29 noviembre 2010

ISACA Madrid

El pasado jueves, día 25 de noviembre, tuvo lugar la Asamblea del capítulo de Madrid de ISACA en el que se elegía la nueva Junta Directiva para los próximos 2 años y en la que se presentaba una lista en la que figuraba como Presidente.

Pues bien, tengo el grandísimo placer de informaros de que no se presentó ninguna otra lista alternativa y que la que encabezaba fue elegida por unanimidad de los asociados presentes y representados.

Ahora quedan por delante dos años [que estoy seguro de que se harán cortos] de mucho trabajo en el que todos los miembros de la nueva Junta tenemos depositadas grandes dosis de ilusión y esperanza.

Para los socios de ISACA Madrid, ya sabéis donde me tenéis y para los no-socios, en fin, ¿a qué estáis esperando para asociaros? ;-)

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

25 noviembre 2010

Lectura: "Fluir (flow)"

Llegué a Mihaly Csikszentmihalyi gracias a [como no] mi amigo Mario y, dado el momento vital en el que me encuentro, ha sido un gran apoyo para saber qué quería hacer con mi futuro. Ahora lo tengo claro: Quiero hacer algo que me permita fluir.

Sin duda alguna, esta obra debe formar parte de la biblioteca de todos aquellos que en algún momento se preguntan por el sentido de la vida y de su existencia o para los que se encuentran en una encrucijada y tienen que decidir por qué camino han de seguir.

Aunque se trata de una obra con un amplio trasfondo científico, el autor nos mantiene al margen de toda la jerga típica de esos casos y nos traslada sus ideas de manera sencilla y amena de leer, lo que hace que el mensaje llegue más claro, aún si cabe.

La verdad es que es un verdadero problema incluir citas del libro, porque lo suyo sería trascribir prácticamente la obra entera, pero he tratado de seleccionar lo mejor de lo mejor, aunque os recomiendo encarecidamente su lectura... no os defraudará.

"La información que permitimos que entre en nuestra conciencia se convierte en algo extremadamente importante, de hecho es lo que determina el contenido y la calidad de nuestra vida".
"La atención puede emplearse de innumerables maneras, y estas maneras pueden conseguir que en la vida se disfrute o se sufra."
"Cuando optamos por una meta y nos involucramos en ella llegando a los límites de nuestra concentración, cualquier cosa que hagamos será agradable."
"Experiencia óptima: una sensación de que las propias habilidades son adecuadas para enfrentarse con los desafíos que se nos presentan, una actividad dirigida hacia unas metas y regulada por normas que, además, nos ofrece unas pistas claras para saber si lo estamos haciendo bien. La concentración es tan intensa que no se puede prestar atención a pensar en cosas irrelevantes respecto a la actividad que se está realizando, o para preocuparse. La conciencia de sí mismo desaparece, y el sentido del tiempo se distorsiona."
"Los pasos esenciales [para producir flujo] son: a) establecer una meta general [...]; b) encontrar maneras de medir el progreso [...]; c) concentrarse en lo que uno hace [...]; d) desarrollar las habilidades necesarias [...]; y e) elevar el nivel si la actividad nos aburre."
"Cuando sentimos que empleamos la atención en una tarea contra nuestra voluntad, es como si nuestra energía psíquica estuviese siendo derrochada. En vez de ayudarnos a alcanzar nuestras propias metas, las estamos alcanzando para otra persona."
"Más que cualquier otra, la calidad de vida depende de dos factores: de cómo experimentamos el trabajo y de nuestras relaciones con otras personas."
"Las reglas para desarrollar esta personalidad [autotélica] son simples y derivan del modelo de flujo: Definir las metas, sentirse inmerso en la actividad, prestando atención a lo que está sucediendo y aprender a disfrutar de la experiencia inmediata."
"El significado de la vida es significado: sea lo que sea, venga de donde venga, tener un propósito unificado es lo que da significado a la vida."

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

22 noviembre 2010

Informe 2010 de Verizon sobre el cumplimiento de PCI DSS

No sé si habréis tenido oportunidad de echar un vistazo al informe en cuestión (pdf), pero creo que merece la pena, aunque no incluya los resultados de todas las auditorías realizadas por esta empresa, sino solo una muestra y, principalmente, en Estados Unidos [esperemos que para ediciones sucesivas tomen nota y cambien esto].

