El post del otro día

Hace ya tiempo que venía pensando en poner un post cifrado (GPG con clave simétrica) en Security Art Work para ver quién era capaz de romperlo, pero esto me planteaba dos problemas: si nadie lo rompía -que confío en que sea lo normal-, todos íbamos a decir que vaya reto más complicado… y si alguien era capaz de descifrarlo me empezaría a asustar :) Así que decidí incorporar algún tipo de pista que hiciera fácil el romper el post cifrado. Para no andar con adivinanzas raras, del tipo “la clave es la fecha de nacimiento de Phil Zimmermann XOReada con el número de seguidores del blog a fecha 15/04/2009 y restándole 3“, pensé que lo mejor era meter la clave de cifra en el propio mensaje cifrado. Pero esto tenía una complicación: dado un texto en claro y una clave de cifra, yo no sé si el mensaje cifrado contendrá una cadena concreta, en este caso la correspondiente a la clave… ¿o sí?

La verdad es que hace muchos años, tras leer el “Applied Cryptography” de Bruce Schneier, me dí cuenta de que ni tenía ni seguramente jamás conseguiría la base matemática suficiente para aprender criptografía “en serio”; era un tema que me interesaba pero, dentro de la seguridad, no era para mí lo más apasionante… Por tanto, a partir de ese momento he sido un simple usuario de aplicaciones de cifrado, con unos conocimientos básicos de criptografía o criptoanálisis para poder hablar del tema tomando un café pero por supuesto sin poder ir más allá. Vamos, que cuando Jorge Ramió habla de ataques complejos sobre el algoritmo lo-que-sea me quedo con la boca abierta :) Así, tras más de quince años usando PGP/GPG, la verdad es que jamás me había planteado nada más allá de su uso habitual: cifra, firma, anillos, confianzas y demás… pero nunca es tarde :)

Vamos allá. ¿Cómo meter la propia clave de cifra en el mensaje cifrado usando GPG? El RFC 1991 define los formatos de intercambio de mensajes PGP; para el formato ASCII Armor, el que iba a usar, se marcan seis campos:

  • Línea de cabecera (cinco guiones, “-“, la cadena “BEGIN PGP MESSAGE” y cinco guiones más en nuestro caso).
  • Cabeceras (versión de la aplicación y similares, en nuestro caso algo del tipo “Version: GnuPG v1.4.6 (GNU/Linux)”).
  • Línea en blanco.
  • Datos cifrados con formato ASCII-Armored.
  • Checksum.
  • Línea de fin (en nuestro caso, cinco guiones, “-“, la cadena “END PGP MESSAGE” y cinco guiones más).

Los campos que a priori desconocemos son únicamente los correspondientes a los propios datos cifrados y al checksum del mensaje; por tanto, para usar como clave de cifra algo que sepa de antemano que estará en el mensaje cifrado, no tengo más que elegir una clave ubicada los restantes campos: “END PGP”, “—–“, “P MESSAGE-“, “nuPG v1.4” o similares… Demasiado fácil, ¿no? Si me planteo un ataque, con elegir claves de longitud variable a partir de estos campos tengo más que suficiente…

Lo siguiente sería conseguir una clave de cifra que esté en los propios datos cifrados; los ocho primeros caracteres de este campo son “adivinables”, ya que marcan detalles como protocolo de cifra, versión, etc. necesarios para el descrifrado (por cierto, si alguien tiene información de qué es cada uno de los campos, le agradecería que me la enviara, que tengo curiosidad y en San Google no he encontrado nada “digerible” ;) También muy fácil seleccionar claves de esta cadena y empezar a probar por fuerza bruta… Lo interesante es meter la clave de cifra en los datos del cuerpo/checksum no predecibles -al menos por mí-. ¿Cómo? Pues también por fuerza bruta :)

Tenemos un texto -sí, el del post del otro día, bastante antiguo- en un fichero “monkeys”:

$ cat monkeys
I LIKE MONKEYS
I like monkeys.

The pet store was selling them for five cents a piece. I thought that
odd since they were normally a couple thousand each. I decided not to
look a gift horse in the mouth. I bought 200. I like monkeys.

I took my 200 monkeys home. I have a big car. I let one drive. His
name was Sigmund. He was retarded. In fact, none of them were really
bright. They kept punching themselves in their genitals. I laughed.
Then they punched my genitals. I stopped laughing.

I herded them into my room. They didn't adapt very well to their new
environment. They would screech, hurl themselves off of the couch at
high speeds and slam into the wall. Although humorous at first, the
spectacle lost its novelty halfway into its third hour.

Two hours later I found out why all the monkeys were so inexpensive:
they all died. No apparent reason. They all just sorta' dropped dead.
Kinda' like when you buy a goldfish and it dies five hours later. Damn
cheap monkeys.

I didn't know what to do. There were 200 dead monkeys lying all over my
room, on the bed, in the dresser, hanging from my bookcase. It looked
like I had 200 throw rugs.

I tried to flush one down the toilet. It didn't work. It got stuck.
Then I had one dead, wet monkey and 199 dead, dry monkeys.

I tried pretending that they were just stuffed animals. That worked for
a while, that is until they began to decompose. It started to smell real
bad.

I had to pee but there was a dead monkey in the toilet and I didn't want
to call the plumber. I was embarrassed.

I tried to slow down the decomposition by freezing them. Unfortunately
there was only enough room for two monkeys at a time so I had to change
them every 30 seconds. I also had to eat all the food in the freezer so
it didn't all go bad.

I tried burning them. Little did I know my bed was flammable. I had to
extinguish the fire.

Then I had one dead, wet monkey in my toilet, two dead, frozen monkeys in
my freezer, and 197 dead, charred monkeys in a pile on my bed. The odor
wasn't improving.

I became agitated at my inability to dispose of my monkeys and to use the
bathroom. I severely beat one of my monkeys. I felt better.

I tried throwing them way but the garbage man said that the city wasn't
allowed to dispose of charred primates. I told him that I had a wet
one. He couldn't take that one either. I didn't bother asking about the
frozen ones.

I finally arrived at a solution. I gave them out as Christmas gifts. My
friends didn't know quite what to say. They pretended that they like
them but I could tell they were lying. Ingrates. So I punched them in
the genitals.

