Search Results for: cloud

Ocultos en la nube

11 de julio de 2012 Por

Por norma general, las empresas disponen de un catálogo dónde se describen los servicios que ofrecen a sus clientes. Sin embargo, no siempre se dispone de un catálogo de servicios interno que detalle los servicios que cada departamento / área presta al resto de la organización. Definir y documentar este segundo catálogo aporta múltiples ventajas que facilitan la gestión de dichos servicios.

Si tratamos de acotar el catalogo de servicios que ofrece el Área de Sistemas de Información (o Departamento de Informática, según cómo se quiera nombrar) veremos que es mucho más amplio de lo que en principio cabría esperar. Resulta complicado documentar este catálogo y también lo es mantenerlo actualizado.

Supongamos que el catálogo de servicios “estándar” incluye: correo electrónico, unidad de almacenamiento en red, acceso a internet, herramientas ofimáticas, ERP corporativo, acceso a la intranet, antivirus, etc. Estos servicios están “bajo el control” del área SI pero debido a la proliferación de los servicios en la nube, es posible que algunas áreas de la organización haga uso de servicios TI sin que el área SI esté al corriente. Este escenario se puede dar con mayor frecuencia de la que pensamos: imaginemos por ejemplo que el área de Marketing decide hacer uso de un servicio de almacenamiento en la nube para el intercambio de documentación relacionada con las funciones del área. Es posible que para hacer uso de este servicio no se requiera instalar ninguna aplicación cliente en la estación de trabajo o que algunos miembros de dicha área hayan instalado dicha aplicación en su dispositivo móvil personal. Al área de SI le resultará complicado detectar este tipo de servicios ocultos en la nube. De hecho, seguramente no conozcan de la existencia de dicho servicio hasta que un empleado del área Marketing reporte una incidencia indicando que ha perdido los folletos con las promociones de la campaña navideña que había dejado en el repositorio nombre_desconocido_por_el_área_TI.

Hacer uso de servicios cloud sin el conocimiento del área SI puede suponer un importante riesgo para la organización. Ésta es una de las cuestiones tratadas en el artículo Technology is not enough: Taking a holistic view for information assurance (Guy Bunker – CTO ExcecIA LLP, United Kindom) publicado en la revista Information Security Technical Report. Además, el artículo incluye una serie de consideraciones a tener en cuenta si se decide hacer uso de servicios en la nube. Aunque se trata de unas recomendaciones de carácter general, creo que pueden resultar interesantes. Aprovecho para desarrollarlas en lo que resta de entrada.

Punto 1: Formación y concienciación

Es posible que la Dirección haya aprobado una nueva la política permitiendo el uso de servicios en la nube, pero esto no significa que se pueda hacer un uso indiscriminado de este tipo de servicios. Es importante trasladar a los usuarios las implicaciones derivadas de la nueva política y sobretodo se deben comunicar cuáles son los procedimientos a seguir para solicitar acceso a estos servicios.

Punto 2: Establecer procesos para la adopción rápida y segura de servicios en la nube

El área de sistemas de información debe definir e implantar un proceso formal que agilice la adopción de servicios en la nube. Las unidades de negocio que optan a este tipo de servicios necesitan poder hacer uso de los mismos “ya” (no dentro de cuatro meses). Es importante sistematizar la evaluación de riesgos para que el área TI pueda dar una respuesta rápida a las demandas / necesidades del resto de áreas de la organización. En la medida en la que se logre dar una respuesta eficiente, se evitará que el resto de áreas busquen “atajos” o vías alternativas para saltar las restricciones de seguridad marcadas por el área SI.

Punto 3: Proveedores homologados y servicios susceptibles de ser llevados a la nube

Puede resultar conveniente mantener una relación de proveedores de confianza así como una lista de los servicios que, en un momento determinado, podrían ser provistos desde la nube. En relación a los proveedores, los criterios para confeccionar la lista pueden ser muy amplios, por ejemplo, considerar las certificaciones en materia de seguridad que disponga el proveedor, estudiar el “tipo” de cloud (ej: equipos ubicados en territorio nacional o en territorio europeo), etc. En lo que respecta a la lista de servicios, se deben considerar tanto los requisitos legales como otros criterios de negocio. Por ejemplo, no se externalizarán los servicios que traten datos de carácter personal a proveedores si su cloud se encuentra ubicado en países cuya legislación no sea equiparable a la de la Unión Europea; no se externalizarán los servicios que traten información de las líneas de I+D+i por tratase de una información estratégica de la organización, etc.