Aunque salió a principios de octubre, yo lo he leído este fin de semana... y os quería comentar los aspectos que más me han llamado la atención:
  • El 22% de los que cumplen inicialmente con el estándar resuelven rápidamente lo que se detecta en la revisión inicial, eran veteranos en el proceso de validación o tenían una gran parte de requerimientos "no aplicables".
  • Un 78% no fueron "compliance", cuando se supone que empezaban el proceso porque tenían la expectativa de cumplir con el estándar (dado que, incluso algunos de ellos no eran la primera vez que pasan por el proceso).
  • Los requerimientos que han demostrado estadísticamente ser los más difíciles son el 3 (datos almacenados), el 10 (registrar y monitorizar) y el 11 (pruebas periódicas).
  • Los datos también demuestran que existe una relación negativa entre el número de procedimientos de pruebas y el de empresas que cumplen con un requerimiento.
  • Si se organizan los requerimientos como un típico ciclo PDCA, nos encontramos que las organizaciones son mejores en la Planificación (requerimiento 12) y Haciendo - Doing (requerimientos 1 a 9) que Comprobando (requerimientos 10 y 11).
  • El nivel de cumplimiento de los distintos sub-requerimientos indica que el Enfoque Priorizado (Prioritized Approach) no ha sido especialmente utilizado.
  • Considerando las revisiones realizadas por el equipo Verizon de Investigate Response (IR), se deduce que los que han sido víctima de una "brecha" de seguridad son menos compliant que el resto de empresas en la muestra. Esto también se cumple requerimiento a requerimiento, excepto en el caso de las transmisiones cifradas (R4) y por un margen de más de un 50%.
  • También sobre la base de los trabajos de este equipo IR, las mayores amenazas son las puertas traseras (presente en el 25% de los incidentes), las inyecciones SQL (utilizadas un 24% de los casos) y la explotación de canales traseros y de command/contro (un 21%).
Además de todo esto, os aconsejo la revisión, requerimiento a requerimiento de los datos de cumplimiento, son muy útiles. Y también los consejos y recomendaciones de Verizon para afrontar el cumplimiento con PCI DSS; no son sorprendentes, pero son un buen compendio de causas raíz de los problemas detectados.

Espero que os sea de utilidad, tanto si tenéis que implementar el estándar en vuestra organización (como guía de los requerimientos más difíciles), como si sois consultores externos (para que sepáis en lo que más fácilmente fallan las empresas).

Para finalizar, solo una sugerencia a los chic@s de Verizon, ¿qué tal incluir resultados segmentados por tipo de organización (service providers, merchants, issuers...)?

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

18 noviembre 2010

El PP y el control de cambios

El País de ayer abría en portada con la siguiente noticia relacionada con las elecciones catalanas: "La 'caza' de inmigrantes da puntos en el videojuego del PP". Os adelanto que no voy a hablar de política, así que, los que hayáis llegado hasta aquí por ese motivo, siento defraudaros.

La noticia dice lo siguiente:
A primera hora de la tarde de ayer, cuando los servicios de prensa del PP anunciaron el lanzamiento del juego en Internet -y una versión para móviles-, la página se colapsó por las miles de entradas registradas. Posteriormente, sobre las diez de la noche, lo retiraron de la web. El partido explicó en un comunicado que la empresa desarrolladora no había seguido sus indicaciones. De esta forma, en el cartel que rezaba "inmigrantes ilegales" debía figurar la frase "mafias ilegales". El PP lamentó el supuesto error. Anoche era imposible acceder al juego, que ofrecía este mensaje: "Aunque parezca mentira, este error no lo ha producido el presidente Montilla".
Como os decía, no voy a hablar de política, sino de control interno, más concretamente de lo que se denomina el proceso de control de cambios porque parece que es lo que se encuentra detrás de esta noticia. Sucesos como éste, ponen de manifiesto que un buen y efectivo control de cambios en los sistemas es necesario para que no se pongan en producción sistemas que no cumplen con los requerimientos de los usuarios que los solicitaron.

Evidentemente, debe existir un procedimiento de desarrollo o de adquisición de sistemas subyacente que permita identificar requerimientos de los usuarios, dimensionamiento adecuado, etc... y todo ello, jalonado con un buen control de versiones, una gestión de la entrega adecuada y, sobre todo, el visto bueno de los usuarios que solicitaron el cambio, con independencia de que los cambios se realicen interna o externamente.

Seguro que han aprendido con este suceso, pero por si acaso, se puede encontrar información muy valiosa de cómo se debe hacer, tanto en el manual del CISA como en el COBIT y, también en ITIL.

...¿Todavía no me sigues en twitter.com/antonio_ramosga?

