Una constante en cualquier auditoría es que se repiten las excusas de “pero esto lo vamos a cambiar“, “está en proceso de migración“, “mejor esperamos a que esté operativo tal o cual nuevo sistema“. Vamos, que todo está siempre en continuo cambio.

Y el cambio, como ya sabemos, es un problema para la seguridad si no está relativamente controlado. Pero de lo que va este artículo es de usar el cambio como excusa para retrasar (normalmente indefinidamente) alguna actividad de seguridad.

Puede aparecer de dos formas. La que he comentado antes de esperar para efectuar algún tipo de revisión y la de esperar para implantar alguna medida de seguridad.

La excusa es bastante razonable y suele calar en los responsables que atienden a ella. Pero hay una mentira subyacente y es que… siempre hay cambios, con lo cual el estado al que se propone esperar para efectuar la actividad de seguridad no va a llegar nunca.

Para reflejar esto he hecho el lunes desmotivador de esta semana, esta vez inspirado en el cine español, que ha estado injustamente ausente en los anteriores.

Pues eso, está claro que, al ritmo que van las tecnologías de la información en una organización, todo cambia continuamente y eso no nos debe impedir implantar medidas de seguridad.

Por otro lado… a veces pasa que el cambio que viene y viene y la migración que migra y migra pero… pasa el tiempo y no cambia nada por esto o por aquello.

Por eso, actuemos sobre lo que hay hoy y, si cambia, pues al menos  hemos aprendido y lo haremos mejor en la siguiente versión. Y, además, sabremos que requisitos imponer incluso antes de que cambie.

Por último, relacionado con el asunto del cambio, está claro que eso supone un desafío para la gestión de la seguridad si no está controlado y documentado… ¿O conocéis algún mapa de red actualizado?

La triste realidad es que todo el mundo tiene vulnerabilidades de seguridad. Algunas más fáciles de descubrir, otras más difíciles. Algunas más fáciles de arreglar y otras más difíciles.

En el conocimiento y tratamiento de vulnerabilidades ocurren procesos psicológicos interesantes. Para empezar, aunque todo el mundo te diga que está muy interesado en la seguridad y en conocer sus vulnerabilidades. Sin embargo, a nadie le gusta que se conozcan sus debilidades, por lo que no siempre muestran alegría con los resultados.

Otro interesante efecto es ver la solución de las vulnerabilidades como algo complejo cuando, la mayor parte de las veces, no lo es tanto. Incluso las de desarrollo, que parecen las más complejas, tampoco es para tanto.

Por último, ya sea por falta de tiempo, recursos, conocimientos, dinero o prioridades puede ocurrir que te dé igual qué vulnerabilidades tengas porque no las vas a arreglar, de todas formas.

En definitiva, el viejo dicho de que el conocimiento os hará libres no siempre aplica y es tristemente descorazonador ver que realmente ocurre lo contrario.

He pretendido reflejar esta situación en este nuevo lunes desmotivador que, tras un cierto periodo de ausencia, vuelve para recordarnos a todos lo vulnerable que somos, queramos saberlo o no.

¿Qué es peor, la ignorancia o la indiferencia? ¿Quién lo sabe? ¿A quién le importa?

La sensación de seguridad es algo psicológico que, en muchos casos, viene erróneamente dada por la ignorancia o la indiferencia hacia este tema.

Para aquellas personas que, además, son responsables de sistemas de información, he hecho un pequeño checklist en el que resumo algunas actividades que considero que son esenciales para no sentirse completamente inseguro.

Por lo tanto, no estas seguro si…

  • Crees que no eres un objetivo para nadie
  • Nunca has sufrido una auditoría
  • Cualquiera puede saber más que tú de tus entornos con un simple nmap
  • Crees que tu [cortafuegos|WAF|IDS/IPS] te va a servir de algo
  • Te fías de tus usuarios, administradores y desarrolladores
  • Ni tú ni nadie mira los logs de tus sistemas y aplicaciones
  • Pones en producción servicios cuya seguridad no ha analizado nadie
  • Crees que el [documento de seguridad|plan de seguridad|plan de adecuación|etc.] desde tu estantería te protege automágicamente
  • Piensas que únicamente el (poco) personal de seguridad es responsable de la seguridad de tu infraestructura
  • Te sientes seguro

Por supuesto esto no es un listado completo, ¿qué más añadirías?