I like monkeys

$

¿Cómo cifrarlo con una cadena que esté en el texto cifrado? Pues vamos probando… meter una clave de un carácter es inmediato, y por supuesto conforme incrementamos la longitud, la cosa cuesta más:

$ cat encode
#!/bin/sh

if [ $# -ne 2 ]; then
echo "Uso: $0 fichero password"
exit -1
fi

/bin/false
while [ $? -ne 0 ]; do
if [ -f $1.asc ]; then
rm $1.asc
fi
gpg --batch --passphrase $2 -c -a $1
grep $2 $1.asc 2>&1 >/dev/null
done
$
$ time ./encode monkeys a

real 0m0.016s
user 0m0.008s
sys 0m0.000s
$ time ./encode monkeys a1

real 0m0.064s
user 0m0.036s
sys 0m0.028s
$ time ./encode monkeys a1j

real 0m0.177s
user 0m0.108s
sys 0m0.068s
$ time ./encode monkeys a1j6

real 0m29.941s
user 0m17.441s
sys 0m12.473s
$ time ./encode monkeys a1j69

real 10m13.857s
user 5m49.878s
sys 4m16.124s
$

Vemos que si usamos una clave de cinco caracteres ya cuesta generar el texto cifrado diez minutillos… ¿Qué tal si intentamos usar una clave de seis caracteres?

$ time ./encode monkeys a1j69c

real 340m52.839s
user 174m31.662s
sys 115m46.658s
^C
$

Me parece que la probabilidad ya empieza a ser muy baja… 340 minutos y siguiendo para bingo… mejor hacemos Control-C y nos quedamos con una clave de cinco caracteres…:) Esto nos da una idea de la longitud que más o menos puede tener la clave del post cifrado.

¿Cómo romper la cifra? Podemos intentar atacar al algoritmo CAST5, el usado por defecto por GPG para cifrado simétrico, pero no creo que esta línea sea muy provechosa… otra opción es atacar a las personas para obtener la clave, línea que directamente no recomiendo porque en este caso el afectado sería yo. Más sencillo: si alguien me hubiera pedido la clave se la habría dado… a fin de cuentas tampoco se esconde aquí ningún secreto. Pero por supuesto, lo realmente interesante del mensaje cifrado no era cómo romperlo, ya que con la pista de la clave metida en el post era más que suficiente (alguna otra era para despistar ;), sino simplemente pasar el rato y aprender un poquito más de GPG. Este script “rompe” la cifra en unos segundos, muchos menos de lo que cuesta generarla:


$ cat decode
#!/bin/sh
if [ $# -ne 1 ]; then
echo "Uso: $0 fichero.asc"
exit -1
fi
content=`cat $1|tr -d '\n\'`
len=`echo $content|wc -c`
for l in 1 2 3 4 5 6 7 8; do
i=1
while [ $i -le $len ]; do
KEY=`expr substr "$content" $i $l`
i=`expr $i + 1`
gpg --batch --passphrase $KEY -d $1 >$1.clear 2>/dev/null
if [ $? -eq 0 ]; then
##cat $1.clear
echo "CLAVE: $KEY"
exit 0
fi
done
done
$ time ./decode monkeys.asc
CLAVE: a1j69

real 1m17.165s
user 0m45.747s
sys 0m30.230s
$

En poco más de un minuto hemos averiguado la contraseña…Por eso el “premio” era sólo una cerveza ;) Espero que al menos se hayan entretenido una horita… para la próxima, si ponemos un mensaje cifrado con GPG sin pistas y alguien lo rompe, habrá una recompensa más importante (nuestra o de algún otro, seguro).

Un post cifrado


-----BEGIN PGP MESSAGE-----
Version: GnuPG v1.4.6 (GNU/Linux)
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=MICp
-----END PGP MESSAGE-----

Hemos decidido cifrar el post de hoy por varios motivos: cifrar la información siempre queda bien si hablamos de seguridad, no había visto nunca un post cifrado en un blog, tengo mucho trabajo y no me da tiempo a preparar una entrada en condiciones, se acerca el fin de semana -puente para algunos afortunados- y qué mejor que GPG para pasar un rato entretenido… en fin, excusas. La cuestión es que está cifrado para que ustedes, si tienen un hueco, lo descifren y disfruten de una interesante lectura :)

Justificaciones aparte, algunas pistas que pueden (o no) ser de utilidad:

  • La orden utilizada para cifrar es gpg -ca fichero (o equivalente ;)
  • El cifrado es simétrico, CAST5.
  • La clave de cifra está en este mismo post.
  • El texto en claro contiene la cadena “197”.
  • La clave de cifra no es una palabra en castellano.

Fácil, ¿eh? Para el primero que saque la clave, una cervecita… y la semana próxima comentamos el por qué -real- de esta entrada :)

Entrevista a Óscar de la Cruz

Tenemos el placer de presentar a nuestros lectores una entrevista a Óscar de la Cruz, Comandante de la Guardia Civil y desde hace unos meses Jefe del Grupo de Delitos Telemáticos de la Unidad Central Operativa de este mismo cuerpo. Desde Security Art Work queremos agradecer tanto al Comandante de la Cruz como a la Oficina de Prensa de la Guardia Civil su desinteresada colaboración con este blog.

1. Si mis datos no fallan, dentro de la Guardia Civil se instaura el Grupo de Delincuencia Informática hacia 1997, a cargo del Teniente Anselmo del Moral; desde 2000 hasta este mismo año el Grupo ha estado liderado por el Comandante Salom, y en estos momentos por ti. Ha llovido mucho estos años y, cambios de nomenclatura aparte, ¿cómo ha sido la evolución del Grupo durante este tiempo?

Paralelamente a la evolución de las nuevas tecnologías, a nivel técnico el Grupo se ha ido adaptando a la utilización de las mismas por los delincuentes con nuevos procedimientos, nuevas técnicas y nuevos protocolos de actuación. Sin embargo, a pesar del incremento de la plantilla y las últimas incorporaciones (incluida la mía, claro) el espíritu del mismo permanece intacto, un Grupo muy cohesionado y con clara vocación de servir al ciudadano tratando de crear una red más segura, permitiendo al mismo participar de forma proactiva a través de los distintos canales de comunicación que tenemos abiertos.

2. ¿Y la evolución de la investigación tecnológica en las Comandancias?

De forma igual a como ha sucedido en el Grupo, en las Comandancias se ha conseguido subir un peldaño en lo que a investigación tecnológica se refiere. Dentro de las Unidades de Policía Judicial de la Guardia Civil, encargadas de la investigación de todo tipo de delitos, hay personal encuadrado en unos equipos denominados EDITE´ s (Equipos de Investigación Tecnológica), con formación específica y suficiente como para desarrollar sus propias operaciones en el caso de delitos informáticos, así como para apoyar al resto de sus compañeros, ya que hoy en día es habitual que en cualquier tipo de delito aparezca algún tipo de componente tecnológico. Para nosotros representan una enorme ayuda, ya que ellos se encargan de muchas de las investigaciones cotidianas, y por supuesto de los apoyos a otras investigaciones dentro de su territorio.

