectores en esta aplicación.

Antes de empezar me gustaría hacer mención a la aplicación CHINCHON para análisis de riesgos, que podría considerarse la precursora de PILAR, implementado MAGERIT en su primera versión. Al igual que PILAR, CHINCHON también era una aplicación de D. José Antonio Mañas.

[Read more…]

Requisitos del ENS para proveedores de Cloud Computing

Algunos de ustedes se habrán planteado sin duda la posibilidad de externalizar algún plataforma a un servicio cloud, o hacer uso de alguna herramienta SaaS. Además seguramente la mayoría se habrán cuestionado acerca de las implicaciones de seguridad que puedo conllevar delegar la gestión de la información en un proveedor. Efectivamente, la gestión de la información y de los servicios por un tercero supone la pérdida parcial de control sobre sus sistemas de información y no nos engañemos, el ser humano no es un fan acérrimo de la incertidumbre (que se lo digan a los mercados…), a la vez que esta externalización supone que cierta parte de la gestión de los riesgos y el cumplimiento legal recaiga en el tercero.... Leer Más