Punto 4: Cambios en el DRP y BCP

Es posible que al llevar un servicio a la nube sea necesario actualizar los Planes de Recuperación ante Desastres o el Plan de Continuidad de Negocio especialmente en lo que a las estrategias de recuperación se refiere. Si el servicio en cuestión es poco relevante para la organización quizás no sea necesario modificar dichos planes. Probablemente estas cuestiones ya estén recogidas en el plan de mantenimiento del propio del BCP (puede que no se haga referencia explícita a servicios en la nube pero sí se tendrá en consideración los cambios en los sistemas de información y las dependencias que existan con terceras partes) pero en cualquier caso, es un aspecto importante que no podemos pasar por alto.

Punto 5: Consideraciones sobre la gestión de activos (Gest. Configuración)

Se deben revisar los procesos y procedimientos asociados a la gestión de la configuración para comprobar que tienen en consideración los servicios en la nube. ¿Quién es el propietario del servicio?, ¿quién es el responsable de los activos asociados? Estas son algunas de las cuestiones que debemos plantearnos a la hora de definir y asignar las responsabilidades en relación a este tipo de servicios.

Punto 6: Auditoría

Verificar que los procedimientos de auditoría tienen en consideración los servicios en la nube. De no ser así, las auditorías podrían reflejar una falsa situación de cumplimiento cuando en realidad existen riesgos relevantes que no se están teniendo en cuenta.

Punto 7: Gestión de accesos

Se deben adecuar los procedimientos de gestión de accesos para que contemplen los servicios en la nube así mismo, también es necesario disponer de medios para revocar los permisos otorgados en caso de que el empleado abandone la empresa o bien se decida retirar el servicio.

Llegado a este punto, podemos pensar que la gestión del cloud no deja de ser la gestión de servicios externalizados y aunque es cierto que comparten muchas similitudes pero a su vez, hay ciertas particularidades a las que debemos prestar especial atención. Por ejemplo, tal y como se ha mostrado en el ejemplo del área de Marketing, los servicios cloud están al alcance de todos y es posible que se queden fuera del alcance del área SI. Por este motivo, creo conveniente dedicar un poco de tiempo para valorar las recomendaciones anteriores y así prevenir las consecuencias derivadas de tener servicios y/o riesgos ocultos en la nube.

[Sobre el autor]

Respuestas SIC: Protección de vanguardia ante APTs y DDoS (II)

6 de julio de 2012 Por

Continuando con la crónica de la jornada organizada por la Revista SIC: “Protección de vanguardia ante APTs y DDoS: Nuevos ataques, mejores defensas” la cual os empezamos a contar hace un par de días, en el siguiente bloque de la misma se abordaron las diferentes aproximaciones que diferentes fabricantes hacen con respecto a la protección frente a APTs y a ataques DDoS. Apuntar que se repitieron bastante entre todos los fabricantes dos palabras que actualmente están muy de moda: Correlación e Inteligencia.

BLOQUE 2: Aproximaciones de la industria
Check Point, Corero, Fortinet, HP, Stonesoft, Symantec y Trend Micro

Lo que la mayoría de fabricantes definió como ‘inteligencia’ era por un lado el hecho de disponer bases de datos centralizadas (bien globales, en cloud, o en cliente), que recopilaban información bien de clientes y/o procedentes de otras empresas u organismos con los que tienen acuerdos, información con datos sobre tendencias de ataques, sobre reputación de IPs o sobre reputación de los propios usuarios dentro de un cliente, nuevas vulnerabilidades, patrones de tráfico, comportamientos anómalos. En definitiva, recopilación de toda la información necesaria para hacer que se tenga una visión global de lo que está pasando para, con la retroalimentación de todos esos datos poder estar prevenidos frente a un ataque dirigido.

