28 marzo 2010

Lectura: Schneier on Security

Tengo que reconocer que me ha costado un poco... leerlo, me refiero. Supongo que debido al hecho de que se trata "simplemente" de una recopilación de ensayos y textos ya publicados, bien en el blog de Bruce o en otros medios. De hecho, el libro te sirve sobre todo para leer artículos "antiguos" porque los más recientes ya los hemos podido leer en su blog, principalmente.

De todas formas leer (o releer) las reflexiones de Bruce siempre está bien porque te hacen pensar sobre la seguridad y sobre todo el por qué de la no-seguridad.

Algunos de las citas que me gustaría compartir con vosotros (traducidas al castellano, claro):

"La seguridad es un intercambio [...] El terrorismo no es diferente. Necesitamos sopesar cada contramedida de seguridad. ¿Merece la pena el coste de la seguridad adicional respecto a los riesgos? ¿Son estas cosas en las mejores en las que gastarnos el dinero?
"La lección es clara (para el ámbito de la privacidad desde el mundo de las tarjetas): Hacer a la parte en la mejor posición para mitigar el riesgo, responsable de dicho riesgo"
"La seguridad debe ser evaluada no basándose en cómo funciona, sino en ćomo falla"


Y artículos que HAY que leer:
  • "Sitios web, contraseñas y clientes", publicado en IEEE Security and Privacy, julio/agosto 2004.
  • "Una mentalidad de seguridad", publicado en Wired, marzo 2008.
  • "Seguridad de una planta química y las externalidades", publicado en Wired, octubre 2007.
  • "Usuarios domésticos: Un problema de Salud Pública", publicado en Information Security, septiembre  2007.
  • "Separando la propiedad de los datos y la propiedad de los dispositivos", publicado en Wired, 30 de noviembre de 2006.
  • "Combatiendo el spam", publicado en Crypto-Gram, 15 de mayo de 2005.
En resumen, un buen compendio de textos sobre seguridad de la información para aquellos que están interesados en esta temática.

26 marzo 2010

¿Aplica PCI DSS a los emisores de tarjetas?

Esta es una de las preguntas más recurrentes de un tiempo a esta parte en relación con el estándar PCI-DSS (ya sabéis, ese en el que se han puesto de acuerdo todas las marcas para volvernos locos a todos... es broma, para elevar el nivel de protección de los datos de tarjetas).

Para abordar la respuesta correctamente, hemos de matizar algunos puntos antes de entrar a responder abiertamente a la cuestión:
  1. Como sabéis los que estáis familiarizados con este tema, el PCI Council se "limita" a velar por el estándar y a hacer que los que somos QSA / ASV hagamos bien nuestro trabajo (formación, registro, control de calidad...) pero corresponde a las marcas de tarjeta determinar el modelo de cumplimiento.
  2. Las marcas que operan de manera indirecta (VISA y MASTERCARD, que son las que emiten y admiten tarjetas a través de entidades financieras, puesto que el resto de marcas tiene relación directa con poseedores de tarjeta y comercios que las aceptan) han decidido que, aunque todas las organizaciones tienen que cumplir con el estándar, las entidades que forman parte de ellas, no tienen porque demostrar el cumplimiento (es decir, tienen que cumplir pero no tienen que auditarse).
  3. El estándar no distingue en ningún sitio entre operativa emisora y operativa adquirente (es decir, cuando pagamos en un comercio). Simplemente dice que todos aquellos sistemas que almacenen, procesen o transmitan datos de titulares de tarjeta  se considera que están dentro del alcance.
  4. El estándar prohíbe de manera clara y expresa el almacenamiento de los datos de autenticación sensibles (CAV2/CVC2/CVV2/CID, PIN/PIN block o banda magnética completa) después de la autorización (incluso aunque se cifren) [ya sabéis que no se encriptan].
En mi opinión, es este último aspecto el que nos ha llevado a todos a tener dudas sobre la aplicación del estándar a la operativa emisora, puesto que la autorización es una etapa de la operativa merchant. Esto y el hecho de que en los cursos de preparación como QSA te explican detalladamente la operativa merchant y nada la operativa de emisión.
Pero, en cualquier caso, si leemos exactamente lo que nos dicen no encontramos ningún lugar en el que se nos diga si el estándar aplica o no a la operativa emisora, al contrario, dado que el emisor almacena datos de titulares de tarjeta debería de considerarse incluido en el alcance.

