Estar al día en seguridad “Una al día” (por lo menos)

Estar al día en seguridad es una de las tareas más difíciles para cualquier profesional. Todos los días se descubren nuevas vulnerabilidades, especialmente en los sistemas informáticos. Pero también son mayores las exigencias de cumplimiento normativo…

Hay profesionales (en mi opinión, de profesionales tienen poco) que pasaron un examen, superaron un proceso de selección, u obtuvieron su T.I.P. y dijeron adios a los libros con la promesa de un trabajo estable donde se pueda aplicar lo de “aquí siempre se han hecho las cosas así”. Pero como leía el otro día, en los años 50, la expectativa de vida de una empresa era de 60 años, mientras que en el 2011 esa expectativa se ha reducido a una media de 11 años.

Así que aumenta la presión para reciclarnos y las fuentes de información para hacerlo. Surge una nueva habilidad, la de escoger buenas fuentes de información sin caer en la infoxicación.

En el caso particular de Juan Nieto Director de Seguridad habilitado por el ministerio del interior tengo que ser más selectivo. Ahora mismo ejerzo como responsable de desarrollo de negocio y NO me pagan por seguir al día en el ámbito de la Seguridad. Pero estar al día en este ámbito me enriquece personal y profesionalmente, así que busco ese difícil equilibrio.

Mi recomendación es “Una al día – Hispasec” newsletter de Hispasec que lleva un montón de años haciendo fácil, sencillo y para toda la familia, dedicarle un rato a aprender, comprender y reflexionar sobre el mundo de la seguridad informática. La edición de ayer sobre una nueva vulnerabilidad “man in the disk” en Android, escrita por Daniel Pua es un muy buen ejemplo.

una-al-dia-juan-nieto-yo-soy-director-de-seguridad

También estoy subscrito al boletín de alertas del INCIBE, que también está muy bien pero es un formato más árido.

Anuncios

Los ciberdelicuentes apuntan a los hoteles en verano

Buen artículo, mal titular de Panda que en su web publica “Los hackers apuntan a los hoteles en verano“.

Los hackers, es decir, aquellas personas apasionadas por la tecnología y que consiguen superar sus límites, al igual que la mayoría de los seres humanos suelen tener vacaciones en verano y se apuntan a los hoteles (aunque sin entrar en polémicas, parece que muchos se apuntan a apartamentos turísticos como los de AirBNB). Así que, en mi modesta opinión, que los hackers hacen el agosto, significa que disfrutan de sus vacaciones haciendo las cosas que les gustan, entre las que se incluyen reuniones como el Hack and Beers de Cádiz.

 

El caso es que me parece lamentable que una empresa como Panda, contribuya a la confusión, en vez de a la divulgación, utilizando el termino hacker cuando debería usar el de ciberdelincuente.

El sector turístico en España es un 11% del PIB, así que parece claro que con todo ese dinero, sea un claro objetivo de los delincuentes que acuden a donde hay dinero, y si además hay clientes incautos y personal eventual y poco formado se da el caldo de cultivo perfecto para que los malos hagan el agosto.

En cuanto al resto del artículo, hace hincapié en los ataques por e-mail para robar datos de las tarjetas de crédito y por supuesto aprovechar las redes inalámbricas para robar datos.

 

ISO y seguridad

logo-isoLa International Organitation for Standards (ISO) es una federación en la que las organizaciones nacionales de estandarización ponen en común sus trabajos con el objetivo d

e crear normas comunes y así favorecer el comercio mundial. En sus trabajos se definen estándares en ámbitos tan dispares como productos, seguridad alimentaria o tecnología.

¿Y esto que tiene que ver con la seguridad y más concretamente con un director de seguridad?

A muchos de nosotros nos toca trabajar en entornos en los que las normas forman parte de nuestra vida. Es bastante probable que, o bien en la empresa que os paga la nómina, o en empresas clientes, hayan pasado o vayan a pasar por procesos de implantación o certificación de alguna norma ISO. En nuestro país hay más de 40.000 empresas que han obtenido la certificación ISO9001 que acredita que la empresa dispone de un sistema de gestión de la calidad.

Aunque pudiera parecer que la calidad no tiene mucho que ver con nosotros (a parte de la calidad de nuestros servicios específicos). La última versión de la norma incorpora como un elemento fundamental la gestión de riesgos y aquí si que podemos y debemos jugar un papel fundamental como directores de seguridad.

Precisamente en el ámbito de la gestión de riesgos, ISO ha desarrollado la familia ISO 31000, aunque no es una norma certificable, es una guía muy útil para gestionar los riesgos en organizaciones de todos los tamaños.

