UNE-ISO 28000: “Sistema de Gestión de la Seguridad en la Cadena de Suministro”

Voy a comenzar mi andadura en este blog de seguridad hablando de una de las últimas normas publicadas, y de la cual, si aún no han oído hablar de ella, les aseguro que dentro de poco oirán. Es la norma UNE-ISO 28000:2008: “Sistema de Gestión de la Seguridad en la Cadena de Suministro”, sobre la que Toni ya comentó algo hace algunos meses, en su serie de seguridad sectorial. Esta norma se ha desarrollado en repuesta a la demanda por parte de la industria sobre la gestión de seguridad y la protección tanto de los bienes, como del personal y la información.

Tras los hechos de septiembre de 2001 en Nueva York, la concepción de riesgo en el mundo occidental aumentó, según Paul Rodgers, del Centro Nacional de Protección de Infraestructuras de la Oficina Federal de Investigaciones: Hoy, un potencial destructivo tremendo cabe en paquetes fácilmente transportables (bombas, gas neurotrópico o de nervios y agentes biológicos), y los ordenadores conectados a Internet pueden ser atacados desde cualquier punto de la tierra, por lo que hay una necesidad de aumentar la seguridad en todas las operaciones críticas y establecer un sistema de gestión global de la seguridad de toda la cadena de suministro de la organización.

Esta norma internacional se ha desarrollado en respuesta a esta necesidad de responder a las posibles carencias de seguridad que tienen las organizaciones de este tipo. Aunque, en teoría, esta norma internacional es aplicable a organizaciones de cualquier tamaño que trabajen en cualquiera de las fases de la cadena de suministro, en la práctica parece haber sido pensada fundamentalmente para la gestión de la seguridad de infraestructuras críticas, y claramente orientada a la seguridad de buques y de instalaciones portuarias. Se considera que la norma ISO 28000 es una norma genérica y que en un futuro habrá otras normas de seguridad que formarán parte de esta norma genérica.

La Norma Internacional ISO 28000 basa su formato en la norma 14001:2004 por su enfoque de los sistemas de gestión basados en el riesgo. Sin embargo, las organizaciones que hayan adoptado un enfoque basado en proceso de los sistemas de gestión, Norma ISO 9001:2000, pueden ser capaces de usar su sistema de gestión como base para un sistema de gestión de la seguridad. La gestión que propone la ISO 28000, al igual que las normas anteriormente nombradas, se basa en la premisa de mejora continua, consustancial a esta y a la mayoría de las normas ISO de gestión; el ciclo de Deming, más conocido como ciclo PDCA, es el mecanismo que garantiza la continuidad de las mejoras en el proceso de gestión.

La implantación de esta norma conllevará numerosos beneficios en la seguridad de la organización, asegurando con ello que es una organización comprometida con la seguridad tanto del personal que trabaja en ella como de sus instalaciones y la información que se intercambia en (y con) ella, mejorando así la imagen externa de la organización y el control de su entorno, favoreciendo una mejor integración con la sociedad, y asegurando el cumplimiento de la legislación referente a seguridad.

Actualmente, el Puerto de Houston ha sido el primero en recibir a nivel mundial la certificación ISO 28000, mientras que DHL Express Iberia ha sido la primera empresa que ha obtenido el certificado, otorgado por AENOR, para todas sus plataformas en España. Sin embargo, sin duda alguna en los siguiente meses veremos grandes organizaciones certificadas en este nuevo sello. Si la función de su organización está relacionada con la cadena logística o trabaja con grandes empresas cuyo sector de negocio es ése, le recomiendo un estudio detallado de la norma, del establecimiento de un sistema de gestión de la seguridad y de la posibilidad de implantación en la organización, ya que al igual que ha pasado con anteriores normas, no es descartable que en un futuro no demasiado lejano esta norma, ya sea por imagen o por exigencia de terceros, se convierta en una obligación.

En próximos posts entraremos más en detalle sobre los entresijos y particularidades de esta nueva norma.

Los casos de pornografía infantil en la red crecen un 1000 por cien

Es la cifra que dijeron el otro día en las noticias de la sexta que había crecido la pornografía infantil, un 1000%. Sí, no es un error tipográfico: mil por cien. Profesores, policías, pediatras, abogados, médicos, ingenieros, arquitectos, empresarios, etc., no parece que haya un perfil claro. Lo único en lo que coinciden el 90% de los involucrados en estos casos es que son hombres. ¿Nos estamos volviendo locos? ¿Es que, de verdad, aquellos de estos que estén consumiendo este tipo de “producto” piensan que no van a ser cazados? ¿Tan poco inteligentes son? Si por lo que parece están tan preparados profesionalmente ¿por qué infravaloran y dudan del trabajo de los profesionales que quieren ponerlos a buen recaudo? Por otro lado, ¿qué estamos haciendo tan mal para que estas cifras crezcan de forma tan alarmante?

