Sevilla Sec&Beer

“¿Qué es peor, la ignorancia o la indiferencia? ¿Quién lo sabe? ¿A quién le importa?“

La sensación de seguridad es algo psicológico que, en muchos casos, viene erróneamente dada por la ignorancia o la indiferencia hacia este tema.

Para aquellas personas que, además, son responsables de sistemas de información, he hecho un pequeño checklist en el que resumo algunas actividades que considero que son esenciales para no sentirse completamente inseguro.

Por lo tanto, no estas seguro si…

• Crees que no eres un objetivo para nadie
• Nunca has sufrido una auditoría
• Cualquiera puede saber más que tú de tus entornos con un simple nmap
• Crees que tu [cortafuegos|WAF|IDS/IPS] te va a servir de algo
• Te fías de tus usuarios, administradores y desarrolladores
• Ni tú ni nadie mira los logs de tus sistemas y aplicaciones
• Pones en producción servicios cuya seguridad no ha analizado nadie
• Crees que el [documento de seguridad|plan de seguridad|plan de adecuación|etc.] desde tu estantería te protege automágicamente
• Piensas que únicamente el (poco) personal de seguridad es responsable de la seguridad de tu infraestructura
• Te sientes seguro

Por supuesto esto no es un listado completo, ¿qué más añadirías?

Hola ¿qué tal?,

el otro día chmeee nos hablaba de concienciación de usuarios en uno de sus Lunes Desmotivadores y citaba a Ranum:

“la concienciación de usuarios no funciona ni funcionará nunca porque, de hacerlo, ya hubiera funcionado”

Ayer uno de nosotros sec&beerreros twiteaba lo siguiente:

“hoy un reputado profesional de la infosec me ha dicho “la concienciación de los usuarios es una batalla perdida” …

Pues a Ranum, al reputado profesional (desenmascarado hoy por @adaecjl) y a todo el que sostenga eso, yo le respondo “y un carajo!“. No digo que sea una batalla perdida, digo que no podemos saber si lo es. Es una batalla que nunca hemos luchado en serio.

Chmeee decía:

“Uno de los principales escollos es la falta de conocimientos del usuario normal respecto a las tecnologías que utiliza y a los riesgos que supone”.

Pues yo digo:

“Uno de los principales escollos es la falta de conocimientos de los profesionales de la infosec respecto al ser humano, a las relaciones interpersonales, a la forma en que pensamos, sentimos, aprendemos y actuamos dentro de una organización.”

Os imagináis que las campañas de seguridad vial las diseñaran los mismos ingenieros y mecánicos que diseñan los airbags, los ESPs, el ABS y las estructuras deformables???  ¿Pensáis que las campañas de prevención del tabaquismo las diseña un cirujano especializado en pulmón?  Pues esto es lo que hacemos en seguridad de la información, al menos es lo que yo he vivido.

Y hombre… los reputados profesionales de la seguridad son buenos en su campo, pero quizá no son buenos en otras áreas profesionales del terreno de las ciencias sociales. Cuando nosotros hablamos de concienciación, a un experto de este campo le debe sonar igual que cuando nosotros escuchamos a un psicólogo hablar de firma electrónica….

Si todos estamos de acuerdo en que la gestión de la seguridad se debe basar en el modelo de Personas, Procesos y Tecnología (PPT), en cualquier departamento de seguridad o proveedor de servicios de seguridad deberíamos encontrar:

• psicólogos, sociólogos, pedagogos, expertos en comunicación y marketing, etc (Personas)
• juristas, expertos en organización, administración y gestión empresarial, etc (Procesos)
• Ingenieros y técnicos (Tecnología)

Por deformación profesional, cuando hablo de seguridad de la información, me refiero a seguridad de la información corporativa. Es decir, a la disciplina que trata de garantizar que la organización (ya sea empresa, administración, asociación, etc) protege su información con el fin de que la consecución de sus objetivos se cumpla con eficiencia.

En el ámbito de la seguridad corporativa y partiendo del mantra PPT la solución al problema completo únicamente la encontrará un equipo multidisciplinar.

