Puerto “Seguro”

safeharborNos van a tener que disculpar; después de acostumbrarles a una entrada diaria, no es justo desaparecer durante casi dos semanas. Como justificación, decirles que julio es ese mes del año en el que todo el mundo quiere dejar sus cosas cerradas antes de irse de vacaciones, incluido un servidor, lo que genera una carga de trabajo extra. En cualquier caso, ya ven que aquí seguimos.... Leer Más

Por un desarrollo sostenible con seguridad

Ni los hijos ni los sistemas de información vienen con el bocadillo debajo del brazo, y eso lo sabemos todos desde hace mucho tiempo, ¿no? Sí, son un gasto, a la vez un peligro, pero gracias a ellos somos capaces de incrementar nuestra productividad hasta límites jamás imaginados, y los países, las sociedades que no apuestan por su uso decididamente, son penalizadas. No tenemos que irnos muy lejos para analizar esta afirmación. España, séptima potencia económica mundial —hasta hace poco al menos—, tiene una productividad que nos sitúa en puestos de economía en vías de desarrollo.

Las tecnologías de la información y las comunicaciones han traído progreso, la globalización, han reducido costes, han cambiado la sociedad, han reducido la distancia entre el primer y el tercer mundo, pero no han venido sin un coste asociado.

¡Ya está bien! Aunque todo esto sea cierto también nos han traído cosas malas, muy malas; la energía nuclear nos ha regalado muchas cosas buenas, y de todos es sabido que ha traído cosas malas, debido a su mal uso…

[Read more…]

Sistema de gestión de la seguridad unificada, ¿realidad o ficción?

prl¿Se han preguntado alguna vez cual es el activo más importante de una organización?

Creo que estaremos de acuerdo que el primero y más estratégico son las personas (sin ellas una organización no funcionaría), pero el segundo y unido a ellas de forma indivisible, es su conocimiento y experiencia, ya que sin ésta, la persona carece de valor estratégico y por lo tanto no es un activo crítico (duro pero real como la vida misma). ¿Qué es el conocimiento y la experiencia sino el conjunto de sucesos e información aprendidos y procesados por una persona a lo largo de su vida/carrera? Por algún motivo extraño, tanto los sistemas de la gestión de prevención de la seguridad y salud en el trabajo (SST), OHSAS 18002:2002, como el sistema de gestión de la seguridad de la información (ISO 27001:2005) contemplan de forma disociada esta realidad, siendo éstas disciplinas las únicas que velan por la seguridad en aras de minimizar los riesgo que afectan a la integridad de las personas y la información.

[Read more…]

Los enemigos de los parches

parchehuevoEl parcheado de los sistemas informáticos es una de las medidas mas importantes de seguridad que deben seguirse e implantarse en cualquier organización. Recientemente hemos podido ver como grandes organizaciones gubernamentales han sufrido incidentes de seguridad por propagación de gusanos, que podían haberse evitado en gran parte de una manera sencilla simplemente aplicando los parches. Si están pensando lo mismo que yo, se preguntarán cómo es posible que cualquier usuario domestico mantenga actualizado su equipo siempre que sale una vulnerabilidad y en estas organizaciones no apliquen el parcheado de manera correcta. ... Leer Más

Seguridad en tiempos de crisis

En estos meses, en los que la crisis (o la desaceleración) planea sobre nuestras cabezas, y a diario vemos cómo empresas de todos los sectores realizan ajustes de plantilla, abren expedientes de regulación de empleo, o incluso echan el cierre, la seguridad juega un papel fundamental para garantizar que el negocio -o lo que quede de él- sobrevive a las vacas flacas… IMHO, la seguridad debe ser una de las cosas en las que el presupuesto de una organización no se reduzca, o se reduzca lo mínimo posible, para garantizar la protección del negocio; de todos es sabido que cuando las cosas van mal, la delincuencia aumenta, y por tanto debemos protegernos mejor. La probabilidad de que en esta época que corremos tengamos un empleado que nos roba información, a la competencia viéndonos como un enemigo a eliminar -en el sentido figurado-, o a una mafia tratando de hacernos un phishing, es muy alta, con lo cual no podemos descuidar nuestra seguridad; es más, yo trataría de incrementarla.... Leer Más