Hay muchas cosas que se pueden hacer para cazar a estos tipos. Somos capaces de poner trampas. La red esconde a los “malos” pero también sirve para esconder a los “buenos” que quieren desenmascarar a estos individuos. ¿Acaso creen que lo que hacen no está tan mal? La pornografía infantil existe porque hay quien está dispuesto a pagar por ella. Podría decirse que es incluso peor el comportamiento de quien cobardemente consume estos contenidos protegido por una pantalla de ordenador, que aquel que los produce. Soy un convencido de que la Red es el mayor vehículo de libertad que ha inventado el hombre pero a veces me pregunto, después de oír noticias como esta, si el precio que tenemos que pagar no es demasiado alto. Desde estas líneas quiero lanzar un grito contra toda esa gente, mayoritariamente hombres, que a la luz de un flexo y por la noche se convierten en cómplices y autores de tan execrables delitos.

Un modelo de seguridad se conforma a través de distintos tipos de salvaguardas. En mi opinión, las mejores son sin duda las medidas de disuasión, porque evitan el problema desde su origen. Pues bien, si esta pequeña entrada en este blog sirve algún día para disuadir a alguien, bienvenido sea. Lo que es seguro es que los que se metan en este tipo de “líos” van a acabar a buen recaudo y de esto no tengo la menor duda ya que todos estamos manos a la obra y en este caso, el primero, el propio legislador.

A nivel internacional, la Convención de las Naciones Unidas sobre los Derechos del Niño, ratificada por España por Instrumento de 30 de noviembre de 1990, comprometió a los Estados firmantes en el cumplimiento efectivo de tales derechos.

La Unión Europea, por su parte, ha aprobado a lo largo del tiempo diferentes instrumentos jurídicos dirigidos a propiciar una mayor seguridad en la utilización de Internet y las nuevas tecnologías mediante la lucha contra los contenidos ilícitos y nocivos, principalmente en el ámbito de la protección de las personas menores de edad, con el fin de crear un entorno de utilización más seguro, que impida un uso inadecuado o ilícito, especialmente en el caso de los delitos contra las personas menores, del tráfico de seres humanos o de la difusión de ideas racistas o xenófobas.

De hecho ya en el año 2000, concretamente en la Decisión del Consejo, de 29 de mayo de 2000, relativa a la lucha contra la pornografía infantil en Internet estableció la necesidad de que los Estados miembros adoptarán medidas con el fin de:

  • alentar a los usuarios de Internet a indicar a las autoridades represivas los casos de presunta difusión de material pornográfico infantil en Internet;
  • garantizar que las infracciones cometidas sean investigadas y sancionadas, gracias a la creación de unidades especializadas, por ejemplo en los servicios represivos;
  • garantizar la rápida reacción de las autoridades represivas cuando reciben información sobre presuntos casos de producción, tratamiento, difusión y posesión de material pornográfico infantil.

Además, también se estableció que los Estados miembros deberían comprobar regularmente si la evolución tecnológica exige la modificación de su procedimiento penal en el ámbito de la lucha contra la pornografía infantil en Internet, y, para facilitar la colaboración entre los Estados, se difundiría una lista de puntos de contacto nacionales, disponibles las 24 horas del día, y de unidades especializadas, debiéndose informar a Europol de los presuntos casos de pornografía infantil y organizándose reuniones entre los servicios especializados nacionales.

Posteriormente en la “Decisión Marco 2004/68/JAI” del Consejo, de 22 de diciembre de 2003, relativa a la lucha contra la explotación sexual de los niños y la pornografía infantil se establecían claramente cuáles eran los comportamientos punibles que constituyen una “infracción relacionada con la pornografía infantil”, se realicen mediante sistemas informáticos o no:

  • producción de pornografía infantil;
  • distribución, difusión o transmisión de pornografía infantil;
  • ofrecimiento o facilitación por cualquier otro medio material de pornografía infantil;
  • adquisición o posesión de material de pornografía infantil.

También en esta decisión marco se establecían que las sanciones penales previstas por cada Estado deberían incluir una pena privativa de libertad de al menos entre uno y tres años. En los casos de determinadas infracciones con circunstancias agravantes dicha pena tendrá una duración de al menos cinco a diez años. La Decisión Marco proporciona una lista de circunstancias agravantes, sin perjuicio de otras circunstancias establecidas en la legislación nacional cuando:

  • la víctima sea un niño que no haya alcanzado la edad del consentimiento sexual según el Derecho nacional;
  • el autor haya puesto en peligro de forma deliberada o por imprudencia temeraria la vida del niño;
  • la infracción se haya cometido empleando violencia grave contra el niño o causándole un daño grave;
  • la infracción se haya cometido en el marco de una organización delictiva según la definición de la Acción Común 98/733/JAI.

