30 diciembre 2010

Un 2011 apasionante por delante

Año 2011 por Petr Kratochvil
Después de un 2010 con muchos cambios, quería compartir con vosotr@s mis planes para 2011.

En primer lugar, está el reto de la presidencia del capítulo de Madrid de ISACA que ya os comenté hace unos días y al que tengo mucho cariño, por lo que le dedicaré bastante tiempo...

Y en segundo lugar, dos proyectos empresariales que están viendo la luz estos días:

  • n+1 Intelligence & Research, una consultora enfocada en IT Governance e Information Security Governance que espera convertirse en un referente en el sector gracias a actuar como polo de atracción de profesionales de reconocido prestigio. Este proyecto lo iniciamos 2 socios y en el futuro esperamos ser n+1... 
  • leet security, algo más diferente, por no decir totalmente diferente y que es un proyecto personal, se trata de una agencia de rating de seguridad para proveedores de TI (en principio). Aunque pueda sonar complicado, se trata "simplemente" de aplicar el mismo principio que en los mercados de deuda y evaluar la fiabilidad o resiliencia de los proveedores de servicios, de forma que sus potenciales clientes puedan conocer a priori dicha información sin necesidad de recurrir a auditorías específicas en cada situación.
Siempre me había gustado considerarme como un consultor con iniciativa y quizás, a partir de este año, pueda considerarme como un emprendedor en toda regla, quién sabe...

En fin, como os decía, una año apasionante por delante en el que espero pasármelo bien y disfrutar cada minuto, vamos, como diría Mihaly Csikszentmihalyi, fluir...

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

28 diciembre 2010

Prevencion10 - A vueltas con la prevención de riesgos

Hace unos días comentábamos sobre la publicación de un reglamento sobre riesgos laborales y los posibles paralelismos con los riesgos de utilización de las TIC.

Pues bien, a finales de noviembre se puso en marcha prevencion10.es, un servicio público gratuito para persigue que empresas de menos de 10 empleados puedan ahorrar importantes gastos en prevención de riesgos laborales ya que les permite elaborar de manera gratuita su plan de prevención en esta materia.

Vuelvo a escribir sobre el tema porque sigo opinando que podría ser una posible evolución que observáramos en materia de seguridad. Al fin y al cabo, lo que cambia es el asunto sobre el que tratar, riesgos informáticos en lugar de riesgos laborales [y evidentemente, las consecuencias, pues los accidentes laborales se cobran demasiadas vidas cada año].

Se me ocurren varias reflexiones al respecto de prevencion10:
  • ¿Debe el Estado proveer este servicio de manera gratuita en clara competencia con el sector privado? Está claro que el Estado debe intervenir cuando "el mercado" no funcione correctamente y supongo que este caso es claro, ¿lo es el de la seguridad de la información?
  • Esta claro que no existe una Ley en materia de seguridad como la que existe para la prevención de riesgos laborales, ¿podría surgir en el corto / medio plazo? Existen iniciativas no conexas en este sentido: protección de datos personales, de infraestructuras críticas, la reforma del código penal...
  • ¿Podría poner en marcha el Estado una iniciativa similar a prevencion10 pero en materia de seguridad TIC? Está claro que desde INTECO-CERT se ofrece un servicio orientado a PYMEs y ciudadanos, pero no creo que pueda considerarse que es lo mismo.
En fin, me parece un tema interesante sobre el que reflexionar. Os espero en los comentarios (aunque sean males fechas...)

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

24 diciembre 2010

¡Feliz Navidad!


Aunque muy justito, muy justito, os quería desear a todas y todos los lectores de este blog que paséis una Feliz Navidad en compañía de vuestras familias y amigos.

Ha sido una año muy duro, así que nos merecemos, al menos, pasar estos días lo más felices posibles...

Lo dicho... ¡Felices Fiestas a tod@s!

...¿Todavía no me sigues en twitter.com/antonio_ramosga?


P.D.: La foto es de la nevada del año pasado en casa...

02 diciembre 2010

Administrador de Franquicia: Nueva categoría de Third Party Agent de VISA

El pasado mes de junio, VISA incluyó a los Administradores de Franquicias (Corporate Franchise Servicer) como una nueva categoría de Agente de Tercera Parte. Este movimiento, según el propio boletín de VISA se debe a la tendencia detectada de incremento y difusión de ataques utilizando la infraestructura de dichos organismos, incluso cuando algunos de dichos sistemas no se utilizan para el procesamiento, ni almacenamiento de transacciones [pero sí están conectados, claro].

Algunos datos interesantes que aparecen en el documento de VISA son los que os comento a continuación. En primer lugar, que las 5 industrias con más incidentes en 2010 son las de restauración (23%), hoteles (12%), minoristas de ropa (6%), tiendas de deporte (5%) y marketing directo (3%) y, en especial, los comercios de nivel 4 (el 96% de los casos, frente al 2% de los de niveles 1 y 3).

Por otro lado, según esos mismos datos, los vectores de ataque más utilizados a fecha de octubre de 2010 son los accesos remotos (41%), los servidores inseguros (33%), las redes inseguras (19%) y los ataques web (7%). En cuanto a los tipos de malware, han aumentado los keyloggers (que han pasado de un 14% a un 51%), han disminuido los parseadores de memoria (de un 49% a un 30%) y han aparecido los keylogger/sniffers (12%), los de ataque web (5%) y las puertas traseras (2%).

Finalmente, los requerimientos que menos se cumplen (datos de 2009 y 2010, hasta junio) son los requerimientos 1, 8, 10 y 11 (un 17% cada uno de ellos), el requerimiento 6 (16% de los casos) y el requerimiento 2 (un 15% de las ocasiones).

