27 julio 2011

Oslo, ¿un suceso evitable?

Imagen aérea de Utoya

Han pasado ya cinco días desde los desgraciados sucesos de Noruega y no salgo todavía de mi asombro de cómo puede ser que un ser humano haya infligido tanto dolor, no solo a otros seres humanos, sino a sus propios compatriotas y, además, jóvenes que no habían tenido tiempo casi de despertar a la vida...


Escribo esta entrada porque me gustaría compartir las tres o cuatro ideas que no se me van de la cabeza en relación a estos tremendos sucesos.


¿Se podría haber evitado?
Bueno, probablemente sí... ahora que sabemos lo que ha pasado seguro que somos capaces de identificar eventos, sucesos que deberían haber hecho disparar alguna alarma. Aunque no es menos cierto, como siempre recalca B.Schneier, que "los puntos son más fáciles de conectar después de los sucesos pero antes es prácticamente imposible": ¿No se controlan los elementos que permiten construir un artefacto explosivo?, ¿no se registran las adquisiciones de abono que pueden utilizarse para fabricar bombas? ¿no se...?


La pregunta que debiéramos hacernos sería, ¿qué precio deberíamos pagar para evitar sucesos tan extraordinarios? Hago esta pregunta porque utilizando modelos como el de zero trust (confianza cero - propuesto por un analista de Forrester), para evitar este tipo de eventos hemos de registrar y analizar la actividad de todos los individuos para detectar comportamientos "anómalos"... es decir, la aplicación de este modelo nos llevaría a un modelo de Estado - Gran Hermano que registra y controla la actividad de todos sus ciudadanos, vamos que, adiós a nuestra libertad. Sinceramente, no lo veo.


Otra vez, un cisne negro
Efectivamente, ¿quién, en su sano juicio, se iba a imaginar que algo como lo ocurrido podía suceder? Al margen de que la situación en Noruega fuera o no excesivamente relajada [yo no voy a entrar a valorarlo], si alguien hubiera dibujado este escenario y hubiera defendido que era necesario prevenirlo, o lo habrían despedido, o habrían desechado su protección por la baja probabilidad de ocurrencia.


Entonces, ¿qué podemos hacer para prevenir los cisnes negros? Bueno, me temo que no podemos predecir el futuro. Si hacemos caso al bueno de Taleb, solo nos queda "centrarnos en las consecuencias, no desperdiciar esfuerzos en tratar de estimar la probabilidad, y prepararnos para la siempre brusca aparición de un cisne negro". Es decir, ¿no estamos hablando de resiliencia?


Los insiders son los peores
Sabemos desde hace mucho tiempo que la mayor parte de los incidentes son originados por los usuarios internos, pero sucesos como los ocurridos nos lo enseñan de la manera más cruda posible.


Si sabemos que esto es así, ¿por qué no dedicamos más esfuerzos a concienciar a nuestros usuarios? ¿por qué seguimos invirtiendo en herramientas y descuidamos a los usuarios? Quiero decir, ¿cómo pretendemos evitar la fuga de información con herramientas informáticas cuando tenemos dentro de nuestra organización una masa laborar profundamente descontenta y totalmente desalineada con los objetivos de nuestra organización? [me temo que si quieren, van a encontrar la forma de saltarse las medidas]. En realidad, creo que conozco la respuesta: No queremos o no sabemos (o no nos interesa) invertir de verdad en las personas; el esfuerzo es mucho mayor en orden de magnitud que si instalamos una nueva herramienta.


¿No hay otra forma de enfocar el problema?
Creo que hay evolucionar en esto de la gestión de la seguridad... Hay demasiados indicadores que nos están empujando irremediablemente:

  • La realidad es, cada vez, más compleja.
  • El enfoque preventivo y basado en el cálculo de la probabilidad nos está dando demasiados disgustos.
  • Los individuos siguen siendo el eslabón más débil [el factor limitante, para los frikis de TOC].
En fin, necesitaba compartir lo que me bullía en la cabeza...

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

18 julio 2011

Estrategia Española de Seguridad. Un análisis ciber

Hace unos días se publicó la denominada "Estrategia Española de Seguridad. Una responsabilidad de todos" (pdf) como resultado del trabajo de un grupo liderado por Javier Solana (del que ya hemos hablado en algún momento aquí).

En mi opinión, un documento de obligada lectura (no llega a 100 páginas) para todos aquellos que, de una forma u otra, participamos de la industria de la seguridad, en su sentido más amplio. Más aún considerando el subtítulo del documento: Una responsabilidad de todos.

