20 marzo 2012

Comentarios al Estudio de Seguridad Privada de Fundación ESYS

El pasado 29 de febrero, la Fundación ESYS presentó en el marco de SICUR su "Estudio de Seguridad Privada en España. Estado de la Cuestión 2012" (pdf). Gracias a ISACA Madrid, he tenido la oportunidad de seguir de cerca la elaboración de este estudio y me parecía interesante analizar sus conclusiones como continuación a entradas anteriores relacionadas con la convergencia de la seguridad.

Antes de entrar en materia, creo que deberíamos aclarar que tradicionalmente se consideran tres tipos de apellidos para la seguridad: la seguridad física, la seguridad de la información y la ciberseguridad. La primera se encargaría de los activos físicos (edificios, personas, instalaciones...), la segunda protegería la información en sus distintos formatos (donde los sistemas de información tienen un peso relevante pero no exclusivo) y la última se centraría en las amenazas ciber. Considero este aspecto importante porque ayuda a entender mejor la situación:
  • La seguridad de la información incluye la seguridad informática pero también ciertos aspectos de seguridad física (protección de la información en papel, protección de los servidores...)
  • Se producen ciertas áreas de solape, por ejemplo, a la hora de proteger la información en papel, ¿quién es responsable?
Por este motivo, habría preferido que en el estudio se hiciera referencia a la ciberseguridad en lugar de a la seguridad informática, creo que hubiera sido más acertado.

Entrando en materia, lo primero que llama la atención es que, al margen de los problemas que puedan existir en la seguridad física, 8 de las 14 conclusiones hacen referencia a la ciberseguridad y 2 de ellas son comunes.

En relación a estas conclusiones, me gustaría comentar lo siguiente:
  • No considero que la ciberseguridad requiera de una regulación específica, más bien la regulación en materia de seguridad debe contemplar todas sus perspectivas, no solo la seguridad física (como ocurre actualmente).
  • Coincido, por tanto, en que debe realizarse desde una perspectiva integral, pero entendiendo las diferencias que existen entre ambos ámbitos y, lógicamente, sin que ninguna perspectiva tenga ninguna prevalencia sobre la otra.
  • Se me antoja complicada la elaboración de baremos que permitan valorar la calidad del servicio prestado de manera general dadas las múltiples variantes de servicio que existen pero, bueno, es cuestión de trabajarlo, tampoco es imposible.
  • También coincido en la necesidad de contar con información estadística sobre incidentes de ciberseguridad, para que sea posible aprender y entender lo que está pasando y la evolución de las amenazas.
  • Respecto a la formación reglada, es cierto que existen múltiples posgrados y másteres en seguridad de la información por lo que el asunto no es tanto que no exista una formación reglada adecuada sino que, más bien, sea reconocida u homologada la existente.
  • Finalmente, en cuanto a la responsabilidad, no sé si debe existir una sola persona o no que aglutine toda la responsabilidad en materia de seguridad, lo que desde luego es obligatorio en el mundo actual es que ambas funciones estén coordinadas.

Por otra parte, las propuestas de actuación se han clasificado en: Marco legal, relación público-privada, profesionalidad y formación y reconocimiento social. En relación a estas propuestas, también me gustaría comentar algunos aspectos:
  • La regulación que se establezca para la ciberseguridad debe contemplar / entender las particularidades de la misma y no tratar de replicar los mismos conceptos porque es posible que algunos no tengan mucho sentido.
  • La coordinación, en caso de incidentes, entre los ámbitos públicos y privados es fundamental. En este sentido todo lo que se pueda avanzar en colaboraciones entre CSIRTs públicos y privados será de agradecer.
  • Las titulaciones oficiales no deben tratar de regular las funciones de las personas en las organizaciones (Director, Jefe, etc... ) más bien, deben centrarse como en cualquier otra práctica en garantizar unos conocimientos mínimos y luego, cada organización decidirá lo que hace falta para cada puesto.
  • Finalmente, el tratar de hacer avanzar la seguridad a través del canal de la Responsabilidad Social Corporativa lleva siendo explotado durante bastante tiempo por la ciberseguridad con unos resultados bastante escasos. Desde mi punto de vista, me parece mucho más adecuado que se integre en el ámbito de la protección civil.
En cualquier caso, me parece un primer acercamiento a la situación que vivimos actualmente y que puede servir para empezar a caminar en una mejora de la protección gracias a la colaboración entre seguridad física y lógica. Ya veremos lo que nos depara el futuro.

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

12 marzo 2012

Aplicar velocidad a la seguridad

Tras la lectura de "Velocidad" que comentamos la semana pasada, me hice la pregunta de si podrían aplicarse estos principios al mundo de la seguridad.

Y desde luego, hay una lectura que creo que puede ser de mucha utilidad para los profesionales de la seguridad. Derivado del principio de TOC de que lo que importa es la maximización del rendimiento del sistema en su totalidad y no los óptimos locales [y que, precisamente, es la causa principal del fracaso de Lean en la mencionada novela], los profesionales de la seguridad deberíamos preguntarnos si las medidas que estamos proponiendo contribuyen a un mayor rendimiento del sistema global (es decir, la organización en todo su conjunto) o si, por el contrario, nos estamos limitando a generar óptimos locales.

Es decir, tendríamos que centrarnos en la organización en su conjunto, identificar la limitación del sistema y:
  • trabajar para que dicha limitación siempre esté operativa. Es decir, implantar los mecanismos preventivos para que dicha limitación no sufra percances, pero también medidas detectivas para identificar la materialización de incidentes y, finalmente, medidas reactivas para que el impacto sea el menor posible. Lo que en terminología TOC se denominaría subordinarse a la limitación.
  • valorar las nuevas medidas en función de si contribuyen a un mayor rendimiento o a menores costes operativos o inventarios. Estas son las tres principales medidas utilizadas por TOC para la contabilidad y que, en el fondo, afectan a todas las decisiones empresariales.

