Human Firewall

De sobra es conocido que la mejora de la seguridad de las organizaciones, tanto cuando hablamos de la información como de los propios medios físicos, no depende “solo” de la implantación de medidas técnicas de seguridad o la definición de procedimientos; es fundamental la implicación de las personas. No se repite suficiente que el factor humano en un pilar fundamental en la seguridad.

Este hecho no pasa desapercibido para los ciberdelincuentes que aprovechan descuidos, prácticas inseguras de comportamiento y en general falta de formación en materia de seguridad por parte de los empleados para poner en riesgo la seguridad de la organización. Muy bien, pero, ¿se puede culpar al empleado, el usuario final, de esta situación?

[Read more…]

120 – 110 – 120

En los últimos días venimos escuchando en prensa y televisión que el gobierno ha decidido restaurar la velocidad límite en las autopistas y autovías españolas a 120 Km/h, después de haber estado restringida a 110 km/h durante los últimos 4 meses. Como con casi todo en esta vida, y más con las decisiones políticas, nos encontramos con opiniones encontradas al respecto, unos hubieran mantenido el límite en 110 km/h, para mejorar el medioambiente otros lo prefieren en 120km/h e incluso algunos piden ahora su subida a 130km/h.

¿Cuál es la velocidad límite más adecuada? Sinceramente, ni idea.

Sin embargo lo que si tengo muy claro es que la velocidad adecuada no es siempre es la misma, depende de circunstancias temporales como son: el estado de la vía, la meteorología, la densidad del tráfico, los accidentes, el día y la noche, etc. Evidentemente con el sistema de señalización actual de nuestras carreteras es inviable la modificación rápida del límite de velocidad, -no ganaríamos para pegatinas ; ) – pero quizá sea el momento de evolucionar hacía un nuevo sistema de señalización. Un sistema basado en la implementación de un Sistema de Gestión en Tiempo Real. Un sistema que nos permita obtener en tiempo real mediciones de los factores que se consideren influyentes en la velocidad adecuada para la vía, y que sea capaz de “correlar” toda esa información, para determinar esta en cada momento.

¿Es una posibilidad real o es ciencia ficción? Para mí, es una esperanzadora realidad.

Actualmente disponemos de la tecnología necesaria para poder implementar un sistema de este tipo. Evidentemente no es gratis, y probablemente tampoco barato, pero si pensamos en cuál sería el ROI de un proyecto de este tipo, un ROI medible en reducción del número de accidentes y por tanto de muertes en las carreteras, a mi me parecería una gran inversión.

¿Qué os parece? ¿Consideráis oportuno (y/o factible) evolucionar hacia un sistema de este tipo?

El cartero siempre llama N veces

Cuando vi la película “El cartero siempre llama dos veces” no llegué a comprender el título, puesto que no había referencia alguna a algo parecido durante toda la película, y en este caso no se trataba de una “traducción” al lenguaje de los distribuidores de la película en España buscando un mayor impacto comercial. El título original de la película es exactamente el mismo.

La curiosidad me llevó a buscar el por qué del título y acabe encontrando la siguiente explicación:

El autor de la novela original en la cual está basada la película obtuvo la idea para el título en una conversación con amigo suyo (guionista de cine) en la cual le comentaba que siempre estaba ansioso con cada llegada del cartero ante una respuesta a un texto que había enviado a una productora, así que intentaba evitar su aviso para no alargar su ansiedad por si le llegaba algo que no coincidía con la respuesta. No obstante, al final terminaba oyéndole pues el cartero siempre suele llamar dos veces cuando tiene una entrega.

“El cartero siempre llama dos veces” como metáfora como destino ineludible de su personaje principal masculino.

[Read more…]

Seguridad alimentaria

(N.d.E. Esta tarde tenemos una entrada de Andrés Núñez, que trata la seguridad desde un punto de vista inusual en este blog, pero estarán de acuerdo conmigo en que es igualmente importante que cualquier otra vertiente que puedan pensar. Al fin y al cabo, la (in)disponibilidad de los alimentos ha sido uno de los mayores problemas del ser humano desde sus inicios.)

En las últimas semanas a raíz de la noticia del posible dopaje del ciclista Alberto Contador, hemos podido ver en distintos medios de comunicación noticias y debates relacionados con la seguridad alimentaria, puesto que el citado ciclista achaca el positivo a haber ingerido un filete que contenía la sustancia prohibida clembuterol.

Esta noticia ha vuelto a poner en tela de juicio al sector alimentario hasta el punto de que como publicaba la agencia EFE el pasado 15 de Octubre:

La Asociación de Carnicerías y Charcuterías de Guipúzcoa ha defendido hoy la “seguridad alimentaria” de sus productos y ha dicho que el ciclista Alberto Contador “ha dañado injustamente la imagen” del sector al atribuir su positivo a una carne con clembuterol comprada en Irún.