La Constitución Española establece en su artículo 39, como uno de los principios rectores de la política social y económica, la protección a la familia y a la infancia, llamando a los poderes públicos a asegurar la protección integral de las hijas y los hijos y afirmando que «los niños gozarán de la protección prevista en los acuerdos internacionales que velan por sus derechos».

En este sentido, este mismo año España ha traspuesto la Decisión Marco 2004/68/JAI mediante la publicación de la Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal que, fundamentalmente en las modificaciones de sus artículos 183 y 189, establece lo recogido en la normativa europea.

Son, por tanto, numerosos, los instrumentos que tenemos para luchar contra este efecto indeseado de la red de redes. Lo que tenemos que conseguir es aplicarlos en toda su extensión y aislar a esos individuos que hacen de Internet un vehículo para la comisión de estos delitos.

Nosotros vamos a seguir trabajando activamente por la seguridad de los más pequeños en la red y estaremos encantados de colaborar en cuantas iniciativas y medidas se lancen en esta dirección. Estoy seguro de que entre todos conseguiremos reducir al máximo este problema con el fin de hablar de cifras de reducción del 1000 por cien en lugar del aumento equivalente.

Cloud computing, el análisis de riesgos y los “servicios dinámicos” de seguridad

A estas alturas todos estaremos de acuerdo en que nos enfrentamos a cambios singulares en la forma de entender la gestión de las infraestructuras TIC. La irrupción de los servicios de cloud computing, y con ellos la IAAS “Infraestructure as a service”, va a provocar en los próximos años una reestructuración de gran calibre en este tipo de servicios, en buena parte consecuencia del desarrollo masivo de los servicios de virtualización que nos permite cambiar nuestras máquinas virtuales de CPD o datacenter en un abrir y cerrar de ojos, al menos teóricamente.

Todo esto tiene unas implicaciones en materia de seguridad de proporciones colosales. Los modelos de seguridad actuales, fundamentalmente “estáticos”, tienen que evolucionar a modelos de seguridad “dinámicos” adaptados a las necesidades de los servicios en la nube, porque esta tendencia no tiene vuelta atrás. No se trata de que opinemos si es mejor o peor la seguridad de los servicios “cloud”, se trata de que diseñemos servicios de seguridad adecuados a esta realidad, que como todo tiene aspectos positivos y aspectos negativos.

Ganamos en algunas cosas. Uno de nuestros puntos débiles en la seguridad ha sido siempre la disponibilidad y la continuidad de negocio. En este caso, en la nube, con escenarios de siniestro complicados como la caída de un datacenter por un desastre natural, la solución parece al alcance de cualquiera y los RTO parecen asumibles por cualquier tipo de negocio. Es evidente que hay muchas cosas que rediseñar en los servicios de seguridad en la nube.

Tomemos el caso de Google que tenía, en 2008, 36 localizaciones para sus centros de procesos de datos con entornos virtualizados que les permite cambiar estas ubicaciones de forma, digamos, “ágil”. Uno de sus objetivos es, lógicamente, minimizar el coste de hospedaje de su infraestructura y dado que podemos asumir que en un datacenter el 50% del coste es el coste energético de la refrigeración, entenderemos que los gestores de la infraestructura de Google busquen términos de eficiencia energética cada vez mejores. Por lo que hemos leído el factor PUE (Power use efficency) alcanzado por Google es impresionante: 1,21 de media. Esto supone que cada watio útil que llega a una máquina que da servicio a sus clientes necesita 1,2 watios de consumo real. Evidentemente esto se puede conseguir haciendo uso de datacenters que requieren poco uso energético para refrigerar las maquinas y por tanto llevándose, por ejemplo, los sistemas a localizaciones frías que utilicen aire del ambiente para refrigerar las salas técnicas. Todo esto se puede además complicar utilizando estrategias tipo “follow the moon” mediante las que buscamos tarifas nocturnas de consumo energético y por tanto tarifas económicas que, en definitiva, permiten reducir el coste de suministro eléctrico de la máquina y directamente el coste del servicio.

Si en este entorno empezamos a pensar en seguridad la primera reacción es la de estupefacción. Si ya es complicado conseguir un nivel de seguridad adecuado en entornos estáticos desde el punto de vista físico, si el entorno lógico, con la virtualización, es un entorno altamente cambiante y además el físico también, el resultado es directamente un manicomio especializado en la práctica de torturas, como medida terapéutica, para los profesionales de la seguridad.

Evidentemente este escenario que se nos viene encima no es compatible con las prácticas de seguridad actuales de la mayor parte de las empresas especializadas en este tipo de servicio. Este escenario nos está pidiendo a gritos que adaptemos las políticas, los procedimientos, los controles, los sistemas de monitorización y gestión de la seguridad a estos entornos que cambian a una velocidad endiablada.