3. ¿Y la evolución del delincuente? ¿Nos enfrentamos a hackers románticos como antaño o en la actualidad hablamos de mafias que trabajan por dinero?

En efecto, los grupos de delincuencia organizada en general, han migrado hacia un modelo “empresarial” del delito, en el que las tareas a desarrollar están perfectamente definidas y estructuradas para cada uno de los miembros de la organización, y la finalidad última es el lucro, sin lugar a duda. Existe un mercado negro en la red, en el cual se comercia con todo, desde listados de tarjetas de crédito, hasta credenciales de usuarios, pasando por supuesto por todo tipo de malware y servicios técnicos para el ciberdelincuente.

4. ¿Cuál es el delito telemático que más os preocupa hoy en día, tanto por número de delitos como por repercusión mediática?

Aunque por número de delitos destacan los fraudes cometidos a través de la red, especialmente en el comercio electrónico, el bien jurídico protegido en estos casos es patrimonial, y relativamente sencillo de reparar si lo comparamos con otros como puedan ser la integridad física o moral de los más desprotegidos. Por lo tanto, delitos como los abusos y acosos sexuales a menores siguen centrando gran parte de los esfuerzos que realiza el Grupo en su día a día, con especial atención a las nuevas formas tales como el grooming, el bullying, o el sexting. Tampoco debemos olvidar aquellos que afectan a la integridad de los datos y la intimidad de las personas. Por desgracia el robo de identidad es un fenómeno actual, y cuyos efectos provocan daños a menudo irreparables.

5. ¿Qué capacidad tenéis para afrontar denuncias en las que se implican terceros países? Dicho de otra forma, si me roban la identidad en Facebook, ¿me podríais ayudar?

Una de las características comunes a estos delitos es la globalidad, por lo tanto la cooperación internacional es fundamental para su resolución. Los mecanismos judiciales para el auxilio entre países no son todavía tan ágiles como nos gustaría, por lo tanto nos esforzamos, y creo que podemos decir que hemos conseguido, en mantener excelentes relaciones con todos los actores implicados en este área, como son el resto de policías, proveedores de servicios, redes sociales, portales de venta, que nos permiten solucionar de forma rápida los problemas que no necesitan de una tutela judicial. En el caso concreto que nos expones, nosotros nos encargaríamos de la investigación para localizar al responsable del hecho, pero la devolución del perfil sólo la puede realizar Facebook tras realizar las verificaciones oportunas.

6. ¿Cuáles serían los requisitos para pertenecer al Grupo de Delitos Telemáticosde la Guardia Civil? ¿Puede acceder a este grupo cualquier miembro de la Benemérita? ¿Os pueden trasladar a otro grupo que no tenga nada que ver con la tecnología?

Para acceder al Grupo no se requiere ninguna titulación formal en informática. A los aspirantes se les realiza una entrevista personal para poder evaluar sus conocimientos técnicos, así como una prueba psicológica para evaluar si los rasgos de su perfil se adaptan a nuestras necesidades. Por la experiencia que tenemos, nos aporta más un agente con buena mentalidad investigadora y menos conocimientos, que puede ir adquiriendo, que otro muy técnico pero con menos capacidad analítica. Si la persona seleccionada supera un periodo de prueba que puede durar en torno a un año, pasa a encuadrarse definitivamente en el Grupo. Respecto a la última pregunta, los ascensos son un claro ejemplo en los que obliga a dejar la vacante ocupada, y si no coincide una vacante libre asociada al nuevo empleo obtenido hay que cambiar de Unidad y desarrollar cometidos totalmente nuevos.

7. En un mundo tan cambiante como el del delito tecnológico, ¿cómo conseguís manteneros formados permanentemente? ¿Tenéis acceso a cursos de reciclaje y formación?

Aunque no resulta sencillo poder distraer personal de las investigaciones, por el volumen de trabajo que suponen, somos conscientes de la necesidad de mantenerse formado y actualizado, sobre todo en el ámbito de las nuevas tecnologías. Por lo tanto, frecuentemente miembros del Grupo asisten regularmente a cursos, seminarios o charlas.

8. En las series de policías, tan de moda hoy en día, vemos actividades tecnológicamente impresionantes. ¿Se alejan estas series mucho de la realidad? ¿Cómo es un día normal de trabajo para los miembros de tu equipo?

Sí que es cierto que parte de realidad hay en estos procedimientos, especialmente en el ámbito forense, pero también es un hecho que están convenientemente “adornados” para resultar más atractivos para el espectador. Lamentablemente los cuerpos policiales no tenemos bases de datos “de todo” como en las series de CSI, en la realidad somos muy escrupulosos con la gestión de datos de carácter personal y con las limitaciones de derechos fundamentales de los ciudadanos.

9. Finalmente, queríamos pedirte algunas recomendaciones:

a. A los padres cuyos hijos conectan a Internet y están preocupados porque no son capaces de entender qué hacen en la red.

Que hagan un esfuerzo por aprender. No sirve de nada imponer limitaciones o espiar qué hacen en el ordenador de casa ya que hoy día hay mil formas de conseguir acceso a la red, hay que sentarse con ellos y compartir la navegación. Los padres aprenderán técnicamente de sus hijos, y los hijos aprenderán de la experiencia de los padres para detectar contenidos y situaciones que sean potencialmente peligrosas. Los padres deben trasladar los consejos y la educación que daban a sus hijos para desenvolverse en el mundo real al mundo virtual.

b. A los usuarios domésticos de servicios a través de Internet: banca,servicios DNI-e, P2P…

Que haciendo uso del sentido común, eviten hacer operaciones, gestiones o transacciones que en el mundo real jamás realizarían, si tienen un mínimo de duda sobre la autenticidad o veracidad de la otra parte. Los usuarios deben de ser conscientes de las posibilidades que ofrece Internet para alterar la identidad de las personas con las que nos comunicamos o creemos que nos estamos comunicando.

c. A los profesionales de la seguridad tecnológica que día a día nos encontramos con nuevas técnicas, nuevos delitos y nuevos delincuentes (y cada vez más lejos ;)

Colaborar. La solución a estos nuevos problemas está en las propias nuevas tecnologías, que nos permiten compartir información de forma instantánea. Por lo tanto la mejor forma de actuar es sumar esfuerzos entre todos los implicados, compartir información, y revertirla al ciudadano para que sea capaz de identificar las nuevas amenazas. Al final es cuestión de concienciación y educación.

10. Ya para acabar… ¿algo que quieras añadir a esta pequeña entrevista?

Agradecer la posibilidad que nos habéis ofrecido de acercarnos al ciudadano un poco más, que pueda conocer quiénes somos, qué hacemos y cómo le podemos ayudar. En nuestro portal disponéis de más información tales como alertas y noticias, la posibilidad de colaborar, los enlaces a aplicaciones móviles y enlaces de interés para que, entre todos, consigamos hacer una red más segura.