Y volviendo al tema que nos ocupaba, simplemente mencionar que se entiende por 'Administrador de franquicia' a la entidad o franquiciador que proporciona o controla un entorno de red con independencia de que almacene, transmita o procese datos de titulares de tarjetas a través de él. Estos administradores deben cumplir con PCI-DSS en 12 meses a partir de recibir la notificación de VISA o de su adquirente y como proveedor de servicios de nivel 1.

En cuanto a los pasos que deben dar los 'Administradores de Franquicias' son los siguientes:
  1. Contratar a un QSA en un plazo de 90 días y enviar el acuerdo a su adquirente.
  2. Planificar la evaluación inicial in situ en un plazo de 30 días desde la firma del contrato y enviar dicha planificación al adquirente.
  3. Completar la revisión y enviar el informe inicial (iROC) en un plazo de 150 días desde la evaluación inicial.
  4. El 'Administrador' tiene un plazo de 90 días para remediar los aspectos detectados y enviar el informe final y el plan de acción.
  5. Una vez cumpla con PCI DSS se envían a VISA el "Resumen Ejecutivo" y el documento "Attestation of Compliance" firmados.


... ¿Todavía no me sigues en twitter.com/antonio_ramosga?


29 noviembre 2010

ISACA Madrid

El pasado jueves, día 25 de noviembre, tuvo lugar la Asamblea del capítulo de Madrid de ISACA en el que se elegía la nueva Junta Directiva para los próximos 2 años y en la que se presentaba una lista en la que figuraba como Presidente.

Pues bien, tengo el grandísimo placer de informaros de que no se presentó ninguna otra lista alternativa y que la que encabezaba fue elegida por unanimidad de los asociados presentes y representados.

Ahora quedan por delante dos años [que estoy seguro de que se harán cortos] de mucho trabajo en el que todos los miembros de la nueva Junta tenemos depositadas grandes dosis de ilusión y esperanza.

Para los socios de ISACA Madrid, ya sabéis donde me tenéis y para los no-socios, en fin, ¿a qué estáis esperando para asociaros? ;-)

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

25 noviembre 2010

Lectura: "Fluir (flow)"

Llegué a Mihaly Csikszentmihalyi gracias a [como no] mi amigo Mario y, dado el momento vital en el que me encuentro, ha sido un gran apoyo para saber qué quería hacer con mi futuro. Ahora lo tengo claro: Quiero hacer algo que me permita fluir.

Sin duda alguna, esta obra debe formar parte de la biblioteca de todos aquellos que en algún momento se preguntan por el sentido de la vida y de su existencia o para los que se encuentran en una encrucijada y tienen que decidir por qué camino han de seguir.

Aunque se trata de una obra con un amplio trasfondo científico, el autor nos mantiene al margen de toda la jerga típica de esos casos y nos traslada sus ideas de manera sencilla y amena de leer, lo que hace que el mensaje llegue más claro, aún si cabe.

La verdad es que es un verdadero problema incluir citas del libro, porque lo suyo sería trascribir prácticamente la obra entera, pero he tratado de seleccionar lo mejor de lo mejor, aunque os recomiendo encarecidamente su lectura... no os defraudará.

"La información que permitimos que entre en nuestra conciencia se convierte en algo extremadamente importante, de hecho es lo que determina el contenido y la calidad de nuestra vida".
"La atención puede emplearse de innumerables maneras, y estas maneras pueden conseguir que en la vida se disfrute o se sufra."
"Cuando optamos por una meta y nos involucramos en ella llegando a los límites de nuestra concentración, cualquier cosa que hagamos será agradable."
"Experiencia óptima: una sensación de que las propias habilidades son adecuadas para enfrentarse con los desafíos que se nos presentan, una actividad dirigida hacia unas metas y regulada por normas que, además, nos ofrece unas pistas claras para saber si lo estamos haciendo bien. La concentración es tan intensa que no se puede prestar atención a pensar en cosas irrelevantes respecto a la actividad que se está realizando, o para preocuparse. La conciencia de sí mismo desaparece, y el sentido del tiempo se distorsiona."
"Los pasos esenciales [para producir flujo] son: a) establecer una meta general [...]; b) encontrar maneras de medir el progreso [...]; c) concentrarse en lo que uno hace [...]; d) desarrollar las habilidades necesarias [...]; y e) elevar el nivel si la actividad nos aburre."
"Cuando sentimos que empleamos la atención en una tarea contra nuestra voluntad, es como si nuestra energía psíquica estuviese siendo derrochada. En vez de ayudarnos a alcanzar nuestras propias metas, las estamos alcanzando para otra persona."
"Más que cualquier otra, la calidad de vida depende de dos factores: de cómo experimentamos el trabajo y de nuestras relaciones con otras personas."
"Las reglas para desarrollar esta personalidad [autotélica] son simples y derivan del modelo de flujo: Definir las metas, sentirse inmerso en la actividad, prestando atención a lo que está sucediendo y aprender a disfrutar de la experiencia inmediata."
"El significado de la vida es significado: sea lo que sea, venga de donde venga, tener un propósito unificado es lo que da significado a la vida."

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

22 noviembre 2010

Informe 2010 de Verizon sobre el cumplimiento de PCI DSS

No sé si habréis tenido oportunidad de echar un vistazo al informe en cuestión (pdf), pero creo que merece la pena, aunque no incluya los resultados de todas las auditorías realizadas por esta empresa, sino solo una muestra y, principalmente, en Estados Unidos [esperemos que para ediciones sucesivas tomen nota y cambien esto].