Sin lugar a dudas, es un documento que toca todos los palos y que dibuja una imagen del escenario actual muy acertada y que, sobre todo, nos centra en un contexto mundial que no podemos obviar en este tipo de análisis.


Dado su interés, me ha parecido oportuno realizar un pequeño análisis y destacaros lo que me ha parecido más interesante, desde mi perspectiva personal de seguridad tecnológica, o como podríamos denominarla, "ciber":

  • Se deja claro desde el principio que estamos hablando de un asunto en el que todos tenemos alguna responsabilidad. Aunque es algo que, más o menos, los profesionales de la seguridad tenemos claro, es importante que se deje claro desde el principio que la seguridad depende del eslabón más débil y que, dado el nivel de dependencia y de interconexión entre todos los actores sociales, los unos dependemos de los otros y al revés.
  • Se recalca el hecho de que es necesario un enfoque integral para poder afrontar los retos que nos presenta la seguridad. E integral en distintas dimensiones, en cuanto a los territorios y también, claro está en cuanto a los ámbitos de aplicación (es decir, que es necesario ahondar en la vía de colaboración entre las seguridades "lógica" y "física").
  • Se identifican 6 principios básicos: Enfoque integral, coordinación, eficiencia, anticipación y prevención, resistencia y recuperación e interdependencia responsable.
  • Se reconoce al ciberespacio como un ámbito más en el que hay que actuar y las ciberamenazas como uno de los riesgos principales, en línea con las estrategias de defensa de las naciones más avanzadas.
  • Para mejorar la seguridad en el ciberespacio se proponen como líneas de actuación: Fortalecer la legislación, reforzar la capacidad de resistencia y recuperación de las infraestructuras críticas (esto me suena a resiliencia) y fomentar la colaboración público-privada.
  • Finalmente, para su implantación propone nuevos órganos a crear en la Administración Pública. Concretamente, la creación de un Consejo Español de Seguridad, una Unidad de Apoyo en el Gabinete de la Presidencia del Gobierno y un Foro Social de Expertos como órgano consultivo.

Una vez comentados los aspectos relevantes, también querría daros mi opinión sobre algunos aspectos:
  1. Me gusta el enfoque de "estar preparados para lo imprevisible", es decir, asumir los cisnes negros como habíamos comentado ya por aquí (esto se traduce en trabajar en la resiliencia de nuestros sistemas).
  2. En cierta forma, parece adoptar también el manifiesto agile cuando dice "esta era de incertidumbre es también un tiempo de grandes oportunidades, si entre todos sabemos gestionarlas. [...] debemos afrontar el cambio con confianza, responsabilidad y eficacia".
  3. Estoy de acuerdo en el enfoque de coordinar a los distintos agentes sociales para aumentar la eficiencia de las inversiones en seguridad [espero que sirva para evitar despilfarros como, por ejemplo, el de los 18 sistemas sanitarios distintos existentes en la actualidad].
  4. Creo que la concienciación de la Sociedad es uno de los aspectos fundamentales para mejorar el nivel de seguridad y asegurar el éxito de la estrategia. Quizás este aspecto podría ser uno de los primeros en los que trabajar en la coordinación de los distintos agentes y mejorar la eficiencia en el uso de los recursos porque existen multitud de iniciativas inconnexas trabajando en este sentido. En cualquier caso, la coordinación no significa que alguien tenga el papel dominante, sino que los distintos actores encuentren su hueco en cada iniciativa a desarrollar... al menos, es mi punto de vista.
  5. En mi opinión, cuando se habla de avanzar en el planeamiento conjunto de capacidades defensivas y utilizar y desarrollar las posibilidades existentes desde la Agencia Europea de Defensa (AED), no debe olvidar que también deben incluir el ciberespacio a la hora de desarrollar esas capacidades.
  6. Un aspecto sumamente importante es el reconocimiento de que la capacidad de los Estados para resolver problemas globales es cada vez más limitada, por lo que es necesario cooperar con otros Estados y organizaciones internacionales. En este sentido, hay mucho trabajo por hacer, ¿os imagináis que se pudiera establecer un pacto de forma que las Fuerzas y Cuerpos de Seguridad del Estado estuvieran habilitadas para actuar contra cibercriminales que utilizaran servidores en un país extranjero para cometer cualquier tipo de delito contra nuestro país o compatriotas gracias a este tipo de acuerdos?
  7. Al hablar de fortalecer la capacidad de los medios de alerta temprana, de nuevo, no debemos olvidar la dimensión ciber. En este sentido, es necesario trabajar en la coordinación de los distintos CERTs existentes a nivel nacional; en mi opinión, el Estado debe dar un paso adelante en este sentido y dotarse de los medios que garanticen esa coordinación (al margen de que pueden coexistir múltiples centros cada uno con su constituency.
  8. En cuanto a las infraestructuras críticas, hay que darse cuenta de que, aunque es cierto que se está trabajando en este sentido a través del CNPIC, el foco se ha puesto en la prevención de los ataques intencionados (terroristas) pero no se garantiza que tengan sistemas redundantes e independientes de otras tecnologías y operadores. Por tanto, coincido con lo recogido en el plan de ampliar las líneas de acción establecidas en el Plan Nacional de Protección de IICC
  9. Lógicamente me parece perfecto que se invierta más en tecnologías de seguridad y formación de personal especializado pero, dada la situación económica actual, ¿de dónde vamos a sacar los fondos para hacer la dotación presupuestaria correspondiente?
  10. Para finalizar, me ha resultado muy interesante la elaboración de una Estrategia Española de Ciberseguridad como estrategia de segundo nivel destacada.
[Os pido perdón por la longitud de esta entrada]

