Mojon

Buenas y calurosas tardes de verano… hace unos días leí un magnifico post de Jack DanielInfoSec’s misunderstanding of business.

Quizá no sea tan magnifico, pero es una de esas veces en las que lees escrito algo que tu piensas y dices “eehh que no estoy solo. No soy el único que ve al rey desnudo.”

Como tengo poco más que añadir me voy a limitar a traducir aquí el post (para aquellos a los que no les apetezca leer en la lengua de Shakespeare y la reina madre que los pario).

Infosec, malentendiendo el negocio

Lo habrás oído hasta la saciedad, “si nosotros profesionales de la seguridad queremos ser tomados en consideración, debemos comprender el negocio y hablar del valor de la empresa, y bla, bla, bla”. Esto, amigos míos, es mierda. Una todavía humeante mierda en el prado en una mañana de primavera.

¿Quieres avanzar en tus objetivos? Necesitas comprender la codicia y el miedo, la codicia y el miedo de los que controlan los recursos. Entender el negocio de tu organización solo funciona si los lideres de tu organización lo entienden también y no están atados y/o cegados por los objetivos mensuales/trimestrales.

¿No me crees? Echa un vistazo a la industria bancaria, o a la industria americana del automóvil y a cualquier área que conozcas. La gente que conoce el negocio vio el tren venir y trataron de avisar y alertar sobre ello, pero fueron ignorados o algo peor. Comprender el negocio solo conduce a la frustración, porque los que dirigen la organización, ni entienden el negocio (aunque tengan MBAs) ni se les permite actuar para el beneficio de la organización en el largo plazo.

Si quieres mejorar la seguridad de tu organización, debes comprender como funciona tu organización, no como debería funcionar. Tienes que conocer lo que alimenta y lo que asusta. Y por desgracia esto no suele tener que ver con el negocio de la organización.

Sí, ya se que suena un poco amargo y deprimente, pero está bien. El sistema está roto lo justo para funcionar (exactamente igual que la seguridad de la información).

Plas, Plas, Plas, ¡aplauso sonoro! A mi también me da la risa cuando se nos llena la voca hablando del enfoque al negocio de la seguridad de la información. ¡Pero qué negocio ni qué niño muerto! Si aquí el único negocio es el “coge el dinero y corre”…

Si lo se…  yo también estoy muy negativo, llevo un tiempo pensando que necesito un cambio de aires, pero aun no me veo capaz de mantener mi propio huerto… Todo se andará.

 

wake up mother fucker

 

El título es solo para captar la atención no os creais que estoy enfadado :). Pero sí que estoy harto de escuchar que la seguridad cuesta dinero…. de escuchar que no tenemos presupuesto para mejorar la seguridad o que si quieres que los sistemas además de funcionar sean seguros pues me tienes que dar más pasta…

Primero, asegurar no es una opción. Si eres director/gestor/gerente/jefe de servicio, tu obligación es que los productos y servicios que proporcionas sean seguros y al menor coste. ¿Cómo? tu sabrás que para eso te pagan.

Y sino explícale a tu cliente/usuario “mira no que…. ejem… con tal de que puedas sacar dinero del cajero vamos a asumir el riesgo de que de cada 1000 billetes se pierda 1….”, o “mira es que… con tal de que podamos atenderte en este hospital vamos a asumir el riesgo de que tu historia clínica aparezca publicada en internet…” o “mira es que… bueno… lo mismo alguien puede entrar en nuestra base de datos y modificar tu declaración de la renta… pero si quieres que esto no pase pues nos pagas más impuestos y lo arreglamos”.

Si le preguntas a tu cliente te dirá que quiere las dos cosas: el servicio funcionando y de forma segura. Te dirá que si no sabes hacer bien lo que haces dejes de hacerlo. Es lo que dicta el sentido común…

Es responsabilidad de un gestor TI tener unos servicios TI seguros y punto. Con el dinero del que dispongas y si piensas que hay que llegar a un equilibrio entre funcionalidad y seguridad, expónselo a tus clientes, usuarios, contribuyentes o accionistas a ver que opinan ellos… O quizá las organizaciones deban contratar un CIO que tenga conocimientos en gestión de la seguridad, lo cual desde mi punto de vista debería ser requisito indispensable para un CIO pero ese es otro tema…

Dicho esto, no creo que para mejorar la seguridad de una organización sea necesario gastar mucho dinero extra.