16 noviembre 2010

III Foro DPI y el uso corporativo de redes sociales

El pasado día 3 de noviembre tuve la oportunidad de participar en el III Foro DPI que versaba sobre "Problemas actuales de la Privacidad y la Seguridad de la Información" Además de poder contrastar la evolución de las actividades del DPI y del estado de la certificación que promueve, CDPP - Certified Data Privacy Professional, tuvimos la oportunidad de escuchar a Ricard Martínez, Coordinador del Área de Estudios de la Agencia Española de Protección de Datos.

Y como siempre que interviene la AEPD, hay que estar atento a todo lo que dice, puesto que su opinión es muy importante en todo lo que tiene que ver con la vigilancia de la privacidad de nuestros datos de carácter personal. Aunque todos los temas que se tocaron fueron muy interesantes, me gustaría resaltar el criterio de la Agencia en relación al uso corporativo de las redes sociales. Por concretar, nos referimos a la corriente actual de todas las organizaciones de contar con un perfil en las redes sociales más populares como medio de "enganchar" con sus clientes, fans o como los queramos denominar.

En estos casos, la AEPD interpreta que, aunque la organización no puede decidir sobre la utilización de los datos de carácter personal de los usuarios de la red social, puesto que ésta es la propietaria de la información, sí que le asigna a la organización con un perfil en la red social el rol de encargado del tratamiento con todo lo que ello conlleva.

Evidentemente, hay operativas que están muy restringidas, como puede ser las medidas técnicas de protección o el derecho de rectificación... pero la AEPD interpreta que las organizaciones están manejando datos de carácter personal de sus seguidores/amigos/fans y que está haciendo un uso empresarial de la misma, por lo que debe establecer medidas para proteger dicha información: Derecho de información, finalidad, cesión, etc.

Sin duda, un aspecto sobre el que, al menos, debemos reflexionar si queremos que nuestra empresa se abra un perfil en una red social.

...¿Todavía no me sigues en twitter.com/antonio_ramosga?

12 noviembre 2010

Protegetuinformacion.com - Nuevo portal de concienciación en seguridad

El pasado 1 de noviembre ha visto la luz uno de los proyectos en los que he venido colaborando en los últimos tiempos, el sitio web de concienciación en seguridad, Protegetuinformacion.com que nace con el objetivo de hacer que los que usan Internet habitualmente puedan tomar decisiones informadas, con un entendimiento de los riesgos que asumen y no fundamentadas en el miedo o en lo que es noticia en cada momento.
El proyecto ha sido promovido por el ISMS Forum Spain y cuenta con el apoyo del Ministerio de Industria, Turismo y Comercio a través de un Plan Avanza2. Me podríais decir, y con razón, que no es el primero que se crea con este propósito, pero creo que el planteamiento es un poco diferente.

Principalmente, porque se han definido 7 perfiles a modo de audiencias diferenciadas (menores, jóvenes, padres, adultos, mayores, autónomos, profesionales por cuenta ajena y ONGs) con sus mensajes y lenguajes específicos para que el mensaje sea el adecuado. De hecho, me gustaría invitaros a visitar el microsite que se ha creado para los más jóvenes porque creo que se ha hecho un gran trabajo y espero que les atraiga y les haga disfrutar. También existen 3 temáticas que son tratadas especialmente, dada su importancia relativa, se trata de la banca online, las redes sociales y la Ley Orgánica de Protección de Datos.
 
En segundo lugar, porque se han incluido elementos orientados a que el mensaje llegue lo mejor posible: pruebas de nivel, consejos y avisos, prácticas interactivas, etc...
 
Y, por último, porque, dado su enfoque, puede ser utilizado para cubrir algunas necesidades latentes en nuestras sociedad como, por ejemplo:
  • Para que las PYMEs lo utilicen para concienciar a sus empleados.
  • Para que los colegios u otros centros formativos lo usen como apoyo para concienciar a los más pequeños sobre los riesgos de las nuevas tecnologías.
  • Para que los autónomos o las ONGs sepan lo que pueden hacer en materia de seguridad.
 
Para acabar, comentar que ha sido un placer participar en esta iniciativa con un gran grupo de profesionales en la elaboración de contenidos, así como el resto de personas que ha hecho posible esta iniciativa (en primer lugar, el equipo del ISMS Forum y, como no, también el de OneClick) e invitaros a tod@s a que lo visitéis y nos referencieis cuando tengáis ocasión.

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?
 

