MUSES: Nuestros mejores deseos de seguridad corporativa

Al hilo del reciente post “Seis más una medidas para la seguridad sin concienciación”, sería fácil concluir que la seguridad corporativa sin concienciación, no es una opción.

Frecuentemente, las políticas de seguridad de las empresas, si existen, son una entelequia: Casi todos los empleados saben que existen y sólo unos cuantos saben alguna de ellas y de estos, sólo unos pocos se preocupan por aplicarlas convenientemente.

Sin embargo, la importancia de las políticas es clave para proteger los activos de la compañía, más si cabe cuando en los últimos años la información de la empresa fluye alegremente a través de dispositivos móviles, tanto los que siguen el modelo COPE (CompanyOwnedPersonallyEnabled), como el modelo BYOD (BringYourOwnDevice) en los que se entremezcla el uso profesional con el uso personal.

Si pudiéramos pedir un sistema para promover convenientemente las políticas de seguridad de la empresa, puestos a pedir, tendríamos la siguiente lista de deseos:

  • Que habilite la concienciación de las políticas de seguridad de la empresa pero sin la necesidad de leernos un documento infumable. Ya por pedir, que nos permita aprender sobre la marcha, con recomendaciones sobre la mejor forma de proceder en cada situación.
  • Que sea multi-dispositivo, es decir, que nos permita utilizarla tanto en smartphones y tablets, así como en nuestro portátil.
  • Que en determinados casos, permita realizar un análisis de riesgos de cada situación, incorporando el concepto de oportunidad para equilibrar la acción más adecuada desde el punto de vista de la organización.
  • Que no nos moleste continuamente y que tenga como objetivo principal el usuario. Lo ideal sería que apenas nos diéramos cuenta de que existe este sistema y tan sólo nos dé recomendaciones en situaciones en las que haya un alto riesgo para un activo concreto.

Dicho esto, como usuarios del sistema, aún nos faltaría algo muy importante:

  • ¿Qué hay de nuestra privacidad?
  • ¿Qué tipo de interacciones monitorizaría este sistema?
  • ¿Está nuestra información personal a salvo?

El deseo final sería por tanto que solamente recopile la información necesaria para garantizar el cumplimiento de políticas y no almacene información personal.

Pongamos un ejemplo para dejarlo más claro: Si la política de seguridad indica que no instalemos una aplicación de lista negra, el sistema debe monitorizar sólo si esta aplicación está instalada en el dispositivo y descartar la información relativa al resto de aplicaciones instaladas.

En cuanto a la información que le debe llegar al Responsable de Seguridad, esta deberá ser convenientemente cifrada, ya que lo importante no es quién estuvo cerca de incumplir una política, sino que la acción que pone en peligro la información de la empresa no se lleve a cabo, sea quien sea el que lo intentó.

El objetivo, por tanto, no es un sistema que controle a los usuarios para darles una reprimenda, sino que el sistema automatice ese control por medio de recomendaciones. Dichas recomendaciones se traducen en la evolución de la cultura de la empresa, en la que poco a poco se introduce el conocimiento de las políticas de seguridad, de una forma progresiva y automática. En mi opinión, mucho más llevadero que tener que leerse un documento formal, con la ventaja de que con el documento no siempre es fácil relacionar nuestras tareas diarias con cada una de las políticas.

Todos estos deseos, y algunos más que van surgiendo por el camino, son los que pretendemos cumplir en el proyecto MUSES, cuyo lema es “Corporatesecuritywiththeuser at heart”, coordinado por S2 Grupo y en el que colabora con socios de varios países europeos (Suecia, Alemania, Austria, Suiza, Bélgica, Italia y España).

La posibilidad de compartir el proyecto hacia la creación de una comunidad open source es una de nuestras principales metas. Por lo tanto, cualquier desarrollador es bienvenido en participar en esta experiencia open source, a través de la participación en nuestro proyecto GitHub.

A partir de este post, os iremos informando de las novedades del proyecto, pero no olvidéis seguir el proyecto en twitter (@MUSESproject) y facebook (MUSES Project).

El éxito es un trayecto, no un destino. Os mantendremos informados durante el camino.

iAlertU: Software de seguridad para proteger equipos

Hace ya algún tiempo, un familiar recibió uno de sus mayores disgustos por un robo: un día previo a la época de exámenes fue a estudiar a en la universidad, concretamente a una de sus bibliotecas. Solía llevarse el portátil para no ir cargado, ya que prefería estudiar directamente en la pantalla en formato electrónico. Durante la mañana, decidió ir a tomar un café, era sólo un momento, enseguida volvería… Pues bien, a la vuelta, el portátil ya no estaba, y la pérdida no fue poca porque, para mayor desgracia, el portátil sustraído era un macbook, que como sabéis no es especialmente lo más barato del mercado.

