Cuando se valoran los sistemas para cumplir con el ENS, siempre surgen las mismas dudas: “¿qué implica que sea de nivel medio en Integridad? ¿Y en Autenticidad? ¿Qué más tengo que cumplir si paso de nivel medio a alto?…”

En definitiva, siendo la valoración un ejercicio completamente arbitrario conviene conocer las implicaciones de valorar cada dimensión. Así que he perdido un rato ordenando los controles de forma que tenga claro qué significa cada incremento en la valoración para cada dimensión.

Os recuerdo que la valoración de activos del ENS se efectúa en base a cinco dimensiones: [I] Integridad, [C] Confidencialidad, [A] Autenticidad, [T] Trazabilidad, [D] Disponibilidad. La categoría final del sistema será el máximo valor de estas dimensiones.

Posteriormente, los controles aplican en función de la categoría del sistema o de su valoración para alguna de las dimensiones. Así que, cuando valoras alguna dimensión de nivel medio, tienes que cumplir todos los controles que tienen definidas medidas para categoría media y aquellos que, específicamente, tienen definidas medidas para valoración media de dicha dimensión.

Tened en cuenta que cuando se asigna un valor distinto de bajo (o sea medio o alto) pueden ocurrir dos cosas:

  • Que una medida existente tenga que cumplirse de forma ampliada o más estricta
  • Que haya que aplicar una nueva medida
Bueno, sin más dilación, os dejo una hoja con las consecuencias para la selección de cada nivel divididas por categoría y por dimensión. Se trata de una hoja servida por Google documents, si tenéis algún problema para verla, por favor, decidmelo.

 

Tranquilos, no tenemos un gusano metiendo spam en el blog… el título de este post está en inglés porque soy así de pedante :P. Y porque no he encontrado traducción al español para este dicho.

Hace unas semanas vimos en casa la película “The Joneses”, dejando a un lado que como película no me gustó demasiado… sí me hizo reflexionar sobre algunos aspectos de la gestión de la seguridad de la información.

Voy a fusilar parte del post de “El blog salmón” en el que aclaran de que va la película mucho mejor de lo que yo podría hacerlo (llevo un consultor dentro, lo siento):

The Joneses es una película que trata sobre una familia que llega a un barrio de ingresos medio-altos en los Estados Unidos. La familia Jones tiene todos aquellos productos que uno quiera comprar (ropa de diseño, descapotables de alta gama, electrónica, mobiliario caro, etc) y parecen ser felices, convirtiéndose en el foco de atención de sus vecinos.

Pero en realidad los Joneses no son una familia, sino empleados de una agencia de publicidad. Los coches, la ropa que llevan, la comida que compran, etc ha sido puesta ahí por la agencia de publicidad con el único objetivo de que los miembros de la familia la muestren a sus vecinos, les cuenten las bondades y estos la compren.

El apellido de la familia (Jones) está muy bien elegido porque en inglés americano existe una expresión “keeping up with the joneses” que se refiere a mantener el nivel de vida de los vecinos. Si el vecino se compra un coche nuevo hay que adquirir uno igual o superior. Si se va de vacaciones a Francia nosotros nos vamos a Italia, etc.

Un caso extremo de marketing viral. Espero que en la vida real no se acometan iniciativas tan radicales. Pero en menor grado es habitual ver a famosos promocionando productos, servicios o incluso religiones e ideas políticas de forma subliminal. Está claro que a los humanos nos funciona así el cocotero. Los judíos lo saben desde hace miles de años y el décimo mandamiento dice:

No codiciarás la casa de tu prójimo, no codiciarás la mujer de tu prójimo, ni su siervo, ni su criada, ni su buey, ni su asno, ni cosa alguna de tu prójimo.

