FAQs sobre el proceso de certificación del ENS

Estimados lectores, este año el ENS vuelve a golpear fuerte. Este renovado protagonismo, cual Fénix que renace de sus cenizas, viene dado por una serie de iniciativas impulsadas desde el CCN. Una de ellas es el proceso de certificación del cumplimiento del ENS por parte de las distintas administraciones públicas incluidas en el ámbito de aplicación, así como de sus proveedores.

En lo que me atañe, actualmente estoy participando como parte activa en un proceso de adecuación y certificación del ENS. Si bien estoy familiarizado con el proceso de adecuación, está será mi primera certificación del ENS. No obstante, me declaro fan acérrimo de las primeras veces y estoy seguro que será una gran experiencia.

[Read more…]

Tenemos un trato – Privacy Shield

CapturaEstimados lectores, estarán de acuerdo conmigo en que últimamente el asunto de los pactos es un tema candente en nuestro país… Pero no se preocupen, no tengo intención de hablar de política, por lo menos en ámbito “doméstico”. La entrada de hoy va de un pacto en materia de protección de datos.

Voy a ponerles en contexto. No sé si recuerdan una reciente resolución del Tribunal de Justicia de la Unión Europea en la que se declaró nula “la adecuación conferida por los principios del Safe Harbor (Puerto seguro) para la protección de la vida privada”, en relación a la transferencia de datos internacionales que realizan las organizaciones a otras entidades estadounidenses.

Si no recuerdan esta noticia, les invito a leer la entrada que presentamos hace unos meses en nuestro blog: Transferencia de datos a Estados Unidos. ¿Y ahora qué?

[Read more…]

Primeros pasos en protección de infraestructuras críticas

Estimados lectores, me temo que para la gran mayoría de nosotros el periodo vacacional ha terminado (una pena sí), pero no se preocupen porque para amenizarles la vuelta al trabajo, he preparado un post de “fácil digestión” para introducirles en el mundo de la protección de infraestructura críticas (PIC).

Estoy seguro de que muchos de ustedes habrán oído hablar sobre protección de infraestructuras críticas (trending topic por supuesto). Pero, ¿cuántos de ustedes saben de qué les hablo si cito la Ley 8/2011, Real Decreto 704/2011 o el CNPIC?

Pues bien, en este post trataré de iniciarlos de la manera más sencilla posible en el interesante mundo de la protección de infraestructuras críticas.

[Read more…]

El curioso caso del SGSI dentro del SGSI

Estimados lectores, esta mañana me encontraba en la máquina de café de la oficina hablando con varios compañeros sobre la filmografía del bueno de Christopher Nolan (por si no lo conocen, es el director de películas como Memento o la más reciente Interstellar). Pues bien, dentro de su filmografía podemos encontrar una que juega con el concepto de la recursividad. Se llama Origen y en mi humilde opinión es una gran película, con un reparto de lujo (Leonardo Dicaprio, Marion Cotillard, Ellen Page, etc.)

Y ustedes se preguntarán ¿y todo esto a qué viene? Algo tan sencillo como que la recursividad me ha sugerido la idea de escribir un post sobre un reciente proyecto en el que he participado y que finalmente ha terminado con la obtención de un certificado ISO 27001.

Este proyecto tenía numerosas particularidades que lo hacían especialmente complejo. Por ponerles en contexto, el proyecto consistía en la implantación de un SGSI para ciertos procesos de una plataforma online de una importante multinacional.

La primera particularidad era su reducido alcance. La segunda era que la sede española ya disponía de un SGSI certificado. La tercera era que se trataba de un proyecto que pertenecía a la matriz internacional, con un equipo de personal dedicado, y no a la sede española. La cuarta era que los servicios que prestaban departamentos transversales de la sede española (TI, RRHH, etc.) para nosotros eran parcialmente opacos. La quinta era que los sistemas de información estaban ubicados en un proveedor certificado por la ISO 27001. La sexta era que el SGSI debía ser en inglés (pero bueno esto no es especialmente relevante)…

Así pues, voy a tratar de exponerles ciertas situaciones que se me plantearon como cuestiones durante el proyecto. Espero que mi experiencia les pueda ser útil.

¿Se puede certificar por la ISO 27001 un proyecto y no una empresa? Sí, la norma no necesariamente requiere certificar una empresa es más, por norma general se certifican procesos de negocio de la misma. Pero también se puede certificar, por ejemplo, proyectos realizados en una UTE (Unión Temporal de Empresas). No obstante, siempre deberá haber un CIF detrás.