[Read more…]

Respuestas SIC: Protección de vanguardia ante APTs y DDoS (I)

4 de julio de 2012 Por

Recientemente tuvo lugar una nueva edición de “Respuestas SIC”, unas jornadas que periódicamente organiza la revista SIC y a las que tuve la oportunidad de asistir.

Esta edición tenía como título: “Protección de vanguardia ante APTs y DDoS: Nuevos ataques, mejores defensas” y tuvo tres bloques. En el primero, un especialista en protección de la información (Juan Miguel Velasco López-Urda) ofreció una charla sobre su visión ante la defensa frente a APTs. En el segundo bloque, siete fabricantes de seguridad TI (Check Point, Corero, Fortinet, HP, Stonesoft, Symantec y Trend Micro) explicaron sus orientaciones en materia de protección frente a APTs y DDoS. El tercer bloque contó con la participación del Centro Criptológico Nacional representado por su subdirector General Adjunto, Luis Jiménez Muñoz, y dos organizaciones privadas: Arsys (Olof Sandstrom Herrera, Director de operaciones y seguridad) y Telefónica Digital (Santiago Perez) y consistió en una mesa redonda en la cual se trató la visión de los usuarios/centros de competencia al respecto de los temas tratados (APTs y DDos) además de hablar sobre los escenarios actuales, limitaciones y necesidades futuras.

A continuación, en esta y sucesivas entradas realizaré una breve crónica de la jornada.

BLOQUE 1: Protección ante APTs y DDoS. Situación presente.

Juan Miguel Velasco López-Urda
Consultor Estrátegico de Seguridad y Cloud para Grandes Corporaciones

Juan Miguel comenzó mencionando, entre otros, que en 2014 se prevé que habrá más dispositivos conectados que habitantes en la Tierra (fuente: Gartner) —hizo hincapié en la tendencia en auge BYOD y en que ésto crea un perímetro que no se puede cerrar— y que actualmente los ciberataques según el World Economic Forum se encuentran en 4º lugar como potenciales riesgos globales en cuanto a probabilidad que puedan afectarnos (por detrás del aumento de emisiones de gases de efecto invernadero).

Definió las APTs (Advanced Persistent Threats) como una categoría de cibercrimen dirigido contra objetivos empresariales y gubernamentales cuya máxima es “atacar de manera lenta y silenciosa” y que son un tipo de servicio demandado por competidores, cazarrecompensas, gobiernos, servicios de inteligencia, etc.

Asemejó sus técnicas con técnicas de estrategia militar y mencionó Stuxnet, Aurora, Flame, Shady RAT, GhostNet, Night Dragon, Nitro, y la última ‘saltada a la palestra’ cuya misión es la búsqueda y robo de ficheros Autocad, Medre (creo que así se ha bautizado). Habló incluso de APTs para PC de usuarios con objetivo el robo de identidad.

Describió como fases por las que se pasa cuando se descubre una APT en un organismo las siguientes: Denial, Shock, Attribution & Retribution, Investigation & Discovery, Realization y Resolution. Según Juan Miguel, en España nos quedamos en las tres primeras fases (‘esto no me puede pasar a mi’,’estado de shock’,’echar las culpas’), y es algo que hay que cambiar.

Como principal vía de entrada para una APT habló del phishing dirigido y del BYOD como nueva puerta de entrada (además de otras puertas de entrada como fallos en el perímetro externo: Firewall, VPN Server, Proxy, aplicaciones web vulnerables, navegación web, perímetro interno: ingeniería social, USBs, …etc) y citó algunos precios reales de lo que costaría planear una campaña de APT:

  • RAT: Gratuito.
  • Servicio de phishing dirigido : Setup de 2000$, coste mensual de 2000 $.
  • Dos 0-day: 40.000 $.
  • Rent-a-hacker: unos 20.000 $ al mes.

Habló de los ataques de DDoS como método de distracción para llevar otros ataques más sofisticados y los caracterizó como ataques universales (te puede pasar donde sea, a quien sea y cuando sea), baratos, eficientes, impunes (gracias al anonimato que dan las botnets), de gran impacto, reiteradamente posibles y menospreciados.

