11 abril 2020

¿Tiene sentido que una ley exija gestión de riesgos?

(Foto: "Risk_block_letters", Paul Cross, https://flic.kr/p/q3sLdP)

En los últimos años es habitual encontrarnos con legislación que requiere al sujeto obligado de la implementación de un proceso de análisis y gestión de riesgos (algunas referencias previas en este blog aquí y aquí). Por ejemplo, sin ir más lejos, el famoso Reglamento General de Protección de Datos (más conocido por RGPD) o el Esquema Nacional de Seguridad (ENS).

Tal y como yo entiendo la gestión de riesgos, una organización hace este ejercicio e implementa este proceso para seleccionar aquellas medidas de seguridad que, en función de su perfil de riesgo, maximicen la inversión en ciberseguridad. Por lo tanto, y volviendo al título de esta entrada, ¿tiene sentido que una norma exija realizar una gestión de riesgos?

La respuesta depende del tipo de norma que sea. Podríamos decir que, a este respecto, existen dos tipos de normas:
  1. Las que están fundamentadas en un principio de responsabilidad (el famoso accountability) - Por ejemplo, la actual Ley de Protección de Infraestructuras Críticas o el ya mencionado RGPD.
  2. Las que definen de manera objetiva lo que tenemos que hacer para cumplir - Dentro de estas estaría el ENS o PCI-DSS.
En el caso de las primeras, tiene sentido ese análisis y gestión de riesgos puesto que el principio es "actúa con responsabilidad y haz lo que consideres oportuno para lograr el objetivo". Por tanto, el análisis de riesgos ahí se convierte en la herramienta que gradúa ese ejercicio de libertad de elección. Cada organización implementa las medidas que considera en función de su perfil de riesgo: organizaciones que se quieran arriesgar más, pondrán menos medidas y al revés... pero cada una, bajo su responsabilidad.

En el caso de las segundas, claramente, NO. En estas normas que son prescriptivas en cuanto las medidas que la organización obligada tiene que implementar, ¿qué sentido tiene pedirle a una organización que haga un ejercicio de análisis cuando el que ha redactado la normativa ya ha decidido qué medidas son las que hay que implementar? En mi opinión, la inclusión de esta exigencia solo responde a una moda o a una intención de "quedar bien" y decir que la norma está basada en la gestión de riesgos...

Otra cosa es lo que podamos pensar sobre cuál de las dos opciones es más acertada o contribuye más a conseguir el objetivo de la norma, pero esto es algo que discutiremos en la próxima entrada.

... ¿todavía no me sigues en twitter.com/antonio_ramosga

11 marzo 2020

Nariz hambrienta [offtopic]

Extremadura. Pueblecito en los límites del Parque Nacional de Monfragüe. Verano de 1950 (año arriba, año abajo). Mediodía. Más de 40º a la sombra y ni pizca de aire.

El sabueso recorre las calles desiertas del pueblo a paso lento, levantando la nariz para captar mejor los olores que salen por las ventanas sin cristales de las cocinas por las lumbres a pleno rendimiento preparando los guisos para los que están a punto de llegar de trillar o de cuidar las cabras.

Por fin parece que capta un rastro que le gusta y lo sigue como hipnotizado hasta la puerta de una casa de una sola planta. Zagüan y cocina unidos. En su interior, a la mesa, el padre, la madre y tres hermanos se disponen a comer.

Justo cuando la madre retira el guiso de la cocina, tocan a la puerta:
- "¿Tío Angel?", preguntan desde fuera.

Todos se sonríen.

- "Pasa, pasa. Nos disponíamos a comer", contesta el padre, que es demasiado alto para la época y demasiado ancho para los tiempos que corren, sabiendo como va a terminar la conversación.
- "¡Qué bien huele!", responde el recién llegado.
- "Sí, ayer un cabrito se jirió y hoy ha habido que matarlo. El señorito nos ha regalao un cacho, así que el guiso hoy lleva chicha", aclara la madre y cocinera.
- "!Ya decía yo!. Se huele desde fuera", se explica el sabueso.
- "¿Gustas?", pregunta el tío Ángel sabiendo ya cual va a ser la respuesta. Pero no le importa, todo lo que tiene de grande, lo tiene de bonachón y generoso.
- "Pues ya que lo dices; hoy no me ha dado tiempo a preparar rancho", responde el cartero sacando una cuchara de madera de la faldiquera.

La familia hace sitio al recién llegado, asumiendo que hoy les ha tocado a ellos dar de comer al cartero del pueblo.