DEP, dmr

dmrSi hace unos meses nos dejó Robert Morris, esta mañana nos enterábamos de la muerte el pasado domingo de Dennis Ritchie, dmr. Otro de los grandes que se va en este annus horribilis :(

Dudo que dmr necesite ningún tipo de presentación; jamás diseñó un iPhone o un iPad, pero entre sus pequeños aportes a la informática actual destacan el lenguaje de programación C (si alguien no se ha leído el K&R ahora es un buen momento para hacerlo y homenajear así a la R) o, junto a Ken Thompson, el sistema operativo Unix. Ahí es nada. Eso sin contar trabajos menos populares que Dennis Ritchie lideró o en los que participó de forma muy directa, como Plan9, Inferno o Limbo.

Estos trabajos le valieron a Dennis Ritchie todo tipo de premios y reconocimientos -entre ellos el Premio Turing de la ACM, quizás lo más parecido al Nobel en el campo de la informática- pero, sobre todo, la admiración de millones de personas que hemos devorado buena parte de lo que dmr escribía, usado y administrado sistemas operativos como Unix, programado en lenguajes como C y, en definitiva, tratado de aprender una milésima parte de lo que este genio ha aportado a la tecnología.

[Read more…]

Protección de peritos

Hace unos meses en este mismo blog hablábamos de la posible necesidad de proteger a los peritos mediante una TIP o similar, de forma que se garantice el anonimato de la persona que firma un informe y que puede llegar a comprometer a una de las partes implicadas o a ambas. En ese post lanzábamos algunas cuestiones que desconocíamos y a las que ningún lector dio respuesta, con lo que estas vacaciones me animé a buscar algo más de información sobre el tema; no creía -y estaba en lo cierto- que fuera el primero que se planteaba algo tan simple…

Investigando un poco, aparece la Ley Orgánica 19/1994, de 23 de diciembre, de Protección a Testigos y Peritos en Causas Criminales. Esta Ley presenta unas disposiciones que según se indica en su artículo primero, serán de aplicación si la autoridad judicial aprecia racionalmente un peligro grave para la persona, libertad o bienes de quien pretenda ampararse en ella, su cónyuge o persona a quien se halle ligado por análoga relación de afectividad o sus ascendientes, descendientes o hermanos. Vamos, que si el juez lo considera, se puede proteger convenientemente al perito, de forma que no aparezca en el informe ningún dato identificativo de éste, que se evite la identificación visual durante la declaración y que a efectos de notificaciones figure el domicilio del juzgado. Es más, se puede incluso proporcionar -imagino que ya para casos muy excepcionales- incluso protección policial, una nueva identidad y salvaguardas similares.

Esta Ley está hecha evidentemente para casos graves; de hecho, es para procesos penales, con lo que quedaría fuera de su ámbito de aplicación cualquier proceso civil, mercantil, etc. (¿esto es así? ¿algún abogado en la sala?). Ójala no necesite nunca solicitar este tipo de protección, porque eso implicaría que sería el perito en un proceso muy desagradable -terrorismo, narcotráfico, grupos organizados…-, pero en caso de necesitarla, se podría disponer de medidas acordes -teóricamente- al riesgo que corre mi integridad o la de personas cercanas a mí. Pero para la justicia más “mundana” (el pirata que entra en un servidor, la empresa que no paga al desarrollador porque el programa no funciona, las fotos incautadas en un equipo…) hasta donde he podido consultar, no hay nada desarrollado. Vamos, que si el chaval de turno quiere pegarte una paliza porque tu informe dice que se ha colado en los sistemas de un tercero, tiene todos los datos necesarios para hacerlo, y si le dices al juez que si puedes acogerte a la Ley anterior, probablemente te dirá que no :(

Insisto en lo que dije en su momento: yo al menos hasta ahora no he tenido un miedo relevante o una sensación de peligro para mi integridad, se trata en muchos casos de simples divagaciones mientras esperas a que te toque declarar… pero todo esto cambia a pasos agigantados; la delincuencia informática -o tecnológica en general- tiene cada vez más peso en los juzgados, y los delitos cometidos a través de nuevas tecnologías implican en muchas ocasiones cantidades enormes de dinero, robos de información muy comprometida, reputación de personas… y un montón de cosas por las que seguro que hay mucha gente dispuesta a todo. Para estos casos espero que pudiéramos aplicar la Ley anterior, pero volvemos a lo mismo: al menos yo, sigo echando en falta algún sistema de protección tan simple como una TIP o un identificador en el juzgado, que venga “de serie” con cualquier peritaje y mediante el cual no haya que solicitar a la autoridad judicial correspondiente ninguna protección adicional salvo que nos encontremos en temas muy espinosos, donde ya entraría la Ley 19/1994. Vamos, como los funcionarios del CNP o de la GC, que por defecto mantienen relativamente su anonimato…

Ojo, si se identifica con una TIP a los peritos, que esté mejor hecha que la de Director de Seguridad: estás obligado a enseñarla a cualquiera que lo solicite y tiene tu nombre, apellidos y DNI perfectamente visibles en ella… una joyita :)

¿Vacaciones?

¿Nos vamos de vacaciones? Será porque estamos a finales de julio. Será por el título del post. O será por la foto de esta entrada, que es la de todos los años por estas fechas y significa una cosa: que nos vamos de vacaciones. Pero a diferencia de otros, este año el que se va NO es Security Art Work sino algunos de los autores, que iremos repartiéndonos unos días de descanso como buenamente podamos (algo es algo). Seguiremos publicando entradas en agosto, aunque obviamente a un ritmo menor que durante el resto del año…

Como en agosto no “cerramos” el blog no vamos a repasar qué ha sucedido de relevancia durante estos once meses -en lo que a seguridad se refiere-, a recordar algunos posts de este periodo o a despedirnos hasta septiembre. Lo que sí queremos hacer es, como cada año por estas fechas, dar las gracias a todos los colaboradores y lectores de Security Art Work, en especial a los que han participado de una u otra forma en el blog durante este tiempo.

Si se van de vacaciones, desconecten unos días; si es así, no hagan caso a nuestra propia recomendación de leer COBIT en agosto (¿qué hacen las autoridades sanitarias que no indican esto en la portada? ;). No lean nada que pueda considerarse arma arrojadiza por un tribunal. Lean a Delibes. Lean a Bukowski. Lean a Goytisolo. Traten de desconectar estos días de muchos términos que empiezan por e- o i- (e-mail, iPhone, estrés…) y sustituyan palabras como sinergias, negocio, convergencia, alineación… por otras como cañas, tapas, siestas y paseos.