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

14 julio 2011

Guía para cumplir con PCI DSS si usamos virtualización

El pasado 14 de junio, el PCI Council publicaba la segunda versión del suplemento informativo titulado "PCI DSS Virtualization Guidelines" (pdf) elaborado por el grupo de virtualización [como es lógico].

El documento está muy bien trabajado, a mi entender, y recoge los principales aspectos relacionados con esta tecnología. En concreto, la guía incluye:
  • Una descripción a alto nivel de lo que es la virtualización.
  • Cómo la virtualización afecta a la definición del alcance.
  • Los principales riesgos que supone su uso.
  • Recomendaciones a la hora de implantarla, tanto con carácter general, como cuando se mezclan entornos de distintos niveles de riesgo o afectados o no por PCI DSS.
  • Recomendaciones para entornos de computación en la nube.
  • Una pequeña guía para realizar una evaluación de riesgos en entornos virtuales.
  • Y finalmente, un repaso de cómo afecta la virtualización en cada uno de los 12 requerimientos del estándar (anexo).
Como decía, un documento muy bien trabajado, en el que no nos encontramos con grandes sorpresas y del que destacaría lo siguiente:
  • Lógicamente, si cualquier componente virtual está conectado o es parte del CDE (cardholder data environment), entonces el hipervisor también está dentro del alcance, de forma que si es una máquina virtual la que está en el alcance, tanto el sistema que la aloja como el hipervisor también deberían considerarse dentro del alcance.
  • A nivel de riesgos, la virtualización supone una nueva superficie de ataque que hay que considerar, además de añadir cierta complejidad que nos dificultará la implantación de algunas medidas de seguridad. En especial, la mezcla de máquinas virtuales con diferentes niveles de seguridad es un aspecto que tendremos que valorar con mucha cautela para no poner en riesgo nuestros sistemas.
  • En cuanto a las recomendaciones que nos proponen son las de esperar (evaluar los riesgos asociados a su uso, entender el impacto sobre el alcance, utilizar los menores privilegios y la segregación de funciones...), pero quizás habría que hacer énfasis en que incluye, cierta orientación para asegurar el hipervisor y las máquinas y el resto de componentes virtuales.
  • Para lo que denomina entornos mixtos (es decir, donde se mezclan componentes virtuales con diferentes requisitos de seguridad), básicamente, la recomendación es segregar. Pero segregar de verdad, entendiendo que no es tan sencillo como en entornos físicamente separados ya que, en algunos casos, por la propia naturaleza de este tipo de sistemas no será factible y nos veremos abocados a que todo este incluido en el alcance.
  • Respecto a la computación en la nube, el resumen sería depende. Depende del tipo de nube, de los servicios que se utilicen, etc. [muy en línea con el documento que elaboramos en el CSA-ES] En general, lo que nos viene a decir es que hay que definir muy bien quién se encarga de qué en relación a la seguridad (ver tabla al comienzo de esta entrada, también muy parecida a la que hicimos para el CSA-ES, por otra parte) y que recaerá sobre el proveedor esencialmente demostrar que se cumple con los requisitos del estándar puesto que el usuario no tendrá visibilidad sobre muchos elementos de la provisión del servicio, siendo prácticamente imposible en algunas modalidades cumplir (nubes públicas, por ejemplo).
En fin, un documento imprescindible dada la profusión de uso de la virtualización en las arquitecturas actuales.

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?