En estos momentos hay gente que se pone títulos rimbombantes para sus puestos de seguridad. Llega hasta tal absurdo que alguien ha creado el ‘generador de nombres aleatorios para títulos de seguridad de la información‘.

Desde Sevilla Sec&Beer queremos promocionar un nuevo título que pensamos es mucho más realista para los tiempos que corren y que está más de acuerdo con nuestra forma de entender la seguridad: la figura del ‘Security Comedian‘.

En la siguiente viñeta Alan Moore explica perfectamente lo que queremos transmitir.

Pues trasladándolo al mundo TIC, visto lo mal que está todo, las malas decisiones que se toman, la mala implementación, las carencias en la aplicación de medidas de seguridad y la pesada deuda tecnológica que arrastramos (lo que hay ya no se puede cambiar fácilmente), creemos que ser el Security Comedian es lo único que tiene sentido.

Si alguna vez has sentido esa sensación de cámara oculta y has dicho “es coña, ¿no?” ante alguna situación de (in-)seguridad… es que hay un poco de Security Comedian en ti. Ya sólo necesitas asumirlo.

Y recuerda que, en este mundo hay dos tipos de personas, los que se ponen muy serios y te intentan timar y los que se lo toman a guasa pero te intentan ayudar. Desconfía de los primeros.

 

Pues eso, “cuando un tonto coge un camino, el camino se acaba y el tonto sigue”. En este caso el tonto soy yo. La linde es la necesidad de tener en cuenta las características socio/culturales de una organización para el desarrollo de sus modelos de gestión y marcos normativos de seguridad. (Pedazo de frase pedante que me he marcado, verdad?…)

Hace unos días, mi compañero Daniel Santos (no he pedido permiso a Dani para nombrarle ni citarle, espero que no le moleste) hizo una exposición magnífica sobre los proyectos que nuestro equipo desarrolla con pena y gloria a partes iguales.

Cuando habló de aquellos proyectos relacionados con el cumplimiento normativo (el compliance que diría un señor consultor) usó una cita de la película “Gladiator”.

Marco Aurelio y Máximo Décimo conversan: “¿Y qué es Roma Máximo?” “He visto parte del resto del mundo, es brutal, cruel y oscuro, Roma es la luz”.

Dani venía a decirnos que las normas son un instrumento útil para organizarnos y que sin ellas el caos hace nuestra existencia muuuuy complicada e incómoda.  Y esto, aplícalo al código civil, al código penal, al de circulación o a las políticas de seguridad.

Como digo, en el caso de las normas o políticas de seguridad es lo mismo, son muy útiles especialmente en situaciones que nos resultan ambiguas. Para un usuario con conocimientos limitados de la tecnología, la elección de guardar sus documentos en el servidor de ficheros o en local en su portátil es completamente ambigua. Con sus conocimientos no puede evaluar los pros y contras de cada una de las dos formas de proceder y las dos le parecen conductas válidas. Si en este caso existe una norma clara que le diga que toda documentación corporativa va al servidor de ficheros y la documentación personal se queda en su carpeta de documentos locales, la situación se des-ambigua de forma inmediata.

Sin embargo…. al igual que ocurre con las metodologías de gestión de seguridad  (ver la entrada de VIC Information Security Management Mediterranean Mode), en el desarrollo de políticas de seguridad cometemos el mismo error y desarrollamos normas como si nuestros usuarios fueran luteranos alemanes o individualistas norteamericanos. Ni las políticas ni la forma de hacerlas cumplir puede ser la misma aquí que en Londres.

A continuación voy a citaros un par de fragmentos de sendos post del blog politikon, que nada tienen que ver con la gestión de la seguridad de la información, pero sí con las diferencias culturales y la aceptación y cumplimiento de normas.

El primero sobre los alemanes Esa cultura que es Alemania II, cito traduciendo:

“La afición alemana por el orden, sobre la que a menudo se hacen bromas, ha demostrado ser cierta, dijo Carlos Baixeras, de 30 años. Un ingeniero que comenzó a trabajar cerca de Frankfurt hace 18 meses. “Hay reglas para todo”, dijo. “Hay una política de uso de la papelera.”