Ante cómo defenderse frente a una APT comentó que los elementos tradicionales y de defensa han de ser desplegados, monitorizados en tiempo real y recopilados todos los logs para su análisis y almacenamiento. Al menos hay que tener todos los Proxy Logs, Authentication Logs, IDS alerts, HIDS logs, Firewall logs, Full content traffic captures, Netflow, aplicaciones (datos y errores) y auditoría con activación proactiva.

Algunas conclusiones extraídas de esta interesante charla del señor Velasco fueron las siguientes.

1) Frente a defensa de APTs:

  • Diseñar el perímetro (Firewalls, IPS, WAF, habló del cloud como protagonista como tercer perímetro y de la necesidad de monitorizarlo y auditarlo de manera periódica. Éste debe ser una extensión de nuestro perímetro exterior asumiendo nuestra política y reglas).
  • Implementar contramedidas antiDDoS (implementando un modelo híbrido cloud).
  • Implantar protección email (Antispam, email firewall).
  • Análisis de código Web y politicas de diseño Web y código.
  • Monitorizar toda la información que entra y sale.
  • Restringir el acceso a BYOD.
  • Segmentar la red y el acceso a los usuarios.

2) Sobre la situación actual respecto a APTs y DDoS, destacó que:

  • Cada día aparece nuevo malware, nuevos 0-day, nuevas vulnerabilidades… y nuevas APT aprovechándose de ello. Por otro lado los ataques DDoS son favorecidos por la proliferación de las botnets, y además comienzan a tener un ‘toque de sofisticación’ puesto que ya no son volumétricos, sino que también son dirigidos.
  • El perímetro comienza a perder los límites establecidos por el exceso de tráfico no catalogado, la heterogeneidad de las aplicaciones, la necesidad de que el usuario sea capaz de conectarse desde cualquier parte y a través de cualquier dispositivo. Por tanto se ha de redimensionar de manera adecuada este perímetro y sobre todo incluir monitorización en el mismo y correlación continua y gestionada. Además, los servicios en la nube podrían ayudarnos como una evolución de nuestro perímetro.
  • La incorporación de tecnologías antiDDoS, la simulación de entornos con SandBox virtuales y los analizadores de tráfico dinámicos no basados en firmas ayudarían en la ‘lucha’ contra las APTs y los DDoS.

En la tanda de preguntas resaltar la opinión de una persona que afirmó que es imposible parar BYOD; se trata de una tendencia imparable y que hay que elegir bien la tecnología y buscar un equilibrio. Otra persona comentó que a veces dudaba de si las vulnerabilidades las anunciaban los mismos que nos venden ‘la solución’: los fabricantes.

En definitiva, el bloque 1 de las jornadas, de la mano de Juan Miguel Velasco, aportó una visión muy clara sobre la situación presente ante las nuevas, avanzadas y persistentes amenazas que están presentes en el panorama actual. En la próxima entrada acabaré la crónica de esta jornada, con el bloque 2 y 3. Mientras, os lanzo una de las interesantes preguntas que surgieron a lo largo del día:

¿Creéis que los fabricantes de herramientas TIC están orientando de manera adecuada sus desarrollos con fines de seguridad y protección frente a las nuevas amenazas que se nos están viniendo encima?

[Sobre la autora]

BYOD

5 de junio de 2012 Por

BYOD, de sus siglas en inglés “Bring Your Own Device”, es una tendencia que consiste en permitir / fomentar el uso de dispositivos personales en el entorno de trabajo. Es decir, que sean los empleados quienes traigan sus “herramientas” para desempeñar sus labores del día a día. Se trata de una tendencia que se ha ido arraigando en las organizaciones y que ahora está en auge. Debido a las implicaciones que esto puede tener desde el punto de vista de la seguridad de la información, resulta necesario evaluar las ventajas e inconvenientes de está practica así como los riesgos que se derivan de la misma.

En la presente entrada, vamos a tratar algunas de las particularidades de BYOD y expondremos la opinión desde dos puntos de vista: Dirección y CSO.