Pensemos, por ejemplo, en un análisis de riesgos tradicional. En nuestra opinión, los análisis de riesgos tradicionales son ya de por si poco útiles, sobre todo si hacen uso de metodologías pesadas y complejas como puede ser el caso de algunas metodologías que todos conocemos ;-). Vaya por delante que son metodologías muy valiosas y que conforman un buen punto de partida teórico, pero que en mi opinión no pueden ser utilizadas de forma práctica sin los matices pertinentes. ¿Por qué? Básicamente porque nos enfrentamos a entornos en continuo cambio. Cuando se diseñaron este tipo de metodologías se hicieron pensando en infraestructuras manejables, con evoluciones tranquilas, y en las que revisar el análisis de riesgos periódicamente una vez al año podía ser suficiente. Estas no son las hipótesis de partida a las que nos enfrentamos hoy y por tanto estas metodologías no sirven cuando las aplicamos tal cual fueron diseñadas.

Nos enfrentamos a entornos cambiantes desde el punto de vista lógico, con continuas variaciones que tienen impactos en la estrategia de seguridad clarísimos y por si fuera poco, en virtud de lo comentado en la introducción de esta entrada, nos enfrentamos también a entornos físicos cambiantes. En estas circunstancias las amenazas son variables, sus probabilidades también y por tanto los riesgos también. En definitiva, dentro del marco de servicios dinámicos de seguridad al que nos hemos referido, tendremos que diseñar metodologías ágiles de análisis de riesgos en tiempo real.

Mucho vamos a tener que trabajar para poder definir un marco global de productos y servicios de seguridad dinámica en este nuevo entorno, y mucho tienen que opinar lectores asiduos de este blog en esta materia… pasen en cualquier caso, ya sea pasados por agua o no, un buen fin de semana.

GOTO IX: El negocio de la seguridad

Aquellos que me conocen saben que hace aproximadamente cuatro meses comencé un curso de escalada, en concreto de la modalidad denominada “deportiva” (que es a la que me referiré el resto de la entrada, aunque en gran parte es aplicable a la clásica), casi por curiosidad, y aquello ha desembocado en lo que es sin duda mi principal afición hoy en día. La cuestión es que no se me ocurren muchos ámbitos en los que la seguridad tenga un componente tan importante, tanto en material, como en técnicas; es tan importante que el arnés esté en perfecto estado como saber cómo montar una reunión a 250 m. de altura. Como casi cualquier actividad, la escalada tiene sus riesgos intrínsecos, derivados de desprendimientos de rocas, una mala caída, material defectuoso,o el simple azar que hace que la cuerda vaya por un lado y no por otro; no por nada cualquier material de escalada trae una leyenda que advierte de los peligros mortales de la actividad.

Uno de los temas más importantes y costosos en la escalada (y en el montañismo en general) es el material. Mientras que para jugar al baloncesto el material deportivo puede ser más o menos importante, para la escalada es algo vital, literalmente, y eso se paga: una cuerda en mal estado puede dar con tus huesos en el suelo, y pueden imaginarse que lo siguiente es organizar el funeral. Por ello, todo el material de escalada tiene que pasar una serie de normas de seguridad ISO, que comprueban la resistencia del elemento y certifican que el material es adecuado para dicha actividad; luego, cada cual que lo utilice bajo su responsabilidad. En cierto modo, es similar a nuestro sector: una hoja Excel sirve para lo que sirve, y no es válida (en general) para gestionar datos de salud de un centro médico; no obstante, eso queda a discreción de la empresa, que deberá asumir la responsabilidad si se enfrenta a una inspección de la AEPD o a una pérdida de datos.

Como en la seguridad a la que probablemente usted esté acostumbrado, en este contexto también existe una dura riña entre la “funcionalidad”, representada principal pero no únicamente por el peso, y la seguridad; podríamos hacer cuerdas que fuesen capaces de aguantar la caída de un coche, pero su peso supondría una dificultad añadida e innecesaria que no quieres tener cuando estás escalando. En el otro extremo, subir con una cuerda de 5 mm que apenas aguante 5 Kn es lo más cómodo después de subir en libre, pero no muy recomendable si aprecias tu vida en algo. La idea, como en cualquier otro ámbito, es conseguir la mayor funcionalidad posible, con las mayores garantías de seguridad (más Kn, más caídas de nivel 2, más resistencia, etc.).