Y ahora por 25 pesetas, díganme organizaciones con equipos de seguridad multidisciplinares. Por ejemplo  ******  un, dos, tres, responda otra vez…

Tranquilos, no tenemos un gusano metiendo spam en el blog… el título de este post está en inglés porque soy así de pedante . Y porque no he encontrado traducción al español para este dicho.

Hace unas semanas vimos en casa la película “The Joneses”, dejando a un lado que como película no me gustó demasiado… sí me hizo reflexionar sobre algunos aspectos de la gestión de la seguridad de la información.

Voy a fusilar parte del post de “El blog salmón” en el que aclaran de que va la película mucho mejor de lo que yo podría hacerlo (llevo un consultor dentro, lo siento):

The Joneses es una película que trata sobre una familia que llega a un barrio de ingresos medio-altos en los Estados Unidos. La familia Jones tiene todos aquellos productos que uno quiera comprar (ropa de diseño, descapotables de alta gama, electrónica, mobiliario caro, etc) y parecen ser felices, convirtiéndose en el foco de atención de sus vecinos.

Pero en realidad los Joneses no son una familia, sino empleados de una agencia de publicidad. Los coches, la ropa que llevan, la comida que compran, etc ha sido puesta ahí por la agencia de publicidad con el único objetivo de que los miembros de la familia la muestren a sus vecinos, les cuenten las bondades y estos la compren.

El apellido de la familia (Jones) está muy bien elegido porque en inglés americano existe una expresión “keeping up with the joneses” que se refiere a mantener el nivel de vida de los vecinos. Si el vecino se compra un coche nuevo hay que adquirir uno igual o superior. Si se va de vacaciones a Francia nosotros nos vamos a Italia, etc.

Un caso extremo de marketing viral. Espero que en la vida real no se acometan iniciativas tan radicales. Pero en menor grado es habitual ver a famosos promocionando productos, servicios o incluso religiones e ideas políticas de forma subliminal. Está claro que a los humanos nos funciona así el cocotero. Los judíos lo saben desde hace miles de años y el décimo mandamiento dice:

No codiciarás la casa de tu prójimo, no codiciarás la mujer de tu prójimo, ni su siervo, ni su criada, ni su buey, ni su asno, ni cosa alguna de tu prójimo.

Volviendo a la gestión de la seguridad… ¿acaso no vemos este comportamiento con frecuencia? Me explico ¿qué medidas o proyectos de seguridad acometemos? Un teórico consultor trajeado o un gestor de seguridad recién salido del cascarón y aun no ha pasado por la trinchera nos diría: “las acciones de mejora deben venir orientadas por el análisis de riesgos o por requisitos externos a la organización (ej: ENS, LOPD…)”

Pero no nos engañemos, al final usamos el sota, caballo y rey. Copiamos lo que hacen en otras organizaciones, lo que establece el mercado de la seguridad o lo que la corriente interpreta de los estándares. Y así vamos generando mantras y los vamos asumiendo. Y si mi vecino de CPD compra un cortafuegos yo compro otro pero más grande. Y si se hace un proyecto de hacking ético (todavía no sé que carajo es esto del hacking ético pero se vende de maravilla oiga) pues a mi póngame dos.

Otra reflexión que me hago es: ¿los proveedores de seguridad aprovechan esto? ¿Cuándo por ejemplo se despliega una solución piloto en una empresa y organismo líder o referente, no se busca precisamente esto??

Y por último y paro ya de divagar ¿¿¿no podríamos como gestores de seguridad aprovechar estas técnicas para hacer el bien???? ¿Qué pensáis?

Buenas y calurosas tardes de verano… hace unos días leí un magnifico post de Jack Daniel: InfoSec’s misunderstanding of business.

Quizá no sea tan magnifico, pero es una de esas veces en las que lees escrito algo que tu piensas y dices “eehh que no estoy solo. No soy el único que ve al rey desnudo.”

Como tengo poco más que añadir me voy a limitar a traducir aquí el post (para aquellos a los que no les apetezca leer en la lengua de Shakespeare y la reina madre que los pario).

Infosec, malentendiendo el negocio

Lo habrás oído hasta la saciedad, “si nosotros profesionales de la seguridad queremos ser tomados en consideración, debemos comprender el negocio y hablar del valor de la empresa, y bla, bla, bla”. Esto, amigos míos, es mierda. Una todavía humeante mierda en el prado en una mañana de primavera.