Cada incumplimiento dios mata un gatito

 

Una de normativas de seguridad… La semana pasada organizamos otro curso sobre el ENS. La actividad salió razonablemente bien, un enfoque práctico fundamentalmente sobre los primeros pasos de la adecuación. Al final de la última sesión se abrió un poco el debate y surgieron algunas dudas. La última pregunta que hizo uno de los asistentes a modo de despedida fue:

Pero… ¿si no cumples el ENS que pasa?

Me pareció una buena pregunta, aunque capciosa.
La respuesta os la podéis imaginar: ocurre lo mismo que si se incumple cualquier otro Real Decreto.


¿Y que ocurre cuando se incumple un RD? bien… situémonos: península ibérica, siglo XXI, reino de Españistan, Belen Esteban, el de los trajes, los de los EREs, las cajas de ahorros, el FROB y la madre que nos parió… en fin sobra decir que pasa cuando se incumple la ley. Nos vamos a preocupar ahora de una administración que no tiene política de seguridad… me da la risa y se me descuelga un güevo.

Y es que ya lo dice Supernanny… no impongas un castigo que sabes que no vas a poder hacer cumplir… Dado nuestro entorno creo que el ENS debería haber sido lanzado como metodología y no como norma por Decreto. Reforzado con medidas de apoyo a las administraciones y con una fuerte campaña de sensibilización.
Hubiera sido una buena excusa para actualizar MAGERIT con el fin de que pueda ser usada por terricolas.

La anterior reflexión es válida, suponiendo que estamos lo suficientemente desenfocados como para tener el cumplimiento legal como un fin en si mismo. Cuando desde mi punto de vista, debería ser un medio.

El fin es la correcta gestión de la seguridad dentro de una Administración Pública. Para que las personas que depositan en ella su confianza (y sus impuestos), tengan garantizado que se manejarán sus datos personales como merecen y que se les proveerán los servicios públicos con las garantías de seguridad que requieren.

Bajo esta óptica ¿qué pasa si no cumplimos el ENS? Entendiendo por cumplir: la interiorización en la médula de la organización de los principios básicos, el cumplimiento de los requisitos mínimos y la implantación de las medidas de seguridad adecuadas. Pero de verdad, no hablo de hacer el paripé del cumplimiento y el mamoneo habitual.

Pues, lo que pasará es que se producirán con más frecuencia de la admisible situaciones como:

  • que al hacer la matricula por internet para la universidad el sistema falle, no garantizando la integridad de los datos y entres en un infierno burocrático para solventar el problema
  • que vayas al médico y este no te pueda atender porque tu historia clínica telemática no está disponible
  • que tus datos personales acaben en un contenedor de reciclaje en la calle y puedan ser vistos por cualquiera
  • que el día antes de hacer la declaración de la renta la web del ministerio esté saturada y no lo puedas hacer en plazo
  • que se extienda un virus informático por una sede y tengan que usar el dinero de tus impuestos para contratar a alguien que desinfecte todo mientras la actividad de la sede se paraliza
  • que una empresa licitadora consiga información privilegiada y no se cumpla el principio de igualdad en la contratación pública
  • que tu primo el que trabaja en una delegación, te haga el favor y consulte el expediente X que afecta a tu vecino al que no puedes ni ver por curiosidad sana, ya que desde la aplicación de tramitación lo puede hacer sin dejar rastro
  • que una mafia rusa use servidores y conexiones que pagas tu con tus impuestos, para colgar una web de phising o de venta de porno por internet o un reenviador de spam.
  • etc, etc, etc, etc
Podríamos seguir, pero supongo que es suficiente.¿Qué pensáis vosotros? ¿Qué ocurre si se incumple el ENS?

Mojon

Buenas y calurosas tardes de verano… hace unos días leí un magnifico post de Jack DanielInfoSec’s misunderstanding of business.

Quizá no sea tan magnifico, pero es una de esas veces en las que lees escrito algo que tu piensas y dices “eehh que no estoy solo. No soy el único que ve al rey desnudo.”

Como tengo poco más que añadir me voy a limitar a traducir aquí el post (para aquellos a los que no les apetezca leer en la lengua de Shakespeare y la reina madre que los pario).

Infosec, malentendiendo el negocio

Lo habrás oído hasta la saciedad, “si nosotros profesionales de la seguridad queremos ser tomados en consideración, debemos comprender el negocio y hablar del valor de la empresa, y bla, bla, bla”. Esto, amigos míos, es mierda. Una todavía humeante mierda en el prado en una mañana de primavera.

¿Quieres avanzar en tus objetivos? Necesitas comprender la codicia y el miedo, la codicia y el miedo de los que controlan los recursos. Entender el negocio de tu organización solo funciona si los lideres de tu organización lo entienden también y no están atados y/o cegados por los objetivos mensuales/trimestrales.