Dicho esto, la cantidad de material que se utiliza en escalada susceptible de deteriorarse y cuya degradación conlleva un gran peligro es muy grande: mosquetones de seguridad (HMS), cuerdas, arneses , cintas express (véase la imagen), etc. Lo cierto es que aunque uno preste atención al material, es imposible asegurar que todo él se encuentra en perfecto estado; es difícil llevar la cuenta del número de caídas que se han tenido, o de la fuerza de una caída. Debido a ello, el material de escalada tiene fecha de caducidad aproximada: aunque no hayamos utilizado apenas una cinta express, su uso no está recomendado más allá del tercer o cuarto año, y si el uso ha sido intensivo, este periodo puede reducirse de manera importante. Algunos fabricantes incluso indican la fecha de fabricación, de manera que uno puede saber cuánto tiempo hace que la cuerda se manufacturó.

Por supuesto, todas estas recomendaciones vienen directamente dadas por el fabricante. Sin embargo, algunas voces del mundo de la escalada critican que esta política se deriva no siempre de una situación real de riesgo, sino del interés económico de las compañías; nadie puede negar que el negocio del miedo es algo muy lucrativo. Recuerdo haber leído que Petzl había realizado pruebas de resistencia sobre algunos arneses con muchos más años de los recomendados, y los resultados fueron muy superiores a lo esperado, manteniéndose dentro de los parámetros aceptables.

Tras esta breve pero interesante (no me lo negarán) introducción, llega la aplicación a nuestro sector, en la que aunque somos juez y parte, haré más de juez que de parte. Por tanto, déjenme, sin perder el hecho de que S2 Grupo es una empresa de seguridad, plantearlo desde una perspectiva externa: ¿hasta qué punto podemos decir que las compañías de seguridad, informática en este caso, se parecen a las empresas de material de escalada en lo que les comentaba? ¿Son necesarios todos los sistemas, aplicaciones, estructuras y personal implicado en la gestión de la seguridad? Ya sea el desarrollo de un Plan de Continuidad de Negocio, un programa antivirus o antispyware, la adaptación a la LOPD, los sistemas cortafuegos software o hardware, la implantación de SGSIs, la monitorización de infraestructuras o la formación de los trabajadores ¿Está el negocio de la seguridad alimentado en parte y de manera intencionada por falsas amenazas? ¿Exageran las empresas los riesgos de seguridad a los que las organizaciones están expuestos? Visto de otra forma, ¿somos presa de organizaciones paranoicas que ven incendios, virus, intrusiones y criminales hasta en la taza del váter? ¿Es Internet realmente tan insegura? ¿Nos estamos volviendo todos locos?

O por el contrario, ¿están las empresas de seguridad en lo cierto, y en realidad sólo hemos visto la punta del iceberg de lo que se avecina? ¿Son los ataques de denegación de servicio, o los robos de información confidencial y personal no sólo algo mucho más habitual de lo que suponemos, sino también más serio? ¿Nos estamos preparando correctamente para las actividades de redes de criminales que operan, gracias a Internet, de manera global? ¿Estamos olvidando con demasiada facilidad la importancia, capacidad y habilidades de miles de usuarios malintencionados repartidos por el globo, a menudo sin un control legislativo nacional que limite e impida sus actividades? ¿Tenemos en cuenta los intereses geopolíticos que se juegan en Internet las grandes potencias? ¿Ignoramos demasiado a menudo las consecuencias de conectar un sistema a Internet, potenciando la funcionalidad sobre la seguridad? Dicho de otra forma, y volviendo a la analogía con la escalada, ¿hasta qué punto nos la estamos “jugando”?

Más allá de los comentarios que puedan dejar a continuación (que espero que sean muchos), ¿cual es su opinión al respecto?

[poll id=”21″]

Analizando nuestra red

A la hora de verificar el estado de nuestra red o en caso de detectar alguna anomalía, es práctica habitual hacer uso de un analizador de protocolos de red. Una de las herramientas más utilizadas para llevar a cabo esta función es Wireshark, la cual nos proporciona una forma cómoda y gráfica (aunque para aquellos de la línea “clásica”, dispone de línea de comandos) de capturar los paquetes de red para su análisis.

Normalmente, para llevar a cabo esta tarea, debemos configurar una interfaz del switch de nuestra red en modo monitor (mirroring o SPAN), habitualmente la que nos conecta con el firewall, y configurar el switch para que reenvíe todo el trafico a un equipo donde tenemos el analizador; esta configuración también la podemos encontrar en implantaciones de NIDS, puesto que a grandes rasgos, trabajan de forma similar.

Para la captura de tráfico de nuestra red, existen no obstante otras opciones que se basan en la captura realizada en los propios firewalls de nuestra red, o si estamos llevando a cabo el análisis de una gran red, es posible que ésta disponga de equipos Cisco con sistema Cisco NX-OS (antiguo SAN-OS), un sistema operativo diseñado para entornos de datacenter. Estos sistemas nos pueden facilitar la tarea de análisis de trafico en el plano de control (control plane), es decir, el tráfico que mantiene la funcionalidad de la red (protocolos de enrutamiento, gestión de infraestructura de red,.. ).