Y otro de nuestros amigos centroeuropeos Esa cultura que es Alemania III, cito y traduzco:

“Según el diario alemán Der Spiegel, la policía alemana disparó únicamente 85 balas en todo 2011… la mayoría de estos disparos ni siquiera fueron dirigidos a personas: “49 disparos de advertencia, 36 disparos a sospechosos. 15 personas fueron heridas, 6 resultaron muertas.”

Y ahora para comparar, una de nuestros cercanos (culturalmente hablando) primos griegos, Esa cultura que es grecia, cito y aviso que es un poco largo pero merece la pena:

“Resulta que el gobierno griego, en un momento de inspiración, decidió que era hora que la gente empezara a pagar un impuesto sobre propiedades para tapar el enorme agujero fiscal del país. Es un impuesto decente, bastante progresivo; los que tienen una casa más grande cobran más, etcétera. Como el sistema de recaudación griego es una verbena, el ministro de turno decidió que el impuesto se cobraría junto con el recibo de la luz. Todo el mundo necesita electricidad, al fin y al cabo; nadie va a quedarse a oscuras con tal de evadir dinero a hacienda.

Bueno, esto es Grecia. Primero, los sindicatos protestaron, montando un pollo tremendo, organizando desobediencia civil y llevando el tributo a juicio. La gente, lisa y llanamente, prefirió dejar de pagar el recibo de la luz antes que (horror) pagar un miserable duro al gobierno. La compañía eléctrica (pública, como todo en ese país), que ya iba justa de dinero, tuvo que ser rescatada de mala manera por el gobierno ante la barbaridad de gente que sencillamente dejó de pagar por el suministro completamente. Para acabarlo de arreglar, un tribunal decretó que cortar la luz a alguien por no pagar un impuesto es ilegal, así que el gobierno ha acabado no viendo un duro del nuevo tributo y encima gastándose una millonada para cubrir las pérdidas.

La cosa, sin embargo, no se queda aquí. La eléctrica ha decidido que esto de aplicar la ley no va con ella, así que este año ni va a intentar cobrar el impuesto. El gobierno griego, como ni está ni se le espera, no ha dicho nada, así que tenemos un impuesto (otro más) que está en los libros pero que todo el mundo va a ignorar olímpicamente”

Creo que sobra que os haga la analogía con la normalización de seguridad.

¿Qué modelo de desarrollo normativo creo que puede funcionar en nuestro entorno? Os lo cuento en mi próximo post…

 

 

Hace tiempo que no escribo nada. Disculpadme, motivos personales y profesionales me tienen disperso. Algunos de estos motivos son positivos y otros no tanto. Entre los positivos (como algunos sabéis) está que me matriculé en la UNED para estudiar el grado de Psicología y he estado las últimas semanas centrado en aprobar los primeros exámenes…

Por cierto, en el último examen me encontré con otro de los miembros de nuestro selecto club de la seguridad y las cervezas… así que en la próxima quedada creo que vamos a poder discutir sobre algunos temas interesantes.

Después de este primer semestre se van confirmando mis sospechas: “el enfoque de otras disciplinas puede enriquecer mucho la gestión de la seguridad”.

Como comprenderéis, aun no tengo ni idea de psicología y solo he empezado a sumergirme en algunas de las teorías que componen este marco de estudio científico. Poco a poco voy conociendo conceptos que no puedo evitar relacionar con el día a día de la gestión de la seguridad. Si consigo disponer del tiempo suficiente trataré de compartirlos con vosotros y si algún psicólogo nos lee y ve que digo burradas que arroje luz por favor!!

El de hoy es el concepto de Indefensión aprendida:

Es un proceso que tiene lugar cuando un organismo aprende que sus respuestas y los reforzamientos son independientes, llevando al organismo a un estado de incapacidad percibida de resolver las situaciones de amenaza. La indefensión tendría lugar cuando se pierde el control de las consecuencias del propio comportamiento.

