Los ciberdelicuentes apuntan a los hoteles en verano

Buen artículo, mal titular de Panda que en su web publica “Los hackers apuntan a los hoteles en verano“.

Los hackers, es decir, aquellas personas apasionadas por la tecnología y que consiguen superar sus límites, al igual que la mayoría de los seres humanos suelen tener vacaciones en verano y se apuntan a los hoteles (aunque sin entrar en polémicas, parece que muchos se apuntan a apartamentos turísticos como los de AirBNB). Así que, en mi modesta opinión, que los hackers hacen el agosto, significa que disfrutan de sus vacaciones haciendo las cosas que les gustan, entre las que se incluyen reuniones como el Hack and Beers de Cádiz.

 

El caso es que me parece lamentable que una empresa como Panda, contribuya a la confusión, en vez de a la divulgación, utilizando el termino hacker cuando debería usar el de ciberdelincuente.

El sector turístico en España es un 11% del PIB, así que parece claro que con todo ese dinero, sea un claro objetivo de los delincuentes que acuden a donde hay dinero, y si además hay clientes incautos y personal eventual y poco formado se da el caldo de cultivo perfecto para que los malos hagan el agosto.

En cuanto al resto del artículo, hace hincapié en los ataques por e-mail para robar datos de las tarjetas de crédito y por supuesto aprovechar las redes inalámbricas para robar datos.

 

ISO y seguridad

logo-isoLa International Organitation for Standards (ISO) es una federación en la que las organizaciones nacionales de estandarización ponen en común sus trabajos con el objetivo d

e crear normas comunes y así favorecer el comercio mundial. En sus trabajos se definen estándares en ámbitos tan dispares como productos, seguridad alimentaria o tecnología.

¿Y esto que tiene que ver con la seguridad y más concretamente con un director de seguridad?

A muchos de nosotros nos toca trabajar en entornos en los que las normas forman parte de nuestra vida. Es bastante probable que, o bien en la empresa que os paga la nómina, o en empresas clientes, hayan pasado o vayan a pasar por procesos de implantación o certificación de alguna norma ISO. En nuestro país hay más de 40.000 empresas que han obtenido la certificación ISO9001 que acredita que la empresa dispone de un sistema de gestión de la calidad.

Aunque pudiera parecer que la calidad no tiene mucho que ver con nosotros (a parte de la calidad de nuestros servicios específicos). La última versión de la norma incorpora como un elemento fundamental la gestión de riesgos y aquí si que podemos y debemos jugar un papel fundamental como directores de seguridad.

Precisamente en el ámbito de la gestión de riesgos, ISO ha desarrollado la familia ISO 31000, aunque no es una norma certificable, es una guía muy útil para gestionar los riesgos en organizaciones de todos los tamaños.

En otro ámbito de la seguridad, en este caso de lo que los ingleses llaman Safety, y que está en el ámbito de la prevención de riesgos laborales y seguridad en elp trabajo, está en desarrollo el estandar ISO 4500, aunque en este ámbito la norma inglesa OAS 18001 esta cogiendo fuerza.

Y si hablamos de “security” la norma iso más conocida en este ámbito es la ISO 27000 que define el marco de mejores prácticas para definir, implantar y certificar un Sistema de Gestión de Seguridad de la Información (SGSI). Aunque es un estandar enfocado “solo” en la información, y dado que la información está, entre otros sitios, en las personas, la norma tiene en cuenta aspectos que necesariamente incluyen aspectos de seguridad física.

Pero aunque no es nada conocida, la ISO también tiene su norma para la gestión de operaciones de seguridad privada, ISO 18788 que acabo de conocer gracias a haberme puesto a escribir este post, que en realidad es solo una introducción para hablar un poco más sobre la norma que va a ocupar una parte importante de mi tiempo próximamente la ISO 27001.

 

III Jornadas de Ciberseguridad y fraude en Internet

Los pasados 27 y 28 de Enero se celebró en el ThinkTIC (centro técnológico de La Rioja) unas interesantísimas jornadas sobre Ciberseguridad y fraude en Internet (en concreto son las terceras de este tipo que se organizan.