Historias de autenticación

fingerprintNo sé si son ustedes conscientes de que si han adquirido un móvil a través de una operadora de telefonía sujeto a un contrato de permanencia, una vez éste ha expirado la operadora de telefonía está obligada a proporcionarles el código de liberación; y les anticipo que si les dicen que el trámite de obtención de dicho código llevará de diez a quince días, mienten. El caso, y lo que es pertinente a esta entrada, es que el pasado sábado llame para realizar dicha gestión “en nombre” de mi pareja (les confieso que obtengo una extraña sensación de satisfacción “conversando” con los operadores telefónicos de los grandes proveedores de servicio como las telecos o energéticas). Lo que me llamó la atención y me dejó descolocado fue que, después de haberle dado a la operadora todos los datos correctamente, incluyendo DNI, nombre y apellidos, IMEI, número de teléfono, marca y modelo, y lugar y fecha aproximada de compra (algo, esto último, que no está escrito en ningún sitio), debió pensar que una voz de hombre no es propia de una mujer, y me pidió hablar con ella. Claro está que la operadora no tenía medio de saber que ella era quien decía ser, pero al parecer, eso la satisfizo, porque un par de minutos después, retomamos la conversación, asegurada ya la autenticidad de mi petición por una voz de mujer que podía ser la de cualquiera.

[Read more…]

Honeytokens

Los sistemas de decepción de intrusos siempre me han parecido muy interesantes de cara a garantizar la seguridad de una organización; si bien los más complejos, las honeynets, no suelen implantarse con frecuencia salvo en entornos grandes y/o especialmente concienciados en temas de seguridad (digamos que los beneficios obtenidos del sistema no suelen cubrir el coste asociado a la implantación y al mantenimiento del mismo), los sistemas sencillos, los honeypots, tienen, bajo mi punto de vista, una buena relación coste/beneficio.... Leer Más

Clasificación y tratamiento de la información (II)

Comenzaba el otro día Alberto su entrada sobre clasificación de la información comentando que éste suele ser un motivo habitual de incumplimiento. En efecto, cuando estamos trabajando en una organización y pedimos el procedimiento de clasificación y tratamiento de la información, en muchos casos nos miran con cara de póker y nos vienen a decir algo del tipo “¿Yesoqués?”.... Leer Más

Clasificación de la información (I)

En las auditorías de seguridad de la información, al igual que en las de protección de datos personales, uno de los temas que es motivo frecuente de incumplimiento, es la carencia de un procedimiento de clasificación de la información y adicionalmente, la clasificación de los riesgos inherentes a aquella. ¿Cómo se entiende que una organización pueda controlar la información que gestiona (importante activo) sin establecer ciertas categorías en la misma y aplicar los debidos controles para su validación, protección y limitación de uso y acceso?

Unos ejemplos

El periódico que está sobre la mesa de recepción, no tiene clasificación alguna y es de acceso público, pero si casualmente hablase de la organización, probablemente se intentaría evitar su acceso (en caso negativo) o se pincharía en el tablón de anuncios (caso positivo); vemos que el contenido —la información— delimita la categoría del soporte. Un albarán de envío de materiales (pongamos una fábrica de tubos) a un cliente sólo mostrará la dirección social del cliente y la lista de productos, siendo por tanto una información confidencial, pero de bajo nivel de riesgo. Sin embargo, si el mismo albarán va valorado, mostrará precios aplicados al cliente así como posibles descuentos y formas de pago (no quisiera pensar que mostrase la cuenta bancaria), conteniendo de este modo información confidencial de un nivel superior en relación al caso anterior, dado que cualquiera que tuviera acceso a él, podría conocer detalles sobre los términos comerciales de acuerdos en precios, descuentos y formas de pago con el cliente. Esta información es sensible y muy apetecida por la competencia.

[Read more…]

Peritajes informáticos

Cuando una organización sufre determinados incidentes de seguridad (por ejemplo, una intrusión), se plantea la realización de un análisis forense, en el que se tratan de obtener y presentar evidencias electrónicas del problema acaecido; adicionalmente, en ocasiones —no siempre, aunque si se ha producido un delito debería ser así—, es necesario efectuar una denuncia, y es entonces cuando surge la necesidad de realizar un peritaje informático por parte de un perito cualificado.... Leer Más