Vídeo de la charla de este año en rootedcon2013: ¿Y si la seguridad afectara al valor contable de la empresa?

Me he dado cuenta de que no lo había publicado, aunque sí twitteado...

Antonio Ramos - ¿Y si la seguridad afectara al valor contable de la empresa? [Rooted CON 2013] from rootedcon on Vimeo.

Charla: "Gobernando la Seguridad hacia los objetivos corporativos"

(Este artículo se publicó originalmente en n+1 tiende a infinito, el blog de n+1 Intelligence & Research)

Vídeo de la charla impartida dentro del ciclo de conferencias TASSI de 2013 titulada "Gobernando la Seguridad hacia los objetivos corporativos":

Ciber-armas

Leyendo acerca de la detención en España del (¿presunto?) autor del mayor colapso en Internet (enlace) [aunque, al fin y al cabo, tampoco fue para tanto, ¿no?], y supongo que debido a que ando estos días dándole vueltas al texto para la reforma de la Ley de Seguridad Privada, me surgen algunas reflexiones:

• ¿Qué deberíamos entender por una ciberarma?
• Considerando que la posesión de armas está regulada, ¿no debería estar regulada también la posesión de esas ciberarmas?
• Dado que todos los equipos pueden ser utilizados como zombies de una red de ataque, ¿no se deberían pedir medidas de protección mínimas a todos aquellos que gestionen equipos (y más cuántos más gestionen o más potentes sean)?
• ¿Por qué seguimos aplicando leyes territoriales a algo que no lo es? Quiero decir, para atacarme en el mundo físico, el atacante tiene que acercarse... ¿o no? Me explico, ¿puede atacar Corea del Norte a EE.UU.? Sí, por supuesto, puede lanzarle misiles. Entendido. ¿Y EE.UU. puede defenderse? Claro, también puede lanzarle misiles. OK. Entonces [y os pido perdón por adelantado por lo que voy a decir], si alguien me lanza un ataque desde sus equipos en forma de "pseudo-paquetes TCP/IP malintencionados", ¿no podría yo devolverle la moneda de la misma forma sin suponer ningún tipo de vulneración de no-se-qué-legislación?
• Y, finalmente, ¿qué legitimación tiene una empresa privada para enfrascarse en este tipo de incidentes? Quiero decir, si alguien intenta robar, atacar, o atentar contra otro son las Fuerzas y Cuerpos de Seguridad las que están habilitadas para actuar, sin embargo, en este mundo online, dos empresas se pueden enfrascar en una pelea que... ¿"afecte a Internet"? ¿Quienes son estas empresas para permitirse semejante lujo? ¿En qué se fundamentan? ¿Os imagináis que trasladamos esto al mundo "físico"? Ya me veo a las compañías de seguridad privada persiguiendo por las calles de la ciudad a unos atracadores que han intentado robar una oficina bancaria disparando sus armas sin control... En fin, creo que hay que poner coto a este tema antes de que se nos vaya de las manos.

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

El Gobierno de la Seguridad y la Protección de las Infraestructuras Críticas

(Este artículo se publicó originalmente en n+1 tiende a infinito, el blog de n+1 Intelligence & Research)

El modelo de gobierno propuesto por Cobit5 se basa, como principio fundamental, en lo que ha denominado la cascada de objetivos. Lo que propone esta cascada, en esencia, es que nuestras acciones tienen que estar relacionadas con las necesidades de todas las partes interesadas (stakeholders) de nuestra organización.

Si aplicamos este modelo a la seguridad de la información, adaptando el modelo de Cobit5 para las TICs, tendríamos una cascada como la que vemos en la figura adjunta. Es decir, partiendo de las necesidades de las partes interesadas, se fijan los objetivos empresariales, que son los que determinan los objetivos en materia de seguridad de la información y, a partir de ellos, se establecen las metas para los catalizadores de gobierno identificados por ISACA en el mencionado marco de gobierno (políticas, cultura, organización, procesos, información, herramientas y capacidades).

Pero, ¿cuál es la relación con la protección de las infraestructuras críticas?

Si se aplica este modelo a las infraestructuras críticas, lo primero que hemos de hacer es identificar a todas las partes interesadas y sus necesidades. Y si hablamos de proteger las infraestructuras críticas, una de las partes interesadas somos los ciudadanos que podemos vernos afectados por una fallo en dichas infraestructuras. El paso siguiente sería identificar nuestras necesidades y una necesidad sería, lógicamente, que se salvaguardara la seguridad de las mismas para que ningún incidente pudiera llegar a suponer un riesgo para nosotros.

Por tanto, aplicando esta lógica, los objetivos de seguridad del operador de dicha infraestructura reflejarían la necesidad de protección de los ciudadanos solucionando así uno de los grandes handicaps de la protección de las infraestructuras críticas: Que se protejan adecuadamente a pesar de ser gestionadas por operadores privados (en su mayoría) que se rigen por criterios económicos.