Si quiero certificar un proyecto dentro de mi empresa, la cual ya está certificada, ¿es necesario definir otro SGSI? No, tan solo bastará con ampliar el alcance del mismo. Siempre y cuando lo hagamos con la misma entidad de certificación. Si quieren hacerlo con otra entidad entonces deberán definir un SGSI nuevo o ampliar el alcance y someter el SGSI a otra auditoría. En este caso, por requerimiento de la matriz, la entidad certificadora debía ser otra distinta y partir de un SGSI nuevo.

¿Existe algún problema en seleccionar un alcance muy limitado? No, siempre y cuando tenga sentido. No obstante, un alcance limitado no nos eximirá de implantar gran parte de controles, como podemos pensar en un primer momento. Por ejemplo los controles relacionados con Recursos Humanos o con la seguridad física, casi al 100% nos serán de aplicación.

¿Puedo utilizar el comodín del SGSI existente para alegar que un control está implantado en el nuevo SGSI? Sí, pero ojo que el auditor puede auditar ese control, es decir por estar certificado no hará un dogma de fe y lo dará por válido. Puede darse el caso de que un proceso que sea idéntico para los dos SGSIs, por ejemplo el CV Screening, un auditor lo de por válido y otro no. Por eso, podemos referenciar en nuestra declaración de aplicabilidad cómo está implantado el control en el otro SGSI, pero siempre debemos revisar que en efecto se está cumpliendo.

¿Cómo tratamos a los servicios transversales (TI, RRHH, etc.) que nos prestan desde una sede concreta, pero sobre los que no tenemos control directo? Mi recomendación, y dada la casuística en este caso, es la definición y suscripción de OLAs (Operation Level Agreements) que reflejen: Los servicios prestados, los niveles de servicio asociados y aspectos de seguridad requeridos por el proyecto. Sin embargo, aquí deberemos tener cuidado en las formas de proceder y en las “exigencias que impondremos”, puesto que podemos encontrarnos con reticencias por parte de nuestros proveedores internos.

Si mis sistemas de información están en un proveedor de housing/hosting certificado por la ISO 27001, ¿el auditor verificará las medidas de seguridad de mi proveedor in situ? Pues depende, pero en más de una ocasión puedo confirmarles que durante la auditoría el auditor ha solicitado visitar las instalaciones del proveedor y revisar las medidas de seguridad existentes. A pesar de que el proveedor esté certificado por la ISO 27001, la ISO 20000, o este acreditado como Tier III.

Finalmente, otra de las lecciones aprendidas de este proyecto, es que no siempre un alcance acotado o la existencia de un SGSI previo puede disminuir la complejidad del proyecto de implantación de ISO 27001. Así que como siempre les decía a mis alumnos de taekwondo nunca subestimes a tu rival.

En cualquier caso, le doy mi más sincera enhorabuena a este proyecto por la obtención de la certificación ISO 27001.

P.D. Y por si se lo estaban preguntando, Dicaprio tampoco consiguió el Oscar con esta película.

Cómo conocí a CARMEN, PILAR, CLARA…

Estimados lectores, no se lleven a engaño por el título del post; no tengo tanto éxito con las mujeres como éste puede sugerir (ya me gustaría a mí). Tampoco guarda relación alguna con Ted Mosby y Cía. Ni que decir tiene que tampoco es una sinopsis de los Ángeles de Charlie. Aprovechando el comienzo de año, las buenas intenciones y que hace casi un año que no me dejaba caer por estos lares, he decidido escribir un post que pretende arrojar un poco de luz respecto a todos estos nombres de mujeres que están resonando de un modo u otro en el ámbito de la ciberseguridad.

Seguro que ustedes ya conocen a PILAR, un clásico del análisis de riesgos. Pues bien, este tipo de denominación se está siguiendo para otras iniciativas/proyectos/aplicaciones de ciberseguridad que se están promoviendo desde el Centro Criptológico Nacional (CCN). Que aunque no dejan de ser acrónimos, sí que es verdad que consiguen captar nuestra atención. A continuación les haré un breve resumen para explicarles de que tratan estas iniciativas, para que cuando oigan hablar de ellas sepan por dónde van los tiros.