El sistema Cisco NX-OS se encuentra implantado en equipos de comunicaciones de ultima generación, como por ejemplo, las series Cisco Nexus 7000 (o Nexus 5000), una plataforma modular altamente escalable que soporta velocidades de 10Gigabit Ethernet (e incluso 100Gbps), pensada para unificar entornos LAN y SAN, convirtiendo el equipo Nexus en múltiples switches lógicos, los cuales ejecutan procesos totalmente independientes. Para facilitar tareas como el análisis de red, estos sistemas incorporan el comando Ethanalyzer, basado en la version 1.0.8 de Wireshark, que nos permite de forma cómoda capturar y decodificar los paquetes de red, usando el mismo tipo de filtros que la herramienta original, pudiendo salvar las distintas capturas para analizarlas posteriormente.

Aunque debido a su coste es poco probable que la mayoría de nuestros lectores dispongan de un sistema como los descritos, para aquellos que tengan la suerte de poder administrarlos, Ethanalyzer puede hacerles la vida un poco más fácil. Los demás tendrán que conformarse con la versión de servidor de Wireshark, que no es poco.

La lógica del usuario

Por extraño que nos parezca, mucho me temo que la lógica de los usuarios en el ámbito de la seguridad es bastante similar al de la tira cómica. Quizá es hora de que alguien elabore un estudio antropológico al respecto, que desentrañe los misterios que encierra la mente del usuario. No por nada, y como dice Toni, la mayor parte de los problemas técnicos, incluyendo los de seguridad, se reducen a “PLBKAC”: Problem lies between keyboard and chair.

(Tira cómica por Marco Canepa, en juanelo.cl. Gracias a Paco Benet por la referencia.)

El Tribunal Supremo anula artículos del Reglamento de Protección de Datos

Para hoy martes traemos una entrada de Cristina Martínez Garay, de la firma Rocabert & Grau Abogados, bufete que en adelante colaborará periódicamente en Security Art Work.

Cristina está relacionada con la protección de datos y la e-Administración, y actualmente se encuentra realizando el Máster en Sistemas y Servicios en la Sociedad de la Información de la Universitat de València. Esperemos que les guste la entrada.

El pasado 15 de julio de 2010 el Tribunal Supremo, a instancias de la Federación de Comercio Electrónico y Marketing Directo, Experian Bureau de Crédito, S.A y la Asociación Nacional de Establecimientos Financieros y de Crédito, anuló diversos artículos del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en adelante RLOPD, por entender que no eran conforme a derecho.

Pese al gran número de artículos impugnados, la Sala únicamente ha estimado la anulación de los artículos 11, 18, 38.1, 38.2 y 123.2 del RLOPD. La supresión de los preceptos citados no constituye un gran cambio en el marco de la Protección de Datos. Sin embargo, podríamos decir que afecta a todos los Responsables de Ficheros con independencia de su naturaleza privada o pública.

[Read more…]

Acceso a recintos

Para empezar la semana, hoy tenemos una entrada de uno de nuestros colaboradores habituales, Francisco Benet, sobre ingeniería social. Esperamos que les guste.

Imaginemos que queremos introducirnos en una oficina con el objetivo de robar datos, colocar artefactos de escucha o simplemente comprometer la seguridad de dicha empresa por motivos de auditoria o reputación. Empecemos por el traje y la corbata, vestimenta que suele ser muy efectiva ya que en la mayoría de los casos denota diferencia de clases entre el empleado y el jefe o cliente. Añadamos una nota adicional de status color que puede ser un iPhone, un Blackberry o el reciente iPad. Con estos pequeños detalles tenemos asegurada la pertenencia a un grupo tal vez superior.

En este momento estamos en disposición de encararnos al edificio, imaginémoslo céntrico y de oficinas, que nos llevará a nuestro objetivo. Durante la primera visita podemos recabar información sobre el lugar y la organización, determinando por ejemplo si poseen identificación y si la llevan consigo o no. Pasar unos minutos a primera hora de la mañana cerca de la entrada/salida del edificio en cuestión simulando hablar por teléfono debería ser suficiente. Suele ser habitual que los empleados que disponen de identificación permanezcan con las tarjetas visibles cuando bajan a fumar o almorzar a la calle, lo que nos proporciona información con la que pasar relativamente desapercibidos. Imaginemos que sí llevan identificaciones personalizadas con fotografia, nombre, apellidos, número de empleado y contienen un código de acceso. Imaginemos también que nuestro objetivo es una gran empresa de desarrollo de software que está en un proyecto X y tiene sucursales en dos grandes ciudades, o al menos tres.