Volviendo a la gestión de la seguridad… ¿acaso no vemos este comportamiento con frecuencia? Me explico ¿qué medidas o proyectos de seguridad acometemos? Un teórico consultor trajeado o un gestor de seguridad recién salido del cascarón y aun no ha pasado por la trinchera nos diría: “las acciones de mejora deben venir orientadas por el análisis de riesgos o por requisitos externos a la organización (ej: ENS, LOPD…)”

Pero no nos engañemos, al final usamos el sota, caballo y rey. Copiamos lo que hacen en otras organizaciones, lo que establece el mercado de la seguridad o lo que la corriente interpreta de los estándares. Y así vamos generando mantras y los vamos asumiendo. Y si mi vecino de CPD compra un cortafuegos yo compro otro pero más grande. Y si se hace un proyecto de hacking ético (todavía no sé que carajo es esto del hacking ético pero se vende de maravilla oiga) pues a mi póngame dos.

Otra reflexión que me hago es: ¿los proveedores de seguridad aprovechan esto? ¿Cuándo por ejemplo se despliega una solución piloto en una empresa y organismo líder o referente, no se busca precisamente esto??

Y por último y paro ya de divagar ¿¿¿no podríamos como gestores de seguridad aprovechar estas técnicas para hacer el bien???? ¿Qué pensáis?

Los estándares de seguridad tienen como fin último que se mejore la seguridad de las organizaciones implantando un conjunto de buenas prácticas.

El problema es que suelen publicar textos complejos que incluyen controles a diferentes niveles y que están muy enfocados a auditoría, más que a implantación.

Muchas organizaciones se pelean por cumplir determinados requisitos de estos estándares sin adaptarlos adecuadamente a su situación por aquello de pasar la auditoría. Y se confunden los objetivos: en vez de mejorar la seguridad se busca convencer al auditor (como si eso sirviera para algo) o malinterpretar los textos.

El otro día se me vino a la mente la idea de ¿qué es realmente esencial en los sistemas de gestión que proponen los estándares de seguridad?

Creo que, en el fondo, todo se reduce a estos dos puntos:

  • Preguntarse por qué (hasta llegar a la causa raíz) de incidentes, vulnerabilidades, ausencia de control, necesidades, riesgos o cualquier otro evento o situación que afecte de algún modo a la seguridad
  • Proveer de los medios para evitar que vuelva a ocurrir (o, más bien, que la probabilidad o impacto se reduzcan)

La ventaja de esta forma de pensar es que reduces estática mental y te concentras en lo principal, el resto ya llegará.

Si en tu búsquedas del porqué llegas a la conclusión de que necesitas apoyo de la Dirección, pues lo pides. Si llegas a la conclusión de que hace falta implantar un plan de contingencia pues buscas apoyo y recursos y, si lo consigues, lo implantas. Si necesitas realizar auditorías externas para comprobar si la cosa va bien, lo justificas y las contratas.

Lo importante es que cada acción está justificada mediante un simple proceso y corresponde a una necesidad ‘real’ en vez de que la necesidad sea ‘porque lo dice tal estándar’. Si usas la última justificación siempre te pueden decir aquello de ‘el estándar me lo paso por…’.

No sé si me he explicado del todo bien. En un próximo post entraré algo más en detalle en el análisis de causas.

“Todas las cosas por un poder inmortal
cerca o lejos
ocultamente
están unidas entre si,
de tal modo que no puedes agitar una flor
sin trastornar una estrella” — Francis Thomson

Inspirado en un comentario de @Vic donde decía que el análisis de riesgos servía para priorizar los sistemas de información me quedé pensando ¿de verdad sirve para algo priorizar los sistemas de información?

Una de los aspectos diferenciales del ENS del que se jactan sus creadores es el hecho de que las medidas de protección son proporcionales a la importancia de los activos.

Esto significa que un activo poco importante tendrá menos y peores medidas de seguridad que un activo importante. Así dicho parece muy razonable, ¿no?

Lamentablemente la realidad no son tan sencilla. Como dice Thomson, todas las cosas están unidas entre sí. Todos los sistemas de información están relacionados entre sí, pueden compartir redes, sitio físico, usuarios, operadores, administradores, responsables, almacenamiento, etc.

Por lo que atacando primero a un sistema poco importante y más indefenso podemos conseguir una avanzadilla para atacar a otro de nivel medio y luego a otro de nivel alto. Esto suele llamarse pivotar.