Por tanto, ¿debería abordarse seriamente la implantación de marcos de gobierno de la seguridad como medida de protección de las infraestructuras críticas?

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

Lectura: "The Cuckoo's Egg"

Creo que fue una recomendación de @lostinsecurity, aunque no lo recuerdo bien... el caso es que es la demostración de que se puede hacer una novela sobre seguridad informática sin caer en estridencias ni en la ciencia ficción, al menos esa es mi opinión.

Personalmente, me ha parecido entretenida, se lee bien (incluso en inglés) y, a pesar de tratarse de una obra publicada inicialmente en 1989 [¡¡¡hace 24 años!!!] mantiene toda su actualidad y aborda las grandes dificultades existentes  para perseguir a los que comenten algún delito informático principalmente por dos aspectos principales a mi juicio:

• La no-territorialidad de Internet. Mientras que las legislaciones y los instrumentos policiales están ligados a un territorio, los accesos y las comunicaciones permiten las conexiones desde cualquier punto del globo.
• La incomprensión de la informática por parte de los legisladores y la mayoría de los nacidos no-digitales que hace que se inventen cosas nuevas para los aspectos informáticos cuando, por ejemplo, los delitos son los mismos aunque utilicen medios técnicos "nuevos".

Pero quizás el pasaje que mas me ha gustado ha sido cuando el protagonista (informático hippy) habla con su pareja y ésta le hace ver que lo que está haciendo, intentando atrapar al que ha accedido a su sistema, es actuar cómo un policía cuando se supone que el es un administrador de sistemas. Y, en realidad, hay que reconocer que tiene toda la razón... Somos conscientes de que nadie se puede tomar la justicia por su mano y que hay que recurrir a los cuerpos y fuerzas de seguridad para denunciar y que a ellos le corresponde la investigación, pero sin embargo, en lo que se refiere a la seguridad informática, estamos acostumbrados a técnicas que rozan, si no sobrepasan, la línea roja de lo que se podría entender por defenderse (acceso a equipos de los atacantes, interceptación de comunicaciones, etc.) y se realizan acciones que, en teoría, corresponderían a esos cuerpos y fuerzas de seguridad.

Para finalizar, os dejo con algunas frases extraídas de la novela que han llamado mi atención por algún motivo:

"Pregunté que policías estaban a cargo de Internet"

"No me gustó el sistema de White Sands. No soy capaz de recordar contraseñas generadas por ordenador, por eso las apunto en mi cartera o junto a mi terminal"

"Esto es cada vez más extraño", dijo Martha. "Empezó como un hobby, persiguiendo a un bromista y ahora estás hablando con esos militares con trajes y sin sentido del humor. Cliff esto no es lo tuyo [...] ¿Quieres emplear tu tiempo siendo un policía?"

"¿Cómo mantenéis vuestros sistemas [de la CIA] seguros?" "Estricto aislamiento. No hay cables conectando con el exterior"

"Mi trabajo es hacer funcionar un ordenador. No atrapar criminales"

"La gente pone más atención para cerrar sus coches que para asegurar sus datos"

"Mi salario se desvió del soporte de sistemas al contraespionaje"

"Eran dolorosamente conscientes de que la seguridad interfiere las operaciones. Equipos de alta-seguridad son difíciles de penetrar, y poco amigables en su uso".

"Cualquier sistema puede ser inseguro. Todo lo que tienes que hacer es administrarlo de manera estúpida"

"La cuestión no es "qué equipo es más rápido," no, ni siquiera "cuál es mejor". En su lugar, preguntar "¿Cuál es más adecuado?" o "¿Cuál hará que el trabajo se haga?"

"La red de la NASA [...] es una autopista conectando equipos por todo el país. Un ladrón podrá usar naturalmente esa carretera, pero eso apenas puede ser el fallo del fabricante de la carretera. La NASA solo es responsable de mantener la carretera intacta. La seguridad de cada equipo recae en las manos de la gente que los ejecuta."

"Para tener las redes como nuestro lugar de juegos, tenemos que preservar nuestra sensación de confianza; para hacer eso, tenemos que tomárnoslo en serio cuando la gente rompe esa confianza."

"Ese es el problema de hablar sobre problemas de seguridad. Si describes como hacer una bomba [...], el próximo niño [...] se pude convertir en terrorista. Pero si suprimes la información, la gente no será consciente del peligro."

"La ciencia y el progreso social solo tienen lugar en abierto. [...] Sí, puedes hacer equipos y redes seguros. Pero serán normalmente difíciles de usar y poco amigables."