Si no se van de vacaciones este mes, no desconecten y sigan leyendo Security Art Work (aparte de a los autores anteriores, por supuesto). Piensen que en agosto se trabaja muy bien y que no tendrán problemas de tráfico para llegar a la oficina. El que no se consuela es porque no quiere :)

Pero en cualquier caso, se vayan o no estos días, desconecten o no, no se olviden de la seguridad en agosto; sigan las recomendaciones de Policía y Guardia Civil en cuanto a pisos vacíos, hurtos en destinos turísticos y demás. No digan en su Twitter si se van, cuándo se van, dónde lo hacen y similares. Piensen que los “malos” no estarán de vacaciones. Pero sobre todo acuérdense de la seguridad en la carretera, que estos días son muy peligrosos y, como solemos decir, no nos sobra ningún lector.

Y ahora sí, para acabar y aunque este año el blog no se vaya de vacaciones, la foto de siempre:

playa

Robert Morris

morrisEsta semana hemos leído la noticia de la muerte, a los 78 años de edad, de Robert Morris, a causa de complicaciones en una grave enfermedad que venía arrastrando. Una noticia triste para todos los que trabajamos en seguridad o tecnología. Un pionero cuyos trabajos muchos hemos seguido -o intentado seguir- de cerca y muchos más han utilizado, casi seguro que sin saberlo, de forma directa o indirecta.

Ahora hablamos de grandes sistemas virtualizados, sistemas operativos para móviles, programas Hola, mundo! que ocupan gigas y gigas de RAM, que si Debian o Ubuntu… En los años 70 Robert Morris fue una pieza clave para el diseño del sistema operativo Unix junto a personas como Ken Thompson o Dennis Ritchie. Las funciones de cifrado o el sistema de autenticación de usuarios de los Unices clásicos se los debemos a él, por citar solo unos ejemplos.

Ahora hablamos de protección de la información, de la importancia de la seguridad, del cifrado de dispositivos móviles…En los años 80 Robert Morris trabajaba para la NSA protegiendo tecnológicamente la información sensible del gobierno. Científico Jefe del NCSC. Por algo sería.

Ahora nos leemos las guías del NIST o del CCN para definir estándares, para implantar salvaguardas o simplemente para aprender más. En los años 80, ya en la NSA, Robert Morris se implicó directamente en las Rainbow Series y facilitó la edición de estos documentos pioneros en aquellas fechas, que fueron publicados por el gobierno estadounidense a través del DoD y del NCSC. Historia de la seguridad a día de hoy (aún conservo los originales como un pequeño tesoro).

Ahora hablamos de malware, infecciones, antivirus… En 1988 Robert Morris Jr., hijo de Robert Morris y actualmente en el MIT, propagó por error un gusano (EL gusano) que desde entonces lleva su nombre (Morris Worm) y que supuso la primera infección masiva de equipos conectados a la red. Un vuelco al concepto de seguridad de la época y que motivó los primeros pasos hacia la seguridad de la información tal y como la conocemos hoy en día: poco después nacía el primer CERT. Robert Morris (padre) fue decisivo para la erradicación del malware propagado por su hijo.

Ahora hablamos de ciberguerra, ciberterrorismo, protección de infraestructuras críticas… En 1991 Robert Morris, poco antes de la Guerra del Golfo -que muchos ni recordarán- participó, o eso dicen, en lo que podríamos considerar la primera acción de ciberguerra: un ataque electrónico contra Saddam Hussein que se supone degradó las capacidades militares de los iraquíes antes de comenzar la guerra.

Ahora muchos se creen expertos en seguridad, hackers o nosequé porque saben hacer una inyección SQL o utilizar el metaexploit. Robert Morris YA era un experto en seguridad (y de verdad, no como tantos otros) cuando muchos de nosotros no habíamos nacido o la herramienta más compleja que conocíamos era una pelota.

Un genio. Un ejemplo a seguir. Descanse en paz.

El Responsable de Seguridad en IICC

El pasado martes estuvimos analizando algunos aspectos del ENS y de la Ley de PIC en una sesión de trabajo junto a amigos y compañeros del mundillo de la seguridad; al hablar de Protección de Infraestructuras Críticas, uno de los puntos de debate fue la obligatoriedad de que el Responsable de Seguridad y Enlace disponga de la habilitación de Director de Seguridad expedida por el Ministerio del Interior, según lo previsto en la normativa de Seguridad Privada, marcada explícitamente en el artículo 16 -si no me equivoco-. Por supuesto, esta obligación generó algo de polémica, ya que el planteamiento es que si buena parte de los riesgos provienen del ámbito tecnológico debería o bien indicarse como requisito algún título, certificación, habilitación… adicional al anterior (o incluso que lo sustituya) o bien dejarse abierto, sin definir ninguna restricción en la Ley en cuanto a requisitos para el Responsable de Seguridad y Enlace. Evidentemente, el foro incitaba al debate porque todos los que participábamos proveníamos del ámbito de las TIC; si la reunión la hubiera organizado AVADISE, por poner un ejemplo, ni siquiera se habría comentado este punto, ya que lo consideraríamos algo normal… ¿verdad? :)

Mis argumentos en este caso fueron de apoyo total a la Ley y a la restricción que impone. Nos guste o no, las figuras definidas en la LSP son las únicas existentes en materia de seguridad -ámbito privado, por supuesto- en España, con lo que si tenemos que definir algún rol “reconocido”, debe ceñirse a estas figuras (y por supuesto, a la hora de hablar del Responsable de Seguridad y Enlace, la figura adecuada es la de Director de Seguridad, ¿verdad?). A partir de ahí, algunas consideraciones:

  1. ¿Se podría haber dejado abierto el perfil requerido, sin exigir ningún título? Por supuesto, pero si queremos homogeneizar este rol el requisito correcto es el marcado en la Ley; en cualquier caso, los tiros iban más por la idoneidad o no de un Director de Seguridad al uso (clásico) para aspectos donde la protección tecnológica tiene mucho peso…
  2. ¿Se podría exigir que el Responsable de Seguridad tuviera alguna certificación tipo CISA, CISM, SANS, etc.? Como poder, imagino que se podría -como tantas otras cosas en España-, pero no creo que fuera correcto. Estas certificaciones no están reconocidas oficialmente en ningún sitio -hasta donde yo sé, que alguien me corrija si me equivoco-, independientemente de su prestigio o de que de vez en cuando se pidan como requisitos en pliegos, por lo que exigir una certificación CISA (o la que sea) para ocupar el puesto de Responsable de Seguridad sería tan correcto como exigir un curso de seguridad en la academia Paco (sí, ya sé que es un ejemplo exagerado, que nadie ponga el grito en el cielo… la academia Paco está en mi barrio y nadie la conoce y la academia ISACA está en todo el mundo, lo sé ;).
  3. ¿Se podría exigir que el Responsable de Seguridad fuera Ingeniero en Informática, de Telecomunicaciones o similares? No creo que estas carreras tengan una focalización especial en seguridad; tengo compañeros que desarrollan su trabajo a la perfección pero ponerlos a hablar de seguridad sería como poner a alguien de seguridad a hablar de diseño lógico o de desarrollo en Java.
  4. ¿Se está valorando más un curso de Dirección de Seguridad que una carrera superior? No creo ni espero que sea el caso, simplemente estamos hablando de cosas diferentes: para trabajar en seguridad no hay una carrera como tal, sino estas habilitaciones… podemos discutir mucho sobre ellas, pero nos guste o no son las únicas que hay.