Cuando una persona o un animal se enfrentan a una amenaza o una pérdida, aparece la respuesta de estrés asociada al miedo. Si aprenden que la respuesta no es controlable y tiene lugar la indefensión aprendida, la depresión sustituye al miedo, es decir que las situaciones no controlables generan estrés.

Seguramente el vídeo del principio del post os deje más claro el concepto.

Yo me pregunto si esta teoría explica la conducta de muchos gestores TI que no hacen nada por mejorar la seguridad de sus servicios e información. Sabemos que la seguridad al 100% nunca se consigue y que aunque una organización gestione adecuadamente su seguridad se producirán incidentes. Además en muchas ocasiones los responsables TI no están formados y capacitados para una gestión integral y metodológica de la seguridad, lo que se traduce en acciones puntuales, no planificadas, artificiales y contratadas a proveedores que muestran poco interés en algo que no sea trincar el dinero y salir corriendo al próximo cliente.

En definitiva tenemos personas que dan respuestas (más o menos adecuadas) a amenazas y que perciben que los resultados siguen siendo incontrolables: continúan produciéndose incidentes. Aparece la indefensión aprendida y el miedo/acción se transforma en depresión/inacción/resignación…

Si esto es así… ¿qué sentido tiene que en cada una de las presentaciones comerciales y charlas de concienciación se siga usando el miedo para provocar la acción?

¿¿Le veis sentido o es una paja mental???

 

 

Como dijo aquel sevillano universal, somos hijos de una estirpe de rudos caminantes. No se si será por nuestros orígenes, pero lo cierto es que somos un pueblo desorganizado, tan reacio al cambio como a seguir las normas establecidas y en el que cada uno hace de su pequeño ámbito de responsabilidad una fortaleza inexpugnable.

Siendo como somos, ¿son válidos en nuestras organizaciones los modelos y metodologías desarrolladas por y para anglosajones?, me temo que no …

Nuestra cultura, nuestra forma de pensar y de comportarnos es distinta – por suerte -, y seguiremos equivocándonos si intentamos que nuestros clientes o usuarios se comporten como finlandeses, cuando han nacido en Sanlúcar la Mayor …

Retomando la propuesta de olyoly de crear los principios made in SevillaSec&Beer, urge la difícil – ¿imposible? – tarea de desarrollar la Information Security Management Mediterranean Mode.

Autoflagelación

No se si conocéis el concepto de Neurona espejo. Me lo ha enseñado hoy una compañera del área de comunicación, al parecer los simios (sí… somos muy monos) imitamos por naturaleza… nuestros cerebros son así… Pero es que no solo copiamos comportamientos… también emociones y sensaciones… En marketing ya se han dado cuenta del tema.

Y la seguridad tiene que ver con los riesgos… y la percepción, la valoración y el análisis de los riesgos no es un proceso completamente racional… Por eso creo que es necesario crear “cultura de seguridad” en las organizaciones, de esta forma el que llega imitará las buenas prácticas y la preocupación por los detalles, aún sin estar formado o concienciado en seguridad. O, al menos, estará más predispuesto a hacerlo.

Pero… ¿cómo creamos “cultura de seguridad” en una organización donde no existe?

Deberíamos dejar de gastar dinero en normativas, adecuaciones, cacharritos, lopedes, superanálisis de riesgos ultrametodológicos que nos dicen lo evidente previo paso por caja, cursitos de formación online que a nadie interesan, pentestes muy vistosos pero cuyo resultado no nos hace salir de la dolorosa rueda del hamster… Nos hemos convertido en charlatanes de feria, vendedores de crecepelos y power balances…

Y todo ese dinero/tiempo/esfuerzo gastado, dedicarlo a comprendernos, a nosotros y a nuestras organizaciones, a entender por qué actuamos de la forma en que lo hacemos, tanto individualmente como en los grupos que formamos… y con un poco de suerte encontrar la manera de mejorar…

Lo que hemos hecho hasta ahora NO FUNCIONA…

Tenemos que buscar soluciones nuevas, creativas, diferentes… seguro que nos volveremos a equivocar pero al menos fallaremos de forma diferente.