Antes de hablar de los pros y contras de BYOD conviene concretar un poco más a qué nos referimos con éste término. Como podréis imaginar, los límites no se encuentran claramente definidos. En principio, cuando hablamos de Bring Your Own Device, hacemos referencia a que los empleados usen su dispositivo: Portátil, tablet, smartphone, etc. Pero el software con el que llevan a cabo sus tareas seguirá siendo el corporativo. Ahora bien, si los empleados aportan además del dispositivo, el software, entonces se utiliza el término BYOT (Bring Your Own Technology). Ya por último y, por si no fuera suficiente, también se está hablando de que los empleados traigan su propia “nube”. En estos casos, se habla de BYOC (Bring Your Own Cloud).

Ventajas

Una de las posibles ventajas de BYOD es que los empleados cuidan / tratan mejor los dispositivos por ser estos de su propiedad. En lo que respecta a la organización, la adopción de BYOD puede suponer un ahorro en lo que a la adquisición de terminales se refiere. No obstante, el debate en relación a este beneficio sigue abierto ya que está por comprobar si realmente el ahorro en la adquisición de terminales compensa el coste adicional derivado de la implantación de mecanismos para garantizar un nivel apropiado de seguridad.

También hay que valorar las ventajas que puede aportar desde el punto de vista de la movilidad. El empleado puede disponer de un entorno de trabajo en casa “muy similar” al que encuentra en la oficina. Por lo tanto, parece razonable pensar que BYOD resultará especialmente interesante para aquellas organizaciones que operen siguiendo un modelo de teletrabajo.

Al margen de lo citado, el aporte más interesante de BYOD tiene que ver con el hecho de que, en determinados tipos de puesto de trabajo, en los que el manejo de información y la generación de conocimiento es lo más importante, los usuarios no separan claramente la vida profesional de la personal. En esta situación, resulta mucho más cómodo utilizar un único dispositivo para ambos ámbitos y así evitar ir cargado con el móvil del trabajo, el personal, el portátil de la empresa, el iPad, etc. Ni que decir tiene que, si el usuario es techie, le encantará poder elegir exactamente el dispositivo que quiere (modelo, SO, versión del SO, color, aplicaciones instaladas, etc.). De este modo, BYOD se convierte más en un acuerdo que beneficia a ambas partes y una muestra de flexibilidad por parte de la empresa.

Inconvenientes

En mi opinión el principal inconveniente tiene que ver con la seguridad de la información. Si BYOD no se gestiona adecuadamente puede suponer una importante brecha en la seguridad de las organizaciones. De hecho, algunos expertos en la materia han “rebautizado” el acrónimo BYOD como: “Bring Your Own Disaster” o “Bring Your Own Danger”.

Resulta sencillo imaginar múltiples situaciones en las que BYOD pueda producir una fuga de información. Pongamos por ejemplo el caso más sencillo: “Un empleado que ha usado su portátil personal en el trabajo” y planteémonos las siguientes cuestiones: ¿Dispondrá este equipo de unas medidas de seguridad equiparables a las del resto de equipos de la organización?, ¿quién se encarga de velar por la seguridad de este equipo?, ¿qué ocurre si este empleado decide renovar su equipo y vender el antiguo?, ¿realizará un borrado seguro de los discos duros?, etc. Otra cuestión a tener en cuenta es que al tratarse de un equipo personal, es muy probable que éste sea usado por otras personas del entorno familiar, amigos, etc. Nuevamente esto supone un importante riesgo.

Al margen de los inconvenientes que BYOD pueda tener en relación a la seguridad, no hay que pasar por alto el calvario que puede suponer para los administradores de sistemas. Éstos se verán forzados a trabajar en un escenario heterogéneo de dispositivos cada uno con sus particularidades.

Comentarios y opiniones

He tenido la oportunidad de comentar este trending topic con personas de distintos ámbitos: clientes, proveedores, amigos y, por supuesto, con compañeros de S2 Grupo. Creo que os resultará interesante conocer las opiniones de tres personas en particular. Con su permiso, y a modo de cierre, las incluyo a continuación:

Jose Miguel Rosell – Socio Director de S2 Grupo.