Esta historia está basada en una anécdota que mi padre me ha contado en varias ocasiones para ilustrarme cómo era la vida en su niñez de posguerra en un pueblo del Norte de Cáceres.

08 octubre 2017

Opinión acerca del WannaCry

(Cross-posted con el blog de ISACA Madrid, aquí)

Se ha escrito mucho [y mucho más se va a escribir] sobre el incidente del pasado 12 de mayo, más conocido por WannaCry (ya sabéis, Quiero-Llorar). En este caso desde ISACA Madrid no querríamos “aburrir” a nadie con un montón de lugares comunes y de reflexiones rápidas y sin mucho fundamento [llevamos ADN de auditores y eso no se nos está permitido], pero es nuestra responsabilidad no dejar pasar este incidente para resaltar aquellos aspectos que nos parecen más relevantes, como lecciones que debemos aprender, en lugar de seguir llorando:
  • Toda organización (si habéis leído bien, toda) debe hacerse una pregunta: ¿Qué voy a hacer cuándo sea atacada o sufra un incidente de ciberseguridad? Esta pregunta, a su vez, tiene varios componentes: ¿Qué capacidad de resistencia al ataque tengo? ¿Con qué rapidez podré detectar que estoy siendo atacada? ¿Dispongo de mecanismos para dar una respuesta rápida? ¿He establecido mecanismos para aprender de los incidentes que sufra?
  • El hecho de sufrir un incidente no debería ser noticia (hasta el más maniático con sus hábitos de limpieza puede sufrir una infección). Ya sabemos que, desde el punto de vista de los medios de comunicación, puede ser relevante, pero desde luego, nosotras, como profesionales no podemos caer en la tentación y asumir que todo el mundo puede “infectarse”. Lo que, a cambio, sí debería ser noticia sería nuestra incapacidad para responder [ojo, el intercambio no es trivial]
  • La implementación de medidas adecuadas de protección y recuperación no es responsabilidad de ningún área técnica, es responsabilidad de los propietarios/accionistas y de los órganos de dirección… igual que se involucran en la toma de decisiones sobre la tesorería, la gestión de stocks, o la estrategia comercial, deben [repito, deben] implicarse en la toma de decisiones en esta materia… y si no se encuentran preparados, aquí les dejamos un documento muy sencillo para empezar…”Ciberseguridad: Lo que el Consejo de Administración Necesita Preguntar” <https://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Cybersecurity-What-the-Board-of-Directors-Needs-to-Ask.aspx>
  • Los controles diseñados son para ser implantados y debe vigilarse su efectividad. Tener controles y procedimientos y no aplicarlos sistemáticamente es inaceptable para un auditor de sistemas. Esa debilidad trae estas consecuencias.
  • Y por último, y no por ello menos importante, este incidente debe hacernos reflexionar sobre nuestro grado de dependencia y vulnerabilidad de las tecnologías de la información. Para lograr el objetivo que llevamos en el lema de ISACA: “Sistemas valiosos y fiables”, hace falta que las organizaciones presten atención, se ocupen y dediquen recursos a contar con los medios necesarios para asegurar la continuidad de sus operaciones y el alineamiento de los sistemas con los objetivos corporativos y para ello, es fundamental e imprescindible, contar con profesionales cualificados que sean capaces de identificar las medidas y operar los sistemas de manera fiable… ¿sería lógico pensar que una organización que depende de sus sistemas de información para funcionar no haya puesto a sus mandos a profesionales cualificados para esa función?
... ¿todavía no me sigues en twitter.com/antonio_ramosga?

10 mayo 2017

Concienciación [modo chirigota]

Gracias a mi hermana he llegado a un estupendo vídeo de una chirigota de 'Tintineo Caletero' que trata nada más y nada menos que sobre… ¡¡las contraseñas!!



Pero sobre lo que querría reflexionar no es en sí sobre el vídeo de la chirigota que, por otra parte, es una herramienta de concienciación estupenda [creo que el humor es el mejor instrumento para la enseñanza] sino sobre cómo los autores han llegado a ese resultado final. Me refiero a que, viendo sus actuaciones de años anteriores, he descubierto que, en realidad, la chirigota que acabamos de ver es el resultado de la fusión de las dos siguientes:
  1. Versión inicial sobre la contraseña (comienza en el 1'48")
  2. Chirigota sobre la declaración de la Infanta Elena (comienza en el 4'24")

De la versión de 2014 a la de 2017 hay una clara mejora de la contraseña: Es mucho más larga y, además, tiene números... en conclusión: La concienciación que se está haciendo en la sociedad en materia de seguridad está calando y, hasta en las chirigotas, la gente sabe lo que es importante en materia de seguridad... "mayúsculas, minúsculas y números"... ¡¡aunque siguen poniendo "la misma pa'tó"!!