Siempre le echamos la culpa a la organización: la directiva no nos apoya… los usuarios no nos hacen caso, los administradores de sistemas son cómodos y prefieren seguir haciendo las cosas mal, los desarrolladores se conforman con que la aplicación funcione y pasan de la seguridad… ¿y nosotros? ¿qué hacemos nosotros? seguimos tratando de aproximarnos al problema de forma errónea una y otra vez… seguimos ganándonos el pan haciendo cosas que sabemos inútiles… Yo pienso que nuestro trabajo es proporcionar soluciones y si las que hemos proporcionado hasta ahora no sirven tendremos que buscar unas mejores.

¿Estamos preparados para atacar el factor humano?

Contratar personal para seguridad de la información no es fácil debido a que es un área tan dispar que se presenta personal con diversas cualificaciones y experiencias o incluso que proviene de otros campos (administración de sistemas, DBAs, etc.).

Yo, después de varios fracasos, me decanté por un cuestionario que me permitiese conocer si el candidato cumplía los requisitos que yo esperaba de una persona que trabaje para seguridad. Parte está inspirado en un cuestionario similar que encontré en inglés y parte es de mi cosecha y de algunos compañeros que me ayudaron a completarlo.

Lo comparto con vosotros por si os sirve de algo y ya de paso a mí me ayuda a pensar cómo actualizarlo para futuras contrataciones.

Las tres primeras preguntas van enfocada a ver cómo enfoca el candidato la gestión de la seguridad. ¿Se trata de protegerse de amenazas? ¿De organizar procesos? ¿De cumplir la Ley? ¿De proteger la información? ¿De proteger los servicios?

  • ¿Cuál es el objetivo de la seguridad de la información en una organización?
  • ¿Cuál consideras que es lo más importante en lo que se debe enfocar una organización en materia de seguridad?
  • ¿Cuál consideras que es el mayor obstáculo a la implantación de una adecuada gestión de seguridad en una organización?

Las siguientes preguntas van enfocadas a ver si el candidato realmente se documenta sobre seguridad. ¿Lee libros? ¿Sigue blogs? ¿Conoce estándares?

  • ¿De dónde obtienes noticias de seguridad?
  • ¿Qué estándar/metodología/referencia documental utilizarías para efectuar una revisión de seguridad?
  • Nombra tres personas que consideres expertos en seguridad de prestigio mundial.

El resto son preguntas de conceptos y conocimientos no muy difíciles, aunque algunas no tienen una respuesta única.

  • ¿Qué diferencias hay entre riesgo y vulnerabilidad? Defínelos.
  • ¿Qué puerto utiliza el ping?
  • ¿Cómo funciona exactamente traceroute / tracert?
  • ¿Cómo identificar qué servicios / puertos se ejecutan en una máquina? Con acceso a la máquina y de forma remota.
  • ¿Dónde colocarías un sistema de detección de intrusiones?
  • ¿Qué reglas configurarías en un cortafuegos? ¿Qué regla no puede faltar?
  • ¿Por qué es importante filtrar el tráfico de salida de una organización?
  • ¿Qué medidas de control de acceso establecerías para una aplicación corporativa?

Y esta última pregunta tiene como objetivo ver si conoce aspectos de seguridad en desarrollo y si está polarizado (ya sea por la prensa, que lo tergiversa todo, o por su trayectoria profesional) hacia alguna de estas opciones.

  • ¿Qué consideras más seguro, el software libre o el software propietario?

La pregunta que más me gusta es la de qué puerto usa el ping. Es muy gracioso ver la cara con la que se quedan los candidatos ante esta pregunta tan aparentemente inocente. Realmente muy pocos la han respondido correctamente :(.

¿Qué os parece el cuestionario? ¿Qué preguntáis vosotros, si es que hacéis selección de personal? ¿Qué os gustaría que os preguntasen en una entrevista?