Sevilla Sec&Beer

Esta semana, la buena gente del INTECO organiza la semana de la seguridad con el objetivo de promover y concienciar y otras cosas que ya @olyoly nos ha convencido de que no sirven para nada son muy útiles.

Es por ello que desde Sevilla Sec&Beer queremos contribuir proponiendo medidas acordes para que, durante esa semana, celebréis el éxtasis de la seguridad en vuestras organizaciones.

• Activar el salvapantallas con contraseña de todos los equipos para que salte cada cinco minutos (aunque haya actividad)
• Hacer que las contraseñas cambien obligatoriamente cada día y que incluyan números, letras, mayúsculas, símbolos y un carácter klingon
• Borrar cada día de forma aleatoria ficheros de los servidores, para ver si alguien se queja y para probar las copias de seguridad, que luego cuando pasa de verdad viene el tiempo de llorar
• Aplicar listas blancas en el proxy, dejando inicialmente la web de la organización y poco más, exigir que se solicite formalmente el acceso para cada nueva web
• Eliminar todos los permisos de los usuarios privilegiados y que tengan que justificar su ‘necesidad de conocer’
• Infectar equipos de la organización con virus y gusanos para comprobar la fiabilidad de los sistemas antivirus
• Hacer ataques de phishing a los empleados solicitando que introduzcan datos personales, contraseñas, tarjetas de crédito y luego creando una sección de la intranet en la que se publiquen los más pringados, por aquello de la concienciación graciosa
• Desactivar todas las aplicaciones web que no hayan pasado recientemente un análisis de seguridad… ups, que son todas… qué le vamos a hacer, todo sea por la celebración
• Cambiar todas las contraseñas de root y Administrador y sorprenderte al ver cuánta gente/scripts las usan
• Enviar las alertas del IDS a la cuenta del Director/Consejero/Comité o lo que esté más arriba de vuestra organización para que tenga muy presente las amenazas a las que está expuesto o, por lo menos, que se acojonen un poco

En definitiva, es un gran momento para demostrar a todos el valor de la seguridad.

Me despido deseandoos feliz semana de la seguridad a todos y ya nos contaréis qué habéis hecho para celebrarla.

Hola ¿qué tal?,

el otro día chmeee nos hablaba de concienciación de usuarios en uno de sus Lunes Desmotivadores y citaba a Ranum:

“la concienciación de usuarios no funciona ni funcionará nunca porque, de hacerlo, ya hubiera funcionado”

Ayer uno de nosotros sec&beerreros twiteaba lo siguiente:

“hoy un reputado profesional de la infosec me ha dicho “la concienciación de los usuarios es una batalla perdida” …

Pues a Ranum, al reputado profesional (desenmascarado hoy por @adaecjl) y a todo el que sostenga eso, yo le respondo “y un carajo!“. No digo que sea una batalla perdida, digo que no podemos saber si lo es. Es una batalla que nunca hemos luchado en serio.

Chmeee decía:

“Uno de los principales escollos es la falta de conocimientos del usuario normal respecto a las tecnologías que utiliza y a los riesgos que supone”.

Pues yo digo:

“Uno de los principales escollos es la falta de conocimientos de los profesionales de la infosec respecto al ser humano, a las relaciones interpersonales, a la forma en que pensamos, sentimos, aprendemos y actuamos dentro de una organización.”

Os imagináis que las campañas de seguridad vial las diseñaran los mismos ingenieros y mecánicos que diseñan los airbags, los ESPs, el ABS y las estructuras deformables???  ¿Pensáis que las campañas de prevención del tabaquismo las diseña un cirujano especializado en pulmón?  Pues esto es lo que hacemos en seguridad de la información, al menos es lo que yo he vivido.

Y hombre… los reputados profesionales de la seguridad son buenos en su campo, pero quizá no son buenos en otras áreas profesionales del terreno de las ciencias sociales. Cuando nosotros hablamos de concienciación, a un experto de este campo le debe sonar igual que cuando nosotros escuchamos a un psicólogo hablar de firma electrónica….

Si todos estamos de acuerdo en que la gestión de la seguridad se debe basar en el modelo de Personas, Procesos y Tecnología (PPT), en cualquier departamento de seguridad o proveedor de servicios de seguridad deberíamos encontrar:

• psicólogos, sociólogos, pedagogos, expertos en comunicación y marketing, etc (Personas)
• juristas, expertos en organización, administración y gestión empresarial, etc (Procesos)
• Ingenieros y técnicos (Tecnología)

Por deformación profesional, cuando hablo de seguridad de la información, me refiero a seguridad de la información corporativa. Es decir, a la disciplina que trata de garantizar que la organización (ya sea empresa, administración, asociación, etc) protege su información con el fin de que la consecución de sus objetivos se cumpla con eficiencia.