¿Es BYOD una moda pasajera o por el contrario es el modelo al que van a tender las organizaciones?, ¿qué postura ha tomado S2 Grupo al respecto y cuál ha sido el factor más influyente?

Más que de moda yo hablaría de tendencia imparable. Es una realidad que venimos observando desde hace tiempo a la que se le ha puesto un nombre y, por tanto, no creo que, en términos generales, se trate de una moda a la que van a tender o no las organizaciones o de algo que puedan decidir las mismas. Es una tendencia que están adoptado los usuarios. Las organizaciones lo que hacemos es, en este tipo de casos, diseñar las políticas de uso de algo que de una u otra manera viene impuesto por la realidad de los usuarios. Es algo similar a lo que ha pasado con el uso de las redes sociales.

Las organizaciones nos tenemos que adaptar o sufrir las consecuencias. En este sentido S2 Grupo, como muchas otras organizaciones del mundo, está analizando qué política de uso debe diseñar atendiendo a las necesidades de una empresa que, en nuestro caso, tiene el agravante de ser una empresa de seguridad. En este sentido, en este momento, la respuesta a esta pregunta yo diría que no es trivial y que tengo que contestar que estamos analizando el riesgo que introduce esta tendencia en organizaciones que manejan información sensible y cómo mitigarlo. Desde luego no creo que en este tipo de compañías el factor influyente sea el coste, el factor, en mi opinión, más influyente va a ser el riesgo y la posibilidad de limitarlo. En resumen yo creo que tenemos que conformarnos, por ahora, con un sonoro y decepcionante “dependerá”.

Dependerá del tipo de organización y de la respuesta que la industria de la seguridad sea capaz de aportar para la incorporación, de una forma eficiente, de esta tendencia a las infraestructura TIC de las compañías.

Miguel Ángel Juan – Socio Director de S2 Grupo.

¿Qué cambios se tendrán que producir en la tecnología para que BYOD se extienda en las organizaciones conscientes de los riesgos de esta práctica?

Debemos diseñar un sistema que permita incrementar la seguridad de las organizaciones contando con el apoyo y respaldo de los empleados. Se deben establecer mecanismos que permitan al empleado separar de una forma sencilla, la información personal de la corporativa. Evidentemente, también será necesario aplicar controles para garantizar la seguridad de la información corporativa.

Es pronto para hablar de cambios concretos en la tecnología, pero desde mi punto de vista, la clave radica en involucrar al empleado. Convencidos de que este es el camino a seguir en S2 Grupo hemos iniciado MUSES. Un proyecto I+D cuyo principal objetivo es incrementar la seguridad corporativa reduciendo el riesgo introducido por las actuaciones de los usuarios. Aportaremos más detalles sobre nuestros avances en esta línea en futuras entradas.

Antonio Villalón – Director de Seguridad de S2 Grupo.

Hemos visto que BYOD puede entrañar muchos problemas de seguridad, ¿crees que oponerse rotundamente es adecuado?, ¿cómo podemos lograr un equilibrio entre seguridad / flexibilidad?, ¿alguna recomendación que permita reducir el riesgo sin matar moscas a cañonazos?

Oponerse rotundamente a algo casi nunca es adecuado :) Lo que desde Seguridad tratamos de hacer siempre es analizar cómo integrar una necesidad, en este caso BYOD, en la seguridad corporativa: es decir, no nos oponemos de entrada a BYOD, lo que trataremos de hacer será que esta tendencia no introduzca riesgos en la organización.

Lograr un equilibrio entre funcionalidad (o flexibilidad) y seguridad no siempre es sencillo; para aplicar medidas de seguridad sobre dispositivos personales necesitamos en primer lugar que el usuario esté de acuerdo (si no lo está, como mucho podremos denegarle el acceso a datos corporativos… o intentarlo), y eso no se consigue por una vía técnica sino por una vía de concienciación. Cuando alguien es consciente de que un robo, una pérdida o un ataque a su dispositivo pone en riesgo tanto su información personal como la información corporativa, y eso se le demuestra fácilmente, asume sin problemas medidas técnicas —por supuesto, siempre trataremos de ser lo menos intrusivos posible, salvo cuando no hay más remedio.