10 noviembre 2010

Pekín Express y los modelos de competencia

[Perdón por la longitud de este post, pero no he sido capaz de hacerlo más corto]

El pasado domingo, en el desenlace final de la 7ª etapa de Pekín Express, tuvimos la oportunidad de ver "en vivo y en directo" dos estilos muy diferentes de competir. Aunque no es un ejemplo empresarial, fue tan evidente que me ha parecido interesante comentarlo: Al fin y al cabo, las empresas las dirigen las personas, ¿no?

Os pongo en antecedentes: El programa había propuesto a los concursantes un jeroglífico que era necesario resolver para poder finalizar la etapa. Jeroglífico cuya solución era algo así como "Para alcanzar la meta, tienes que contar los escalones que hay hasta ella" (no sería muy importante, de no ser porque eran 328, nada más y nada menos). En lugar de intentar resolverlo antes de llegar, todos (sin excepción) se pusieron a subir para luego, tener que bajar y contarlos, puesto que nadie lo había hecho [Primera lección empresarial: Antes de ponerte a hacer algo, piensa, planifica].
  
Siguiendo con la escena, los primeros en llegar y darse cuenta de que tienen que volver a bajar son la pareja que denominaremos 'Asistentes-de-vuelo'. En su bajada, se cruzan con los segundos, la pareja 'Padre-Hija', quienes extrañados, preguntan y solo obtienen un "nos hemos dejado algo abajo", aunque pronto descubren que lo que se han "olvidado" es de contar los escalones. Evidentemente, en su bajada se cruzan con los 'Asistentes-de-vuelo' que vienen subiendo y ya contando los escalones. Y aquí es donde empieza la parte ilustrativa.
El padre pregunta a los asistentes de vuelo cuántos escalones llevan a lo que le responden: "No lo sé". Podéis pensar: "Lógico, si quiere saber los escalones que hay que baje y se lo curre, como han hecho los primeros". Bueno... es una opción, pero sigamos con la situación real.
 
La pareja 'Padre-Hija' debe volver a bajar y cuando vienen subiendo, debido al agotamiento del padre, son alcanzados por la tercera pareja ('Profe-Alumno'). ¿Y qué creéis que hace el padre entonces? Muy sencillo, ante el estupor de su hija, les informa de que aunque lleguen a la cima, si no han contado los peldaños, les tocará bajar para contarlos. ¿Es gilipollas o un Santo? No lo sé, vamos a ver como acaba.
 
La pareja 'Padre-Hija' llegan en segundo lugar a la cima y se equivocan en el número de escalones. Increíble, pero cierto. En ese momento, su desesperación es total, pues dado el agotamiento del padre no se pueden plantear volver a bajar y subir... ¿qué pasa entonces? Muy sencillo, la tercera pareja llegan también a la cima y en agradecimiento al gesto anterior del padre, les informan del número correcto de escalones, a cambio de que les cedan su segundo lugar... ¿Lecciones?
  
Para mí, una muy clara, "no siempre los juegos son de suma cero", no siempre es yo gano - tu pierdes, aunque desgraciadamente, la situación habitual que nos encontramos en el mercado actual es ésa... Hago lo que haga falta para llevarme el proyecto (rebajo el precio de manera increíble, acepto alcances o metodologías abocadas al fracaso, lo que sea...) con un solo objetivo: Yo gano el proyecto - tu no... aunque en realidad todos pierden: Tú porque haces un proyecto a un precio ridículo, el cliente porque el resultado no es el que deseaba y la competencia porque no ha hecho un proyecto para el que estaba mejor preparada, aunque su precio fuera mayor... Lo siento, pero así no juego, no todo vale.
 
Ya sé que no llegaré lejos en el mundo empresarial, o al menos, no en el tradicional, pero no me importa...
 
... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

08 noviembre 2010

PCI-DSS 2.0: Mi análisis de los cambios

Como much@s de vosotr@s sabréis, recientemente se ha publicado la versión 2.0 del estándar PCI-DSS, por lo que he pensado que podría ser interesante compartir mi análisis de los cambios (el PCI Council ha publicado un documento titulado "Summary of Changes from PCI DSS Version 1.2.1 to 2.0" para ayudarnos en esta tarea).

Lo primero que habría que decir es que, del total de 137 cambios inventariados en dicho documento, la gran mayoría - casi un 88% - son clarificaciones, mientras que solo hay 15 casos de orientación adicional y exclusivamente 2 requerimientos que han evolucionado. Es decir, que podríamos decir que la versión 2.0 del estándar es, principalmente, aclaratoria.