Esto nos deja otra disyuntiva: ¿Cómo voy a cumplir con el estándar si tengo que almacenar datos de autenticación sensibles que, en teoría, están prohibidos? Pues bien, para esto he encontrado la respuesta en la sección de preguntas frecuentes de la web del Council correspondiente al estándar PCI DSS (con ID #9575). En resumen, lo que el Council nos viene a decir es que se pueden almacenar esos datos en el caso de operativa emisora puesto que es imprescindible para el funcionamiento del negocio, pero que el resto de requerimientos del estándar siguen siendo de aplicación. Vamos que la operativa emisora NO está fuera del alcance...

Corolario: Si consideramos el supuesto de un proveedor de servicios, la única diferencia es que tendría que auditarse, puesto que que no es una entidad financiera y por tanto, debe demostrar el cumplimiento aunque podría almacenar los datos de autenticación puesto que la excepción, según el Council, aplica a aquellas entidades que realizan, facilitan o prestan soporte a los servicios de emisión.

Actualización: Presentación en prezi

Más información | PCI Council
En Carpe Diem | Etiqueta PCI-DSS

24 marzo 2010

ISO 27001 vs Esquema Nacional de Seguridad

Me llegaba a través de ISO27000.es un artículo de Manuel Díaz en Estrategia Magazine en el que reflexiona sobre la posible evolución del estándar ISO hacia una norma de obligado cumplimiento.

Lo que me ha llamado la atención del artículo ha sido el hecho de descubrir que en algunos países de Latinoamericana (en concreto, Perú y Colombia), los Gobiernos han tomado la determinación de hacer que esta familia de estándares sea de obligado cumplimiento:
  • Para la Administración Pública en el caso de Perú
  • Para sectores concretos en Colombia
Y me ha llamado la atención por la diferencia de enfoque con lo que hemos hecho aquí. Me explico: Hace unas semanas veía la luz el Esquema Nacional de Seguridad como norma de seguridad a aplicar en la Administración Pública que, en lugar de centrarse en determinar cuales deberían ser las medidas a aplicar en los distintos sistemas utilizados por la Administración o, al menos, unos criterios objetivos para el análisis de riesgos, ha  creado  una especie de ISO paralela que deja a criterio del que lo aplica la determinación exacta de medidas a aplicar en función de un análisis de riesgos.

¿No habría sido más fácil remitir a la norma para la aplicación de un SGSI? ¿Por qué hemos empleado recursos en desarrollar algo que ya estaba desarrollado? ¿No habría sido más efectivo centrarnos en realizar análisis de riesgos "tipo" para los distintos sistemas y determinar las medidas de seguridad para cada uno de esos "tipos"?