[Read more…]

Seguridad en entornos SCADA

Nos despedimos de esta semana con un post de Pedro Quirós acerca de seguridad en SCADA, tan de moda estos días gracias a Stuxnet y a los medios de comunicación generalistas. Que pasen un buen fin de semana y vengan todos con las pilas recargadas para los últimos días previos al puente (sobre todo aquellos que no lo tengan ;)

A día de hoy hay pocos procesos productivos que no tengan una alta dependencia del ámbito TIC. Si bien en muchas organizaciones el número de usuarios de oficina es relativamente bajo y la complejidad es muy reducida, muchas veces disponen de entornos productivos con líneas de montaje que están controladas por equipos Scada. Estos equipos son auténticos ordenadores que controlan la operatividad y la eficiencia de las líneas de montaje o fabricación. Infraestructuras tan críticas con la nuclear, eléctrica, de alimentación, distribución de agua o de transporte usan entornos Scada a gran escala. Generalmente se consideran entornos seguros dado que suelen estar separados en áreas de la red diferenciadas, o incluso su propia subred. Muchos gestores las consideran “redes seguras” porque “no tienen acceso a internet”, además de considerarlos “entornos de bajo riesgo” dado que son entornos propietarios con un número muy limitado de expertos. Así que sus principales bazas eran el desconocimiento y el aislamiento.

Sin embargo no es necesario tener acceso directo a internet para presentar un problema, pues, como lamentablemente todos sabemos, hay otras muchas formas de infectar un equipo. En primer lugar, para un control de la producción en tiempo real, es necesario el envío de información desde cada uno de los equipos a un centro de control, que puede estar expuesto, con lo que exponemos a todo nuestro entorno productivo. Por otro lado no dejan de surgir ataques, especialmente virus como el ya famoso Stuxnet, que ataca directamente a entornos de producción en plataforma Siemens. El método de contagio es una simple llave USB, que a primera vista no representaba ninguna amenaza porque en entornos Microsoft no se detectaba ningún tipo de virus. Otros ataques típicos son el fingerprinting a través del puerto TCP 502, ataques a implementaciones ICCP, etc. Muchas veces estos entornos son especialmente vulnerables dado que los equipos de control utilizan sistemas operativos con soporte descontinuado, dado que “para el uso que se les da, no necesitan nada mas”. Este motivo explica por qué podemos encontrar PLCs que son auténticos agujeros de seguridad.

Es importante entender que un entorno SCADA no es un entorno seguro “per se”, requiere de la misma atención -o más- que un equipo de oficina, y que el simple aislamiento no resuelve la seguridad. La monitorización desde el punto de vista de la seguridad es indispensable. Ya es hora de empezar a contemplar estos equipos como una capa más en nuestra infraestructura dado que, como todos sabemos, una organización es tan segura como su eslabón mas débil. ¿Qué medidas habéis tomado en vuestras organizaciones?

¡Enséñame la pasta!

Ya se lo decía Rod Tidwell a Tom Cruise en la película Jerry Maguire: ¡Enséñame la pasta! Y es que en el mundo en el que nos movemos, a la hora de tomar decisiones (decisiones que afectan a nuestras organizaciones), no podemos desestimar el factor económico.

El entorno exige una “Mejora continua” y este objetivo está presente en cada momento. Todos los días se nos bombardea con cuestiones sobre la eficiencia, optimización, racionalización de costes, etc. Tenemos a nuestra disposición una amplísima gama de elementos que contribuyen a este fin. Estamos familiarizados con los términos y somos conscientes de la importancia que tiene en nuestro día a día. Está bien, entremos en el juego, nos disponemos a mejorar […] ¿Por dónde empezamos?

¿Implantamos un ERP? ¿Mejoramos nuestros procesos siguiendo guías de buenas prácticas? ¿Incrementamos la robustez de nuestra organización tomando acciones orientadas a mejorar la seguridad? Todas estas actuaciones llevarán asociado un coste: licencias, sistemas físicos, horas de trabajo y algunos más complicados de cuantificar como puede ser el impacto en la política de la empresa, la responsabilidad social, la imagen corporativa, cuestiones éticas, etc.

Llegado a este punto habría que preguntarse, ¿qué beneficios vamos a obtener? Y no me refiero a las ventajas que obtenemos inherentes a cada una de las opciones, sino a beneficio económico. Como muchos habréis deducido, me refiero al ROI o Return of Invesment: Retorno de la Inversión. Podríamos entrar en debate sobre qué acciones de mejora son las más relevantes, priorizarlas y tratar de definir un “Plan de Mejora”, pero… ¡Uff! No dudo que sería interesante pero me gustaría realizar un análisis un tanto más concreto sobre el ROI: el correspondiente a la Seguridad de la Información. Pero a la hora de tratar las inversiones consideraremos una cuestión que no siempre se tiene en cuenta, el factor “disuasión”.