20170128_120909

disclaimer: este es un resumen personal y no exahustivo, si no te menciono como interesante o bueno es solo porque mi memoria y mi tiempo para escribir son limitados, si crees que deberías aparecer sírvete de los comentarios

Que fueron interesantísimas, además de un juicio de valor de este que escribe, se puede objetivar desde varios puntos de vista:

  • asistencia, hubo que ampliar el aforo mediante la creación de una segunda sala, en la cual se pudo seguir la jornada a través de un plasma
  • más de la mitad de asistentes no pudimos inscribirnos en los talleres por falta de aforo (la organización promete repetirlos en breve para que podamos asistir)
  • nivel de presencia corporativa, “empresas” tan relevantes como Guardia Civil, Policia Nacional, S21sec y Prosegur (esta presencia un poco más sorprendente en un foro de Ciberseguridad pero sin duda una noticia más que positiva)
  • nivelazo de ponentes Lorenzo de Securizame es siempre una gozada, alguien con la experiencia de Olof Sandstrom, Igor de S21, Silvia Barrera de Policia Nacional…

Lo que más me gusto:

  • la agilidad de la organización para ampliar aforo y para incluir “la actualidad” de los premios Incibe en el programa
  • ver que hay directores de seguridad en todas partes (en este caso Marisol Aldonza de INCIBE)
  • el equilibrio de presencia riojana (que trabajan fuera como Lorenzo o Marisol) o de inmigrantes que desde La Rioja se buscan la vida por el mundo (Xavi Capellades u Olof Sundstrom) o los profes de los talleres todos ellos jovenes promesas de SSH_Team y masscomm innova
  • que el diario La Rioja recogiera el guante de la difusión y convirtiera la ciberseguridad en portada

20170128_090726

Para mejorar

  • sigo echando de menos networking orientado y promovido desde la organización (esto es general a prácticamente todos los eventos a los que asisto, así que no es en particular de este)
  • horarios muy apretados que cuesta cumplir (y que no dejan espacio para interacción o la reducen)
  • ¿Como conseguimos que sean los CEOs los que escuchen hablar sobre el fraude del CEO y no los que nos dedicamos a esto?

Sobre lo que se dijo tendré que dedicarle otro ratito más adelante.

El Vigilante del futuro

En las películas de ciencia ficción de los años 70 y 80 se planteaba un futuro, para la época en que vivimos actualmente, con todo tipo de androides, naves voladoras, etc., muy lejos de la realidad vigente.

No obstante en el mundo de la Seguridad Privada, así como en otros muchos ámbitos, como decía Don Hilarión en La Verbena de La Paloma: ” Hoy las ciencias adelantan que es una barbaridad”. Lejos quedan aquellos relojes antediluvianos para el control de rondas, las llamadas de teléfono a la Central para el control de presencia, y un largo etc.

Según algunos planteamientos, pronto van a quedar lejos también los Vigilantes de Seguridad. Hace varios años era Bob, el primer robot vigilante del Reino Unido desarrollado por estudiantes de la Universidad de Birmingham, a la par en Estados Unidos apareció el robot K5 con las mismas pretensiones, y ahora llega Ramsee.

Todos ellos son robots vigilantes que, a día de hoy, pueden suplir a sus “semejantes” de carne y hueso en determinadas situaciones y entornos desfavorables, pero son más un complemento que un sustituto real.

Seguiremos con atención estos y otros avances, en la confianza de que la figura del Director de Seguridad se vea potenciada hasta el punto de que las grandes empresas se planteen la conveniencia de sustituirlo por un robot.

¿Podrá la inteligencia artificial con la estupidez humana?

Desde que sucedió el otro día el gran ataque DYN que afectó a tantos servicios populares que ha sido objeto de atención en los medios generalistas, llevo diciendome a mi mismo que tenía que leer a fondo sobre el tema.

El caso es que en estos momentos de mi vida entretrabajos he estado un poco ocupado hasta que un madrugón y un buen domingo por delante me han dado un respiro para poder hacerlo:

Jo Peterson @digitalcloudgal
$1,560,000 estimated cost of last week’s DDoS attack (20k per hour x 6hrs x 13 companies. Maybe more theatlantic.com/technology/arc…

o el comunicado oficial de DYN

Pero cuanto más leo más dudas tengo, y aunque no esté relacionado directamente con el ataque, cuando leo cosas como las que cuenta el gran Kinomakino (aka Joaquín Molina) en su blog Inseguros  donde avisa a una empresa de lo fácil que es atacarla, robarle dinero… y los responsables directamente NO tienen tiempo de escuchar o simplemente NO quieren escuchar.

Es en este contexto, de sistemas que podrían ser seguros, pero que por dejadez, exceso de confianza, falta de adaptación o simple estupidez se convierten en peligrosos, sin que las advertencias de los profesionales sean escuchadas más que cuando Santa Barbara, no es que truene, sino que atrona, y explota de furia, en el artículo de Joaquín habla de una gasolinera, que es algo que es susceptible de ello.