26 diciembre 2016

Lectura: Camino a la Servidumbre (o de como Trump ganó las elecciones)

No tenía previsto escribir nada en relación a esta obra de Hayek que acabo de terminar de leer porque es, ciertamente, bastante técnica y no veía la forma de encajar una entrada que fuera, a la vez, corta e interesante.

Pero eso fue hasta que llegué al capítulo en el que el autor reflexiona sobre si Alemania y Rusia tuvieron mala suerte con los dictadores que surgieron del nacional socialismo y del comunismo, pero en otros países podría ser de otra forma y quizás los dictadores que acabaran gobernando fueran "buenos dictadores" y, por tanto, utilizaran bien el poder que tendrían.

En dicho capítulo, Hayek expone que todos estos gobiernos estuvieron precedidos por épocas de "desafección con los pesados y lentos procesos democráticos" en los que "el hombre que parezca suficientemente fuerte y resuelto 'para hacer que las cosas se hagan' es el que tiene un mayor atractivo. [...] Lo que se busca es alguien con un soporte sólido como para inspirar la confianza de que puede conseguir lo que quiera." [No me diréis que no os suena a alguien, ¿verdad?]

Y para finalizar, lo que me llamó aún más la atención fue la descripción de las tres razones por las que siempre son los peores elementos de la sociedad los que se imponen en ese proceso:
  1. "Normalmente, es cierto que, en general, a un mayor nivel de educación e inteligencia, más diferentes serán sus visiones y gustos y, por tanto, menos probable que estén de acuerdo en una jerarquía concreta de valores. Como corolario, si deseamos encontrar un alto grado de uniformidad e igualdad de perspectiva, tenemos que descender a las regiones de más baja moral y estándares intelectuales donde los instintos  y gustos más primitivos prevalecen."
  2. "Serán capaces de obtener el apoyo de todos los dóciles y crédulos, que no tienen convicciones propias fuertes, pero están preparados para aceptar un sistema pre-cocinado de valores con solo que les sea repetido suficientemente alto y frecuentemente." [aquello de que si quieres que una mentira se convierta en verdad, no tienes más que repetirla suficientes veces]
  3. "Parece ser una ley de la naturaleza humana que es más fácil para la gente estar de acuerdo sobre un programa negativo -en el odio a un enemigo, en la envidia a aquellos mejores- que en cualquier tarea positiva. El contraste entre el "nosotros" y los "ellos", la lucha común contra aquellos fuera del grupo, parece ser un ingrediente esencial en cualquier credo que permita mantener unido un grupo para una acción común". [quizás ahora os expliquéis el por qué de esa continua búsqueda del enfrentamiento]
No puedo evitar recordar en la campaña que ha preparado el elegido presidente americano y pensar, si la historia se repite, ¿cómo no aprendemos del pasado? ¿Era consciente Trump de que estaba aplicando esta estrategia o simplemente ha sido una consecuencia necesaria en estas situaciones? ¿Cómo no se dieron cuenta en la campaña de Clinton de esta estrategia y contra-atacaron?

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

25 octubre 2016

Opinión sobre el ataque a DYN

(Cross-posted con el blog de ISACA Madrid, aquí)