¿Quieres avanzar en tus objetivos? Necesitas comprender la codicia y el miedo, la codicia y el miedo de los que controlan los recursos. Entender el negocio de tu organización solo funciona si los lideres de tu organización lo entienden también y no están atados y/o cegados por los objetivos mensuales/trimestrales.

¿No me crees? Echa un vistazo a la industria bancaria, o a la industria americana del automóvil y a cualquier área que conozcas. La gente que conoce el negocio vio el tren venir y trataron de avisar y alertar sobre ello, pero fueron ignorados o algo peor. Comprender el negocio solo conduce a la frustración, porque los que dirigen la organización, ni entienden el negocio (aunque tengan MBAs) ni se les permite actuar para el beneficio de la organización en el largo plazo.

Si quieres mejorar la seguridad de tu organización, debes comprender como funciona tu organización, no como debería funcionar. Tienes que conocer lo que alimenta y lo que asusta. Y por desgracia esto no suele tener que ver con el negocio de la organización.

Sí, ya se que suena un poco amargo y deprimente, pero está bien. El sistema está roto lo justo para funcionar (exactamente igual que la seguridad de la información).

Plas, Plas, Plas, ¡aplauso sonoro! A mi también me da la risa cuando se nos llena la voca hablando del enfoque al negocio de la seguridad de la información. ¡Pero qué negocio ni qué niño muerto! Si aquí el único negocio es el ”coge el dinero y corre”…

Si lo se…  yo también estoy muy negativo, llevo un tiempo pensando que necesito un cambio de aires, pero aun no me veo capaz de mantener mi propio huerto… Todo se andará.

“Leaven: ¿Qué hay ahí fuera?
Worth: Estupidez humana ilimitada.”
Cube.

Impresionante la última saga del cómic ‘The walking dead‘ (En español: Los muertos vivientes). Os sonará por la serie de televisión. Aunque no le hace del todo justicia, el cómic es bastante mejor.

En el último número, publicado esta semana, el personaje principal de la serie, Rick Grimes, comprende por fin una gran verdad. Y es que, como diría mi primo Daniel, es el único cómic de zombies en el que los vivos dan más miedo que los muertos.

“Siempre han sido las personas las que han causado los problemas, los muertos… son sólo una amenaza controlable“

No he podido evitar hacer la analogía con la gestión de la seguridad. Os dejo la viñeta en la que Rick confiesa, para su pesar, este hecho.

Y para los que no conozcáis el cómic, os recomiendo su lectura. Los autores hacen un recorrido sobre el comportamiento humano en situaciones límite que te hacen reflexionar sobre ti mismo, cuáles son tus prioridades y cómo es tu relación con la sociedad.

– Sufre usted de un principio de securosis.

– ¿Es grave, doctor?

– Sí, y sus síntomas pueden agravarse si va ud. al Sec&Beer.

1. No esperes que cambie el comportamiento humano. Nunca.
2. No puedes sobrevivir únicamente con defensa.
3. No todas las amenazas son iguales, y todos los checklists son erróneos.
4. No puedes eliminar todas las vulnerabilidades.
5. Sufrirás intrusiones.

Uff. Vaya tela. Son interesantes. Puedes estar más o menos de acuerdo, pero parecen mucho mejores (y más prácticos) que otros diseñados por organismos internacionales.

Voy a comentarlos por separado, utilizando la propia explicación en la página y lo que se me ha ido ocurriendo, al leerlos.

El factor humano

Los humanos son complejos. En el diseño de controles hay que tener eso en cuenta. Así como en la presentación de iniciativas de seguridad.

"Os maldigo a todos"

Sobre cómo vender seguridad internamente y la importancia de apelar al ‘factor humano’ ya discutimos hace poco.

Respecto a considerar sociología y psicología en el diseño de controles de seguridad, os recomiendo leer ‘The new school of information security’ y ‘Managing the human factor in information security’.