Pensando en este caso, quiero explicar alguna de las opciones que tenemos a día de hoy para evitar que esto mismo nos pueda pasar. En primer lugar, y adaptado al caso, es decir, para un macbook, disponemos de una aplicación llamada iAlertU. Esta aplicación es una alarma que podemos activar en esos momentos en los que vamos a dejar el portátil descuidado, aunque en presencia de otras personas. La alarma se arma y desarma mediante una contraseña. Una vez armada, la alarma se puede configurar para que suene ante cualquier movimiento del equipo, gracias al sistema SMS (que no tiene nada que ver con envío de mensajes, es un sensor de movimiento: Sudden Motion Sensor) que lleva incorporado el MacBook. Gracias a este sensor, la alarma puede configurarse para que siga sonando hasta que el movimiento pare, y el ladrón se vea obligado a dejar el equipo donde estaba. Otras opciones permiten disparar la alarma ante otras situaciones, como por ejemplo, si alguien toca el trackpad, el teclado, si cierra la tapa o se desconecta la alimentación e incluso, y lo que puede resultar aún más útil, si se desconectan dispositivos del equipo, como por ejemplo un reproductor mp3.

El desarme se puede hacer de dos formas, bien introduciendo la contraseña (para ello, si no queremos dar la nota, recomiendo no activar el disparo de alarma ante eventos de teclado), o bien utilizando el apple remote, un mando a distancia, con lo que el equipo se acaba pareciendo a un coche (quizá demasiado), ya que incluso podemos configurar sonidos asociados al armado y desarmado de la alarma.

La guinda de la aplicación la pone la posibilidad de capturar automáticamente una foto mediante la cámara web integrada en el equipo, así como una captura de la pantalla en el momento de la alarma. El sistema permite el envío inmediato de un correo electrónico con estas capturas e información del momento en el que se produjo la alarma. Adicionalmente, en las opciones avanzadas, se pueden incluir scripts para ser ejecutados en el momento de disparo de alarma, por ejemplo para programar el envío de mensajes de alerta a un móvil además del envío predefinido por correo electrónico.

La aplicación iAlertU es fruto de un proyecto de desarrollo open-source con licencia GPL que comenzó en 2007. La aplicación ha sido desarrollada en Java y C. Actualmente, la última versión tiene las funcionalidades indicadas en este post, junto con la geo-localización mediante google maps.

Chrome Web Store

La guerra de navegadores entre Chrome (Google), Firefox (Mozilla), Safari (Apple) e Internet Explorer (Microsoft) es una más de las múltiples guerras tecnológicas que vamos viendo pasar estos días, a saber: sistemas operativos, móviles, tablets, plataformas de videojuegos, video bajo demanda por Internet, y un largo etcétera. Al final todas están o acabarán estando relacionadas, y un claro ejemplo es la guerra de navegadores y sistemas operativos. En ese sentido, Google ha lanzado Chrome Web Store, mirando en primer lugar a la promoción de su navegador Chrome, pero poniendo un ojo en el futuro con su Chrome OS.

Y bien, ¿qué es eso de Chrome Web Store? Pues es una plataforma accesible al público general que permite publicar aplicaciones por parte de desarrolladores de software. Actualmente se encuentra en fase de recolección de las primeras aplicaciones enviadas por éstos (developer preview), pero se prevé que antes que finalice el año se produzca el lanzamiento. El resultado será algo similar a las tiendas virtuales de venta de aplicaciones móviles, como AppStore de Apple, Android Market de Google o Blackberry AppWorld, pero orientado a aplicaciones web. Esto daría respuesta a la sensación actual de una mayor facilidad para encontrar aplicaciones para el móvil que para el propio ordenador personal, ofreciendo las mismas ventajas de los mercados de aplicaciones móviles, como la búsqueda por categorías o un top ten de las aplicaciones más reclamadas.

Con todo esto, cualquier desarrollador registrado podrá publicar tres clases de elementos: aplicaciones, temas y extensiones. De esta forma, los elementos adquiridos aparecerán en la pantalla de inicio de Google Chrome. Sin embargo, una de las primeras preguntas que nos surgen y que ya ha manifestado CNET indica que no ve la diferencia entre visitar un sitio web y tener una aplicación que redirecciona al mismo lugar. Probablemente, la respuesta se encuentra más allá de las típicas aplicaciones web, más bien deberíamos decir aplicaciones instalables vía web y ejecutables en el entorno de navegadores, quizá en HTML5 o Flash para sacarle el máximo provecho, o de aplicaciones «descargables» similares a Java WebStart. De momento, ya se han presentado aplicaciones interesantes como la de Sports Illustrated o juegos como el de Lego Star Wars. La idea parece llevar a un buscador de aplicaciones de calidad (y por tanto, en algunos casos, de pago) para diferentes propósitos, siempre con el marco de fondo del nuevo sistema operativo Chrome OS, que pretenden promocionar de esta forma. Sin embargo, por el momento parece que no limitan la utilización de estas aplicaciones a su navegador, indicando que podrán ejecutarse en cualquier navegador de última generación. Eso sí, el buscador y la página de inicio de Chrome ofrecerán un valor añadido respecto al resto de navegadores.