Como metáfora ilustrativa os propongo un ejercicio. Imaginaos una casa que tiene un pasillo central y muchas habitaciones. Cada habitación tiene una función. Algunas, como el dormitorio o salón, son de nivel alto. Otras como el cuarto de baño o la cocina son de nivel medio. Y por último, la sala de estar es de nivel bajo.

Así que pensamos que es mejor poner rejas con pinchos y alarma en las ventanas de las habitaciones de nivel alto, rejas con pinchos sin alarma en las de nivel medio y rejas sin pinchos en la sala de estar.

Así visto, total, si alguien entra en la sala de estar no pasa nada porque no hay nada de valor. Pero la sala de estar está conectada al pasillo y desde ahí podemos intentar atacar las otras habitaciones. Entonces alguien puede pensar que se protegen las puertas de cada habitación, con mejores protecciones cuánto más importante sean.

En ese caso nos podemos quedar en el pasillo, esperando a que alguien salga para atacarlo. Si decidimos proteger el pasillo de algún modo (por ejemplo, llaves para salir de cada habitación, siempre podemos hacer ruido en la sala de estar y esperar a que alguien entre a ver qué ha pasado. O bien podemos prenderle fuego. O pintarla de graffitis.

¿Lo vais pillando? Una vez se tiene éxito atacando a un activo, las posibilidades son numerosas, sólo limitadas por la falta de imaginación o de tiempo.

Aún así, esto no quiere decir que todos los sistemas tengan que tener las mismas medidas. Siempre habrá que considerar qué medidas son adecuadas en función de sus necesidades. Que no hace falta firma digital, perfecto. Que basta con una copia a la semana, pues vale. Pero no porque sean poco o muy importantes, sino atendiendo a requisitos de protección de la información.

Y otro asunto sucio del ENS es que los sistemas no sólo pueden estar en alguna de las tres categorías (básica, media y alta) sino que también están aquellos que no están en el ámbito. Pero esta es una historia que será contada en otra ocasión…

En este insondable mundo de la seguridad, frecuentemente usamos el término perímetro para referirnos a las fronteras que separan nuestra organización del “peligroso” mundo exterior. Por suerte, muchos somos ya conscientes de que suponen un mayor riesgo los empleados descontentos  o desinformados que los cinematográficos hackers.

Esas fronteras que marcan el perímetro de seguridad pueden ser tangibles, como el cable que nos conecta a internet o la puerta de entrada del edificio donde trabajamos, o intangibles, como las redes WiFi cuya cobertura no se restringe a los límites físicos de la organización.

Históricamente, este perímetro ha sido protegido interponiendo cortafuegos o seguratas que nos piden el DNI. También hemos mejorado la seguridad del acceso inalámbrico configurando WPA 802.1x en nuestras redes.

Sin embargo, todo el esfuerzo que invertimos en interponer barreras de seguridad se desvanece cuando gentilmente permitimos a personas y equipos ajenos a nuestra organización franquear el perímetro y conectarse a la red local.

Ejemplos no faltan:

– Empleados que conectan a la red local equipos personales o el portátil corporativo “que tienen en casa”.

– Comerciales que, conectando su portátil a la toma de red, usan el acceso a internet de la organización para mostrarnos las virtudes de su producto.

– El pen-drive que nos regalaron en el último sarao tecnológico-festivo al que asistimos.

– Puntos de información en la vía pública, cuyo latiguillo se conecta a una toma de red perfectamente visible y alcanzable.

– Tomas de red en salas de espera, pidiendo que cualquiera conecte su portátil y eche una ojeada a la red.

Pienso que si no tomamos en consideración los riesgos asociados a este tipo de accesos tolerados y ponemos soluciones, nuestra organización acabará teniendo mas agujeros de seguridad que un queso gruyere.

 

Parece que, motivados por clasificaciones puramente enfocadas a confidencialidad, los datos públicos no necesitan protección.