Creo que el problema de base está, una vez más, en si una persona que ha superado los requisitos del Ministerio del Interior, con un curso de unas cuantas horas y demás, está de entrada capacitada para convertirse en el Director de Seguridad de una Infraestructura Crítica. En general, lo dudo, igual que dudo que una persona con la carrera recién acabada esté capacitada para convertirse en Ingeniero Jefe de la NASA o una persona que se saca una certificación X sea automáticamente un experto en las materias de dicha certificación. El título es un requisito de mínimos seguramente, pero para trabajar en seguridad -o en otros ámbitos- hacen falta aptitudes y actitudes adicionales que no sólo se consiguen estudiando; en el caso concreto de la Seguridad Privada y los cursos de Dirección de Seguridad, creo que todos los que los conocemos estaremos de acuerdo en que hay que reforzarlos muy mucho, no sólo en el ámbito de seguridad de la información o tecnológica, sino en muchos otros. De hecho, ya hay voces de indudable peso en la comunidad de seguridad en España que apuestan por la creación de una carrera, un grado, orientada íntegramente a la seguridad. Es más, hemos hablado muchas veces sobre la necesidad de renovar los roles reconocidos en la LSP y, en este caso, podríamos incluso introducir el rol de un Director de Seguridad especializado en IICC igual que hay Vigilantes de Seguridad especializados en Explosivos. ¿Por qué no? Puestos a pedir… :) Pero mientras esto sucede, nos guste o no, las habilitaciones en Seguridad Privada son las que son y los perfiles que las ocupan en muchos casos -afortunadamente no en todos- son también los que son… ójala esto cambie pronto, por el bien de todos, pero de momento, no hay más…

Por cierto, no puedo acabar este post sin aprovechar para saludar a todos aquellos que, a la sombra de la publicación de la Ley PIC, están tratando de hacer el agosto montando cursos de Dirección de Seguridad a troche y moche, sacados de una chistera en la que antes sólo había cursos de coaching, inteligencia emocional y cosas así, y vendiendo que es el futuro y garantiza el trabajo de por vida porque lo pone en una Ley. Ja, ja, ja. Si alguien cree que simplemente por obtener la habilitación de turno se van a pegar por él a la hora de buscar trabajo, mal vamos…

Analizando a las personas

En el último post hablábamos de los “típicos tópicos” que todos hemos usado, en mayor o menor medida, a la hora de hablar de seguridad: que si es una cadena que falla si lo hace su eslabón más débil, que si el único sistema seguro es aquél que está apagado, enterrado y no sé cuántas cosas más… Dentro de estos tópicos, también decimos siempre que las personas son, o suelen ser, el punto más débil de la seguridad; efectivamente, yo estoy convencido de que es así, y por tanto, aparte de cortafuegos, sistemas de detección de intrusos, antivirus y demás, algo tendremos que hacer para que las personas no introduzcan riesgos significativos para nosotros. Ya hablamos en su momento del riesgo humano y de la monitorización de personas en base a perfiles que se planteaba en la USAF, post que levantó algunas ampollas y planteaba más de una cuestión que se dejó en el aire :)

Sin ser tan estrictos como en el ejército estadounidense ni entrar en potenciales violaciones de intimidad, creo que todos estaremos de acuerdo en que las personas son un elemento clave para el éxito de cualquier proyecto, empresa, organización, colectivo o mil cosas más; en concreto, desde el punto de vista de protección del negocio, las personas son un aspecto crítico para la seguridad corporativa: de su buen hacer depende que seamos seguros (físicamente, legalmente, reputacionalmente…) o que no lo seamos en absoluto. Por este motivo, como ya hemos dicho en alguna ocasión en este mismo blog, se hace cada vez más importante en nuestras organizaciones la monitorización de las personas, de sus actividades, de sus actitudes y, en definitiva, de todo aquello que pueda repercutir negativamente en nuestra seguridad, así como la aplicación de modelos clásicos de inteligencia para obtener, a partir de datos aislados, información vital para la seguridad corporativa.

El primer punto de un ciclo de inteligencia es determinar qué queremos saber y para ello qué información necesitamos obtener y analizar. Creo que lo mejor para nosotros en esta primera fase es plantearnos cómo afectan las personas a la seguridad del negocio; bajo mi punto de vista, más allá de accidentes (por ejemplo si una persona practica escalada…¿consideramos esto un riesgo? Y lo más importante… ¿tomamos medidas para mitigarlo?), las personas introducen principalmente cuatro tipos de riesgo en una organización:

  • Robo de información, espionaje industrial… Lo que toda la vida hemos llamado insider: una persona que, tras una apariencia más o menos normal -o no-, se dedica a robar información corporativa y pasarla a quien pueda utilizarla en nuestra contra (generalmente, la competencia).
  • Perturbación del clima laboral. Una persona descontenta suele acabar minando, antes o después, las relaciones dentro de la empresa. Dicho descontento puede estar o no justificado y, es más, puede que incluso no tenga relación con la actividad profesional y se trate de problemas del ámbito personal, pero todo acaba influyendo en las personas con las que compartes buena parte de tu día a día: tus compañeros.
  • Fuga de personas clave. A pesar de aquello de que “no hay nadie imprescindible”, que comparto plenamente, es cierto que determinadas personas realizan trabajos clave y que, si abandonan la organización, el impacto es mayor que si deja su trabajo otro compañero. Este riesgo puede estar relacionado con el anterior (personas descontentas o poco motivadas que cambian de trabajo por este motivo) o no tener relación alguna: circunstancias personales que obligan a dichas personas a cambiar de trabajo por muy implicados que estén con su organización actual y por mucho que les motive su actividad.
  • Daños a la reputación. Es obvio que una persona que hable mal de nosotros nos causa, en mayor o menor medida, un impacto en nuestra reputación que podríamos asociar en buena parte a riesgos como la perturbación del clima laboral que hemos comentado antes (suele ir todo junto). Pero no sólo eso: en una charla que dí hace meses sobre reputación digital (lo del apellido de “reputación” lo quitaría ;) hablabla de la reputación personal como un activo para las organizaciones; y es que la imagen de las personas es, en muchos casos, parte inseparable de la imagen de la organización, por lo que cierta información personal colgada en Internet, verdadera o no, puede causar también riesgo reputacional para nosotros y constituir un daño a la imagen corporativa.