En este contexto, habría que considerar que:

  • Posiblemente, la limitación no estará aislada y puede ser que se vea afectada por un fallo de seguridad de algo que, no siendo propiamente la limitación, esté conectado a ella. Por ejemplo, si la limitación fuera nuestra página web, quizás podamos tener una intrusión no directamente sobre el servidor web, sino cualquier otro sistema en la misma DMZ (por ejemplo). Por tanto, tendremos que analizar vías para reducir los elementos que pueden afectar al correcto funcionamiento de la limitación del sistema.
  • Existirá legislación que tengamos que cumplir y que, como condición necesaria para operar en un mercado haya que cumplir, con independencia de su relación con la limitación.
Por otra parte, es interesante como los principios de lean hablan de minimizar el despilfarro, como la "eliminación de todas las actividades que no son de valor añadido y redes de seguridad", es decir, que por aligerar los procesos no debemos hacerlos inseguros...


Finalmente, se pueden aplicar todos los principios lean a los procesos de seguridad que diseñemos, eliminando todo tipo de desperdicio: movimiento, sobreproducción, espera, transporte, procesado extra, corrección, inventario y el conocimiento desconectado. Pero sin olvidar que todo lo hacemos subordinados a la limitación del sistema...


¿Qué os parece el planteamiento? ¿Arriesgado?

... ¿todavía no me sigues en
twitter.com/antonio_ramosga?

08 marzo 2012

Lectura: "Velocidad"

Esta es la última obra que he leído de las novelas de gestión sobre la temática de TOC. En este caso, los autores (Dee Jacob, Suzan Bergland y Jeff Cox - el mismo que escribió La Meta) abordan la problemática de emplear a un mismo tiempo el sistema Lean, Seis Sigma y la propia Teoría de las Limitaciones.

Se trata de una obra de lectura fácil que aborda bastantes de los elementos de TOC: la multitarea en contraste con el sistema de delay, los árboles de la realidad actual y futura, la subordinación de la producción a la limitación, la elevación de las limitaciones o no... aderezada por algunas perlas como la explicación de cómo la facturación por horas es un incentivo a la ineficiencia (algo que ya hemos tratado antes por aquí).

En este caso, no tengo citas preparadas (como de costumbre) pero, a cambio, tengo un concepto que me parece que puede resultarnos muy útil: poka-yoke. Este término que se utiliza en el sistema Lean, es un término que proviene del japonés y significa literalmente "a prueba de errores". Un ejemplo claro, como nos dice la Wikipedia es el conector USB ya que no permite conectarse al revés, solo de la forma correcta.

Y, ¿por qué digo que puede ser útil? Bueno porque muchos fallos de seguridad se producen por errores y si adoptáramos la filosofía poka-yoke podríamos, en teoría, evitarlos... vamos algo así como "seguro por defecto".

Puedes seguirme en twitter.com/antonio_ramosga

05 marzo 2012

Lectura: "Buy*in"

La traducción literal del término sería la de "compra al por mayor" y el subtítulo del libro es "Evitando que tu buena idea sea abatida".

Precisamente por esto me lo compré. Para ver si me ayudaba con uno de los aspectos más difíciles que me he encontrado en mi carrera profesional: Conseguir que otros te compren tus ideas y superar la sensación de frustración que se te queda, cuando después de trabajar en un planteamiento que, a tu juicio, favorece a todo el mundo, sin embargo, no sale adelante en la típica reunión en la que todos parecen estar en contra.

Y la verdad es que, al menos me ha dado algunas pistas. En primer lugar, saber que existen, básicamente cuatro estrategias de ataque: confusión, muerte por demora, provocando miedo y ridiculizando/asesinando al personaje. Y en segundo, como se debe enfocar la propuesta de una idea:
  • No temer a los que quieren distraer.
  • Responder siempre de manera simple, directa y honesta.
  • Mostrar respeto por todo el mundo.
  • Observar la audiencia (no solo a los que te disparan) [al fin y al cabo, es muy difícil convencer a todos, solo te hace falta convencer a la mayoría más amplia posible].
  • Anticiparse y prepararse para los ataques por adelantado.
La estrategia de respuesta a los ataques que proponen los autores es muy sencilla: Capturar la atención de las personas, ganarse sus mentes y ganarse sus corazones [nada más y nada menos].

Y, para finalizar, las típicas citas:
  • "Incluso un persona inteligente o creíble, si se le hace temoroso, puede no solo oponerse a una propuesta, sino también atacarla".
  • "Algunos individuos pueden ser increíblemente hábiles para meterte en una discusión tan compleja que cualquier persona simplemente abandona".
  • "Un acercamiento de abrumar con datos y lógica [...] puede, sin querer, hacer que sea más difícil de desarrollar y conseguir la atención necesaria para que te compren la idea".
  • "Disparar de vuelta a los atacantes puede ser satisfactorio emocionalmente por unos momentos pero esa satisfacción será efímera".
  • "No desperdicies tu tiempo tratando de convertir a una minoría que está tan emocionalmente comprometida con una ideología que nunca soportará tu idea. No puedes".
  • "La mayoría de los ataques [...] tienen éxito porque nos ponemos a la defensiva y respondemos con un ataque. Y una vez que comienza una guerra, todo lo que te preocupa estará en riesgo".
Puedes seguirme en twitter.com/antonio_ramosga