¿No me crees? Echa un vistazo a la industria bancaria, o a la industria americana del automóvil y a cualquier área que conozcas. La gente que conoce el negocio vio el tren venir y trataron de avisar y alertar sobre ello, pero fueron ignorados o algo peor. Comprender el negocio solo conduce a la frustración, porque los que dirigen la organización, ni entienden el negocio (aunque tengan MBAs) ni se les permite actuar para el beneficio de la organización en el largo plazo.

Si quieres mejorar la seguridad de tu organización, debes comprender como funciona tu organización, no como debería funcionar. Tienes que conocer lo que alimenta y lo que asusta. Y por desgracia esto no suele tener que ver con el negocio de la organización.

Sí, ya se que suena un poco amargo y deprimente, pero está bien. El sistema está roto lo justo para funcionar (exactamente igual que la seguridad de la información).

Plas, Plas, Plas, ¡aplauso sonoro! A mi también me da la risa cuando se nos llena la voca hablando del enfoque al negocio de la seguridad de la información. ¡Pero qué negocio ni qué niño muerto! Si aquí el único negocio es el “coge el dinero y corre”…

Si lo se…  yo también estoy muy negativo, llevo un tiempo pensando que necesito un cambio de aires, pero aun no me veo capaz de mantener mi propio huerto… Todo se andará.

 

wake up mother fucker

 

El título es solo para captar la atención no os creais que estoy enfadado :). Pero sí que estoy harto de escuchar que la seguridad cuesta dinero…. de escuchar que no tenemos presupuesto para mejorar la seguridad o que si quieres que los sistemas además de funcionar sean seguros pues me tienes que dar más pasta…

Primero, asegurar no es una opción. Si eres director/gestor/gerente/jefe de servicio, tu obligación es que los productos y servicios que proporcionas sean seguros y al menor coste. ¿Cómo? tu sabrás que para eso te pagan.

Y sino explícale a tu cliente/usuario “mira no que…. ejem… con tal de que puedas sacar dinero del cajero vamos a asumir el riesgo de que de cada 1000 billetes se pierda 1….”, o “mira es que… con tal de que podamos atenderte en este hospital vamos a asumir el riesgo de que tu historia clínica aparezca publicada en internet…” o “mira es que… bueno… lo mismo alguien puede entrar en nuestra base de datos y modificar tu declaración de la renta… pero si quieres que esto no pase pues nos pagas más impuestos y lo arreglamos”.

Si le preguntas a tu cliente te dirá que quiere las dos cosas: el servicio funcionando y de forma segura. Te dirá que si no sabes hacer bien lo que haces dejes de hacerlo. Es lo que dicta el sentido común…

Es responsabilidad de un gestor TI tener unos servicios TI seguros y punto. Con el dinero del que dispongas y si piensas que hay que llegar a un equilibrio entre funcionalidad y seguridad, expónselo a tus clientes, usuarios, contribuyentes o accionistas a ver que opinan ellos… O quizá las organizaciones deban contratar un CIO que tenga conocimientos en gestión de la seguridad, lo cual desde mi punto de vista debería ser requisito indispensable para un CIO pero ese es otro tema…

Dicho esto, no creo que para mejorar la seguridad de una organización sea necesario gastar mucho dinero extra.

Me pregunto ¿cuál es el precio de estar en forma? puff pues depende ¿no?

  • Opción 1: unas zapatillas de 30€ + 1 camiseta de 5€ + pantaloncitos cortos 5€ y ale… a correr por la calle cada día media hora. Total del coste 40€ al año y media hora al día. Esa media hora evidentemente se la restas a la media hora de sofá no a otras tareas productivas.
  • Opción 2: me apunto al gimnasio más cool de la ciudad 80€/mes; además entrenador personal otros 80€/mes; le sumo el fisio que me alivia el estress post-ejercicio 30€/semana; la ropita hightech que hace que sudes pero estés seco y oliendo a rosas y zapatillas con muelles que parezca que andas sobre algodones 150€; todas las bebidas isotónicas, complementos vitáminicos y barritas energéticas que vendan en el gim 30€/mes… y bueno en tiempo media hora improductiva al día más el ir, aparcar, tomarte algo con los compañeros de bodypumping al salir. Total unos 4000 €/año.

Pues a la hora de mejorar la seguridad de la información en una organización es lo mismo… Asegurar no es necesariamente hacer más cosas, sino hacer las cosas de otra manera, hacer las cosas mejor. Una organización es segura cuando todos sus miembros prestan atención a los detalles.