El incidente de estos días con el servicio DNS de DYN ha puesto de manifiesto algunos aspectos relacionados con la ciberseguridad que deberían hacernos reflexionar sobre cómo la tecnología evoluciona y las garantías que incorpora. En esta ocasión lo “único” que ha pasado es que no se ha podido acceder a algunos servicios que, al fin y al cabo, no eran esenciales (redes sociales, periódicos online, servicios de streaming, etc.) pero podría haber sido diferente, qué duda cabe.
Pero, como decíamos, al margen de los detalles del incidente, lo que ha pasado y cómo ha pasado, hay algunos elementos de fondo sobre los que es necesario reflexionar:
  • Se lleva mucho tiempo hablando de la seguridad en entornos industriales y, por extensión, sobre los dispositivos del denominado “Internet de las Cosas” (o IoT por sus siglas en inglés, Internet of Things). Pero parece ser que, inútilmente, porque este incidente ha puesto de manifiesto que siguen siendo dispositivos que cuentan con medidas de seguridad muy básicas y que, desde luego, no se han diseñado teniendo en cuenta la seguridad como uno de sus elementos fundamentales. Es contradictorio observar como los equipos industriales, en general, son diseñados, fabricados e instalados observando altísimas medidas de seguridad (resistencia a presiones, temperaturas, etc., funcionamiento en modo de fallo, apagado seguro…) pero el software de estos mismos equipos no pasa por un proceso equivalente de securización (recomendamos la lectura del documento publicado por ISACA hace unos meses titulado: Sistemas de Control Industrial: Un Manual Básico para el Resto de Nosotros).
    Evidentemente, se impone la evolución tecnológica y probar todos los avances con la mayor rapidez posible, pero este incidente debería enseñarnos que estos dispositivos pueden llegar a ser tremendamente peligrosos: (i) porque interactúan con los elementos físicos de nuestro alrededor pudiendo llegar a causar daños físicos; o (ii) su elevado volumen hace que puedan llegar a ser utilizados, como ha sido el caso, como canal para lanzar ataques a terceros objetivos. Por este motivo, tanto usuarios como Administraciones deberían ser consciente de estos riesgos para utilizar / permitir solo aquellos dispositivos que les ofrezcan garantías de seguridad suficientes. De lo contrario, estaremos contribuyendo a crear una sociedad tecnológicamente insegura que puede afectar al deseo de la sociedad de utilizar dicha tecnología.
  • Por otra parte, la utilización masiva de dispositivos incluye aquellos que están instalados en grandes corporaciones, pero también en pequeñas empresas e incluso en los hogares. Queremos resaltar este aspecto, puesto que, en muchas ocasiones, cuando las Administraciones piensan en establecer medidas de ciberseguridad existe la tendencia a dirigirlas únicamente a grandes corporaciones (véase sino la recién aprobada Directiva NIS que excluye explícitamente a las PYME) cuando éstas pueden ser utilizadas, tanto como un fin en sí mismo (puesto que por ser pequeñas no significa que no gestionen recursos importantes) como un medio para acceder a terceros (ya que pueden estar prestando servicios a grandes compañías o incluso a la Administración).
    Desde un punto de vista de gestión del riesgo, es evidente que el impacto de las PYME puede que sea indirecto pero, desde luego, no es despreciable y su impacto puede llegar a ser muy significativo, por lo que no parece un criterio relevante para decidir si una empresa tiene que tomar medidas de ciberseguridad o no. Por ejemplo, en el ámbito de la seguridad vial, el elemento discriminador es la posesión de vehículos industriales: Aquellas empresas que utilicen vehículos industriales han de someterlos a las verificaciones de seguridad oportunas cada 6 meses, ¿por qué no un enfoque parecido en el ámbito de la ciberseguridad? (recomendamos la lectura del documento de ISACA, “Transformando la Ciberseguridad con COBIT5” para un análisis más detallado de estos temas).
  • Y, abundando en algo que introducíamos en el punto anterior, este incidente también debería hacernos pensar con mucho más detalle sobre la dependencia que tienen los servicios con terceros (en este caso del proveedor del servicio de DNS). A estas alturas de la evolución de Internet, todo está conectado. Nuestras comunicaciones dependen de una compañía de telecomunicaciones, posiblemente un tercero nos ayuda a mantener y administrar nuestros sistemas, los desarrollos son ejecutados por terceros, incluso puedo que algún proceso corporativo sea ejecutado por un experto externo, etc… en definitiva, nuestra seguridad es tan fuerte como el más débil de todos ellos, o dicho de otra forma, no sirve de nada que nuestra parte sea más robusta si no lo son el resto de piezas del engranaje. Por este motivo, es necesario trabajar sobre la ciberseguridad en la cadena de suministro como una de las piezas clave en los próximos años para asegurar la ciberresiliencia de nuestra organización (para una mayor información, de nuevo recomendamos la lectura de un documento de ISACA, “La Empresa Ciberresiliente: Lo que el Consejo de Administración Tiene que Preguntar”).
  • Finalmente, algo que ya sabíamos, pero que vuelve a ponerse de manifiesto es que no hay enemigo pequeño. La asimetría de los ataques de ciberseguridad es más que evidente y el enemigo, por muy pequeño que sea, puede infligir un daño de dimensiones incalculables… por este motivo, cuando en los análisis de riesgos tratamos de estimar las probabilidades de los escenarios no debemos perder de vista que hay impactos que por muy improbables que nos parezcan no podemos obviarlos simplemente por su baja probabilidad, porque los cisnes negros existen, así que, trabajemos todos los escenarios y en ciberseguridad, sobre todo, los de baja probabilidad y alto impacto porque nadie quiere que su sistema desaparezca porque no consideró que algo altamente improbable acabe sucediendo. Quizás en nuestro mapa de riesgos pueda aparecer como ‘despreciable’ pero debemos tener un plan B por si acaba sucediendo… la continuidad de la organización nos lo acabará agradeciendo; máxime cuando muchos de estos ataques no responden, en absoluto, a hechos aleatorios, sino a ataques intencionados y completamente dirigidos. Esto hace que debamos replantearnos esa “baja” probabilidad, con el tiempo la persistencia, malicia y complejidad de los ataques terminan elevando notablemente su probabilidad (también para saber más sobre este tema, recomendamos la lectura de un par de documentos de ISACA: “Advanced Persistent Threats: How to Manage the Risk to your Business” y “Responding to Targeted Cyberattacks”).
En definitiva, veamos el lado positivo de las cosas y pensemos que este incidente servirá para mejorar nuestra preparación y capacidad de respuesta a este tipo de ataques en el futuro.