Aunque salió a principios de octubre, yo lo he leído este fin de semana... y os quería comentar los aspectos que más me han llamado la atención:
  • El 22% de los que cumplen inicialmente con el estándar resuelven rápidamente lo que se detecta en la revisión inicial, eran veteranos en el proceso de validación o tenían una gran parte de requerimientos "no aplicables".
  • Un 78% no fueron "compliance", cuando se supone que empezaban el proceso porque tenían la expectativa de cumplir con el estándar (dado que, incluso algunos de ellos no eran la primera vez que pasan por el proceso).
  • Los requerimientos que han demostrado estadísticamente ser los más difíciles son el 3 (datos almacenados), el 10 (registrar y monitorizar) y el 11 (pruebas periódicas).
  • Los datos también demuestran que existe una relación negativa entre el número de procedimientos de pruebas y el de empresas que cumplen con un requerimiento.
  • Si se organizan los requerimientos como un típico ciclo PDCA, nos encontramos que las organizaciones son mejores en la Planificación (requerimiento 12) y Haciendo - Doing (requerimientos 1 a 9) que Comprobando (requerimientos 10 y 11).
  • El nivel de cumplimiento de los distintos sub-requerimientos indica que el Enfoque Priorizado (Prioritized Approach) no ha sido especialmente utilizado.
  • Considerando las revisiones realizadas por el equipo Verizon de Investigate Response (IR), se deduce que los que han sido víctima de una "brecha" de seguridad son menos compliant que el resto de empresas en la muestra. Esto también se cumple requerimiento a requerimiento, excepto en el caso de las transmisiones cifradas (R4) y por un margen de más de un 50%.
  • También sobre la base de los trabajos de este equipo IR, las mayores amenazas son las puertas traseras (presente en el 25% de los incidentes), las inyecciones SQL (utilizadas un 24% de los casos) y la explotación de canales traseros y de command/contro (un 21%).
Además de todo esto, os aconsejo la revisión, requerimiento a requerimiento de los datos de cumplimiento, son muy útiles. Y también los consejos y recomendaciones de Verizon para afrontar el cumplimiento con PCI DSS; no son sorprendentes, pero son un buen compendio de causas raíz de los problemas detectados.

Espero que os sea de utilidad, tanto si tenéis que implementar el estándar en vuestra organización (como guía de los requerimientos más difíciles), como si sois consultores externos (para que sepáis en lo que más fácilmente fallan las empresas).

Para finalizar, solo una sugerencia a los chic@s de Verizon, ¿qué tal incluir resultados segmentados por tipo de organización (service providers, merchants, issuers...)?

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

18 noviembre 2010

El PP y el control de cambios

El País de ayer abría en portada con la siguiente noticia relacionada con las elecciones catalanas: "La 'caza' de inmigrantes da puntos en el videojuego del PP". Os adelanto que no voy a hablar de política, así que, los que hayáis llegado hasta aquí por ese motivo, siento defraudaros.

La noticia dice lo siguiente:
A primera hora de la tarde de ayer, cuando los servicios de prensa del PP anunciaron el lanzamiento del juego en Internet -y una versión para móviles-, la página se colapsó por las miles de entradas registradas. Posteriormente, sobre las diez de la noche, lo retiraron de la web. El partido explicó en un comunicado que la empresa desarrolladora no había seguido sus indicaciones. De esta forma, en el cartel que rezaba "inmigrantes ilegales" debía figurar la frase "mafias ilegales". El PP lamentó el supuesto error. Anoche era imposible acceder al juego, que ofrecía este mensaje: "Aunque parezca mentira, este error no lo ha producido el presidente Montilla".
Como os decía, no voy a hablar de política, sino de control interno, más concretamente de lo que se denomina el proceso de control de cambios porque parece que es lo que se encuentra detrás de esta noticia. Sucesos como éste, ponen de manifiesto que un buen y efectivo control de cambios en los sistemas es necesario para que no se pongan en producción sistemas que no cumplen con los requerimientos de los usuarios que los solicitaron.

Evidentemente, debe existir un procedimiento de desarrollo o de adquisición de sistemas subyacente que permita identificar requerimientos de los usuarios, dimensionamiento adecuado, etc... y todo ello, jalonado con un buen control de versiones, una gestión de la entrega adecuada y, sobre todo, el visto bueno de los usuarios que solicitaron el cambio, con independencia de que los cambios se realicen interna o externamente.

Seguro que han aprendido con este suceso, pero por si acaso, se puede encontrar información muy valiosa de cómo se debe hacer, tanto en el manual del CISA como en el COBIT y, también en ITIL.

...¿Todavía no me sigues en twitter.com/antonio_ramosga?

16 noviembre 2010

III Foro DPI y el uso corporativo de redes sociales

El pasado día 3 de noviembre tuve la oportunidad de participar en el III Foro DPI que versaba sobre "Problemas actuales de la Privacidad y la Seguridad de la Información" Además de poder contrastar la evolución de las actividades del DPI y del estado de la certificación que promueve, CDPP - Certified Data Privacy Professional, tuvimos la oportunidad de escuchar a Ricard Martínez, Coordinador del Área de Estudios de la Agencia Española de Protección de Datos.

Y como siempre que interviene la AEPD, hay que estar atento a todo lo que dice, puesto que su opinión es muy importante en todo lo que tiene que ver con la vigilancia de la privacidad de nuestros datos de carácter personal. Aunque todos los temas que se tocaron fueron muy interesantes, me gustaría resaltar el criterio de la Agencia en relación al uso corporativo de las redes sociales. Por concretar, nos referimos a la corriente actual de todas las organizaciones de contar con un perfil en las redes sociales más populares como medio de "enganchar" con sus clientes, fans o como los queramos denominar.

En estos casos, la AEPD interpreta que, aunque la organización no puede decidir sobre la utilización de los datos de carácter personal de los usuarios de la red social, puesto que ésta es la propietaria de la información, sí que le asigna a la organización con un perfil en la red social el rol de encargado del tratamiento con todo lo que ello conlleva.

Evidentemente, hay operativas que están muy restringidas, como puede ser las medidas técnicas de protección o el derecho de rectificación... pero la AEPD interpreta que las organizaciones están manejando datos de carácter personal de sus seguidores/amigos/fans y que está haciendo un uso empresarial de la misma, por lo que debe establecer medidas para proteger dicha información: Derecho de información, finalidad, cesión, etc.