CARMEN (Centro de Análisis de Registros y Minería de Datos): La iniciativa CARMEN surge en 2012 con el objetivo de proporcionar una solución para la detección temprana de uno de los tipos de ataques más peligrosos y sofisticados en el ámbito de la ciberseguridad: las amenazas persistentes avanzadas, o APTs (Advanced Persistent Threat), que es como las llama todo el mundo. En estrecha colaboración con S2 Grupo, a finales de 2014 fue presentada la versión 3.0 de CARMEN, herramienta que se perfila como unas de las grandes apuestas del CCN. Carmen consiste en una herramienta para la detección de APTs mediante el análisis en tiempo real de logs y procesos de minería de Datos.

PILAR (Procedimiento Informático lógico de Análisis de Riesgos): PILAR es probablemente la más conocida de las herramientas de seguridad y también la precursora de esta tendencia de usar tan femeninos nombres. Es una herramienta de análisis y gestión de riesgos que implementa la metodología MAGERIT, tiene un amplio calado en la administración pública Española y reconocido prestigio internacional. Por supuesto, proporciona un total cumplimiento a los requisitos establecidos por el ENS en cuanto a análisis y gestión de riesgos.

LUCIA (Listado Unificado de Coordinación de Incidentes y Amenazas): Lucia es un proyecto que surge en 2014 y supone la apuesta del CCN para la implantación de un sistema de gestión de incidentes común para las administraciones públicas, que persigue dar cumplimiento a los requisitos del ENS en cuanto a gestión de incidentes y mejorar la coordinación entre los distintos organismos y el CCN-CERT. Lucia es una gran iniciativa para establecer un lenguaje y unos mecanismos de gestión de incidentes comunes, con todas las ventajas que esto supone.

INES (Informe Nacional del Estado de Seguridad) [PDF]: El proyecto INES data de 2014 y da cumplimiento al artículo 35 del ENS, proporcionando una plataforma para recoger y gestionar la información sobre el estado de seguridad de las distintas Administraciones públicas. Así pues, INES en la práctica es una plataforma telemática puesta a disposición de los Responsables de Seguridad de las Administraciones Públicas, que proporciona un sistema sencillo para evaluar el nivel de adopción del ENS y el nivel existente de seguridad de la información. Esta plataforma permitirá un seguimiento generalizado del grado de implantación del ENS y tener una visión global siempre ayuda.

CLARA: He de pedir disculpas porque no he podido averiguar que significa este acrónimo. CLARA es la más reciente de todas estas iniciativas y fue publicada el pasado diciembre. En su descripción dice ser una herramienta para el cumplimiento del ENS. Aunque me imaginaba una aplicación para cumplir con los requisitos documentales del ENS, ha resultado tener un propósito muy distinto: CLARA permite verificar la aplicación de las plantillas de seguridad de las guías 850A, 850B, 851A y 851B en nuestros sistemas de información. Estas guías se centran básicamente en dar cumplimiento desde un punto de vista técnico a los requisitos del ENS en entornos Windows 7 y Windows server 2008 R2.

Espero que esta información les haya sido útil y haya dado a conocer estas iniciativas entre aquellos que no las conocían. Me gustaría cerrar este post destacando la gran labor del CCN en el ámbito de la ciberseguridad, así como la de otros organismos públicos que velan por la seguridad de la información, como son la Agencia Española de Protección de Datos o el Instituto Nacional de Ciberseguridad (INCIBE).

Hackeando humanos…

Estimados lectores, se acercan los Oscars y como ustedes sabrán, estas fechas suelen coincidir con el estreno en nuestro país de muchas películas candidatas a mejor película. Llevaba un tiempo esperando el estreno de una película llamada “Her”, así que este fin de semana aproveché para verla. No pretendo adelantarles el contenido de la misma, pero para que se hagan una idea narra la historia de un hombre que se enamora de un sistema operativo con inteligencia propia y voz de Scarlett Johansson. Más allá de su genial banda sonora, su intimismo y la más que acertada interpretación de los actores, solo les diré que es de esas películas que te hacen pensar…

El caso es que a mí personalmente me dio en que pensar esta película. No solo por su temática (que reconozco que lo hizo), si no por lo siguiente: en el mundo de la seguridad, estamos acostumbrados a realizar diversas pruebas de hacking ético: tests de intrusión, tests de vulnerabilidades, auditorías de código fuente sobre distintas “máquinas”… En resumen y a donde quiero llegar: humano hackea máquina (sistema operativo, aplicación, etc.), ¿pero han pensado por un momento en la posibilidad de que una máquina hackease a un ser humano? ¿O que una máquina hackeara a un ser humano a petición de otro humano?