Lo que está claro es que los humanos no somos ‘programables’ de una forma sencilla. No puedes esperar publicar una norma y que todo el mundo se la lea y la cumpla felizmente. Igualmente, tienes que considerar que el ser humano se adapta. Si tu control es molesto intentará evitarlo como sea. Si es complejo se encargará de buscar una forma de hacerlo más sencilla. Creo que a todos se nos ocurren muchos ejemplos.

En definitiva, adaptate al comportamiento humano de tu entorno, no esperes que cambie así por las buenas.

Más vale prevenir

Aparte de implantar mecanismos de defensa, también conviene implantar mecanismos de ‘inteligencia’ para conocer y evitar las posibles amenazas. Lo que dice Rich es que, una vez has recibido un ataque, tus medidas de defensa ya han fallado, por lo que ya no puedes depender de ellos.

Mientras más se conozca del entorno y de los ‘movimientos’ de los posibles agentes amenazantes (ya sean humanos o no) y se reacciona según esta información, mejor. No puedes sobrevivir únicamente con defensa.

Todo depende

Aunque yo no soy muy partidario (vale, nada partidario) de las metodologías de análisis de riesgos arcaicas tradicionales, sí creo que las medidas de seguridad tienen que responder a los riesgos a los que está expuesta la organización.

Y está claro que no todas las organizaciones son iguales ni sufren de los mismos riesgos ni la percepción del mismo es igual para todas. Por lo tanto, checklists que se hagan para una situación no tienen por qué ser válidos para cualquier otra. Es más, ni siquiera tienen por qué ser válidos pasado un tiempo, en el que haya cambiado esa situación.

Y ya sabemos todos que un mono con un checklist no es capaz ni de hacer una auditoría (bueno, es capaz, pero no va a aportar mucho valor). Hay que entender los riesgos… y eso no es fácil. Rich propone que te hagas un experto en esos riesgos, que realmente nadie conoce. Y no me extraña.

No todas las amenazas son iguales, y todos los checklists son erróneos.

La 100-ésima ventana

Por mucho que te empeñes no vas a poder subsanar todas las vulnerabilidades que conoces y seguramente haya otras que no conoces. Además, nuevas vulnerabilidades se descubren día a día, por lo que mantenerse actualizado es difícil.

100th window de Massive Attack

Además, arreglar vulnerabilidades, aunque necesario, es ir por detrás de la amenaza. Sería mejor implantar soluciones para evitar que se exploten amenazas, en vez de ir arreglando las vulnerabilidades que vayan saliendo.

0wned

Debido a que, tarde o temprano sufrirás una intrusión, tienes que prepararte para detectarla y reaccionar. Según Rich, el control más importante es la respuesta a incidentes rápida y efectiva.

La verdad es que poco se dedica a reaccionar o actuar frente al conocimiento que se tiene. Y es una pena. Porque muchas veces nos quedamos en análisis parálisis. Establecer los mecanismos para conseguir una rápida respuesta debe ser una de las prioridades de cualquier equipo de seguridad.

Recuerda, sufrirás intrusiones.

Colofón

Este listado condensa lo que este hombre ha aprendido en sus veinte años de dedicación a la seguridad de la información. Y no es poco. ¿Qué os parece? ¿Os identificáis con sus principios?

En un interesante documental sobre la neurociencia aplicada al marketing, explicaban cómo las decisiones de compra tienen, en su mayor parte, un origen emocional. Estas emociones se crean, según los científicos, en la parte más primitiva de nuestro cerebro, el llamado “cerebro reptil”.

Estas ideas me hicieron pensar en cómo transmitimos a la dirección las propuestas en materia de seguridad y en los mecanismos que llevan a un directivo a aceptar acometer un proyecto, invertir en recursos especializados o simplemente tomar una decisión relevante.

Al fin y al cabo, cuando nos reunimos con la dirección y hacemos una propuesta estamos intentando “vender” nuestro producto. De cómo lo hagamos dependerá una gran parte nuestro trabajo diario.

Si damos por bueno lo anterior y decidimos adentrarnos en el terreno de las emociones, el primer problema con el que nos encontramos es … ¡¡que somos telecos!! … y como tales, el tema emocional no se nos da muy bien.