En el ámbito de la seguridad corporativa y partiendo del mantra PPT la solución al problema completo únicamente la encontrará un equipo multidisciplinar.

Y ahora por 25 pesetas, díganme organizaciones con equipos de seguridad multidisciplinares. Por ejemplo  ******  un, dos, tres, responda otra vez…

Recientemente, en declaraciones a Sevilla Sec&Beer, un alumno de la Universidad Politécnica de Madrid, al que llamaremos Federico Nanas para mantener su anonimato, ha confesado el verdadero origen del Esqsuema Nacional de Seguridad.

Todo comenzó cuando el profesor Mañas pidió a sus alumnos, una vez más, “otro coñazo trabajo de clase para desarrollar sus locuras personales“. Esta vez se trataba de crear un marco de trabajo de gestión de la seguridad para la Administración Pública. “No es la primera vez que nos pide que le haggamos trabajos inocentes que acaban siendo estándares” dijo Federico refiriéndose a la famosa metodología de análisis de riesgos MAGERIT.

Un grupo de alumnos, cansados ya de esta situación de explotación universitaria, quisieron vengarse del profesor redactando lo que llamaron el Engendro Nacional de Seguridad (ENS). Con ello pretendían burlarse de todos los sistemas de gestión de seguridad, creando un cutrepaste traducido de varios estándares.

“Decidimos hacerlo enrevesado, con complejas valoraciones que luego resultan inútiles. Dimos mucha importancia al análisis de riesgos (sin nombrar MAGERIT para que no se notara mucho) e incluimos definiciones de responsabilidades difusas a propósito, para que no hubiera por donde meterle mano” nos confesaba otro miembro de grupo de trabajo. “Total, sólo era un trabajo de clase“.

Según hemos investigado, los alumnos ya le tienen cogido el estilo al profesor Mañas y saben que, mientras más enrevesado presenten los trabajos, mejor. “Lo que más valora es que haya muchas tablas con valoraciones, todo debe ser muy analítico, aunque las valoraciones sean imposibles de medir o inútiles“. Y, efectivamente, Federico nos contó que su grupo sacó la mejor nota de la clase.  El resto es historia.

“Si llegamos a saber que iba a acabar siendo un Real Decreto nos lo habríamos currado un poco más” fueron las últimas palabras, a modo de excusa, de este alumno.

Igual es una manía mía pero no me gusta nada que se hable de la seguridad integral. La seguridad es la seguridad. El pan es integral.

De hecho, decir que la seguridad es integral o que se hace un enfoque integral de la seguridad es… simplemente… falso. Por varias razones:

• Nadie sabe a qué se refiere, por lo que es un palabro de marketing para rellenar y dar rimbombancia.
• No aporta nada, no sólo porque no significa nada sino porque tampoco lo ves luego reflejado en lo que sea que te intenten vender.
• Cada cuál entiende una cosa distinta, por lo que desinforma más que informa.
• La seguridad integral no tiene más salvado que la seguridad blanca.

Algunos diréis que si integral significa que aplica a todo y que es global y tal y cual y me parece bien… pero yo no lo voy a usar y me seguirá chirriando cuando lo vea escrito. Ya digo… es una manía.

En la tarde de ayer repusieron El club de los poetas muertos en una de las decenas de cadenas que emiten en TDT.

Al volver a ver la escena que os enlazo arriba, no pude evitar hacer mentalmente el paralelismo entre el discurso de Keating sobre el estudio de la poesía con los Sistemas de Gestión de la Seguridad.

“No se trata de tuberías, hablamos de poesía…” Amén, eso mismo digo yo.

Así qué… cojan la ISO 27000 y… “quiero que arranquen esa página…” ,”…en trocitos pequeños, que no quede nada“.

La moraleja, (para responsables de seguridad): aprended a pensar por vosotros mismos… tirad vuestras ISO’s y sacad del cajón vuestra experiencia, vuestro sentido común y vuestra intuición… y por favor, poned un poco de pasión.

No olvides nunca “… que prosigue el poderoso drama y que tu puedes contribuir con un verso, ¿cuál sería su verso?”

El otro viernes iba yo paseando por la calle en la sobremesa cuando vi pasar a dos colegas con alguna copita de más (típico de los viernes tarde). Iban andando apoyándose uno en el otro.

Total, que el primero le dice a su colega: “bla bla bla… eso es indefendible” y el colega le responde “indefendible, monstruo“. Y después ”bla bla bla… eso es indefendible” y el colega le vuelve a responder “indefendible, monstruo“. Y así parece que seguía la cosa en un bucle infinito.

Por un momento pensé “¿hay un secandbeer alternativo del que no nos hemos enterado??“. Pero bueno, supongo que hablaría de su jefe, de su mujer, de su político favorito o vete tú a saber.