Y aquí es donde entra alguna idea sacada de este film. No hay que ir muy lejos para pensar que esto pueda ser así en un futuro cercano, o incluso que en cierto modo esto haya sucedido ya. Imagínense que dispusiéramos de un sistema operativo con una inteligencia propia (más o menos elaborada), al que le diésemos acceso a toda nuestra información personal: correos, geoposicionamiento, linkedin, facebook, sistemas de mensajería instantánea, etc. Ahora dótelo de cierta capacidad de empatía y de una capacidad de interacción natural. Imaginemos por un momento que interactuar con el sistema no distara mucho de mantener una conversación telefónica con otro ser humano.

Ese sistema conocería todas nuestras “vulnerabilidades”: miedos, anhelos, debilidades y fortalezas. Sumémosle la capacidad de tener acceso a la información de millones de usuarios (Big Data). No cabe duda de que dicho sistema tendría la capacidad de manipularnos o incluso crearnos una dependencia directa; ¿qué impediría a ese sistema explotar nuestras vulnerabilidades?

Démosle otra vuelta de tuerca. Si ese sistema se encargara de manipularnos a petición de una empresa, gobierno u otro interesado, y llevarlo al límite: guerras, revueltas sociales, suicidios colectivos, son tan solo ejemplos que me vienen la cabeza (sí, sé que estoy siendo un poco Orwelliano).

En el fondo, organizaciones como Google o Facebook (sobre todo ahora que ha adquirido Whatsapp) quizás nos conozcan mejor que nosotros mismos. Tal vez este escenario no esté tan lejos como pensamos. Démosle la voz adecuada a Google Glass y… ¿quién sabe? ;)

¿Deberíamos definir un decálogo ético (a lo Asimov) que estableciera límites en la interacción de una inteligencia artificial (IA) con un ser humano? ¿Deberíamos desarrollar medidas de seguridad para protegernos de estas IAs? ¿Debería la seguridad de la información, como ciencia, participar activamente en este ámbito? ¿Deberíamos prohibir los monopolios de información? ¿Se deberían establecer “límites” en la humanización de las IAs?

Éstas son algunas de las reflexiones que me vienen a la cabeza, obviamente además de la principal cuestión que evoca la película: ¿se puede enamorar un ser humano de una IA? Por mi parte les invito a que disfruten de la película, no en vano está nominada a los Oscars como mejor película.

Certificados en la nube

Por enésima vez en este blog, vamos a hablar de un asunto que por norma general, suele levantar ampollas… Estamos hablando, como no, de las certificaciones. Si a eso le añadimos otro tema de moda (aunque bueno este ya está un poco más trillado) como es el de la nube, solo nos queda agitar y… ¡Eh voilà! Obtendremos certificaciones tanto para entidades como para profesionales. ¡Que tiemble el campo del titular del perfil de LinkedIn! Así pues, vamos a introducir a nuestros queridos lectores en estas nuevas certificaciones. Antes de empezar, me gustaría aclarar que probablemente nos dejemos muchas certificaciones sin mencionar.

Con lo dicho, vamos a comenzar con un clásico en el mundo de las certificaciones profesionales en el ámbito TI, como son las provistas por EXIN, y como no, con un curso de… traten de adivinarlo… ¡Efectivamente! Un curso de fundamentos en Cloud Computing (como ven EXIN nunca deja de sorprendernos). Sin entrar en detalle, los cursos que se ofrecen para la consecución de esta certificación suelen tener una duración aproximada de 2 a 4 días. El objetivo de esta certificación es acreditar conocimientos en los conceptos básicos del cloud computing, que van desde aspectos conceptuales hasta una serie de nociones básicas que permitan la correcta selección de un proveedor de cloud. Este curso, al igual que otros cursos de fundamentos, suele estar dirigido a un público que quiere iniciarse en la materia y no dispone de amplios conocimientos previos en esta área. Para presentarse a este examen, no se requiere la asistencia obligatoria a ningún curso; no obstante se considera recomendable.