Sin duda, un aspecto sobre el que, al menos, debemos reflexionar si queremos que nuestra empresa se abra un perfil en una red social.

...¿Todavía no me sigues en twitter.com/antonio_ramosga?

12 noviembre 2010

Protegetuinformacion.com - Nuevo portal de concienciación en seguridad

El pasado 1 de noviembre ha visto la luz uno de los proyectos en los que he venido colaborando en los últimos tiempos, el sitio web de concienciación en seguridad, Protegetuinformacion.com que nace con el objetivo de hacer que los que usan Internet habitualmente puedan tomar decisiones informadas, con un entendimiento de los riesgos que asumen y no fundamentadas en el miedo o en lo que es noticia en cada momento.
El proyecto ha sido promovido por el ISMS Forum Spain y cuenta con el apoyo del Ministerio de Industria, Turismo y Comercio a través de un Plan Avanza2. Me podríais decir, y con razón, que no es el primero que se crea con este propósito, pero creo que el planteamiento es un poco diferente.

Principalmente, porque se han definido 7 perfiles a modo de audiencias diferenciadas (menores, jóvenes, padres, adultos, mayores, autónomos, profesionales por cuenta ajena y ONGs) con sus mensajes y lenguajes específicos para que el mensaje sea el adecuado. De hecho, me gustaría invitaros a visitar el microsite que se ha creado para los más jóvenes porque creo que se ha hecho un gran trabajo y espero que les atraiga y les haga disfrutar. También existen 3 temáticas que son tratadas especialmente, dada su importancia relativa, se trata de la banca online, las redes sociales y la Ley Orgánica de Protección de Datos.
 
En segundo lugar, porque se han incluido elementos orientados a que el mensaje llegue lo mejor posible: pruebas de nivel, consejos y avisos, prácticas interactivas, etc...
 
Y, por último, porque, dado su enfoque, puede ser utilizado para cubrir algunas necesidades latentes en nuestras sociedad como, por ejemplo:
  • Para que las PYMEs lo utilicen para concienciar a sus empleados.
  • Para que los colegios u otros centros formativos lo usen como apoyo para concienciar a los más pequeños sobre los riesgos de las nuevas tecnologías.
  • Para que los autónomos o las ONGs sepan lo que pueden hacer en materia de seguridad.
 
Para acabar, comentar que ha sido un placer participar en esta iniciativa con un gran grupo de profesionales en la elaboración de contenidos, así como el resto de personas que ha hecho posible esta iniciativa (en primer lugar, el equipo del ISMS Forum y, como no, también el de OneClick) e invitaros a tod@s a que lo visitéis y nos referencieis cuando tengáis ocasión.

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?
 

10 noviembre 2010

Pekín Express y los modelos de competencia

[Perdón por la longitud de este post, pero no he sido capaz de hacerlo más corto]

El pasado domingo, en el desenlace final de la 7ª etapa de Pekín Express, tuvimos la oportunidad de ver "en vivo y en directo" dos estilos muy diferentes de competir. Aunque no es un ejemplo empresarial, fue tan evidente que me ha parecido interesante comentarlo: Al fin y al cabo, las empresas las dirigen las personas, ¿no?

Os pongo en antecedentes: El programa había propuesto a los concursantes un jeroglífico que era necesario resolver para poder finalizar la etapa. Jeroglífico cuya solución era algo así como "Para alcanzar la meta, tienes que contar los escalones que hay hasta ella" (no sería muy importante, de no ser porque eran 328, nada más y nada menos). En lugar de intentar resolverlo antes de llegar, todos (sin excepción) se pusieron a subir para luego, tener que bajar y contarlos, puesto que nadie lo había hecho [Primera lección empresarial: Antes de ponerte a hacer algo, piensa, planifica].
  
Siguiendo con la escena, los primeros en llegar y darse cuenta de que tienen que volver a bajar son la pareja que denominaremos 'Asistentes-de-vuelo'. En su bajada, se cruzan con los segundos, la pareja 'Padre-Hija', quienes extrañados, preguntan y solo obtienen un "nos hemos dejado algo abajo", aunque pronto descubren que lo que se han "olvidado" es de contar los escalones. Evidentemente, en su bajada se cruzan con los 'Asistentes-de-vuelo' que vienen subiendo y ya contando los escalones. Y aquí es donde empieza la parte ilustrativa.
El padre pregunta a los asistentes de vuelo cuántos escalones llevan a lo que le responden: "No lo sé". Podéis pensar: "Lógico, si quiere saber los escalones que hay que baje y se lo curre, como han hecho los primeros". Bueno... es una opción, pero sigamos con la situación real.
 
La pareja 'Padre-Hija' debe volver a bajar y cuando vienen subiendo, debido al agotamiento del padre, son alcanzados por la tercera pareja ('Profe-Alumno'). ¿Y qué creéis que hace el padre entonces? Muy sencillo, ante el estupor de su hija, les informa de que aunque lleguen a la cima, si no han contado los peldaños, les tocará bajar para contarlos. ¿Es gilipollas o un Santo? No lo sé, vamos a ver como acaba.
 
La pareja 'Padre-Hija' llegan en segundo lugar a la cima y se equivocan en el número de escalones. Increíble, pero cierto. En ese momento, su desesperación es total, pues dado el agotamiento del padre no se pueden plantear volver a bajar y subir... ¿qué pasa entonces? Muy sencillo, la tercera pareja llegan también a la cima y en agradecimiento al gesto anterior del padre, les informan del número correcto de escalones, a cambio de que les cedan su segundo lugar... ¿Lecciones?
  