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

Estrategia de Ciberseguridad de la Unión Europea

Una gran noticia para todos los europeos: Se ha publicado la Estrategia de Ciberseguridad de la Unión Europea (pdf).

Y dado que en su día comenté la Estrategia Española de Seguridad no iba ahora a no comentar la europea de ciberseguridad, ¿verdad?

Lo primero que tengo que decir [como alguno que me conoce supondrá] es que no me gusta que la ciberseguridad sea tratada como algo diferente. En mi opinión: La ciberseguridad es parte integrante de la seguridad.

Y una vez hecha esta salvedad, destacar las piezas principales de la misma:

• Se establecen cinco principios:
• Los valores esenciales de la UE aplican tanto en el mundo físico como en el digital [como si hubiera dos mundos, ¿Fringe?]
• La protección de los derechos fundamentales, de la libertad de expresión, de los datos personales y de la privacidad.
• Acceso para todos.
• Gobierno de multi-grupos de interés democrático y eficiente.
• Una responsabilidad compartida para asegurar la seguridad.
• Se identifican cinco prioridades (algunas de ellas descompuestas en varias):
• Conseguir "ciber-resiliencia"
• Proponiendo legislación
• Elevando el nivel de concienciación
• Reducir drásticamente el cibercrimen
• Con legislación fuerte y efectiva
• Mejorando la capacidad operativa para combatirlo
• Mejorando la coordinación a nivel europeo
• Desarrollar una política y capacidades de ciberdefensa
• Desarrollar recursos industriales y tecnológicos para la ciberseguridad
• Promocionando un mercado único para los productos de ciberseguridad
• Impulsando las inversiones en I+D y la innovación
• Establecer una política de ciberespacio coherente a nivel internacional y promover los valores fundamentales de la UE
• Se clarifica que los estados son los que deben asumir el liderazgo de la ciberseguridad, aunque se deben establecer los mecanismos de coordinación y colaboración adecuados, tanto a nivel nacional, como europeo como internacional puesto que las amenazas no entienden de fronteras.

De todas formas, he preparado este mapa mental que recoge de manera más exhaustiva lo principal de la estrategia:

Finalmente, aunque es un gran avance (sin lugar a dudas) siguen existiendo aspectos que no han sido recogidos como consecuencia de seguir considerando que el ciberespacio es un espacio disjunto al espacio físico, cuando son parte de un mismo espacio. Me refiero a aspectos que ya he comentado antes, como:

1. La obligación de planes de seguridad para empresas que hagan uso de sistemas TIC (al estilo de lo que exige la Ley de Riesgos Laborales).
2. La necesidad de contar con planes de contingencia para aquellos que puedan afectar a la población (en línea con la Ley de Protección Civil).

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

Cómo cumplir con PCI DSS si utilizo cloud computing

(Esta entrada se publicó originalmente en n+1 tiende a infinito)

En esta entrada vamos a analizar el recién suplemento informativo publicado por el PCI Security Standards Council relativo a la computación en la nube (PDF).

En primer lugar, destacar que es un documento bastante exhaustivo (52 páginas) que incluso, en nuestra opinión, va un poco más allá de lo que se esperaría de un suplemento informativo del PCI SSC, puesto que dedica todo un apartado (el sexto) a "otras consideraciones" sobre la computación en la nube que, como su propio nombre indica, no afectan a la cuestión a cubrir: Servir como punto inicial de discusión para proveedores de servicios en la nube y clientes (especialmente centrado en los casos de nubes públicas).

Desde nuestro punto de vista, el documento gira entorno a tres ideas principales que gobiernan todo el contenido:

1. Los servicios en la nube suponen una pérdida de control, por lo que es necesario delimitar claramente las responsabilidades de las partes antes de utilizarlos y llevar a cabo un proceso de due diligence previo que permita verificar el cumplimiento del proveedor con los requisitos de PCI DSS.
2. Es necesario establecer un adecuado aislamiento de los datos en los entornos en la nube mediante mecanismos de segmentación que permitan limitar el alcance de las evaluaciones de cumplimiento.
3. El proveedor y el cliente deben contar con mecanismos para asegurar que el cumplimiento se mantiene de manera continuada.