Con estos tipos de riesgo sobre la mesa -o cualquier otro que consideremos-, podemos empezar a plantearnos qué datos nos gustaría obtener y, de ellos, cuáles podemos obtener y cómo podemos hacerlo; la diferencia entre lo que nos gustaría y lo que podemos obtener es muy importante, ya que si tuviéramos la información que queremos seguramente responderíamos a ciencia cierta a todas nuestras dudas pero, como generalmente esto no es posible, requerimos de un análisis detallado y con unos márgenes de error determinados. Típicos datos a obtener son los relativos al uso de correos electrónicos externos, tipo webmail, dispositivos extraíbles, accesos masivos a datos (para determinar robos de información), uso de redes sociales o microblogs (para detectar desde daños a la reputación a posible fuga de personas), comentarios de compañeros (muy importante a la hora de hablar del clima laboral), etc.

Teniendo claro qué información nos gustaría tener, debemos plantearnos cómo obtener la información, entrando así en la segunda fase del ciclo de inteligencia clásico. Una forma muchas veces sencilla y, aunque informalizada, bastante habitual de obtener información es mediante la actuación de personas, lo que en inteligencia se denomina HUMINT (Human Intelligence). No, no pensemos en agentes tipo 007 colándose por la noche en casa de un compañero; es más: ni siquiera tenemos que llegar al extremo de detectives privados siguiendo a la gente… Mucho más sencillo: un café, la hora de la comida, una cena de empresa -que nos permite conocer a la gente en un ambiente distendido muy diferente al habitual-… estas situaciones son propensas a comentarios que en ocasiones son muy significativos para determinar, sin ir más lejos, si una persona puede estar buscando trabajo fuera de la organización, si está “quemada” por motivos personales o laborales y por tanto crea un mal ambiente -insisto, con o sin razón-, etc. La relación con las personas en las situaciones de nuestro día a día son una fuente muy importante de datos si sabemos observar de forma correcta, tanto por la cantidad de datos que aislados no son significativos pero que podemos “correlar” (al menos mentalmente ;) como por los datos que son significativos de forma directa.

Aparte de HUMINT es cada vez más habitual utilizar técnicas OSINT (Open Source Intelligence) para obtener datos que puedan ser importantes de cara a nuestra seguridad; la información que publicamos en Internet -redes sociales, blogs, webs, etc.- es más que significativa para analizar el riesgo introducido por las personas. Y es que muchas veces no nos damos cuenta -o no nos queremos dar cuenta- de que lo que hacemos en estos lugares lo puede ver el resto del mundo, y que con un sencillo análisis ese “resto del mundo” puede llegar a conclusiones muy rápidas: si últimamente estoy actualizando mi perfil en LinkedIn e incluso pidiendo recomendaciones, no hace falta ser un lince para pensar que puedo estar buscando trabajo; si no hago más que tuitear lo que hago cada segundo de mi vida o los importantes descubrimientos que realizo y que van a cambiar el curso de la humanidad, podemos concluir datos muy interesantes de una personalidad sin ser, ni mucho menos, psicólogos; si en mi FaceBook no paro de poner comentarios en horario laboral, no estoy muy concentrado en mi trabajo… y mil ejemplos más que, sin grandes complicaciones, pueden proporcionar información más que útil para un tercero que quiera analizarme.

Finalmente, como algo mucho más delicado, tenemos la recopilación de información a través de SIGINT (Signals Intelligence); el personal técnico puede tener acceso sin problemas a registros muy importantes para analizar el riesgo humano en la organización: desde los registros de llamadas móviles y fijas -bendito Asterisk- hasta las trazas de correos electrónicos enviados y recibidos o las webs visitadas por los usuarios de la organización. Desde un punto de vista técnico no hay ningún problema en obtener estos datos, procesarlos y generar información muy valiosa: ¿Cuántas visitas a Infojobs realiza nuestra gente? ¿Llaman a números de países con los que el negocio no tiene relación? ¿Llaman a teléfonos o envían correos electrónicos a gente que tenemos en una lista negra, por ejemplo de la competencia? ¿Con qué frecuencia? El problema, como decía, no es técnico: se trata más bien de aspectos legales: ¿es lícito monitorizar estos datos? Es más: ¿Es ético hacerlo? Un debate más que interesante… Por cierto, ¿qué opinais?

Otras técnicas tradicionales de obtención de información, como MASINT o GEOINT, creo que quedan fuera del alcance de casi todos nosotros (de ahí lo que decíamos antes de qué es lo que nos gustaría obtener y qué es lo que podemos obtener), pero con las anteriores podemos sacar conclusiones más que interesantes. Y ahí empieza la tercera fase del ciclo de inteligencia, el procesamiento de los datos obtenidos: reducción, normalización… en definitiva, todo aquello que nos permita utilizar dichos datos para un análisis posterior. En la mayor parte de organizaciones, aunque el procesamiento sí que se ejecute para poder analizar automáticamente otro tipo de riesgos -lógicos, naturales…-, disponiendo para ello de herramientas de análisis, bases de datos, técnicas establecidas… a la hora de monitorizar el riesgo introducido por las personas no es habitual que esta fase esté automatizada ni se utilicen herramientas ad hoc para procesar los datos (¿alguien tiene alguna base de datos de “hechos significativos” en el comportamiento humano?). Si queremos empezar a formalizar esta etapa, un buen modelo de datos es el planteado en nuestra entrada sobre riesgo humano, que hemos citado antes, que nos permitiría generar perfiles de riesgo para las personas que se relacionan con nosotros… Ya tenemos trabajo, aunque en buena parte de nuestras organizaciones -no en todas, por supuesto- estaríamos, como se suele decir, matando moscas a cañonazos :)

Mucho más que centrarnos en esta tercera fase, de procesamiento de los datos, es habitual focalizarnos en la cuarta etapa del ciclo: el análisis de los datos obtenidos y la producción de inteligencia. Como hemos dicho, no hace falta ser un experto psicólogo especializado en conducta humana para darnos cuenta de múltiples detalles que están ahí esperando a que alguien los vea; y cuando alguien los ve, los toma como dato aislado y los analiza junto a otros datos aislados, obtiene conclusiones muy (pero que muy) interesantes para determinar si las personas introducen en nuestras organizaciones alguno de los riesgos que antes hemos comentado (u otros cualesquiera). Esta fase es obviamente la más importante, la que requiere en mayor o menor medida materia gris, y la que por supuesto aporta un incalculable valor al ciclo de inteligencia (aplicado en este caso a la monitorización de personas, pero extrapolable a cualquier “otra” inteligencia).