Para mí, una muy clara, "no siempre los juegos son de suma cero", no siempre es yo gano - tu pierdes, aunque desgraciadamente, la situación habitual que nos encontramos en el mercado actual es ésa... Hago lo que haga falta para llevarme el proyecto (rebajo el precio de manera increíble, acepto alcances o metodologías abocadas al fracaso, lo que sea...) con un solo objetivo: Yo gano el proyecto - tu no... aunque en realidad todos pierden: Tú porque haces un proyecto a un precio ridículo, el cliente porque el resultado no es el que deseaba y la competencia porque no ha hecho un proyecto para el que estaba mejor preparada, aunque su precio fuera mayor... Lo siento, pero así no juego, no todo vale.
 
Ya sé que no llegaré lejos en el mundo empresarial, o al menos, no en el tradicional, pero no me importa...
 
... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

08 noviembre 2010

PCI-DSS 2.0: Mi análisis de los cambios

Como much@s de vosotr@s sabréis, recientemente se ha publicado la versión 2.0 del estándar PCI-DSS, por lo que he pensado que podría ser interesante compartir mi análisis de los cambios (el PCI Council ha publicado un documento titulado "Summary of Changes from PCI DSS Version 1.2.1 to 2.0" para ayudarnos en esta tarea).

Lo primero que habría que decir es que, del total de 137 cambios inventariados en dicho documento, la gran mayoría - casi un 88% - son clarificaciones, mientras que solo hay 15 casos de orientación adicional y exclusivamente 2 requerimientos que han evolucionado. Es decir, que podríamos decir que la versión 2.0 del estándar es, principalmente, aclaratoria.

Una vez dicho esto, los cambios que más han llamado la atención (por orden de impacto, más o menos) han sido los siguientes:
  • Se ha incluido una nota adicional en 3.2 sobre la posibilidad de almacenar los datos sensibles de autenticación en el caso de emisores de tarjetas (ya lo habíamos comentado antes por aquí), siempre que exista una justificación de negocio y se almacenen de manera segura.
  • Los requerimientos de calificar las vulnerabilidades, además de identificarlas y de solventar las de riesgo "alto" (best practice hasta el 30 de junio de 2012) [estos son los dos requerimientos que han evolucionado].
  • Requerimiento 2.1.1 - Se ha eliminado WPA puesto que no se puede considerar como cifrado fuerte.
  • Se ha relajado la necesidad de cambio anual de claves de cifrado que establecía el requerimiento 3.6.4, por lo que se haya definido en su caducidad. También en el 3.6.6, se ha concretado que el conocimiento compartido solo aplica para operaciones de gestión de claves en texto-en-claro.
  • Se ha incluido un requerimiento nuevo (2.2.b) para asegurar que las guías de configuración de los sistemas se actualizan con las vulnerabilidades identificadas en el 6.
  • Respecto al requerimiento 2.2.1, se clarificado que, al hablar de "una función primaria por servidor" y en el caso de virtualización, se puede instalar solo una función principal por elemento.
  • El requerimiento 3.1.1.e  incluye test adicional para el QSA: Verificar que los datos almacenados no exceden de los períodos de retención fijados en la política de la entidad.
  • Requerimiento 1.3.8 - Se ha eliminado la referencia a NAT, centrándose en el objetivo: Prevenir que se revelen las direcciones IP privadas.
  • La aclaración del requerimiento 6.5, en cuanto a que la programación segura aplica a todas las aplicaciones desarrolladas a medida y no solo a las aplicaciones web.
  • Requerimiento 8.5.16 - Se ha aclarado que los accesos directos a bases de datos no autorizados son los de los usuarios finales.
  • Requerimiento 9 - Se sustituye el término "empleado" por "personal insitu" que incluye también terceros y otros usuarios que trabajan en las dependencias de la entidad.
  • Se amplían las opciones para detectar puntos de acceso wireless no autorizados en el requerimiento 11.1.
  • En el requerimiento 11.4 se ha simplificado y aclarado lo que se espera de los IDS/IPS.

Perdonar, si ha quedado una entrada un poco larga, pero no me ha quedado más remedio.

¿Qué opináis? ¿Me he dejado algún cambio importante? 

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

02 noviembre 2010

PCI-DSS y EMV: Complementarios o alternativos

Continuando con el post anterior vamos a comentar el otro documentado liberado por el PCI Council a principios de octubre relativo a la aplicabilidad de PCI-DSS en los entornos EMV [pdf]. Ante la duda que podía surgir sobre si en los entornos EMV debíamos aplicar también el estándar PCI-DSS, el Council lo deja bastante claro: Hoy por hoy, dado el grado de implantación de EMV, hay que seguir cumpliendo con PCI-DSS, es decir, son COMPLEMENTARIOS.

Las razones que aduce el Council son bastante lógicas:
  • EMV ha sido diseñado para frenar el fraude en operaciones de tarjeta-presente, pero EMV, por sí mismo, no protege la confidencialidad de los datos de autenticación sensibles ni de los datos del titular de la tarjeta (tanto el PAN, como el nombre del titular o la fecha de caducidad, por ejemplo, son transmitidos en claro. lo cual es suficiente para realizar transacciones en algunas situaciones).
  • Los entornos EMV actuales procesan tanto transacciones EMV como no-EMV, por lo que es necesario seguir aplicando PCI-DSS (está situación se acrecienta si consideramos que las tarjetas EMV llevan banda magnética por razones de compatibilidad y como backup del chip).
  • Existe la posibilidad de introducir transacciones manualmente, para lo que solo se necesita el PAN, la fecha de caducidad y la firma del cliente (en el caso de venta por correo o por teléfono, denominadas tarjeta-no-presente, es necesario también el código de servicio).
Lo que sí reconoce el estándar es que en la medida en la que EMV sea el único método para transacciones cara-a-cara y se adopten procesos robustos de autenticación para transacciones de tarjeta-no-presente, la necesidad de mantener secreto el PAN y el resto de datos de autenticación se verá sensiblemente reducida y, por tanto, el estándar PCI-DSS deberá adaptarse a esta nueva situación y ser modificado en consecuencia.