En cualquier caso, me quedo con “indefendible, monstruo” que resonará en mi cabeza cada vez que oiga describir algún entorno de sistemas de información kafkiano (¿es que los hay de otro modo?). Qué poder de síntesis, cómo transmite a la vez una realidad, una frustración, una crítica y una llamada a la catarsis por fuego (como diría @Vic).

Desde aquí os reto a lanzar este mantra en la próxima reunión con vuestro jefe, responsable, cliente o proveedor: “¡esto es indefendible, monstruo!“. Igual así le hacéis comprender y asimilar lo que sentís al ver las barbaridades que se hacen a menudo y que, para qué engañarnos, no hay quién proteja a posteriori.

El título es solo para captar la atención no os creais que estoy enfadado . Pero sí que estoy harto de escuchar que la seguridad cuesta dinero…. de escuchar que no tenemos presupuesto para mejorar la seguridad o que si quieres que los sistemas además de funcionar sean seguros pues me tienes que dar más pasta…

Primero, asegurar no es una opción. Si eres director/gestor/gerente/jefe de servicio, tu obligación es que los productos y servicios que proporcionas sean seguros y al menor coste. ¿Cómo? tu sabrás que para eso te pagan.

Y sino explícale a tu cliente/usuario “mira no que…. ejem… con tal de que puedas sacar dinero del cajero vamos a asumir el riesgo de que de cada 1000 billetes se pierda 1….”, o “mira es que… con tal de que podamos atenderte en este hospital vamos a asumir el riesgo de que tu historia clínica aparezca publicada en internet…” o “mira es que… bueno… lo mismo alguien puede entrar en nuestra base de datos y modificar tu declaración de la renta… pero si quieres que esto no pase pues nos pagas más impuestos y lo arreglamos”.

Si le preguntas a tu cliente te dirá que quiere las dos cosas: el servicio funcionando y de forma segura. Te dirá que si no sabes hacer bien lo que haces dejes de hacerlo. Es lo que dicta el sentido común…

Es responsabilidad de un gestor TI tener unos servicios TI seguros y punto. Con el dinero del que dispongas y si piensas que hay que llegar a un equilibrio entre funcionalidad y seguridad, expónselo a tus clientes, usuarios, contribuyentes o accionistas a ver que opinan ellos… O quizá las organizaciones deban contratar un CIO que tenga conocimientos en gestión de la seguridad, lo cual desde mi punto de vista debería ser requisito indispensable para un CIO pero ese es otro tema…

Dicho esto, no creo que para mejorar la seguridad de una organización sea necesario gastar mucho dinero extra.

Me pregunto ¿cuál es el precio de estar en forma? puff pues depende ¿no?

• Opción 1: unas zapatillas de 30€ + 1 camiseta de 5€ + pantaloncitos cortos 5€ y ale… a correr por la calle cada día media hora. Total del coste 40€ al año y media hora al día. Esa media hora evidentemente se la restas a la media hora de sofá no a otras tareas productivas.
• Opción 2: me apunto al gimnasio más cool de la ciudad 80€/mes; además entrenador personal otros 80€/mes; le sumo el fisio que me alivia el estress post-ejercicio 30€/semana; la ropita hightech que hace que sudes pero estés seco y oliendo a rosas y zapatillas con muelles que parezca que andas sobre algodones 150€; todas las bebidas isotónicas, complementos vitáminicos y barritas energéticas que vendan en el gim 30€/mes… y bueno en tiempo media hora improductiva al día más el ir, aparcar, tomarte algo con los compañeros de bodypumping al salir. Total unos 4000 €/año.

Pues a la hora de mejorar la seguridad de la información en una organización es lo mismo… Asegurar no es necesariamente hacer más cosas, sino hacer las cosas de otra manera, hacer las cosas mejor. Una organización es segura cuando todos sus miembros prestan atención a los detalles.

Habrá medidas costosas y tecnologías caras que hacen maravillas, pero ¿por qué empezar por lo más caro? No tener presupuesto no es excusa, se pueden hacer muchas cosas para mejorar a coste 0. Y también se pueden reorganizar las inversiones y dejar de despilfarrar dinero en chorradas, pero eso también es otro tema…

En resumen, creo que para asegurar la información solo es necesaria una cosa: VOLUNTAD de asegurar la información.

Ea ya está… me voy a trotar media hora bajo la lluvia…

Todo está lleno de hijos de puta.

¿Son inútiles y sus decisiones son guiadas por la ineptitud y la falta de profesionalidad? o ¿son muy listos y se guían por intereses personales llenándose los bolsillos a nuestra costa? Tengo el estómago revuelto…

Sentí que quería poner una bala entre los ojos a cada panda que no follara para salvar la especie. Quería abrir las válvulas de vaciado de los petroleros y arrasar todas las playas francesas que nunca vería. Quería respirar humo. Deseaba destruir algo bello.

El club de la Lucha.

Pero no perdamos la esperanza… ya pasarán sus caracoles por mi rancho….