En otro ámbito de la seguridad, en este caso de lo que los ingleses llaman Safety, y que está en el ámbito de la prevención de riesgos laborales y seguridad en elp trabajo, está en desarrollo el estandar ISO 4500, aunque en este ámbito la norma inglesa OAS 18001 esta cogiendo fuerza.

Y si hablamos de “security” la norma iso más conocida en este ámbito es la ISO 27000 que define el marco de mejores prácticas para definir, implantar y certificar un Sistema de Gestión de Seguridad de la Información (SGSI). Aunque es un estandar enfocado “solo” en la información, y dado que la información está, entre otros sitios, en las personas, la norma tiene en cuenta aspectos que necesariamente incluyen aspectos de seguridad física.

Pero aunque no es nada conocida, la ISO también tiene su norma para la gestión de operaciones de seguridad privada, ISO 18788 que acabo de conocer gracias a haberme puesto a escribir este post, que en realidad es solo una introducción para hablar un poco más sobre la norma que va a ocupar una parte importante de mi tiempo próximamente la ISO 27001.

 

III Jornadas de Ciberseguridad y fraude en Internet

Los pasados 27 y 28 de Enero se celebró en el ThinkTIC (centro técnológico de La Rioja) unas interesantísimas jornadas sobre Ciberseguridad y fraude en Internet (en concreto son las terceras de este tipo que se organizan.

20170128_120909

disclaimer: este es un resumen personal y no exahustivo, si no te menciono como interesante o bueno es solo porque mi memoria y mi tiempo para escribir son limitados, si crees que deberías aparecer sírvete de los comentarios

Que fueron interesantísimas, además de un juicio de valor de este que escribe, se puede objetivar desde varios puntos de vista:

  • asistencia, hubo que ampliar el aforo mediante la creación de una segunda sala, en la cual se pudo seguir la jornada a través de un plasma
  • más de la mitad de asistentes no pudimos inscribirnos en los talleres por falta de aforo (la organización promete repetirlos en breve para que podamos asistir)
  • nivel de presencia corporativa, “empresas” tan relevantes como Guardia Civil, Policia Nacional, S21sec y Prosegur (esta presencia un poco más sorprendente en un foro de Ciberseguridad pero sin duda una noticia más que positiva)
  • nivelazo de ponentes Lorenzo de Securizame es siempre una gozada, alguien con la experiencia de Olof Sandstrom, Igor de S21, Silvia Barrera de Policia Nacional…

Lo que más me gusto:

  • la agilidad de la organización para ampliar aforo y para incluir “la actualidad” de los premios Incibe en el programa
  • ver que hay directores de seguridad en todas partes (en este caso Marisol Aldonza de INCIBE)
  • el equilibrio de presencia riojana (que trabajan fuera como Lorenzo o Marisol) o de inmigrantes que desde La Rioja se buscan la vida por el mundo (Xavi Capellades u Olof Sundstrom) o los profes de los talleres todos ellos jovenes promesas de SSH_Team y masscomm innova
  • que el diario La Rioja recogiera el guante de la difusión y convirtiera la ciberseguridad en portada

20170128_090726

Para mejorar

  • sigo echando de menos networking orientado y promovido desde la organización (esto es general a prácticamente todos los eventos a los que asisto, así que no es en particular de este)
  • horarios muy apretados que cuesta cumplir (y que no dejan espacio para interacción o la reducen)
  • ¿Como conseguimos que sean los CEOs los que escuchen hablar sobre el fraude del CEO y no los que nos dedicamos a esto?

Sobre lo que se dijo tendré que dedicarle otro ratito más adelante.

El Vigilante del futuro

En las películas de ciencia ficción de los años 70 y 80 se planteaba un futuro, para la época en que vivimos actualmente, con todo tipo de androides, naves voladoras, etc., muy lejos de la realidad vigente.

No obstante en el mundo de la Seguridad Privada, así como en otros muchos ámbitos, como decía Don Hilarión en La Verbena de La Paloma: ” Hoy las ciencias adelantan que es una barbaridad”. Lejos quedan aquellos relojes antediluvianos para el control de rondas, las llamadas de teléfono a la Central para el control de presencia, y un largo etc.

Según algunos planteamientos, pronto van a quedar lejos también los Vigilantes de Seguridad. Hace varios años era Bob, el primer robot vigilante del Reino Unido desarrollado por estudiantes de la Universidad de Birmingham, a la par en Estados Unidos apareció el robot K5 con las mismas pretensiones, y ahora llega Ramsee.