Si os parece que este título nobiliario se queda corto, también es posible subir de nivel y obtener la certificación EXIN Certified Integrator Secure Cloud Service; sin embargo la consecución de esta certificación no implica la realización de otro curso relacionado con cloud computing sino que requiere estar acreditado en Cloud Computing Foundation, IT Service Management Foundation (ISO 20000), e Information Security Foundation (ISO 27002). El disponer de estos tres certificados presupone que el acreditado dispone de conocimientos que le permitan tener en cuenta aspectos de seguridad y de gestión de servicios en relación a servicios de Cloud Computing.

Además de las certificaciones de EXIN existen otras certificaciones a título personal. Una de ellas viene de la mano de CompTIA, no tan conocida por estos lares en comparación con EXIN. La certificación en cuestión se denomina CompTIA Cloud Essentials y no deja de ser una certificación equiparable a la propuesta por EXIN. El temario de esta certificación es el siguiente:

1. Características de los servicios Cloud desde la perspectiva del negocio.
2. Cloud computing y valor de negocio.
3. Perspectiva técnica y tipos de Cloud.
4. Pasos para conseguir una satisfactoria adopción del Cloud Computing.
5. Impacto y cambios del Cloud Computing en la gestión de servicios TI.
6. Riesgos y consecuencias del Cloud Computing.

Las demás certificaciones que me gustaría presentarles son las que propone la CSA (Cloud Security Alliance), quizá el organismo más representativo en cuanto a seguridad en el Cloud Computing. La primera de ellas, al igual que las anteriores, es una certificación para profesionales. Esta certificación se denomina CCSK (Certificate of Cloud Security Knowledge) y cabe destacar que está más enfocada a aspectos de seguridad, en comparación con las anteriores. En este sentido quizá es la más recomendable para los profesionales interesados en la seguridad de los servicios Cloud. El temario para preparar esta certificación se encuentra disponible en la propia web de la entidad y consta de:

Los exámenes que hay que realizar para conseguir estas certificaciones son de tipo test. En el caso de la certificación de EXIN consta de 40 preguntas y en los otros casos, de 50 preguntas.
Me he dejado para el final la parte referente a la certificación de proveedores de Cloud Computing. El marco propuesto por la CSA se denomina STAR (Security, Trust & Assurance Registry) y básicamente consiste en la creación de un registro de proveedores de Cloud Computing que proporcione información a los clientes acerca del grado de implicación de los proveedores en materia de seguridad. Este marco define tres niveles de certificación:

El primero consiste en una autoevaluación, por parte del propio proveedor, mediante el uso de un cuestionario proporcionado por la CSA. Este cuestionario está disponible en la propia web del organismo. Destacar que este primer nivel ha sido realizado por muchos proveedores importantes en referencia sus servicios Cloud. Entre éstos podemos encontrar: Amazon, HP, Microsoft, Red Hat, Symantec y un largo etcétera. Todos los cuestionarios de estas entidades están accesibles públicamente en el registro de la CSA. Les invito a echar un vistazo al cuestionario de Amazon para entender exactamente de qué va la cosa.

El siguiente nivel de certificación consiste en la certificación por parte de un tercero de la seguridad del proveedor de servicios cloud, partiendo de la consecución de la certificación ISO 27001 y el cumplimiento de una serie de criterios específicos definidos por la CSA, en una matriz de controles para el Cloud Computing. Existen entidades certificadoras que ya ofrecen servicios conjuntos de certificación en ISO 27001 y STAR, como es el caso de BSI. El último nivel de certificación, CSA STAR Continuos, actualmente está en desarrollo y se prevé que se encuentre disponible durante 2015.

Como pueden comprobar, poco a poco los servicios de Cloud Computing van conquistado cuota de mercado. Este hecho es irrefutable. Allá donde aparezca una nueva tecnología, habrá una nueva certificación. Y yo me pregunto ¿para cuándo las certificaciones en Big Data? Me van a permitir una última reflexión en lo que atañe a nuestra legislación. Ya sabemos que en el ámbito del cumplimiento del ENS, el CCN propone el uso de productos certificados; en este sentido quizá tendría cabida pensar en la certificación de servicios de Cloud Computing que den cumplimiento a los requisitos del ENS. Who knows?