Los resultados de esta cuarta etapa son la entrada para la quinta fase y última del ciclo, la de diseminación de la información: proporcionar las conclusiones y resultados de la información analizada (la inteligencia) a las personas adecuadas para que éstas puedan tomar decisiones correctas. Aquí viene la gran pregunta, ya no para el analista -nuestro ciclo aquí ha terminado con la diseminación- sino para esas personas que tienen que tomar decisiones: ¿qué hacer cuando detectamos algo que pueda suponer un riesgo? Obviamente no hay -creo- una respuesta única; cada situación debe ser evaluada independientemente, de forma objetiva, teniendo en cuenta cualquier circunstancia adicional que consideremos y, por supuesto, bajo dos principios desde mi punto de vista fundamentales: el de proporcionalidad y el de ética (lo siento, me cuesta decir legalidad, demasiadas veces reñida con la ética). Con esto, las decisiones adoptadas tendrán más probabilidad de ser las correctas, aunque lamentablemente el margen de error siempre está ahí y deberemos asumir que podemos equivocarnos :(

Ojo, para disipar cualquier duda antes de acabar: cuando hablo de “decisiones a adoptar” no estoy refiriéndome, ni mucho menos, a despedir directamente a una persona porque introduzca un cierto riesgo en la organización; justo por eso hablaba de los principios de proporcionalidad y de ética. Salvo en el caso de robo de información o actividades expresamente malintencionadas, donde para mí no hay duda de lo que hacer, cualquier otra situación puede ser mitigada sin llegar a estos extremos… Sólo hace falta buscar soluciones inteligentes.

Seg2

La semana pasada estuvimos en la tercera edición de Seg2, el encuentro de seguridad integral que como cada año organiza Borrmart; la verdad es que la agenda del evento pintaba muy bien, con gente de reconocida trayectoria en el ámbito de la seguridad integral -tanto provenientes de la parte física como de la parte lógica-. Tenía especial interés en escuchar a dos referentes de la seguridad en España: Andrés Martín, de NovaCaixaGalicia, y Guillermo Llorente, de MAPFRE; ninguno de ellos defraudó :)

Tras la apertura del evento, comenzaron Andrés Martín y Emilio Santos, de NovaCaixaGalicia, mostrando cómo gestionan la seguridad en su organización, desde un punto de vista integral, con dos cabezas pero con un único cerebro; Andrés, como siempre, sin pelos en la lengua, dejó claro que en general seguimos a algunos añitos de los USA, aunque vamos por el buen camino (detrás de ellos, pero por buen camino). Tras ellos, Jesús Jiménez, Director de Operaciones de EULEN, describió cómo tienen organizado su Departamento de Inteligencia y nos recordó la importancia de la inteligencia en seguridad (otras empresas, como S21Sec o nosotros mismos, también estamos trabajando en este ámbito, con o sin departamento independiente).

Después de estas charlas y alguna otra, lo más relevante fue una mesa redonda sobre convergencia (otra más ;) bajo el título CSO, CIO, CISO…¿distintas caras de la misma moneda?; Guillermo Llorente fue, bajo mi punto de vista, el participante que tenía las ideas más claras (quizás porque coinciden con las mías ;): una figura única como responsable de la protección del negocio, aunque operativamente puedan existir -y existan- múltiples actores que colaboran en dicha protección… por lo demás, en la mesa volvimos a lo mismo: conceptos que llevamos meses repitiendo -o años- y que no siempre aplicamos, como ya dije en el post sobre la convergencia only available for PPT… En las intervenciones, actuación estelar de Andrés Martín, esta vez desde el público, poniendo los puntos sobre las íes y diciéndonos verdades como templos, como por ejemplo que dejemos de utilizar el apellido “integral”, porque el simple concepto de “seguridad” ya engloba esta acepción y nadie debe entender la seguridad de otra forma.

La segunda jornada del encuentro comenzó con Víctor Izquierdo, Director General de INTECO, hablando en buena parte del cumplimiento -legal o técnico- en materias de seguridad de las empresas pequeñas de nuestro país, con un panorama más bien oscuro ;), y continuó con una interesante charla de Jacinto Muñoz, de MAPFRE, contándonos cómo habían conseguido introducir la Seguridad en los procesos de negocio de la organización, convirtiéndola así en algo natural para todo el personal y a lo que nadie pone trabas (si esto es así, enhorabuena ;).

Aparte de las anteriores, de esta segunda jornada lo más destacable para mí fue en primer lugar la intervención de Juan Carlos González, de COLT; aunque en algunas cosas de las que expuso no estoy de acuerdo, reconozco que el planteamiento me gustó y levantó ampollas entre el público hablando de la diferencia entre Director de Seguridad y Directivo, y recordándonos que no basta un curso de X horas en el que se tratan ciertas materias de forma superficial (y muchas otras materias ni siquiera eso) para trabajar como Director de Seguridad. Ojo, puedo incluso estar de acuerdo con este mensaje, pero no podemos hablar como si esto fuera culpa de otros, porque es culpa de todos nosotros… ¿o van a venir ahora de otro planeta a modificar los planes de formación, por ejemplo? Si no nos movemos los que trabajamos en seguridad, nadie se moverá por nosotros. Aparte de COLT, resultó muy interesante -algo alejada de nuestro día a día, pero muy interesante e instructiva- la mesa redonda sobre inteligencia competitiva y su aplicación para el desarrollo de los negocios (otra muestra más de la importancia de la inteligencia en seguridad), con gente de peso en esta materia, tanto de la Administración Pública como de la empresa privada.

En definitiva, dejando de lado algunas charlas más comerciales -si pago tengo derecho a hablar de lo buenos que somos y de lo bien que lo hacemos-, un encuentro interesante, tanto por algún que otro ponente como por vernos las caras con gente con la que hace tiempo que no coincidíamos. Desde aquí nuestra enhorabuena a Borrmart por la organización, porque montar algo así sabemos por experiencia que es complicado y hacer que tenga éxito mucho más. Eso sí, para próximos congresos, a ver si conseguimos que nadie diga aquello de que la seguridad es una cadena que falla si lo hace el eslabón más débil, porque llevamos años con el ejemplito y se repite en cada Securmática, ENISE, etc. ¿Alguna idea alternativa? :)