Me pregunto ¿cuál es el precio de estar en forma? puff pues depende ¿no?

  • Opción 1: unas zapatillas de 30€ + 1 camiseta de 5€ + pantaloncitos cortos 5€ y ale… a correr por la calle cada día media hora. Total del coste 40€ al año y media hora al día. Esa media hora evidentemente se la restas a la media hora de sofá no a otras tareas productivas.
  • Opción 2: me apunto al gimnasio más cool de la ciudad 80€/mes; además entrenador personal otros 80€/mes; le sumo el fisio que me alivia el estress post-ejercicio 30€/semana; la ropita hightech que hace que sudes pero estés seco y oliendo a rosas y zapatillas con muelles que parezca que andas sobre algodones 150€; todas las bebidas isotónicas, complementos vitáminicos y barritas energéticas que vendan en el gim 30€/mes… y bueno en tiempo media hora improductiva al día más el ir, aparcar, tomarte algo con los compañeros de bodypumping al salir. Total unos 4000 €/año.

Pues a la hora de mejorar la seguridad de la información en una organización es lo mismo… Asegurar no es necesariamente hacer más cosas, sino hacer las cosas de otra manera, hacer las cosas mejor. Una organización es segura cuando todos sus miembros prestan atención a los detalles.

Habrá medidas costosas y tecnologías caras que hacen maravillas, pero ¿por qué empezar por lo más caro? No tener presupuesto no es excusa, se pueden hacer muchas cosas para mejorar a coste 0. Y también se pueden reorganizar las inversiones y dejar de despilfarrar dinero en chorradas, pero eso también es otro tema…

En resumen, creo que para asegurar la información solo es necesaria una cosa: VOLUNTAD de asegurar la información.

Ea ya está… me voy a trotar media hora bajo la lluvia…

Tablas de la ley

World’s leading security organisations ISF, (ISC)²® and ISACA jointly launch first independent principles to govern behaviour, objectives, approach and activities

Unas semanas atrás me topé con una noticia en la que comentaban lo que arriba podéis leer…. Empezaré por destacar el descuido que han tenido al no incluir a SevillaSec&Beer como una de las “World’s leading security organisations”…. En fin, ya otro día hablamos de los World’s leading security “bussines”, en español los chiringuitos de la seguridad que más trincan del mundo…

El caso es que estos sesudos vividores del cuento, se han unido y han cagado 12 principios (ploff). Según ellos nos ayudarán a los que nos dedicamos a estos menesteres a responder de manera más efectiva a las cambiantes necesidades de las organizaciones en el actual mundo interconectado y complejo y bla, bla, bla, bla, bla…

Pero veamos si podemos aprovechar algo:

12 principios

  • A1: centrarse en el negocio… de acuerdo pero ¿en el de quién?… ¿qué pasa en una organización donde el negocio no está claro?
  • A2: repartir calidad y valor a los accionistas… que me bajen más el sueldo…
  • A3: cumplir con los requisitos legales y regulatórios más relevantes. Venga yaaa, esto no tiene nada que ver con la seguridad. Siguiente!!
  • A4: proporcionar información oportuna y precisa sobre el estado de la seguridad ¿quién tiene información precisa?
  • A5: evaluar amenazas presentes y futuras. Siempre fui poco ambicioso, me quedo con intentar conocer las de hoy, las de mañana ya las veremos pasado…
  • A6: promover la mejora continua de la seguridad de la información. Lo intento, lo intento…
  • B1: adoptar una aproximación basada en riesgos. No ha funcionado en 20 años, ¿por qué va a funcionar ahora?
  • B2: proteger la información clasificada. Si alguien me dijera cual es esta información la defendería con mi vida…
  • B3 concentrarse en las aplicaciones críticas del negocio. Estamos en las mismas…
  • B4: desarrolla sistemas de forma segura. Aaaiii que me da la risa…
  • C1: actúa de forma ética y profesional. AMEN.
  • C2: fomenta una cultura de la seguridad positiva. Pensé que no lo iban a decir.