Una vez dicho esto, los cambios que más han llamado la atención (por orden de impacto, más o menos) han sido los siguientes:
  • Se ha incluido una nota adicional en 3.2 sobre la posibilidad de almacenar los datos sensibles de autenticación en el caso de emisores de tarjetas (ya lo habíamos comentado antes por aquí), siempre que exista una justificación de negocio y se almacenen de manera segura.
  • Los requerimientos de calificar las vulnerabilidades, además de identificarlas y de solventar las de riesgo "alto" (best practice hasta el 30 de junio de 2012) [estos son los dos requerimientos que han evolucionado].
  • Requerimiento 2.1.1 - Se ha eliminado WPA puesto que no se puede considerar como cifrado fuerte.
  • Se ha relajado la necesidad de cambio anual de claves de cifrado que establecía el requerimiento 3.6.4, por lo que se haya definido en su caducidad. También en el 3.6.6, se ha concretado que el conocimiento compartido solo aplica para operaciones de gestión de claves en texto-en-claro.
  • Se ha incluido un requerimiento nuevo (2.2.b) para asegurar que las guías de configuración de los sistemas se actualizan con las vulnerabilidades identificadas en el 6.
  • Respecto al requerimiento 2.2.1, se clarificado que, al hablar de "una función primaria por servidor" y en el caso de virtualización, se puede instalar solo una función principal por elemento.
  • El requerimiento 3.1.1.e  incluye test adicional para el QSA: Verificar que los datos almacenados no exceden de los períodos de retención fijados en la política de la entidad.
  • Requerimiento 1.3.8 - Se ha eliminado la referencia a NAT, centrándose en el objetivo: Prevenir que se revelen las direcciones IP privadas.
  • La aclaración del requerimiento 6.5, en cuanto a que la programación segura aplica a todas las aplicaciones desarrolladas a medida y no solo a las aplicaciones web.
  • Requerimiento 8.5.16 - Se ha aclarado que los accesos directos a bases de datos no autorizados son los de los usuarios finales.
  • Requerimiento 9 - Se sustituye el término "empleado" por "personal insitu" que incluye también terceros y otros usuarios que trabajan en las dependencias de la entidad.
  • Se amplían las opciones para detectar puntos de acceso wireless no autorizados en el requerimiento 11.1.
  • En el requerimiento 11.4 se ha simplificado y aclarado lo que se espera de los IDS/IPS.

Perdonar, si ha quedado una entrada un poco larga, pero no me ha quedado más remedio.

¿Qué opináis? ¿Me he dejado algún cambio importante? 

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

02 noviembre 2010

PCI-DSS y EMV: Complementarios o alternativos

Continuando con el post anterior vamos a comentar el otro documentado liberado por el PCI Council a principios de octubre relativo a la aplicabilidad de PCI-DSS en los entornos EMV [pdf]. Ante la duda que podía surgir sobre si en los entornos EMV debíamos aplicar también el estándar PCI-DSS, el Council lo deja bastante claro: Hoy por hoy, dado el grado de implantación de EMV, hay que seguir cumpliendo con PCI-DSS, es decir, son COMPLEMENTARIOS.

Las razones que aduce el Council son bastante lógicas:
  • EMV ha sido diseñado para frenar el fraude en operaciones de tarjeta-presente, pero EMV, por sí mismo, no protege la confidencialidad de los datos de autenticación sensibles ni de los datos del titular de la tarjeta (tanto el PAN, como el nombre del titular o la fecha de caducidad, por ejemplo, son transmitidos en claro. lo cual es suficiente para realizar transacciones en algunas situaciones).
  • Los entornos EMV actuales procesan tanto transacciones EMV como no-EMV, por lo que es necesario seguir aplicando PCI-DSS (está situación se acrecienta si consideramos que las tarjetas EMV llevan banda magnética por razones de compatibilidad y como backup del chip).
  • Existe la posibilidad de introducir transacciones manualmente, para lo que solo se necesita el PAN, la fecha de caducidad y la firma del cliente (en el caso de venta por correo o por teléfono, denominadas tarjeta-no-presente, es necesario también el código de servicio).
Lo que sí reconoce el estándar es que en la medida en la que EMV sea el único método para transacciones cara-a-cara y se adopten procesos robustos de autenticación para transacciones de tarjeta-no-presente, la necesidad de mantener secreto el PAN y el resto de datos de autenticación se verá sensiblemente reducida y, por tanto, el estándar PCI-DSS deberá adaptarse a esta nueva situación y ser modificado en consecuencia.

 ... ¿Todavía no me sigues en twitter.com/antonio_ramosga?
 
Más información sobre EMV | www.emvco.com