Existen diversas metodologías para realizar análisis de riesgos. Es recomendable acudir a ellas ya que nos ayudarán a identificar los activos que queremos proteger y una vez detectados, protegerlos de una forma racional y así evitar “matar moscas a cañonazos”. Ahora bien, es muy importante considerar el valor del activo teniendo en cuenta su “aportación al servicio” y no considerarlo de forma aislada. Es posible que algunos lectores consideren que esto es de perogrullo, y yo personalmente era consciente de ello (al menos en la teoría).

Hace relativamente poco viví una situación en la que se ve reflejada esta idea, que cuento a modo de anécdota pues creo que se trata de un ejemplo muy didáctico. Nos habíamos reunido unos amigos para tomar un café y charlar un rato, y al despedirnos acompañé a uno de ellos hasta donde había dejado su bicicleta. Mi amigo llevaba un casco “top”, lo cual me hizo pensar que llevaría una buena bicicleta. Al llegar al lugar, ahí estaba “el siniestro”… porque no se me ocurre otra forma de llamarlo. La bici tendría unos 20 años y costaba creer que aquello pudiera aguantar el peso de una persona; ¡desde luego era casi impensable que no se hiciera a pedazos al pedalear! Todavía quedé más sorprendido cuando vi el dispositivo antirrobo; ¡ese candado debía ser para barcos! Trataré de reproducir la conversación que mantuvimos:

— Carai tío, ¿dónde vas con eso?
— “Eso” es mi bici, es vintage y ahora está de moda (risas).
— Con lo que cuesta el casco y el candado te compras once.
— Si uso candados malos me la intentan robar cada dos por tres. La última vez rompieron la cerradura y no pudieron llevársela. Yo no pude abrirla tampoco. Al día siguiente tuve que venir con una cizalla y cortar la cadena.
— No creo que puedas cortar ese candado con una cizalla.
— Con este candado ni lo intentan.
— […]

Supongo que al igual que yo habréis pensado “Mata moscas a cañonazos”… y en parte lo sigo pensando, pero quiero darle una vuelta más de rosca. ¿Tenía sentido llevar aquel casco? Estaba claro que la aerodinámica no era el factor principal a tener en cuenta, sino que él pretendía incrementar la seguridad, su seguridad. Para ello invirtió en un casco que aportaba cierto valor añadido respecto a otros modelos “convencionales”: era más cómodo que los otros modelos, llamaba más la atención, era más visible y, por tanto, no sólo le otorgaba protección frente a golpes, también reducía su riesgo de accidente.

¿Y el candado? Trato de ponerme en el lugar del supuesto ladrón y la verdad es que se me quitan las ganas de llevarme la bici: “Demasiado esfuerzo para tan poca recompensa”. Eso considerando que estuviera la bici sola (que no era el caso). Viendo el resto de bicis, seguro que hubiera tratado de llevarme otra, en definitiva “buscar una presa más fácil”. Lo que vengo a decir es que el hecho de usar ese candado para proteger una bici de escaso valor dotaba al sistema antirrobo de un importante valor añadido: lo dotaba de una fuerte componente disuasoria. (Antonio Villalón nos comentaba recientemente algunas cuestiones sobre Disuasión y Ciberdisuasión).

¿Qué retorno de inversión puedes esperar cuando compras un casco? ¿Y cuando compras un mecanismo antirrobo? Estoy seguro que lectores habituados a establecer salvaguardas para los activos de su organización estarán pensando “el mecanismo de protección no debe valer más que el activo a proteger”, “la inversión en seguridad no debe superar el valor”,… al enunciar estas afirmaciones ¿estamos considerando el valor añadido que podemos obtener gracias a la componente “disuasión”?

¿Consideramos la aportación al servicio? Volviendo al ejemplo, si tratáramos de evaluar la inversión del casco posiblemente sería excesivamente elevada pero considerando el valor añadido (comodidad, reducción del riesgo de accidente, etc.) la inversión no parece descabellada. En el caso del candado ocurre algo similar: si evaluamos el coste del candado respecto al de la bici posiblemente nos encontremos ante un caso de “matar moscas a cañonazos” pero si tenemos en cuenta su valor añadido (disuasión) nos encontramos ante una decisión acertada.

No pretendo justificar la compra en el caso concreto que he comentado sino demostrar o al menos plantear que, antes de evaluar el beneficio que puede aportar una inversión, debe considerarse el servicio concreto ya que en algunos casos podemos descubrir que ciertos elementos aportan valor añadido cuando a priori, al considerarlos individualmente, ese aspecto no parecía evidente. Espero que os haya resultado interesante este enfoque para evaluar las inversiones en seguridad teniendo en cuenta el valor añadido que aporta la componente disuasión. Estáis invitados a compartir otras anécdotas/ejemplos que contribuyan a enriquecer esta pequeña reflexión.