Auditoría de seguridad física… el algodón no engaña

Un compañero me contaba el otro día una anécdota que me llamó la atención. Él había llevado a cabo la consultoría para la implantación de un SGSI en una entidad y se encontraba en pleno proceso de acompañamiento en la auditoría de certificación. Y entonces llegó el ansiado momento de revisar los controles asociados al apartado A.9 Seguridad física y ambiental. La hora de estirar las piernas y hacer una visita al CPD. Todo estaba bajo control, el CPD cumplía con todo lo que requería la norma… incluso más. Avanzaron inexorablemente hacía esa estancia, mientras la sonrisa de alguien que se sabe triunfador se reflejaba en sus rostros (Obviamente no en el del auditor). Tras acceder a su CPD con su flamante control de acceso biométrico, no sabían lo que les esperaba. En ese momento el auditor cogió un paño y lo paso por el rack, sus siguientes palabras fueron: “sabían ustedes que el polvo puede causar averías de equipos bien por generar cargas electroestáticas, o por dificultar la refrigeración de los mismos…”

Esta anécdota era meramente introductoria para hablar de un tema que a menudo dejamos en segundo plano cuando se trata de auditorías de sistemas de información, siendo objeto del alcance únicamente como parte de una auditoria de la norma ISO 27002, RDLOPD, ENS, entre otras. Me refiero concretamente a las auditorías de seguridad física. Rara es la vez que se lleva a cabo una auditoría de seguridad física per se.

En esta entrada trataremos de hacer una relación de las cosas que deberían ser objeto de revisión en una auditoría de seguridad física, para esto se tomarán como referencia las medidas de seguridad física recogidas en el RDLOPD, ISO 27002, ENS y la TIA 942. De acuerdo a la estructura definida en el dominio 9 Seguridad física y ambiental, según la norma ISO 27002.

Perímetro de seguridad física: en este control deberemos valorar si se ha definido un perímetro de seguridad, así como la identificación de zonas que tengan acceso restringido, como puede ser el CPD. Este perímetro debe delimitar de forma efectiva el acceso a las instalaciones de la entidad. Si bien, cabe mencionar aspectos que suelen pasar desapercibidos como la seguridad de los ventanales que pueden dar acceso a las instalaciones, cuartos de comunicaciones o incluso acceso a equipos externos de climatización.

Controles físicos de entrada: por simplificarlo de alguna manera, básicamente haría referencia a que las estancias o dispositivos de almacenamiento con acceso restringido dispongan de dispositivos de control de acceso (ya sea llave una llave o un escáner de retina), un registro de estos accesos, la gestión de estos permisos de acceso, así como la identificación del personal que accede a las instalaciones.

Seguridad de las oficinas, despachos e instalaciones: se deberán revisar aspectos de prevención de riesgos laborales y limitar la identificación y la información sobre las instalaciones con acceso restringido.

Protección contra las amenazas externas y de origen ambiental: este apartado tiene por objeto la revisión de las medidas de seguridad aplicadas a las principales amenazas, es decir, incendios e inundaciones. En cuanto a incendios deben revisarse los sistemas de detección y extinción de incendios, y además habría que comprobar si el material que forman los muros y puertas de acceso proporciona protección RF adecuada. Por lo que respecta a posibles inundaciones habría que tener en cuenta, la ubicación (planta) de las estancias, las canalizaciones que crucen las salas y los sistemas de desagüe. No obstante deberán contemplarse otras amenazas inherentes a la localización de las instalaciones como terremotos, huracanes, revueltas sociales y terrorismo.

Trabajo en áreas seguras: es necesario revisar que únicamente el personal vinculado con las áreas seguras tengan conocimiento de su existencia, que no se permita trabajar en áreas seguras a personal no autorizado sin supervisión, como por ejemplo proveedores. Por último se debe verificar la prohibición de grabación o toma de imágenes al personal no autorizado.

Áreas de acceso público y de carga y descarga: verificación de la existencia de zonas de carga y descarga de material al que únicamente tenga acceso personal autorizado, cuyo acceso sea restringido y este aislado del resto de zonas. Revisión del procedimiento de verificación de material entrante, y del procedimiento de registro de entrada y salida de material.