En fin… no se desde cuando estos pavos y yo vivimos en realidades paralelas… no se cuando nuestras dimensiones se separaron.

Parece ser que en su “universo happy” las organizaciones son de libro y los profesionales de la seguridad siguen el manual. En la mía todo lo anterior es MIERDA, salvo las C1 y C2 (que además de tener parada al lado de mi casa) son las únicas que me convencen.

¿Qué pensáis? ¿me ha salido muy radical? serán mis circunstancias y frustraciones.

Deberíamos hacer un listado de principios made in SevillaSec&Beer…

No hace mucho que me encontré con un colega en el Corte Inglés. Mientras jugábamos con unos iPads de muestra, apareció un conocido suyo que, entre otras cosas, le contó que últimamente se dedica a ser ‘hacker a domicilio‘ en el barrio.

La siguiente imagen muestra su ‘tarjeta de visita‘.

Tarjeta de hacker a domicilio

Tarjeta de hacker a domicilio

El principal reclamo de esta tarjeta es proporcionar acceso a Internet Wi-Fi gratis a través del uso de la conexión de algún vecino (al que no le sale gratis, claro). Aunque nos contó que los ‘clientes’ le piden otro tipo de servicios ‘más complejos’, tales como:

  • Esnifar el messenger de otros
  • Descrubrir la contraseña de correo de la novia

En definitiva, que aunque el chaval en cuestión no parecía ser otra cosa que un ‘script kiddie‘ esta es una amenaza más a considerar en el entorno doméstico. Ahora cualquiera, supongo que por poco dinero, puede intentar acceder a tu conexión Wi-Fi y, si lo consigue, ya de paso, enterarse de lo que estás haciendo en la red. Y además alguien que vive cerca de ti.

Para echarse unas risas yo recomiendo, al que pueda, implantar la ‘Internet vuelta del revés‘. A ver si un día de estos flasheo mi router Wi-Fi con alguna distro de Linux.

Por otro lado, esto también es una oportunidad de negocio en el caso de que algún día nos cansemos o se cansen de nuestro trabajo actual. No muy honorable pero… ¿qué trabajo lo es?

Genial este poster de la KiwiCon III.

Hackers don't give a shit
Lamentablemente no se ven todos los puntos. Voy a intentar traducir los que pueden leerse.

A los hackers les importa un carajo:

  • que sea un sistema heredado
  • que sea demasiado crítico para actualizarlo
  • tus ventanas de parada de servicio
  • tu presupuesto
  • que lo hayas hecho siempre así
  • tu fecha de puesta en producción
  • que sea sólo un piloto/prueba de concepto
  • tus acuerdos de no divulgación
  • que no fuese un requisito del contrato
  • que sea un sistema interno
  • que sea muy difícil de cambiar
  • que esté pendiente de ser re-emplazado
  • que no estés seguro de cómo arreglarlo
  • que esté gestionado en la nube
  • tu entrada en el registro de riesgos
  • que tu proveedor no mantenga esa configuración
  • que sea una solución para salir del paso
  • que cumpla el [insertar aquí un estándar]
  • que esté cifrado en el disco
  • que el beneficio no supere el coste
  • que “nadie podría haberse imaginado eso”
  • que no puedas explicar el riesgo al ‘negocio’
  • que tengas otras prioridades
  • tu fé en la competencia de tus usuarios internos
  • que no tengas una justificación de negocio
  • que no puedas demostrar que haya retorno de la inversión
  • que hayas externalizado ese riesgo
Si alguna vez has puesto o te han puesto alguna de estas escusas y te has sentido reconfortado… piénsalo de nuevo.