Todos ellos son robots vigilantes que, a día de hoy, pueden suplir a sus “semejantes” de carne y hueso en determinadas situaciones y entornos desfavorables, pero son más un complemento que un sustituto real.

Seguiremos con atención estos y otros avances, en la confianza de que la figura del Director de Seguridad se vea potenciada hasta el punto de que las grandes empresas se planteen la conveniencia de sustituirlo por un robot.

¿Podrá la inteligencia artificial con la estupidez humana?

Desde que sucedió el otro día el gran ataque DYN que afectó a tantos servicios populares que ha sido objeto de atención en los medios generalistas, llevo diciendome a mi mismo que tenía que leer a fondo sobre el tema.

El caso es que en estos momentos de mi vida entretrabajos he estado un poco ocupado hasta que un madrugón y un buen domingo por delante me han dado un respiro para poder hacerlo:

Jo Peterson @digitalcloudgal
$1,560,000 estimated cost of last week’s DDoS attack (20k per hour x 6hrs x 13 companies. Maybe more theatlantic.com/technology/arc…

o el comunicado oficial de DYN

Pero cuanto más leo más dudas tengo, y aunque no esté relacionado directamente con el ataque, cuando leo cosas como las que cuenta el gran Kinomakino (aka Joaquín Molina) en su blog Inseguros  donde avisa a una empresa de lo fácil que es atacarla, robarle dinero… y los responsables directamente NO tienen tiempo de escuchar o simplemente NO quieren escuchar.

Es en este contexto, de sistemas que podrían ser seguros, pero que por dejadez, exceso de confianza, falta de adaptación o simple estupidez se convierten en peligrosos, sin que las advertencias de los profesionales sean escuchadas más que cuando Santa Barbara, no es que truene, sino que atrona, y explota de furia, en el artículo de Joaquín habla de una gasolinera, que es algo que es susceptible de ello.

Así que:

  • siendo un convencido de las ventajas y avances que la ciencia y la tecnología nos aportan
  • siendo de los que no ven el vaso medio lleno, ni medio vacio, sino que lo vacío cuando tengo sed y busco la forma de llenarlo para cuando tenga sed
  • siendo de los que odian a los profetas del apocalipsis cuando vienen a llenar sus carteras a cambio de salvarnos

No puedo menos que plantearme esa gran duda ¿Conseguiremos productos y/o servicios secured by design y a prueba de dejadez/estupidez/incompetencia humana? o quizás, como sugiero en el título ¿tendremos que diseñar una inteligencia artificial capaz de salvarnos de nuestra propia estupidez?

Claro que en nuestro imaginario colectivo eso nunca acaba bien, así que nos toca reescribir el guión 😉

La seguridad es lo primero que nos une a todos

gb-ballesteros-ieee-yo-soy-director-de-seguridad

Foto del General Ballesteros obtenida de la web del IEEE

Titular de La Vanguardia para la entrevista con el General Ballesteros a raiz de la publicación del libro En busca de una estrategia de seguridad nacional.

La entrevista, es una delicia y un curso rápido de seguridad, en general, definiendo y explicando de una manera muy sencilla y con ejemplos muy entendibles algunos de sus conceptos generales:

  • no hay seguridad total así que hay que anticiparse “Debemos conocer qué es lo que puede dañar nuestros intereses para evitarlo.”
  • En la mayoría de las ocasiones uno no puede evitar que se materialice un riesgo por eso lo importante es prepararse para reponerse “Hay que saber asumirlo psicológicamente y ser capaces de resistir y de sobreponerse lo antes posible, es lo que se conoce con el nombre de resiliencia, uno de los pilares de la seguridad nacional.”
  • Define una cadena estratégica que va del riesgo, peligro, amenaza y daño y cuanto antes en la cadena intervengamos menos graves son las consecuencias y en muchas ocasiones más barato es.
  • E insiste en lo de barato pero esta vez desde la perspectiva de una visión global y coordinada La seguridad es más barata y mucho más fuerte y eficaz cuando estamos unidos. 
  • Aunque parezcan dos cosas separadas, hemos tenido que aprender de manera brutal en el caso del 11-S, 15-M… que la barrera entre seguridad interior y exterior es en realidad una conexión que debemos gestionar.

La verdad es que si la entrevista es así de buena, no me va a quedar más remedio que leerme el libro para poder conectar con esa estrategia y desde mi humilde papel de ciudadano contribuir a mejorar la seguridad nacional que al final es la seguridad de mis hijos, de mi familia y de mis amigos.

Si queréis el libro se puede adquirir en papel en la tienda on-line o descargar de manera gratuita En busca de una estrategia de seguridad nacional.