 ... ¿Todavía no me sigues en twitter.com/antonio_ramosga?
 
Más información sobre EMV | www.emvco.com
 

25 octubre 2010

Cifrado punto a punto (point-to-point encryption)

El pasado 5 de octubre, el PCI Council publicaba una guía denominada "Initial Roadmap: Point-to-Point Encryption Technology and PCI DSS Compliance" (pdf) dada la importancia creciente de esta tecnología (más conocida como P2PE) y las muchas interpretaciones a su alrededor, tanto de fabricantes como QSAs a los que les tocaba lidiar con ellas dado que son un método efectivo y eficiente para simplificar el cumplimiento con el estándar. En España, por ejemplo, es muy conocida la propuesta de las redes denominada SNCP - Solución Normalizada de Cifrado de Pista que precisamente es una implementación de P2PE desde el terminal hasta dichas redes.

Lo primero que hemos de decir es que se trata de una guía escrita desde la perspectiva del merchant y que, por tanto, NO cubre todas las posibles variantes que nos podemos encontrar, es decir, no es un análisis exhaustivo y lo que para mi es más importante, NO define los requerimientos para validar una solución P2PE como válida desde la perspectiva de PCI-DSS (para eso tendremos que esperar a un nuevo documento que verá la luz en 2011 y que llevará por título, "Validation Requirements for Point-to-Point Encryption").

Una vez dicho esto, vamos a identificar los aspectos que son más importantes IMHO:
  • En primer lugar, destacar que aunque el PCI Council ya se había pronunciado (artículo #10359 de las FAQ) y dejado fuera del alcance los datos cifrados siempre que la entidad depositaria no tuviera medios para descifrar, se nos abre una nueva vía: Si una Entidad puede validar que los entornos y los medios utilizados para el cifrado cumplen con los estándares de la industria recogidos en la publicación comentada anteriormente entonces, la Entidad puede considerar que el alcance se reduce a los entornos de cifrado y/o descrifado. Es decir que, incluso si la Entidad tiene capacidad de descifrar los datos pero cumple con los requerimientos que vendrán, también podría reducir el alcance de la validación.
  • Para determinar correctamente el alcance, el merchant debe realizar un ejercicio de descubrimiento de datos para verificar que no existe ninguna fuga de Datos de Titulares de Tarjeta - DTT del entorno P2PE al resto de sistemas (cualquier dispositivo que no esté adecuadamente segmentado seguirá estando dentro del alcance de PCI-DSS).
  • Para maximizar el aprovechamiento del P2PE, el cifrado se debe producir en el primer punto de interacción con la tarjeta mediante un dispositivo seguro y tamper-resistant.
  • Se reconoce que las tecnologías P2PE son una forma de simplificar el proceso, pero que no eximen de la necesidad de mantener y validar el cumplimiento con PCI-DSS.
  • Los requerimientos de validación tocarán aspectos que pueden ser gestionados por distintas partes y que, además, no se limitarán a su implantación inicial sino que incluirán también aspectos relacionados con su operación y mantenimiento. Algunos ejemplos de áreas que se tocarán son: el dispositivo de cifrado, la aplicación de pagos, gestión de claves y operación del cifrado y/o descifrado (que serán ampliados por el documento de validación), etc.
Para finalizar, un aspecto que me ha resultado interesante como son las amenazas principales de este tipo de tecnologías puesto que me ha gustado ver reflejadas muchos de los aspectos que tuve considerar hace bastante tiempo, la primera vez que me toco lidiar con este tipo de tecnologías y tuvimos que "inventarnos" desde cero como validar una solución de este tipo. Os dejo con la relación de amenzas del PCI Council:
  1. Vuelta a las transacciones no cifradas por algún aspecto técnico.
  2. Datos de titulares de tarjeta históricos.
  3. Listas blancas (es decir, relaciones de tarjetas que el merchant desea mantener, normalmente, tarjetas affinity).
  4. Datos impresos de las tarjetas.
  5. Datos obtenidos por los merchants por otros medios.

 ... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

16 octubre 2010

Reglamento de prevención de riesgos...

Según acabo de leer, se ha aprobado un Reglamento de los Servicios de Prevención:
 
Este reglamento delimita cuáles deben ser los recursos materiales y humanos mínimos en cada empresa, los requisitos de acreditación como empresa de prevención de riesgos laborales por parte del Ministerio de Trabajo o la correspondiente CCAA que tenga cedido el área de prevención así como el control de modificaciones y variaciones que se lleven a cabo en las empresas que deban ser comunicadas a la autoridad laboral.

El reglamento establece también la obligatoriedad de los informes anuales de las empresas de prevención de riesgos y su estandarización para la inscripción en un registro controlado por el Ministerio de Trabajo y define claramente los criterios de aceptación o denegación de las autorizaciones para la puesta en marcha de una empresa de prevención.
 
Dado que la seguridad de la información no deja de ser otro ejercicio de gestión de riesgos, las empresas que se dedican a prevenir los riesgos tecnológicos, ¿deberían estar reguladas? ¿debería existir una obligación legal para que las empresas previeran sus riesgos tecnológicos al igual que hacen con los riesgos laborales? Evidentemente, lo que se pierde en unos casos y otros no es comparable, pero desde el punto de vista empresarial, no cabe duda que hay empresas que están consiguiendo mejores resultados por incurrir en riesgos extraordinarios y que exceden los límites deseados para la sociedad en su conjunto (servidores puente infectados para crear botnets, que lanzan DDoS o envían spam, etc.)

Supongo que no estamos maduros para esto, pero no creo que sea descabellado pensar que a largo plazo veremos llegar algo así (creo que ya se empieza a atisbar con la problemática de la protección de las infraestructuras críticas)...

 ... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

01 octubre 2010

Jornadas Técnicas ISACA Madrid

Esta semana han tenido lugar las Jornadas Técnicas organizadas por el capítulo de Madrid de ISACA. En mi opinión han sido todo un éxito, tanto en nivel de asistencia como en el de representatividad de ponentes y asistentes.

Una de las cosas que me ha sorprendido gratamente ha sido lo poco que decayó la asistencia según las jornadas fueron evolucionando, tanto el primer día por la tarde, como el segundo día, el nivel fue más que aceptable.

En cuanto a las ponencias, las que más me gustaron por su temática fueron las del control de servicios externalizados (Rocío Troyano, BDO) y la de seguridad en el cloud computing (Luís Buezo, CSA-ES). También me gustaron Luís Carro (Deloitte) y Javier Garzas (Kybele Consulting) porque realizaron unas ponencias amenas y demostraron un gran conocimiento de la temática que presentaban.

Si hubiera que ponerle un pero, sería quizás que se hubiera generado un poco más de debate en la mesa redonda, pero ya sabemos que eso depende de muchos factores...

En definitiva, mi enhorabuena a los organizadores (y patrocinadores, claro).

 ... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

23 septiembre 2010

Cita

[Micropost]

Hace unos meses, me pidieron una cita sobre seguridad que se pudiera incorporar a una web que se estaba creando. Ni que decir tiene que me sentí muy orgulloso y alagado por tal solicitud. Finalmente, por razones que no vienen al caso, no ha podido ser, pero ya que trabajamos sobre ella, me he dicho, "chico, publícala tú y así, al menos, aprovecharemos algo el trabajo realizado". Así que, aquí la tenéis:
 
"Cualquier inversión en seguridad está justificada siempre que: el nivel de seguridad sea el factor limitante para que la organización alcance su meta o la seguridad se subordine al factor limitante de la organización y contribuya a que rinda a su máxima capacidad".
 
Os dejo un link a una versión antigua...(Actualización: La versión cacheada tampoco contiene ya la cita... que le vamos a hacer)
 
 ... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

20 septiembre 2010

Lectura: "¿Existe la suerte? Las trampas del azar"

Esta ha sido la última lectura del verano. Como no tuve suficiente con "El cisne negro" y debo ser un poco masoquista, pues me puse manos a la obra con su predecesora... 

La obra tiene el estilo propio de Nassim, ya sabéis ácido y un poco irreverente y provocador... vamos, para no dejar indiferente a nadie. Por lo demás, vuelve a ser un libro duro de leer, denso y con muchos conceptos que hay que masticar bien antes de digerirlos pero, señoras y señores, ¡es lo que hay!.
 
Básicamente, el libro da vueltas alrededor de una idea principal que resume el propio autor casi al principio de la obra: "el trabajo duro, consciente de los riesgos y la disciplina, puede hacer que una persona logre una vida cómoda con un alto grado de probabilidad. Lo demás es mero azar: ya sea aceptando enormes riesgos, o siendo extraordinariamente afortunado. El éxito moderado se puede explicar por las habilidades y el trabajo. Un éxito enorme sólo es atribuible a la varianza".

Quizás en este libro se vea más la influencia como operador bursátil de Nassim, pero al final, lo que importa son los conceptos sobre probabilidad, estadística y percepción del riesgo que transmite, puesto que son aplicables con carácter general.

Hay un pasaje bastante interesante para los que trabajamos en seguridad. Al tratar de explicar que la realidad es incluso más "viciosa" que los juegos de azar, Nassim da tres razones. Primero, porque existen sucesos que pasan muy pocas veces. Segundo, porque en la vida real uno no sabe cuántas opciones existen, es decir, no podemos ver el generador de la aleatoriedad. Y, finalmente, porque existe "un factor de ingratitud cuando se advierte a la gente sobre algo abstracto (por definición, cualquier cosa que no ha ocurrido es abstracta). Digamos que participa en un negocio para proteger a los inversores de los sucesos raros [...] Digamos que no ocurre nada durante el período. Algunos inversores se quejarán de que ha estado desperdiciando su dinero; algunos intentarán que se sienta arrepentido." ¿Os suena a alguna/o?
 
Para finalizar, como siempre, una selección de fragmentos que me han resultado interesantes por uno u otro motivo:
 
"Las cosas que llegan con poca ayuda de la suerte resisten más al azar"
"No importa la frecuencia con la que algo tiene éxito si es demasiado caro asumir el fracaso (sesgo)"
"Los héroes son héroes porque su comportamiento es heroico, no porque hayan ganado o perdido (Patroclo)."
"... también es un hecho científico, y uno sorprendente, que tanto la detección del riesgo como la evitación no se resuelven en la parte "pensante" del cerebro, sino en la parte emocional."
"El hombre sabio escucha el significado, el idiota sólo percibe el ruido."
"... una persona que sólo tiene un conocimiento casual sobre los problemas del azar creerá que un animal tiene la máxima aptitud para las condiciones de su época. Esto no es lo que la evolución quiere decir; de media, los animales serán aptos, pero no todos y cada uno de ellos, y no en todo momento."
"Nadie acepta el azar en su propio éxito, sólo en su fracaso".
"La mayoría de nosotros sabe muy bien cómo debería comportarse. Es la ejecución lo que constituye un problema, no la ausencia de conocimiento".

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

18 agosto 2010

Lectura: "La reina del sur"

Como dice la crítica en contraportada del Publishers Weekly: "Los lectores no podrán pasar las páginas lo suficientemente rápido. Una historia apasionante". Y es que las más de 500 páginas han caído en una semana, más o menos.

Empecé a leer a Pérez-Reverte (@perezreverte) en 'Territorio Comanche' y luego, como no podía ser menos, me enganché al Capitán Alatriste... y al oír que se iba a empezar a rodar una serie para TV en Colombia partiendo de esta novela, me decidí a leer "La Reina del Sur".