Sin embargo, esto no es así. Considerad, por ejemplo, las siguientes situaciones:

  • Validación de los datos antes de su publicación: Es necesario que los datos que se vayan a publicar sean validados y autorizados por el correspondiente responsable.
  • Confidencialidad de los datos antes de su publicación: Los datos no van directamente a ser publicados, sino que primero se generan, luego se analizan, luego se corrigen, etc. hasta que ya están listos para ser publicados. Cualquier filtración previa puede ser muy perniciosa para la organización. Pensad, por ejemplo, en resultados de oposiciones, concursos, licitaciones, etc.
  • Integridad de los datos públicos: Los datos publicados podrían ser manipulados. Es necesario ser capaz de detectar esos cambios a tiempo y también de poder asegurar, en un momento dado, que no han sido modificados.
  • Caducidad de los datos públicos: Los datos pueden tener un periodo de validez que haga que ya no sean válidos. Incluso puede ser conveniente eliminarlos tras ese tiempo (por espacio, por finalizar su finalidad, etc.).
  • Periodos de retención de los datos públicos: Del mismo modo anterior, puede que haya regulaciones que obliguen a archivar los datos durante determinado tiempo. Habrá que conocerlas y tenerlas en cuenta.
  • Coherencia de los datos respecto a otros datos o respecto a los mismos (balances): Quizá esto forme parte del proceso de validación, aunque quería resaltarlo a parte. Resulta que los datos deben ser coherentes ya que si no, alguien los tomará y demostrará que no confirman tal o cual cosa o que contradicen tal otra.
  • Autoría y veracidad de los datos públicos: Es importante asegurar que el destinatario es capaz de comprobar la veracidad y autoría de los datos públicos para evitar que se puedan crear datos falsos.

Y esto se me ha ocurrido sólo sobre la marcha, seguro que hay muchos más controles a aplicar a datos públicos. Y si consideramos los diferentes formatos podemos pensar en metadatos reveladores de información, versiones anteriores que se quedan en los documentos, malware distribuido sin conocimiento (en el soporte o en el formato elegido), información que, aparentemente no se vé, pero que está ahí.

Pensando en esto me he dado cuenta de que realmente lo que suele ocurrir es que la información va cambiando sus necesidades en función de su ciclo de vida, cosa que no suelen considerar las valoraciones estáticas como las de la LOPD o el ENS.

Cuando ves proyectos de LOPD te das cuenta de que han hecho una clasificación de los datos de carácter personal según los niveles establecidos pero no tienen claro qué flujo sigue la información ni qué evolución sufrirá.

Vaya, y todo esto porque he visto por ahí escrito “personal que maneja (fundamentalmente) datos públicos o con escasos requerimientos de protección“.

Voy a mezclar la criminología y la sociología con la seguridad de la información a ver que sale… A raíz de leer el siguiente artículo hace un tiempo he llegado al concepto de “ventanas rotas“:

http://www.euribor.com.es/2009/10/01/tolerancia-cero/

El siguiente párrafo aclara perfectamente con ejemplos el concepto:

“Consideren un edificio con una ventana rota. Si la ventana no se repara, los vándalos tenderán a romper unas cuantas ventanas más. Finalmente, quizás hasta irrumpan en el edificio, y si está abandonado, es posible que sea ocupado por ellos o que prendan fuegos adentro.

O consideren una banqueta. Se acumula algo de basura. Pronto, más basura se va acumulando. Eventualmente, la gente comienza a dejar bolsas de basura de restaurantes de comida rápida o a asaltar coches.”

Para ampliar un poco la información podéis consultar la entrada en wikipedia:

http://es.wikipedia.org/wiki/Teor%C3%ADa_de_las_Ventanas_Rotas

(Nota: es solo una teoría y como tal tiene sus críticos, ver entrada de wikipedia).

¿Qué os parece esta teoría? ¿Creéis que se podría aplicar este concepto a la seguridad de la información? Me refiero sobre todo (aunque no solo) a la parte relacionada con el (ab)uso de los recursos por parte de los usuarios… que a la larga suelen acarrear problemas de seguridad (malware, botnets, incumplimientos legales, etc).