Como recomendación, una medida muy simple: apliquemos en los dispositivos personales las mismas restricciones que en los corporativos. Si estas medidas son proporcionales -y deben serlo en ambos casos- los usuarios las adoptarán sin problemas y no introduciremos riesgos significativos en nuestra organización.

Nueva encuesta & nueva sección

21 de marzo de 2012 Por

Tras casi dos meses de respuestas, hoy miércoles toca cambiar la encuesta del blog, y lo hacemos con un tema, el del cloud, que ya no sabe uno si está de moda, si está demodé, o si simplemente es que va lentamente atravesando la curva Hype Cycle de Gartner (el autor de la imagen es Jeremy Kemp):

[Read more…]

Crónica de la RootedCON · Día 2

9 de marzo de 2012 Por

(La foto es de Miguel Gesteiro, @mgesteiro en Twitter)

Seguimos con la crónica de la RootedCon 2012 con el segundo día de charlas. Después de una tarde-noche donde hubo algunos ataques de denegación de servicio contra varios asistentes (ya sabéis, el alcohol siempre será un 0day), empezó la jornada de la mano de Gerardo García Peña con Enfoque práctico a la denegación de servicio en la que nos habló sobre diferentes tipos de ataques de denegación de servicios y cómo evitarlos. Una de las soluciones que planteaba era la de migrar servicios a Akamai. A mí me gustó mucho uno de los comentarios que realizó uno de los asistentes, ya que puntualizó, que recibir un DoS estando alojado en Akamai se puede convertir en un gran problema económico, ya que Akamai cobra por tráfico.

[Read more…]

Día de la Protección de Datos en Europa

27 de enero de 2012 Por

Mañana, sábado 28 de enero de 2012, se celebrará el día de la Protección de Datos en Europa. Es la sexta vez que se celebra desde sus inicios en 2006 y por este motivo queremos tratar algunas cuestiones sobre este día.

¿De qué trata este evento?

El día de Protección de Datos en Europa es una jornada que tiene como objetivo de promover el conocimiento entre los ciudadanos acerca de cuáles son sus derechos y responsabilidades en materia de protección de datos. Esta jornada está respaldada por las autoridades de Protección de Datos de los estados miembros de la Unión Europea (por ejemplo, la AEPD), el Consejo de Europa y la Comisión Europea.

¿Por qué se celebra el día 28 de enero?

El Comité de Ministros del Consejo de Europa eligió esta fecha para conmemorar el aniversario de la firma del Convenio 108 del Consejo de Europa para la protección de personas con respecto al tratamiento automatizado de datos de carácter personal. Dicho convenio se firmó el 28 de enero de 1981 y establece las bases para la protección de datos en Europa.

[Read more…]

#5ENISE: una opinión

31 de octubre de 2011 Por

Ahora que ha acabado 5ENISE, a pesar de la limitada perspectiva que me da no haber podido acudir a todos los talleres que me hubiera gustado (imponderables mecánicos en unos casos, cansancio en otros, falta de tiempo, etc.) y de que es mi primera asistencia a este evento, me gustaría hacer una crítica rápida a lo que vi durante los dos días y pico que estuve allí.

[Read more…]

MaaS: Monitoring as a Service

4 de agosto de 2011 Por

En la era que vivimos, en la que el “All as a Service”, A3S, está en la portada de todas las publicaciones tecnológicas en compañía de conceptos como cloud, virtualización y seguridad, sorprende que aún sigan pasando cosas como las que hace algunos días se relataba en la noticia a la que nos referimos: “Un fallo eléctrico provoca la muerte de 11.000 pollos en una granja de Arévalo”.

Ya hace algún tiempo escribimos en este blog un post referente a una noticia similar sobre la disponibilidad de algunos servicios críticos (en este caso para la granja de pollos) y la importancia que éstos tienen para algunos individuos, en el que además apoyábamos la tesis de que disponibilidad es seguridad sin duda alguna, y si no que se lo pregunten a los difuntos pollos.