¿Qué puedo decir? Que te engancha, que quieres saber ya que va a pasar y que, todo ese viaje interior por la evolución de la Reina del Sur y su maduración a base de  las hostias que le va dando la vida es increíble.

Además de eso, pues que, como extremeño adoptivo, me ha encantado que un rincón de Extremadura tuviera su paginita de protagonismo y que, como apasionado de la seguridad, pues también ha habido un parrafito para ella:

"Teresa lo había reclutado porque era capaz de camuflar los contactos operaciones a través de Internet, desviándolo todo bajo la cobertura ficticia de países sin acceso para las policías europeas y norteamericana: Cuba, India, Libia, Irak. En cuestión de minutos podía abrir, usar y dejar dormidas varias direcciones electrónicas camufladas tras servidores locales de esos u otros países, recurriendo a números de tarjetas de crédito robadas o de testaferros. También era experto en esteganofrafía y en el sistema de encriptado PGP."

Respecto a esto, como os podéis imaginar tengo una pega: El uso de cifrar versus encriptar.

Para finalizar, unas cuantas citas, como siempre...

"Nadie está a salvo, y toda seguridad es peligrosa. De pronto despiertas con la evidencia de que resulta imposible sustraerse a la mera vida; de que la existencia es camino, y que caminar implica elección continua."
"Aquellos veraneantes gachupines o gringos con sus calzones floreados y sus pieles enrojecidas y grasientas, sus gafas de sol, sus niños requetegritones y sus carnes rebosándoles bañadores, camisetas y pareos, resultaban peores, más egoístas y desconsiderados, que quienes frecuentaban los puticlubs de Dris Larbi."
"Como apuntó más tarde, filosófico, el propio capitán Castro cuando me acompañaba cortésmente al coche, los Pepitos Grillo nunca hicieron carrera en ninguna parte."
"La clave [...] consistía en que la Mejicana utilizó su experiencia técnica sobre el uso de planeadoras para las operaciones a gran escala."
"Disparo luego existo."

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

09 agosto 2010

Lectura: "CISO soft skills"

Tuve el placer de moderar a Ron Collette, uno de los tres autores de esta obra, en la V Jornada Internacional del ISMS Forum Spain y por fin he sacado un hueco para leérmela - ¿será que ahora tengo más tiempo? :-). Ya Ron, en su momento, me causó una gran impresión, pero su libro ha conseguido mejorarla. Es, sencillamente, genial. Como dicen los anglosajones, "It is a must", vamos, que es de obligada lectura.

Hay varios aspectos que han llamado mi atención:
  • Lo primero, que incluye el concepto de limitación que, como sabéis, para los que nos gusta la Teoría de las Limitaciones (TOC para los amigos) es uno de los conceptos básicos. Según los autores, son cuatro las limitaciones que, en su opinión, limitan el nivel de seguridad en las organizaciones: La apatía, miopía y primacía que se puede observar en los empleados y la infancia en la que se encuentra la seguridad de la información como práctica empresarial.
  • Y lo segundo, que adopta la interpretación de la seguridad en las organizaciones como parte de un sistema dinámico dónde tenemos que manejar conceptos como inputs, outputs, feedback o throughput y entender que todo está relacionado aunque el sistema sea complicado (que no complejo - ver diferencia según el modelo Cynefin [gracias, Mario]) y nos cueste entender las relaciones causa-efecto existentes, ya sea por el volumen, por los retardos o por el motivo que fuera.

En mi opinión, los autores han puesto el dedo en la llaga y coincido plenamente con ellos en que existen limitaciones (no sé si las que ellos han identificado u otras, según los casos) que hacen que las inversiones que realizan las organizaciones en seguridad no tengan el reflejo esperado en el nivel de seguridad que podemos observar en las mismas y que, hasta que no se trabaja en eliminarlas (y para eso, hay que identificarlas primero) las organizaciones no experimentan una mejoría significativa.

En esta ocasión, no voy a finalizar con la típica relación de citas porque he estado repasando mis notas y no sabría con cuál quedarme... me temo que tendréis que leeros el libro para tener más detalles...

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

14 julio 2010

Nueva web de ISACA

¿Qué os parece la nueva web de ISACA? Quizás lo primero y principal que haya que decir es que es muy 2.0, ¿verdad? De hecho, creo que es una apuesta clara por la creación de una web participativa, como lo corrobora el hecho de la desaparición de las listas de correo.

Yo he empezado a trastear un poco en ella hace unos pocos días y, de momento:

  • Me he creado mi perfil.
  • He creado mi propio blog dentro de la web de ISACA (podéis consultarlo en este link) donde traslado algunas de las entradas de Carpe Diem.
  • He definido mis áreas de interés.
  • Incluso me he conectado con algún compañero del capítulo de Madrid que también se ha creado un perfil en ISACA.

En definitiva, como comentábamos, muy 2.0, con sus nubes de tags, la posibilidad de compartir documentos y enlaces y un sistema de puntuación para que los propios usuarios señalen a aquellos que más les aportan (tipo menéame)...

Está claro que todos tendremos que pasar por un período de aprendizaje para "encontrar" en la nueva página dónde están las cosas que buscábamos antes (documentos, tests, la revista...) pero, en mi opinión, me parece una apuesta atrevida, moderna y que, desde luego, demuestra que ISACA está dispuesta a dar un paso adelante como punto de encuentro de los profesionales de la seguridad.

Si hubiera que ponerle algún pero, hoy por hoy, serían, por un lado, su extrema lentitud que, en algunos momentos es desesperante y, por otro, los pequeños fallos que se producen en momentos puntuales y que nos enseñan el MS Sharepoint (R) que subyace al nuevo portal... esperemos que lo solucionen pronto porque ya sabemos que la usabilidad es esencial para que los usuarios no abandonen la página y logren el efecto contrario al deseado.

¿Cuál es vuestra opinión?

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?