...¿Todavía no me sigues en twitter.com/antonio_ramosga?

09 septiembre 2016

Lectura: Los 88 Peldaños del Éxito

Tuve la fortuna de conocer a Anxo Pérez (@anxo) en el evento anual de ISACA Madrid de hace un par de años en el que participó como ponente de cierre. La verdad es que fue una manera inmejorable de terminar las jornadas porque todos nos marchamos de allí con un subidón importante, gracias a la alegría, simpatía y optimismo de Anxo.

Como ya he comentado alguna vez, ISACA Madrid suele obsequiar a los asistentes a sus eventos con un libro que, por algún motivo, consideran interesante y en aquella ocasión fueron "Los 88 peldaños del éxito" y, desde entonces, tenía pendiente su lectura [ya me vale, ya lo sé...]. De hecho es curioso que justo ayer leí que Anxo anunciaba que lanzaba un nuevo libro, justo ahora que acabo de leerme los 88 peldaños... :)


No voy a descubrir nada comentando el carisma de Anxo, así que voy a limitarme a hacer una de las cosas que pide a sus lectores, compartir lo que más no ha gustado de su libro... no voy a desvelar mi máxima de oro, pero casi...
"Los que menos se arriesgan, fracasan poco, pero son los que menos triunfan"
"Lo importante no es la visibilidad ni el reconocimiento que recibas, sino la realización que tú sientas. Los pozos de petróleo son, por encimad de todo, pozos de realización, y lo importante no es cuánto te hacen sentir valorado por fuera, sino cuánto te hacen sentir realizado por dentro"
"Inicia tu bola de nieve no tanto para construir tu huella, sino para inspirar a otros a que construyan la suya"
"Igual que de vez en cuando un piano necesita ser afinado, las ruedas del coche alineadas, o los músculos estirados, tu ego necesita un chequeo que lo mantenga cerca de la realidad y le permita sensibilizarse con otros y a ti apreciar qué tienes, por qué lo tienes y si realmente lo valoras. Ésa es la magia del voluntariado"
"[...] en el éxito se vuela con la autoconfianza unida a la humildad"
"Una persona arrogante busca brillar. Una persona humilde busca crecer"
"El reto de la vida consiste en saber emparejar el tiempo y las prioridades" // [...] la clave del éxito está en hallar el equilibrio, no dando a todos los ingredientes la misma importancia, sino a cada uno la que le corresponde"
"Valora tu tiempo y tu vida. Regálaselo sólo a quienes realmente se lo merezcan. Cada vez que regalas una hora a alguien que no la valora, se la estás negando a alguien que podría merecerla mucho más"
"La intensidad estira el tiempo" // "[...] si lo que vives en un año lo repites durante diez años más, te sobraban los últimos nueve" [esta mención va dedicada además a un viejo amigo: Bienvenido]
"La falta de claridad y concreción en las cosas que hacemos es uno de los principales enemigos del éxito. No definir de antemano por qué estamos en esta reunión, qué nos reportará exactamente este acuerdo [...] significa dejarnos distraer por la manzana en lugar de buscar la pepita"
"En el mundo existen dos grupos, los que hacen que el mundo sea un poco mejor y los que hacen que el mundo sea un poco peor. Este segundo es el grupo de los grises, gente que está descontenta con su vida y que lo único que está dispuesta a hacer para cambiar ese hecho no es mejorar su entorno, sino empeorar el tuyo." [Es triste, pero yo he experimentado este tipo de relaciones]
"El éxito no está en minimizar las pérdidas sino en maximizar las ganancias" [seguro que Goldratt estaría de acuerdo ;) ]
"Mantenerte fiel a tu idea significa perder dinero por honrar una visión y perder en el corto plazo para ganar en el largo, que es aquél en el que el éxito reside"

...¿todavía no me sigues en twitter.com/antonio_ramosga?