Tranquilos, no tenemos un gusano metiendo spam en el blog… el título de este post está en inglés porque soy así de pedante :P. Y porque no he encontrado traducción al español para este dicho.

Hace unas semanas vimos en casa la película “The Joneses”, dejando a un lado que como película no me gustó demasiado… sí me hizo reflexionar sobre algunos aspectos de la gestión de la seguridad de la información.

Voy a fusilar parte del post de “El blog salmón” en el que aclaran de que va la película mucho mejor de lo que yo podría hacerlo (llevo un consultor dentro, lo siento):

The Joneses es una película que trata sobre una familia que llega a un barrio de ingresos medio-altos en los Estados Unidos. La familia Jones tiene todos aquellos productos que uno quiera comprar (ropa de diseño, descapotables de alta gama, electrónica, mobiliario caro, etc) y parecen ser felices, convirtiéndose en el foco de atención de sus vecinos.

Pero en realidad los Joneses no son una familia, sino empleados de una agencia de publicidad. Los coches, la ropa que llevan, la comida que compran, etc ha sido puesta ahí por la agencia de publicidad con el único objetivo de que los miembros de la familia la muestren a sus vecinos, les cuenten las bondades y estos la compren.

El apellido de la familia (Jones) está muy bien elegido porque en inglés americano existe una expresión “keeping up with the joneses” que se refiere a mantener el nivel de vida de los vecinos. Si el vecino se compra un coche nuevo hay que adquirir uno igual o superior. Si se va de vacaciones a Francia nosotros nos vamos a Italia, etc.

Un caso extremo de marketing viral. Espero que en la vida real no se acometan iniciativas tan radicales. Pero en menor grado es habitual ver a famosos promocionando productos, servicios o incluso religiones e ideas políticas de forma subliminal. Está claro que a los humanos nos funciona así el cocotero. Los judíos lo saben desde hace miles de años y el décimo mandamiento dice:

No codiciarás la casa de tu prójimo, no codiciarás la mujer de tu prójimo, ni su siervo, ni su criada, ni su buey, ni su asno, ni cosa alguna de tu prójimo.

Volviendo a la gestión de la seguridad… ¿acaso no vemos este comportamiento con frecuencia? Me explico ¿qué medidas o proyectos de seguridad acometemos? Un teórico consultor trajeado o un gestor de seguridad recién salido del cascarón y aun no ha pasado por la trinchera nos diría: “las acciones de mejora deben venir orientadas por el análisis de riesgos o por requisitos externos a la organización (ej: ENS, LOPD…)”

Pero no nos engañemos, al final usamos el sota, caballo y rey. Copiamos lo que hacen en otras organizaciones, lo que establece el mercado de la seguridad o lo que la corriente interpreta de los estándares. Y así vamos generando mantras y los vamos asumiendo. Y si mi vecino de CPD compra un cortafuegos yo compro otro pero más grande. Y si se hace un proyecto de hacking ético (todavía no sé que carajo es esto del hacking ético pero se vende de maravilla oiga) pues a mi póngame dos.

Otra reflexión que me hago es: ¿los proveedores de seguridad aprovechan esto? ¿Cuándo por ejemplo se despliega una solución piloto en una empresa y organismo líder o referente, no se busca precisamente esto??

Y por último y paro ya de divagar ¿¿¿no podríamos como gestores de seguridad aprovechar estas técnicas para hacer el bien???? ¿Qué pensáis?

wake up mother fucker

 

El título es solo para captar la atención no os creais que estoy enfadado :). Pero sí que estoy harto de escuchar que la seguridad cuesta dinero…. de escuchar que no tenemos presupuesto para mejorar la seguridad o que si quieres que los sistemas además de funcionar sean seguros pues me tienes que dar más pasta…

Primero, asegurar no es una opción. Si eres director/gestor/gerente/jefe de servicio, tu obligación es que los productos y servicios que proporcionas sean seguros y al menor coste. ¿Cómo? tu sabrás que para eso te pagan.