Así que:

  • siendo un convencido de las ventajas y avances que la ciencia y la tecnología nos aportan
  • siendo de los que no ven el vaso medio lleno, ni medio vacio, sino que lo vacío cuando tengo sed y busco la forma de llenarlo para cuando tenga sed
  • siendo de los que odian a los profetas del apocalipsis cuando vienen a llenar sus carteras a cambio de salvarnos

No puedo menos que plantearme esa gran duda ¿Conseguiremos productos y/o servicios secured by design y a prueba de dejadez/estupidez/incompetencia humana? o quizás, como sugiero en el título ¿tendremos que diseñar una inteligencia artificial capaz de salvarnos de nuestra propia estupidez?

Claro que en nuestro imaginario colectivo eso nunca acaba bien, así que nos toca reescribir el guión 😉

La seguridad es lo primero que nos une a todos

gb-ballesteros-ieee-yo-soy-director-de-seguridad

Foto del General Ballesteros obtenida de la web del IEEE

Titular de La Vanguardia para la entrevista con el General Ballesteros a raiz de la publicación del libro En busca de una estrategia de seguridad nacional.

La entrevista, es una delicia y un curso rápido de seguridad, en general, definiendo y explicando de una manera muy sencilla y con ejemplos muy entendibles algunos de sus conceptos generales:

  • no hay seguridad total así que hay que anticiparse “Debemos conocer qué es lo que puede dañar nuestros intereses para evitarlo.”
  • En la mayoría de las ocasiones uno no puede evitar que se materialice un riesgo por eso lo importante es prepararse para reponerse “Hay que saber asumirlo psicológicamente y ser capaces de resistir y de sobreponerse lo antes posible, es lo que se conoce con el nombre de resiliencia, uno de los pilares de la seguridad nacional.”
  • Define una cadena estratégica que va del riesgo, peligro, amenaza y daño y cuanto antes en la cadena intervengamos menos graves son las consecuencias y en muchas ocasiones más barato es.
  • E insiste en lo de barato pero esta vez desde la perspectiva de una visión global y coordinada La seguridad es más barata y mucho más fuerte y eficaz cuando estamos unidos. 
  • Aunque parezcan dos cosas separadas, hemos tenido que aprender de manera brutal en el caso del 11-S, 15-M… que la barrera entre seguridad interior y exterior es en realidad una conexión que debemos gestionar.

La verdad es que si la entrevista es así de buena, no me va a quedar más remedio que leerme el libro para poder conectar con esa estrategia y desde mi humilde papel de ciudadano contribuir a mejorar la seguridad nacional que al final es la seguridad de mis hijos, de mi familia y de mis amigos.

Si queréis el libro se puede adquirir en papel en la tienda on-line o descargar de manera gratuita En busca de una estrategia de seguridad nacional.

Día Internacional para la Reducción de los Desastres – 13 de Octubre

puerto-principe-haiti-dia-internacional-para-la-reduccion-de-los-desastres-juan-nieto-director-de-seguridad

Una mujer cruza una calle lodosa en el centro de Puerto Príncipe después de que el huracán Matthew sacudió a Haití el 4 de octubre de 2016, trayendo fuertes lluvias y vientos. Foto ONU/MINUSTAH/Logan Abassi

Hace ya 25 años, en 1989, la Asamblea de las Naciones Unidas designó el 13 de octubre como el Día Internacional para la Reducción de Desastres.

Aunque no lo parezca es una brillante idea ¡del siglo pasado!

En ocasiones me pregunto si es realmente importante o una estulticia el designar diferentes ” Días Internacionales de…” Finalmente pienso que, aunque la estupidez humana no tiene límites, el que se ponga el foco de atención sobre un particular un día al  año, y que dicha atención sea “internacional” es algo positivo. Cosa aparte es que hay muchos de estos días que pasan en el calendario sin pena ni gloria, y para nuestra desgracia, y sobre todo para la de los que padecen los desastres, hoy, 13 de octubre, es uno de esos días.

Para los profesionales de la seguridad los desastres son un escenario desalentador. Tenemos que aunar esfuerzos para tratar de concienciar a la sociedad y crear una “Cultura de Seguridad”. En nuestro entorno familiar, en nuestro entorno laboral, residencial, en nuestros municipios, ¿qué hacemos para  estar preparados ante el desastre? O ¿qué sabemos sobre como hacerle frente y paliar sus consecuencias?

Reflexionemos y hagamos reflexionar. Los desastres pueden ser imprevisibles pero sus consecuencias no.