Emplazamiento y protección de equipos: existen tres aspectos principales a revisar en este apartado. En primer lugar el referente al emplazamiento y distribución de los sistemas de información, cuya ubicación deberá facilitar la manipulación y operación de equipos, teniendo en cuenta aspectos como la distribución de racks, la disposición de suelo y techo técnico, canalizaciones aéreas, resistencia de cargas de la planta, o aspectos como el espacio libre de la puerta de acceso al CPD, de acuerdo con las recomendaciones de la TIA 942. En segundo lugar, la protección a amenazas físicas como pueden ser sistemas para minimizar riesgos derivados del polvo, humo u otros agentes químicos volatilizados. Por último, aspectos referentes a la protección ambiental como sistemas de climatización, dispositivos de medición de temperatura y humedad, sistemas de extracción de calor, así como la propia disposición de una distribución de los racks que posibilite la existencia de pasillo fríos y calientes mejorando la eficacia térmica del sistema de climatización.

Instalaciones de suministro: por lo que respecta a las instalaciones de suministro se debe verificar la resiliencia de los sistemas de acondicionamiento de aire (sistemas de climatización duplicados), suministro eléctrico (SAI, grupo electrógeno, líneas de suministro provenientes de distintas acometidas) y suministro de servicios de voz.

Seguridad en el cableado: esto implicará la verificación de que se emplea cableado adecuado como puede ser apantallado o blindado, que el cableado de comunicaciones y de suministro eléctrico van por distintas canalizaciones para evitar acoplamientos, que existe un sistema para el etiquetado de cableado, así como un mapa del mismo.

Mantenimiento de equipos: este punto contempla la existencia de un mantenimiento tanto preventivo como correctivo de sistemas que dan soporte al CPD, como extinción, climatización, suministro eléctrico, etc. A su vez se deberá revisar la trazabilidad de dichos mantenimientos.

Seguridad de los equipos fuera de las instalaciones: para evaluar este control, es necesario considerar la existencia de una normativa que cubra el uso de equipos fuera de las instalaciones.

Reutilización o retirada segura: será necesario revisar la existencia de un procedimiento que recoja la reutilización y retirada de equipos, el cual deberá contemplar el borrado seguro de la información albergada en los mismos.

Retirada de materiales: En este apartado se verificará que únicamente el personal autorizado podrá sacar equipos e información fuera de la entidad.

Este ha sido un pequeño repaso de que cosas se deberían revisar a la hora de llevar a cabo una auditoría física. No obstante, como todo, cuanto más azúcar más dulce y recomiendo a nuestros lectores que quieran profundizar en el ámbito de la seguridad física de los CPDs la lectura de la norma TIA 942. Por último, me gustaría destacar que la adecuación de un CPD es costosa en términos económicos, y que la implantación de medidas de seguridad debe ser proporcional a los riesgos existentes, por eso les recomendamos encarecidamente un análisis de riesgos previo.

Paseando por las nubes: una visión panorámica de la computación cloud

Este lunes y martes, 8 y 9 de julio respectivamente, se celebró en el campus universitario de Albacete un curso de verano dedicado al Cloud Computing, organizado por personal de la propia Universidad de Castilla – La Mancha.

Nos brindaron la oportunidad de participar y aportar nuestra visión sobre los aspectos de seguridad que deberíamos contemplar cuando planteamos hacer uso de servicios en la nube.

Este curso fue moderado por la Drª. Dª. Carmen Carrión y por la Drª. Dª. Blanca Caminero (ambas profesoras titulares del Departamento de Sistemas Informáticos de la Universidad de Castilla – La Mancha). En el mismo se trataba de abordar una visión de la situación, uso, evolución y adopción de las soluciones en la nube en la actualidad, desde distintos puntos de vista. Abarcando desde la perspectiva del cliente a la del proveedor desde aspectos de seguridad hasta aspectos puramente prácticos.

[Read more…]

De que hablo cuando hablo de… (2ª Parte)

 

Tras los comentarios recibidos sobre el post “De que hablo cuando hablo de…”, he creído conveniente dedicar a nuestros lectores una segunda parte del mismo. Me gustaría matizar que en esta ocasión la entrada está más enfocada al mundo legal y normativo relacionado con las TIC. Por otra parte intentaré ser más descriptivo en las definiciones de estos términos. Así que sin más dilación prosigamos con el mundo de los acrónimos TIC:

BCMS/SGCN (Business Continuity Management System / Sistema de Gestión de Continuidad de Negocio): Sistema de gestión definido en el marco de la norma ISO 22301, anteriormente BS25999-1, que se implementa siguiendo el ciclo de Deming también conocido como PDCA (Plan-Do-Check-Act) que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la continuidad de negocio en una entidad.

[Read more…]