Y sino explícale a tu cliente/usuario “mira no que…. ejem… con tal de que puedas sacar dinero del cajero vamos a asumir el riesgo de que de cada 1000 billetes se pierda 1….”, o “mira es que… con tal de que podamos atenderte en este hospital vamos a asumir el riesgo de que tu historia clínica aparezca publicada en internet…” o “mira es que… bueno… lo mismo alguien puede entrar en nuestra base de datos y modificar tu declaración de la renta… pero si quieres que esto no pase pues nos pagas más impuestos y lo arreglamos”.

Si le preguntas a tu cliente te dirá que quiere las dos cosas: el servicio funcionando y de forma segura. Te dirá que si no sabes hacer bien lo que haces dejes de hacerlo. Es lo que dicta el sentido común…

Es responsabilidad de un gestor TI tener unos servicios TI seguros y punto. Con el dinero del que dispongas y si piensas que hay que llegar a un equilibrio entre funcionalidad y seguridad, expónselo a tus clientes, usuarios, contribuyentes o accionistas a ver que opinan ellos… O quizá las organizaciones deban contratar un CIO que tenga conocimientos en gestión de la seguridad, lo cual desde mi punto de vista debería ser requisito indispensable para un CIO pero ese es otro tema…

Dicho esto, no creo que para mejorar la seguridad de una organización sea necesario gastar mucho dinero extra.

Me pregunto ¿cuál es el precio de estar en forma? puff pues depende ¿no?

  • Opción 1: unas zapatillas de 30€ + 1 camiseta de 5€ + pantaloncitos cortos 5€ y ale… a correr por la calle cada día media hora. Total del coste 40€ al año y media hora al día. Esa media hora evidentemente se la restas a la media hora de sofá no a otras tareas productivas.
  • Opción 2: me apunto al gimnasio más cool de la ciudad 80€/mes; además entrenador personal otros 80€/mes; le sumo el fisio que me alivia el estress post-ejercicio 30€/semana; la ropita hightech que hace que sudes pero estés seco y oliendo a rosas y zapatillas con muelles que parezca que andas sobre algodones 150€; todas las bebidas isotónicas, complementos vitáminicos y barritas energéticas que vendan en el gim 30€/mes… y bueno en tiempo media hora improductiva al día más el ir, aparcar, tomarte algo con los compañeros de bodypumping al salir. Total unos 4000 €/año.

Pues a la hora de mejorar la seguridad de la información en una organización es lo mismo… Asegurar no es necesariamente hacer más cosas, sino hacer las cosas de otra manera, hacer las cosas mejor. Una organización es segura cuando todos sus miembros prestan atención a los detalles.

Habrá medidas costosas y tecnologías caras que hacen maravillas, pero ¿por qué empezar por lo más caro? No tener presupuesto no es excusa, se pueden hacer muchas cosas para mejorar a coste 0. Y también se pueden reorganizar las inversiones y dejar de despilfarrar dinero en chorradas, pero eso también es otro tema…

En resumen, creo que para asegurar la información solo es necesaria una cosa: VOLUNTAD de asegurar la información.

Ea ya está… me voy a trotar media hora bajo la lluvia…

En un interesante documental sobre la neurociencia aplicada al marketing, explicaban cómo las decisiones de compra tienen, en su mayor parte, un origen emocional. Estas emociones se crean, según los científicos, en la parte más primitiva de nuestro cerebro, el llamado “cerebro reptil”.

Estas ideas me hicieron pensar en cómo transmitimos a la dirección las propuestas en materia de seguridad y en los mecanismos que llevan a un directivo a aceptar acometer un proyecto, invertir en recursos especializados o simplemente tomar una decisión relevante.

Al fin y al cabo, cuando nos reunimos con la dirección y hacemos una propuesta estamos intentando “vender” nuestro producto. De cómo lo hagamos dependerá una gran parte nuestro trabajo diario.

Si damos por bueno lo anterior y decidimos adentrarnos en el terreno de las emociones, el primer problema con el que nos encontramos es … ¡¡que somos telecos!! … y como tales, el tema emocional no se nos da muy bien.

¿Qué hacer entonces?, no lo sé, porque a estas alturas no nos vamos a matricular en primero de psicología …

Por mi parte, intentaré dedicar más tiempo a pensar qué sensaciones, qué emociones, debo transmitir para conseguir “vender” aquello que mejore la seguridad de mi organización.