Habrá medidas costosas y tecnologías caras que hacen maravillas, pero ¿por qué empezar por lo más caro? No tener presupuesto no es excusa, se pueden hacer muchas cosas para mejorar a coste 0. Y también se pueden reorganizar las inversiones y dejar de despilfarrar dinero en chorradas, pero eso también es otro tema…

En resumen, creo que para asegurar la información solo es necesaria una cosa: VOLUNTAD de asegurar la información.

Ea ya está… me voy a trotar media hora bajo la lluvia…

Como ejemplo del cambio mínimo necesario os contaré una historia sobre cómo enfocan algunos la implantación del Esquema Nacional de Seguridad.

Lo que dice el ENS es esto, que incluyo integramente para que participéis en el ejercicio.

Disposición transitoria. Adecuación de sistemas.

  1. Los sistemas existentes a la entrada en vigor del presente real decreto se adecuarán al Esquema Nacional de Seguridad de forma que permitan el cumplimiento de lo establecido en la disposición final tercera de la Ley 11/2007, de 22 de junio. Los nuevos sistemas aplicarán lo establecido en el presente real decreto desde su concepción.
  2. Si a los doce meses de la entrada en vigor del Esquema Nacional de Seguridad hubiera circunstancias que impidan la plena aplicación de lo exigido en el mismo, se dispondrá de un plan de adecuación que marque los plazos de ejecución los cuales, en ningún caso, serán superiores a 48 meses desde la entrada en vigor.
  3. El plan indicado en el párrafo anterior será elaborado con la antelación suficiente y aprobado por los órganos superiores competentes.

Lo que dice está bien claro. Tienes un año para implantar los requisitos y medidas del ENS. Si quedan flecos (“hubiera circunstancias que impidan la plena aplicación de lo exigido“) se deberá disponer de un plan de adecuación que indique los plazos, que no podrán ser superiores a cuatro años desde que se publicó el ENS.

Lamentablemente, en el ámbito en que me muevo (aunque me da la impresión de que será así en muchos otros sitios) se ha entendido lo siguiente:

  • Que hay que tener, como mínimo, un plan de adecuación antes de enero
  • Que hay cuatro años (a partir de enero de 2011) para implantarlo

Debido a ello, realmente nadie ha empezado todavía a adecuarse al ENS (¿alguien me da pruebas de lo contrario?). Lo peor de todo es que realmente muchos no tienen esta sensación por haberlo leído directamente, sino porque lo han oído de terceros, en muchos casos empresas con afán de vender el susodicho plan de adecuación al estilo “coge el dinero y corre”.

La verdad es que la disposición transitoria de adecuación es desacertada, dando lugar a la situación actual. Igual podrían haber establecido otro tipo de plazos, más escalonados, de implantación.

En cualquier caso, viendo como se interpreta esta disposición (que es bastante clara), ¿cómo interpretarán otras medidas y requisitos mucho más ambiguos? Miedo da.

Genial este poster de la KiwiCon III.

Hackers don't give a shit
Lamentablemente no se ven todos los puntos. Voy a intentar traducir los que pueden leerse.

A los hackers les importa un carajo:

  • que sea un sistema heredado
  • que sea demasiado crítico para actualizarlo
  • tus ventanas de parada de servicio
  • tu presupuesto
  • que lo hayas hecho siempre así
  • tu fecha de puesta en producción
  • que sea sólo un piloto/prueba de concepto
  • tus acuerdos de no divulgación
  • que no fuese un requisito del contrato
  • que sea un sistema interno
  • que sea muy difícil de cambiar
  • que esté pendiente de ser re-emplazado
  • que no estés seguro de cómo arreglarlo
  • que esté gestionado en la nube
  • tu entrada en el registro de riesgos
  • que tu proveedor no mantenga esa configuración
  • que sea una solución para salir del paso
  • que cumpla el [insertar aquí un estándar]
  • que esté cifrado en el disco
  • que el beneficio no supere el coste
  • que “nadie podría haberse imaginado eso”
  • que no puedas explicar el riesgo al ‘negocio’
  • que tengas otras prioridades
  • tu fé en la competencia de tus usuarios internos
  • que no tengas una justificación de negocio
  • que no puedas demostrar que haya retorno de la inversión
  • que hayas externalizado ese riesgo
Si alguna vez has puesto o te han puesto alguna de estas escusas y te has sentido reconfortado… piénsalo de nuevo.