22 marzo 2010

Yo estuve en la RootedCON 2010

Después de 3 días inmerso en el Congreso [sin WiFi, "aquello era Vietnam"] y con un poco de tiempo para haber reposado la experiencia, quería transmitir mi más sincera enhorabuena a los organizadores de la RootedCON 2010. ¿Por qué? Muy sencillo:
  • Por la idea: Un congreso como el que hemos vivido era necesario.
  • Por la capacidad de convocatoria: No recuerdo otro congreso en el que haya asistido tanta gente con los medios tan justitos de promoción que existían.
  • Por la cobertura lograda: Varias televisiones se han hecho eco en sus telediarios (¡prime time!)
  • Por la selección de las ponencias: No se han limitado en las profundamente técnicas, sino que han abierto el abanico para cubrir la seguridad en general [en esta estoy especialmente agradecido porque ha significado que mi presencia tuviera lugar... ;-) ].
  • Por la frescura: Han conseguido que no fuera un congreso "enlatado", han manejado los problemas con simpatía y sinceridad y dejando a un lado el excesivo formalismo de este tipo de eventos.
En definitiva, que aunque haya cosas que se puedan mejorar (quizás organización de ponencias por temáticas, proceso de registro - ahora ya saben todos los que somos, quizás la logística...) pueden estar orgullosos para ser el primer RootedCON. Ahora bien, han de saber que han puesto el listón muy alto para la #rooted2011...

¡Enhorabuena!

Actualización: Subida la presentación a slideshare...

19 marzo 2010

Aprender a hacer mejor preguntas

Para los que me sigáis un poco, sabéis que una de mis preocupaciones constantes es cómo ser un buen jefe. Por eso, quería compartir con vosotros el post de John Baldoni en el blog The Conversation - Harvard Business Review que lleva el mismo título que éste.

Según John, todos los líderes tienen algo en común: la necesidad de conectar honestamente con los demás. Y para ello, John propone realizar "buenas" preguntas, lo que se traduce en ciertas actitudes:
  • Ser curioso
  • Ser claros sobre la finalidad (cómo, por qué, cuándo)
  • Demostrar compromiso
  • Ser profundo
¿Qué opináis? ¿Os parece importante?

Vía | The Conversation - Harvard Business Review
En Carpe Diem | Estilos de dirección. ¿Cómo ser un buen jefe?, Sugerencias para ser un buen jefe

17 marzo 2010

¿Deberían cobrar las operadoras a Google y similares?

Perdonar por este post un poco [bastante] offtopic y, si me apuras, hasta a destiempo...

Estaba yo pensando, ya sabéis, sobre las declaraciones de Alierta al respecto y he llegado a la conclusión de que sí....de que los operadores deberían cobrar a Google y compañía.

No, no, no alucinéis. Lo que me ha convencido ha sido el argumento de que, dado que Google hace negocio usando "sus" infraestructuras es lógico que las operadoras le cobren de alguna forma. Y os preguntaréis por qué. Pues muy sencillo, porque he seguido aplicando el razonamiento y he llegado a una conclusión que me ha gustado... la comparto con vosotros para escuchar vuestra opinión: Dado que la operadora hace negocio con los usuarios que visitan mi blog, me siguen en twitter o ven mis fotos en Picasa [no es mucho, ya sé, pero oye, algo es...] lo suyo es que las operadoras me paguen de alguna forma por el tráfico que les genero, ¿no?

¿Qué os parece el razonamiento? ¿Justo? ¿Falaz?


15 marzo 2010

¿Dudas sobre seguridad? (o formspring.me)

Vi hace unos días una iniciativa interesante de Security by Default por la que se ofrecían para contestar a las preguntas que sus lectores les hicieran utilizando un "nuevo" servicio denominado formspring.me.

Básicamente este servicio permite a los usuarios que se dan de alta, recibir preguntas y contestarlas utilizando una sencilla interfaz...

Pues bien, como podéis ver por el gadget de la barra lateral, también yo me he apuntado a la iniciativa, así que no os cortéis, podéis hacerme todas las preguntas que deseéis [espero ser capaz de responderlas]: formspring.me/sorani.

Animaros...