¿Qué hacer entonces?, no lo sé, porque a estas alturas no nos vamos a matricular en primero de psicología …

Por mi parte, intentaré dedicar más tiempo a pensar qué sensaciones, qué emociones, debo transmitir para conseguir “vender” aquello que mejore la seguridad de mi organización.

Como dijo aquel sevillano universal, somos hijos de una estirpe de rudos caminantes. No se si será por nuestros orígenes, pero lo cierto es que somos un pueblo desorganizado, tan reacio al cambio como a seguir las normas establecidas y en el que cada uno hace de su pequeño ámbito de responsabilidad una fortaleza inexpugnable.

Siendo como somos, ¿son válidos en nuestras organizaciones los modelos y metodologías desarrolladas por y para anglosajones?, me temo que no …

Nuestra cultura, nuestra forma de pensar y de comportarnos es distinta – por suerte -, y seguiremos equivocándonos si intentamos que nuestros clientes o usuarios se comporten como finlandeses, cuando han nacido en Sanlúcar la Mayor …

Retomando la propuesta de olyoly de crear los principios made in SevillaSec&Beer, urge la difícil – ¿imposible? – tarea de desarrollar la Information Security Management Mediterranean Mode.

Acabo de empezar a leer ‘the myths of security‘ escrito por John Viega (@viega en twitter) y he pensado hacer un experimento. Voy a intentar ir comentando el libro conforme lo voy leyendo. Escribiré aquí los comentarios de mayor tamaño bajo el tag secmyths o en twitter los que sean más cortos, bajo el hashtag #secmyths.

the myths of security

Ya he hecho esto alguna vez sólo en twitter con ‘the new school of security’ y con ‘the human factor of information security’ aunque ahora, en este blog, pretendo elaborar un poco más y no sólo incluir citas sino también opiniones.

Veremos qué tal sale. Espero que lo disfrutéis.

No se si conocéis el concepto de Neurona espejo. Me lo ha enseñado hoy una compañera del área de comunicación, al parecer los simios (sí… somos muy monos) imitamos por naturaleza… nuestros cerebros son así… Pero es que no solo copiamos comportamientos… también emociones y sensaciones… En marketing ya se han dado cuenta del tema.

Y la seguridad tiene que ver con los riesgos… y la percepción, la valoración y el análisis de los riesgos no es un proceso completamente racional… Por eso creo que es necesario crear “cultura de seguridad” en las organizaciones, de esta forma el que llega imitará las buenas prácticas y la preocupación por los detalles, aún sin estar formado o concienciado en seguridad. O, al menos, estará más predispuesto a hacerlo.

Pero… ¿cómo creamos “cultura de seguridad” en una organización donde no existe?

Deberíamos dejar de gastar dinero en normativas, adecuaciones, cacharritos, lopedes, superanálisis de riesgos ultrametodológicos que nos dicen lo evidente previo paso por caja, cursitos de formación online que a nadie interesan, pentestes muy vistosos pero cuyo resultado no nos hace salir de la dolorosa rueda del hamster… Nos hemos convertido en charlatanes de feria, vendedores de crecepelos y power balances…

Y todo ese dinero/tiempo/esfuerzo gastado, dedicarlo a comprendernos, a nosotros y a nuestras organizaciones, a entender por qué actuamos de la forma en que lo hacemos, tanto individualmente como en los grupos que formamos… y con un poco de suerte encontrar la manera de mejorar…

Lo que hemos hecho hasta ahora NO FUNCIONA…

Tenemos que buscar soluciones nuevas, creativas, diferentes… seguro que nos volveremos a equivocar pero al menos fallaremos de forma diferente.

Siempre le echamos la culpa a la organización: la directiva no nos apoya… los usuarios no nos hacen caso, los administradores de sistemas son cómodos y prefieren seguir haciendo las cosas mal, los desarrolladores se conforman con que la aplicación funcione y pasan de la seguridad… ¿y nosotros? ¿qué hacemos nosotros? seguimos tratando de aproximarnos al problema de forma errónea una y otra vez… seguimos ganándonos el pan haciendo cosas que sabemos inútiles… Yo pienso que nuestro trabajo es proporcionar soluciones y si las que hemos proporcionado hasta ahora no sirven tendremos que buscar unas mejores.

¿Estamos preparados para atacar el factor humano?