Partimos de la base de que la definición de “servicio crítico” e “infraestructura crítica” es siempre relativa. Para el dueño de la granja de “pollos”, que posiblemente tenga sus ahorros invertidos en la cría y cuidado de estos 11.000 pollos, el servicio de ventilación, y por tanto el suministro eléctrico, es un servicio crítico, al igual que “SU” granja es para él una “Infraestructura Crítica”. Si esto es así, ¿por qué en la era del “todo como un servicio” este buen señor o buena señora de Arévalo no dispone de un pequeño y barato servicio de monitorización en tiempo real de su suministro eléctrico y de la temperatura de su granja de pollos? ¿Estamos los profesionales del sector ofreciendo soluciones de seguridad acordes a las necesidades de nuestra sociedad? ¿Están nuestros centros de servicios de seguridad preparados para ofertar este tipo de servicios a la sociedad y proteger así los servicios críticos de las infraestructuras críticas de nuestros clientes? ¿Por qué los modernos centros de servicios de seguridad del S.XXI se circunscriben únicamente a la, sin duda importante, tarea de parar ataques cibernéticos desde otro continente? En mi opinión, los centros de servicios de seguridad deben, haciendo uso de la tecnología que tienen a su alcance, dar respuestas a los problemas de “inseguridad” de la sociedad en la que vivimos y desde luego la falta de disponibilidad de algunos servicios es un problema de “inseguridad”.

Desde este blog, y por tanto desde nuestro centro de servicios, argópolis®, apostamos por uno de esos nuevos conceptos de la era del A3S, del “all as a service”. Lo que podemos conocer con el término “Monitoring as a Service” (MaaS). Este tipo de servicio pretende popularizar los servicios de monitorización de infraestructuras críticas, no solo para las naciones, con su más que claro concepto de “Infraestructura Crítica” (Ley 8/2011 para la Protección de Infraestructuras Críticas), sino también para el “dueño de los pollos” que, bromas aparte, ha sufrido una pérdida en su negocio que podría haberse evitado con un servicio de monitorización en remoto de un coste extraordinariamente bajo prestado desde centros de servicios con infraestructura para hacerlo.

El artículo en cuestión hacía referencia a una pérdida directa por la muerte de los pollos de 21.000 euros. Otras fuentes elevaban la pérdida hasta los 40.000 euros si se tiene en cuenta el pienso ya comprometido para estos pollos y algunos asuntos adicionales relativos a los acuerdos de distribución de los mismos. Sea cual fuere la cifra, bien merecía la pena contratar un sencillo servicio de monitorización permanente de la temperatura de la granja de pollos, ¿no creen ustedes?

Resumen del IX Foro de Seguridad de RedIris en Valencia

14 de marzo de 2011 Por

Como sabrán, la semana pasada se celebró el IX Foro de Seguridad de Rediris en la Universidad Politécnica de Valencia, que ya presentamos en otra entrada con el lema “Seguridad en el Cloud Computing”, en las que S2 Grupo ha participado tanto como organizador como ponente. Este es un pequeño resumen de lo visto estas dos jornadas:

Sobrevolando el cloud computing. Seguridad y cumplimiento normativo.

Ramón Martín (Cloud Security Alliance, Autoritat Catalana de Protecció de Dades) nos hizo una breve introducción al Cloud Computing, enfocando las cuestiones relevantes en materia de seguridad de la información y definiéndolo como un modelo evolutivo de prestación de servicios, potenciado por distintos factores entre los que encontramos la conjunción de distintas tecnologías (virtualización, velocidad de acceso, uso dispositivos móviles), socialización de las tecnologías con un uso intensivo por parte de los usuarios y como casi siempre, la cuestión económica. Ramón nos mostró la arquitectura del cloud basada en componentes: características esenciales del servicio (acceso a red, velocidad, elasticidad), modelos de servicio (Saas, Paas, Iaas) y modelo de despliegue (publico, privado, publico, híbrido, comunitario) junto con distintas gráficas de beneficios, amenazas y retos existentes en el cloud.

La presentación está disponible para su descarga en la página del evento: descargar (PDF, 10.6MB)

[Read more…]