08 octubre 2017

Opinión acerca del WannaCry

(Cross-posted con el blog de ISACA Madrid, aquí)

Se ha escrito mucho [y mucho más se va a escribir] sobre el incidente del pasado 12 de mayo, más conocido por WannaCry (ya sabéis, Quiero-Llorar). En este caso desde ISACA Madrid no querríamos “aburrir” a nadie con un montón de lugares comunes y de reflexiones rápidas y sin mucho fundamento [llevamos ADN de auditores y eso no se nos está permitido], pero es nuestra responsabilidad no dejar pasar este incidente para resaltar aquellos aspectos que nos parecen más relevantes, como lecciones que debemos aprender, en lugar de seguir llorando:
  • Toda organización (si habéis leído bien, toda) debe hacerse una pregunta: ¿Qué voy a hacer cuándo sea atacada o sufra un incidente de ciberseguridad? Esta pregunta, a su vez, tiene varios componentes: ¿Qué capacidad de resistencia al ataque tengo? ¿Con qué rapidez podré detectar que estoy siendo atacada? ¿Dispongo de mecanismos para dar una respuesta rápida? ¿He establecido mecanismos para aprender de los incidentes que sufra?
  • El hecho de sufrir un incidente no debería ser noticia (hasta el más maniático con sus hábitos de limpieza puede sufrir una infección). Ya sabemos que, desde el punto de vista de los medios de comunicación, puede ser relevante, pero desde luego, nosotras, como profesionales no podemos caer en la tentación y asumir que todo el mundo puede “infectarse”. Lo que, a cambio, sí debería ser noticia sería nuestra incapacidad para responder [ojo, el intercambio no es trivial]
  • La implementación de medidas adecuadas de protección y recuperación no es responsabilidad de ningún área técnica, es responsabilidad de los propietarios/accionistas y de los órganos de dirección… igual que se involucran en la toma de decisiones sobre la tesorería, la gestión de stocks, o la estrategia comercial, deben [repito, deben] implicarse en la toma de decisiones en esta materia… y si no se encuentran preparados, aquí les dejamos un documento muy sencillo para empezar…”Ciberseguridad: Lo que el Consejo de Administración Necesita Preguntar” <https://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Cybersecurity-What-the-Board-of-Directors-Needs-to-Ask.aspx>
  • Los controles diseñados son para ser implantados y debe vigilarse su efectividad. Tener controles y procedimientos y no aplicarlos sistemáticamente es inaceptable para un auditor de sistemas. Esa debilidad trae estas consecuencias.
  • Y por último, y no por ello menos importante, este incidente debe hacernos reflexionar sobre nuestro grado de dependencia y vulnerabilidad de las tecnologías de la información. Para lograr el objetivo que llevamos en el lema de ISACA: “Sistemas valiosos y fiables”, hace falta que las organizaciones presten atención, se ocupen y dediquen recursos a contar con los medios necesarios para asegurar la continuidad de sus operaciones y el alineamiento de los sistemas con los objetivos corporativos y para ello, es fundamental e imprescindible, contar con profesionales cualificados que sean capaces de identificar las medidas y operar los sistemas de manera fiable… ¿sería lógico pensar que una organización que depende de sus sistemas de información para funcionar no haya puesto a sus mandos a profesionales cualificados para esa función?
... ¿todavía no me sigues en twitter.com/antonio_ramosga?

10 mayo 2017

Concienciación [modo chirigota]

Gracias a mi hermana he llegado a un estupendo vídeo de una chirigota de 'Tintineo Caletero' que trata nada más y nada menos que sobre… ¡¡las contraseñas!!



Pero sobre lo que querría reflexionar no es en sí sobre el vídeo de la chirigota que, por otra parte, es una herramienta de concienciación estupenda [creo que el humor es el mejor instrumento para la enseñanza] sino sobre cómo los autores han llegado a ese resultado final. Me refiero a que, viendo sus actuaciones de años anteriores, he descubierto que, en realidad, la chirigota que acabamos de ver es el resultado de la fusión de las dos siguientes:
  1. Versión inicial sobre la contraseña (comienza en el 1'48")
  2. Chirigota sobre la declaración de la Infanta Elena (comienza en el 4'24")

De la versión de 2014 a la de 2017 hay una clara mejora de la contraseña: Es mucho más larga y, además, tiene números... en conclusión: La concienciación que se está haciendo en la sociedad en materia de seguridad está calando y, hasta en las chirigotas, la gente sabe lo que es importante en materia de seguridad... "mayúsculas, minúsculas y números"... ¡¡aunque siguen poniendo "la misma pa'tó"!!