14 marzo 2010

La evolución de la seguridad de la información en el Sector Público

Acabo de leer en GCN un artículo que reflexiona sobre algunas de las conclusiones de una encuesta realizada por ISC(2) durante los pasados meses de diciembre y enero. Según esta encuesta, el Gobierno Federal de los EE.UU. puede ser un refugio para los profesionales de la seguridad de la información gracias al mantenimiento, o incluso crecimiento, de sus presupuestos destinados a la seguridad. En concreto:
  • Un 44% han visto incrementados sus presupuestos respecto al 2008, frente al 40% que los han visto reducirse.
  • Respecto a la evolución del presupuesto para 2010 se espera así: 52% - mantenimiento, 28% - reducción y 20% - incremento.
  • En cuanto a las contrataciones (sobre un total de 175), un 58% espera contratar personal de seguridad, destacando el hecho de que un 14% (es decir, 25) esperan contratar 10 ó más personas.
Me ha parecido interesante comentarlo por varias cuestiones. En primer lugar, por la gran diferencia con la situación española donde la reducción es generalizada en todos los estamentos de la Administración Pública (nacional, regional y local). En segundo lugar, porque se comenta la evolución de los perfiles solicitados, dándose cada vez mayor importancia a la monitorización continua y la evaluación de riesgos frente a las certificaciones.

Y finalmente, y no por ello menos importante, porque esta situación me sugiere una reflexión como proveedor de servicios de seguridad:
  • ¿Qué ocurre con el sector privado si el sector público sigue creciendo?
  • ¿Quedarán las empresas sólo para dar servicio al sector privado?
  • ¿Deben conformarse las empresas privadas con actuar como cantera del sector público? Si es así, ¿qué incentivos tendrían las empresas para formar a esos profesionales?
  • ¿Os imagináis que incluso alguna de estas agencias públicas se dedicará a dar servicio al resto del sector público? [Que conste que no me considero un liberal radical que apueste por la reducción del sector público a su mínima expresión... nada más lejos de la realidad]
Se admiten comentarios...


11 marzo 2010

¿Acabará el Cloud Computing con la industria de seguridad?

Según Seth Godin, el Axioma Wordperfect establece que "Cuando la plataforma cambia, el líder cambia". Y la verdad es que hay unos cuantos ejemplos: plataformas de videojuegos, música, libros...

Recordando las previsiones de Gartner sobre el futuro de los departamentos de TI, ¿pensáis que el Cloud Computing acabará con los proveedores de servicios de seguridad? ¿Será el cloud computing la killer application de la industria de seguridad?

Se admiten comentarios, puntos de vista, opiniones...

10 marzo 2010

Ciberataques contra PYMEs

Uno de los retos principales con los que me he enfrentado en mi vida profesional ha sido el de intentar llevar servicios de seguridad "avanzados" (algo más que firewalls y antivirus) al mundo de las PYMEs. Y digo que ha sido uno de mis retos principales porque no he tenido demasiado suerte.

¿Los motivos? Normalmente porque los responsables / dueños de esas PYMEs hacen su análisis de riesgos [de cabeza] y te espetan: "Pero... ¿quién va a estar interesado en atacarnos a nosotros?". Vamos, que consideran que la probabilidad de que pase algo es tan baja que no le sale a cuenta la medida de seguridad que propones para el nivel de riesgo resultante.

Pues bien, parece que eso está cambiando y que va a haber que replantearse la posibilidad de que pequeñas empresas sean objetivo de ciberataques. ¿Por qué lo digo? Pues, por la noticia que leo en SANS de que PYMEs irlandesas han notificado recientemente que han sido objeto de ciber-extorsiones con un mecanismo muy sencillo y poco innovador: su datos habían sido cifrados por los secuestradores que les han pedido un "rescate" por la clave de cifrado... os suena, ¿verdad? Además, lo "hábil" de estos tipos es que previamente ya se habían encargado de inutilizar el sistema de copias de respaldo [y por supuesto, nadie se había dado cuenta, porque nadie lo estaba monitorizando, claro...].
Es cierto que el rescate no es muy alto, 700$, pero lo indudable es que cambia radicalmente el escenario... ¿cambiarán las PYMEs sus planteamientos para enfrentar este nuevo escenario?

Ya veremos... Ya os contaré.

Más información | Silicon Republic y The Independent