Tablas de la ley

World’s leading security organisations ISF, (ISC)²® and ISACA jointly launch first independent principles to govern behaviour, objectives, approach and activities

Unas semanas atrás me topé con una noticia en la que comentaban lo que arriba podéis leer…. Empezaré por destacar el descuido que han tenido al no incluir a SevillaSec&Beer como una de las “World’s leading security organisations”…. En fin, ya otro día hablamos de los World’s leading security “bussines”, en español los chiringuitos de la seguridad que más trincan del mundo…

El caso es que estos sesudos vividores del cuento, se han unido y han cagado 12 principios (ploff). Según ellos nos ayudarán a los que nos dedicamos a estos menesteres a responder de manera más efectiva a las cambiantes necesidades de las organizaciones en el actual mundo interconectado y complejo y bla, bla, bla, bla, bla…

Pero veamos si podemos aprovechar algo:

12 principios

  • A1: centrarse en el negocio… de acuerdo pero ¿en el de quién?… ¿qué pasa en una organización donde el negocio no está claro?
  • A2: repartir calidad y valor a los accionistas… que me bajen más el sueldo…
  • A3: cumplir con los requisitos legales y regulatórios más relevantes. Venga yaaa, esto no tiene nada que ver con la seguridad. Siguiente!!
  • A4: proporcionar información oportuna y precisa sobre el estado de la seguridad ¿quién tiene información precisa?
  • A5: evaluar amenazas presentes y futuras. Siempre fui poco ambicioso, me quedo con intentar conocer las de hoy, las de mañana ya las veremos pasado…
  • A6: promover la mejora continua de la seguridad de la información. Lo intento, lo intento…
  • B1: adoptar una aproximación basada en riesgos. No ha funcionado en 20 años, ¿por qué va a funcionar ahora?
  • B2: proteger la información clasificada. Si alguien me dijera cual es esta información la defendería con mi vida…
  • B3 concentrarse en las aplicaciones críticas del negocio. Estamos en las mismas…
  • B4: desarrolla sistemas de forma segura. Aaaiii que me da la risa…
  • C1: actúa de forma ética y profesional. AMEN.
  • C2: fomenta una cultura de la seguridad positiva. Pensé que no lo iban a decir.

En fin… no se desde cuando estos pavos y yo vivimos en realidades paralelas… no se cuando nuestras dimensiones se separaron.

Parece ser que en su “universo happy” las organizaciones son de libro y los profesionales de la seguridad siguen el manual. En la mía todo lo anterior es MIERDA, salvo las C1 y C2 (que además de tener parada al lado de mi casa) son las únicas que me convencen.

¿Qué pensáis? ¿me ha salido muy radical? serán mis circunstancias y frustraciones.

Deberíamos hacer un listado de principios made in SevillaSec&Beer…

Voy a mezclar la criminología y la sociología con la seguridad de la información a ver que sale… A raíz de leer el siguiente artículo hace un tiempo he llegado al concepto de “ventanas rotas“:

http://www.euribor.com.es/2009/10/01/tolerancia-cero/

El siguiente párrafo aclara perfectamente con ejemplos el concepto:

“Consideren un edificio con una ventana rota. Si la ventana no se repara, los vándalos tenderán a romper unas cuantas ventanas más. Finalmente, quizás hasta irrumpan en el edificio, y si está abandonado, es posible que sea ocupado por ellos o que prendan fuegos adentro.

O consideren una banqueta. Se acumula algo de basura. Pronto, más basura se va acumulando. Eventualmente, la gente comienza a dejar bolsas de basura de restaurantes de comida rápida o a asaltar coches.”

Para ampliar un poco la información podéis consultar la entrada en wikipedia:

http://es.wikipedia.org/wiki/Teor%C3%ADa_de_las_Ventanas_Rotas

(Nota: es solo una teoría y como tal tiene sus críticos, ver entrada de wikipedia).