Un ejemplo, al imponer un proxy autenticado para la navegación, con filtro de contenidos o algún tipo de monitorización y… sobre todo divulgar la implantación de la medida entre los usuarios… ¿estamos sin saberlo usando el concepto de ventana rota?… ¿¿si no se toma ninguna medida los usuarios abusarán exponencialmente de los recursos TI hasta que el sistema llegue al caos?? ¿¿O simplemente se mantendrá el abuso en un nivel tolerable?

Otro ejemplo, me comentaron en un curso de gestión de incidentes (muy interesante por cierto) que a día de hoy, ya no existen relays de correo publicados en internet. Y no porque los administradores hayan aprendido la lección, sino porque en menos de un día el servidor estará tan saturado que será inútil. ¿Es un caso de ventanas rotas?

Según la entrada en wikipedia: “Andrew Hunt y David Thomas utilizan la teoría de las ventanas rotas como una metáfora para evitar la entropía en el desarrollo de software. El término también ha ido encontrando su lugar en el desarrollo de sitios web.” No he revisado los links, pero parece que más gente del mundo tecnológico anda dándole vueltas al concepto.

¿Le veis sentido a esto?  Ruegos, sugerencias, insultos…

Voy a mezclar la criminología y la sociología con la seguridad de la
información. (Seguro que sale una paja).

A raíz de leer el siguiente artículo he llegado al concepto de “ventanas
rotas“:

http://www.euribor.com.es/2009/10/01/tolerancia-cero/

El siguiente párrafo aclara perfectamente con ejemplos el concepto:

“Consideren un edificio con una ventana rota. Si la ventana no se
repara, los vándalos tenderán a romper unas cuantas ventanas más.
Finalmente, quizás hasta irrumpan en el edificio, y si está abandonado,
es posible que sea ocupado por ellos o que prendan fuegos adentro.

O consideren una banqueta. Se acumula algo de basura. Pronto, más basura
se va acumulando. Eventualmente, la gente comienza a dejar bolsas de
basura de restaurantes de comida rápida o a asaltar coches.”

Para ampliar un poco la información la entrada en wikipedia:

http://es.wikipedia.org/wiki/Teor%C3%ADa_de_las_Ventanas_Rotas

(Nota: es solo una teoría y como tal tiene sus críticos, ver entrada de
wikipedia).

¿qué os parece esta teoría? ¿Creéis que se podría aplicar este concepto
a la seguridad de la información?

Me refiero sobre todo (aunque no solo) a la parte relacionada con el
(ab)uso de los recursos por parte de los usuarios… que a la larga
suelen acarrear problemas de seguridad (malware, botnets,
incumplimientos legales, etc).

Un ejemplo: al imponer un proxy para navegación autenticado, con filtro
de contenidos o algún tipo de monitorización y… sobre todo divulgar la
implantación de la medida entre los usuarios… ¿estamos sin saberlo
usando el concepto de ventana rota?… ¿¿si no se toma ninguna medida
los usuarios abusarán exponencialmente de los recursos TI hasta que el
sistema llegue al caos?? ¿¿O simplemente se mantendrá el abuso en un
nivel tolerable?

Otro ejemplo: comentaban en el curso de gestión de incidentes que a día
de hoy, ya no existen relays de correo publicados en internet. Y no
porque los administradores hayan aprendido la lección, sino porque en
menos de un día el servidor estará tan saturado que será inútil. ¿Es un
caso de ventanas rotas?

Según la entrada en wikipedia: “Andrew Hunt y David Thomas utilizan la
teoría de las ventanas rotas como una metáfora para evitar la entropía
en el desarrollo de software. El término también ha ido encontrando su
lugar en el desarrollo de sitios web.” No he revisado los links, pero
parece que más gente del mundo tecnológico anda dándole vueltas al
concepto.

¿Le veis sentido a esto? Yo al menos le veo un uso comercial para vender
seguridad por el ancho mundo. Ruegos, sugerencias, insultos…