Respecto a la primera idea nos gustaría destacar que:

• Se proporciona una guía muy útil (no prescriptiva) de cómo se pueden distribuir las responsabilidades entre cliente y proveedor (Anexos A y C) para cada una de las modalidades de servicios en la nube (SaaS, PaaS e IaaS) puesto que se considera indispensable que conste por escrito (a ser posible en los SLAs del servicio) quien se responsabiliza de la implantación y ejecución de cada control, cómo se va a informar sobre su estado y su gestión y que el cliente entienda qué responsabilidad acepta el proveedor para cada control.
• Se refuerza la idea de que una pérdida de control sobre los controles no supone una pérdida de responsabilidad del cliente de que dichos contrales deben ser efectivos y, por tanto, debe asegurarse un nivel de visibilidad y de monitorización de los mismos adecuado.
• Por dicho motivo, se recomienda a los clientes que trabajen con proveedores que cumplan PCI DSS pero que, antes de contratar un servicio, se informen de:
• Desde cuándo cumple el proveedor con PCI DSS y cuándo fue su última evaluación.
• Qué servicios y requerimientos fueron incluidos en dicha evaluación.
• Qué sistemas e instalaciones fueron evaluados.
• Si algún componente del sistema necesario para la prestación del servicio no fue incluido en la evaluación.
• Cómo evita el proveedor que los clientes no introducen componentes que no cumplan con PCI DSS o eviten los controles existentes.
• Con independencia de utilizar servicios en la nube, el cliente tiene que seguir demostrando su cumplimiento con los requisitos de PCI DSS.

Respecto al segundo concepto sobre la necesidad de aislamiento mediante segmentación, lo más destacable, a nuestro juicio es que pone realmente difícil utilizar servicios de nube pública que no hayan sido pensados para cumplir con PCI DSS. Decimos esto porque obliga (en línea con lo establecido en el estándar para proveedores de servicio) a una total segmentación entre entornos de distintos clientes y con el propio proveedor sin ninguna conectividad entre ellos; es decir, no se puede compartir ningún elemento del sistema, ni aplicación, ni bases de datos, ni comunicaciones... en definitiva, realmente complejo pensar en una aplicación SaaS que pueda ser eficiente si tenemos que aplicar todas estas medidas de segmentación. Como mucho, podremos ver servicios de plataforma o infraestructura. En cualquier caso, en relación a este concepto nos gustaría destacar las siguientes ideas recogidas en el suplemento:

• La segmentación debe proporcionar un aislamiento equiparable al que obtendríamos con una separación física de redes.
• Sin una adecuada segmentación, todos los clientes de la infraestructura compartida, así como el propio proveedor, tendrán que cumplir con PCI DSS para que cualquiera de sus clientes pueda ser considerado como que cumple con el estándar. Es decir, todos ellos estarán considerados en el alcance de la evaluación de cumplimiento de cualquiera de ellos, haciendo prácticamente imposible alcanzar el cumplimiento.
• El proveedor debe asumir la responsabilidad de establecer los mecanismos de segmentación adecuados entre clientes y con el propio proveedor, evitando que incluso el hypervisor o cualquier otra sistema subyacente puedan suponer una vía de comunicación entre ellos.
• Los mecanismos de segmentación a utilizar serían los mismos que los utilizados en un entorno no virtualizado: cortafuegos y segmentación de red a nivel de infraestructura, cortafuegos, IPS, DLP a nivel de hypervisor y máquina virtual, uso de VLANes, aislamiento de procesos y recursos, almacenes de datos segmentados, autenticación fuerte de doble factor, segregación de tareas...
• La segmentación implementada debe ser validada, como siempre, por el QSA.
• Es importante entender las relaciones del proveedor con terceros, puesto que añaden complejidad a la delimitación del alcance y al objetivo de cumplir con el estándar.
• Las recomendaciones para reducir el alcance serían:
• No utilizar servicios en la nube (¡¡¿?!!)
• Utilizar una infraestructura dedicada (¡¡¿?!!) solo para el entorno incluido en el alcance
• Minimizar la dependencia en el proveedor para cumplir con los requerimientos (es decir, utilizar servicios en los que el cliente mantenga más el control: IaaS o, como mucho, PaaS).
• Tratar de evitar que los datos estén en claro en la nube [Esta es la única recomendación como tal]
• En relación a la propia evaluación, si el cliente no ha sido evaluado, debe ser incluido en la evaluación de cumplimiento del cliente y, entonces, deben establecerse SLAs que claramente identifiquen el permiso del proveedor a ser auditado y la parte de las tareas que van a ser realizadas por cada uno de ellos.

Finalmente, en relación a la tercera idea de mantenimiento a lo largo del tiempo, obviamente el documento recoge la necesidad de que el cumplimiento se mantenga durante la prestación del servicio y el proveedor debe demostrar cómo se mantiene dicho cumplimiento en el tiempo.

Como último punto de nuestro análisis, destacar también que el documento incluye un apartado final (el séptimo) con la guía que sugiere a los clientes antes de adoptar un servicio en la nube (ENTENDER, COMPARAR, EVALUAR, CONOCER...), así como un apéndice (el D) con preguntas a realizar al proveedor como orientación para todo este proceso de due diligence.

En definitiva y como resumen, una guía que desalienta bastante la utilización de servicios en la nube  (especialmente los de SaaS públicos) para aquellos que se lo estuvieran pensando...

... ¿todavía no me sigues en twitter.com/antonio_ramosga?