Sin embargo, en cuanto a las connotaciones que podría implicar en cuanto a la seguridad, no parece haber mucha información al respecto, y es necesaria, ya que en primer lugar los usuarios deberán tener una garantía en cuanto a confidencialidad, integridad y seguridad en sus sistemas, por lo que será necesaria información sobre los sistemas de verificación utilizados por Chrome Web Store, especialmente a la hora de aceptar una aplicación para formar parte del conjunto de aplicaciones ofertadas.

En cuanto a la realización del pago de las aplicaciones, parece que el tema es más claro, ya que se indica que permitirá dos opciones: un sistema de pago propietario (Chrome Web Store Payments) o uno de los sistemas de pago ampliamente utilizados (como PayPal, por ejemplo). Recientemente, se ha hablado de un posible pago de una tasa de 5 dólares para los desarrolladores que quieran comercializar aplicaciones, según Google, como método de comprobación de la autenticidad de una aplicación o extensión, para evitar un posible spam de aplicaciones. En cuanto al porcentaje de ventas que se quedaría Google, las últimas comunicaciones hablan de un 5% del total de ventas de cada aplicación. En pocos meses veremos cuál es el grado de aceptación de las aplicaciones ofertadas, así como las posibles repercusiones.

Dropbox: Sincronización de archivos fácil y… ¿segura?

Hace algunos meses oí hablar de Dropbox, un servicio de respaldo de archivos de seguridad basado en web. El servicio se basa en la posibilidad de acceder a un directorio de archivos (MyDropbox), con capacidad desde 2GB (gratuito) hasta 100GB ($19.99 al mes) desde cualquier equipo con sólo instalar el cliente de Dropbox. Por tanto, permite sincronizar archivos automáticamente entre múltiples equipos, por ejemplo el PC de sobremesa, el portátil o el iPhone, de forma realmente fácil. Tan sólo dejando caer un archivo en MyDropbox desde uno de los equipos con el cliente instalado se sincroniza automáticamente en la nube o disco virtual y en el resto de equipos.

Los usuarios de la aplicación pueden acceder a una cuenta de administración para compartir directorios a determinados usuarios, subir ficheros, restaurar versiones anteriores o recuperar archivos borrados. Tiene por tanto soporte para historial de revisiones, de forma que los archivos borrados de la carpeta de Dropbox pueden ser recuperados desde cualquiera de los equipos. También existe la funcionalidad de conocer la historia de un archivo en el que se esté trabajando, permitiendo que una persona pueda editar y cargar los archivos sin peligro de que se puedan perder las versiones previas. El historial de los archivos está limitado a un período de 30 días, aunque en la versión de pago que ofrece el historial ilimitado; el historial utiliza la tecnología de delta encoding.

Una primera aplicación que puede venir a la mente consiste en la simplicidad de sincronizar los archivos de trabajo en la oficina con el portátil personal. Ahí es donde empieza a ser algo serio en relación a la seguridad en empresas. Indagando acerca de la seguridad de Dropbox, los datos se transfieren a los servidores de Dropbox mediante SSL y antes de almacenarlo en sus servidores, se cifra mediante AES-256. Sin embargo, desde la parte de cliente, es una vía de salida de información confidencial al exterior de las empresas, inutilizando las configuraciones de firewalls y exponiendo datos sin control. En mi opinión, aplicaciones como éstas deben incluirse en el grupo de aplicaciones restringidas.

Si el análisis lo hacemos desde el punto de vista de la sincronización de archivos personales fuera del ámbito profesional, sin utilizar la herramienta para manejar información corporativa, también genera ciertas dudas, ya que existen directorios de contenido compartido, pudiendo acceder a información contenida en el mismo y en sus subniveles. Además, una de las opciones de compartición de archivos o directorios consiste en que Dropbox envía una URL de acceso al recurso vía email, sin necesidad siquiera de autenticación en una cuenta de Dropbox, por lo que otro puede acceder al recurso con sólo acceder a la URL adecuada.

Debo confesar que la idea de Dropbox como servicio me parece muy útil, pero creo que a día de hoy tiene mucho que mejorar en relación a seguridad y privacidad. Cabría estudiar si, utilizada junto a herramientas como TrueCrypt, podríamos confiar en su uso. También he leído que se está desarrollando una versión que pueda ser utilizada en las empresas, lo que confirmaría la aceptación del hecho que su utilización con la versión actual no debe ser muy adecuada. La proliferación de este tipo de aplicaciones está haciendo el trabajo aún más difícil al sector de la seguridad, ya que incluye una tarea importante, el control de la instalación de aplicaciones restringidas, no sólo en asegurar que los usuarios no instalan y utilizan las conocidas, sino en permanecer alerta ante nuevas aplicaciones que no cumplan los requisitos de seguridad.