¿Qué os parece esta teoría? ¿Creéis que se podría aplicar este concepto a la seguridad de la información? Me refiero sobre todo (aunque no solo) a la parte relacionada con el (ab)uso de los recursos por parte de los usuarios… que a la larga suelen acarrear problemas de seguridad (malware, botnets, incumplimientos legales, etc).

Un ejemplo, al imponer un proxy autenticado para la navegación, con filtro de contenidos o algún tipo de monitorización y… sobre todo divulgar la implantación de la medida entre los usuarios… ¿estamos sin saberlo usando el concepto de ventana rota?… ¿¿si no se toma ninguna medida los usuarios abusarán exponencialmente de los recursos TI hasta que el sistema llegue al caos?? ¿¿O simplemente se mantendrá el abuso en un nivel tolerable?

Otro ejemplo, me comentaron en un curso de gestión de incidentes (muy interesante por cierto) que a día de hoy, ya no existen relays de correo publicados en internet. Y no porque los administradores hayan aprendido la lección, sino porque en menos de un día el servidor estará tan saturado que será inútil. ¿Es un caso de ventanas rotas?

Según la entrada en wikipedia: “Andrew Hunt y David Thomas utilizan la teoría de las ventanas rotas como una metáfora para evitar la entropía en el desarrollo de software. El término también ha ido encontrando su lugar en el desarrollo de sitios web.” No he revisado los links, pero parece que más gente del mundo tecnológico anda dándole vueltas al concepto.

¿Le veis sentido a esto?  Ruegos, sugerencias, insultos…

Voy a mezclar la criminología y la sociología con la seguridad de la
información. (Seguro que sale una paja).

A raíz de leer el siguiente artículo he llegado al concepto de “ventanas
rotas“:

http://www.euribor.com.es/2009/10/01/tolerancia-cero/

El siguiente párrafo aclara perfectamente con ejemplos el concepto:

“Consideren un edificio con una ventana rota. Si la ventana no se
repara, los vándalos tenderán a romper unas cuantas ventanas más.
Finalmente, quizás hasta irrumpan en el edificio, y si está abandonado,
es posible que sea ocupado por ellos o que prendan fuegos adentro.

O consideren una banqueta. Se acumula algo de basura. Pronto, más basura
se va acumulando. Eventualmente, la gente comienza a dejar bolsas de
basura de restaurantes de comida rápida o a asaltar coches.”

Para ampliar un poco la información la entrada en wikipedia:

http://es.wikipedia.org/wiki/Teor%C3%ADa_de_las_Ventanas_Rotas

(Nota: es solo una teoría y como tal tiene sus críticos, ver entrada de
wikipedia).

¿qué os parece esta teoría? ¿Creéis que se podría aplicar este concepto
a la seguridad de la información?

Me refiero sobre todo (aunque no solo) a la parte relacionada con el
(ab)uso de los recursos por parte de los usuarios… que a la larga
suelen acarrear problemas de seguridad (malware, botnets,
incumplimientos legales, etc).

Un ejemplo: al imponer un proxy para navegación autenticado, con filtro
de contenidos o algún tipo de monitorización y… sobre todo divulgar la
implantación de la medida entre los usuarios… ¿estamos sin saberlo
usando el concepto de ventana rota?… ¿¿si no se toma ninguna medida
los usuarios abusarán exponencialmente de los recursos TI hasta que el
sistema llegue al caos?? ¿¿O simplemente se mantendrá el abuso en un
nivel tolerable?

Otro ejemplo: comentaban en el curso de gestión de incidentes que a día
de hoy, ya no existen relays de correo publicados en internet. Y no
porque los administradores hayan aprendido la lección, sino porque en
menos de un día el servidor estará tan saturado que será inútil. ¿Es un
caso de ventanas rotas?

Según la entrada en wikipedia: “Andrew Hunt y David Thomas utilizan la
teoría de las ventanas rotas como una metáfora para evitar la entropía
en el desarrollo de software. El término también ha ido encontrando su
lugar en el desarrollo de sitios web.” No he revisado los links, pero
parece que más gente del mundo tecnológico anda dándole vueltas al
concepto.

¿Le veis sentido a esto? Yo al menos le veo un uso comercial para vender
seguridad por el ancho mundo. Ruegos, sugerencias, insultos…