Puesto que vuelve a ser tema de actualidad, repasemos brevemente por medio de este post qué es esto de la seguridad alimentaria y cuáles son las normativas y códigos de buenas prácticas que están utilizando las empresas del sector para gestionarla.

[Read more…]

Tarjetas de crédito con chip

Como todos habréis podido observar, ya sea porque ya tenéis una en vuestras manos o porque habéis visto como ha proliferado su uso en distintos establecimientos de venta, por fin tenemos en España tarjetas de crédito con chip. Las tarjetas con chip nos aportan numeras ventajas respecto a las tarjetas de banda magnética:

  • Más rapidez
    Las tarjetas con chip y PIN agilizan las transacciones y reducen las colas, porque eliminan la necesidad de firmar y verificar el recibo. La información que contiene una tarjeta con chip permite que algunas transacciones puedan ser autorizadas sin conexión con toda garantía, por medio de los parámetros de seguridad del chip.
  • En cualquier lugar
    Las tarjetas Visa con chip están basadas en estándares globales de la industria —los EMV*—, que permiten que los clientes puedan pagar sus compras con confianza dondequiera que se encuentren.
  • Flexibilidad
    La tecnología chip abre un mundo de opciones de pago, que incluyen múltiples aplicaciones de pago y, potencialmente, de otros tipos en una sola tarjeta con chip; y más terminales de autoservicio que aceptan pago con tarjeta y dispositivos de aceptación portátiles.

Y sobre todo:

  • Más seguridad
    Las tarjetas Visa con chip son más seguras que nunca —es extraordinariamente difícil copiar la información que contienen. El PIN proporciona una identificación única del titular de la tarjeta e impide que una tarjeta perdida o robada sea utilizada por un tercero. Las nuevas tarjetas son mucho más difíciles de copiar que las tarjetas de banda magnética.

En mi caso, cada vez que pagaba con mi tarjeta en una tienda o restaurante y se iban con mi tarjeta a otra zona del establecimiento para efectuar el cobro siempre me venía a la cabeza la idea de que me podían copiar mi tarjeta. De hecho hace dos años así fue, mi tarjeta fue copiada (o por lo menos eso me dijeron en mi banco) y tuve que darla de baja inmediatamente; por suerte no llegaron a sustraer dinero de mi cuenta.

A pesar de las ventajas que incorporan las nuevas tarjetas el uso que se está haciendo de ellas también me trasmite una cierta intranquilidad. Me explico. Lo que se trata es de conseguir que el pago con tarjetas de crédito sea más seguro, y evidentemente la tarjeta en sí es una pieza clave del proceso de pago pero no es el único factor importante. También los son las comunicaciones, el almacenamiento de los datos, el método de introducir nuestra clave de acceso a la tarjeta, o la manera de identificar si el poseedor de la tarjeta es realmente su dueño legítimo.

Hasta ahora con nuestras antiguas tarjetas estaba establecida la buena costumbre de cotejar los datos de la tarjeta con un documento identificativo como el DNI, Pasaporte o carnet de conducir. Con el uso de las tarjetas con chip esta práctica está desapareciendo, ya que al ser más seguras muchos vendedores asumen que ya no hace falta. Pero, ¿qué nos asegura que la persona que está realizando el pago es el dueño de la tarjeta? ¿que sepa el PIN de acceso?

Por otro lado, cuando uno va a sacar dinero de un cajero, se preocupa de que no haya nadie en su espalda observando cómo introduce el PIN; los propios cajeros advierten de ello. Sin embargo, cuando introducimos el PIN en un establecimiento no se contemplan las mismas medidas de seguridad, en ocasiones ni siquiera por parte del vendedor, que se queda mirando cómo introduces el PIN. Observad la próxima vez que vayáis a un supermercado, gasolinera, o similar si sois capaces de ver el PIN de la persona que va a pagar delante vuestra en la cola. Yo lo hago siempre (sin maldad) y hasta ahora no ha habido una sola vez que no haya sido capaz de ver el PIN introducido.

Si alguien con malas intenciones hiciera lo mismo que yo y a continuación sustrajera la tarjeta a esa persona, estaría en disposición de hacer las compras que quisiera con la tarjeta. Como ya hemos comentado en más de una ocasión en el proceso de identificación de una persona ya sea en un control de acceso, o como en este caso para realizar un pago es importante contrastar:

  • Algo que soy (cotejar con documento identificativo)
  • Algo que tengo (tarjeta)
  • Algo que se (PIN)

Considero que es importante que a pesar de que ahora dispongamos de una tarjeta más segura, no nos olvidemos de todo lo demás. No permitamos que nadie vea como introducimos el PIN en el momento del pago, y siempre exijamos que nos pidan un documento identificativo para contrastar los datos con los de la tarjeta. Como suele decirse, es por nuestra seguridad.

Nada más, pasen un buen fin de semana, y cuidado en la carretera si tienen pensado salir de vacaciones (aunque éstas se limiten al fin de semana).

La inseguridad de sentirse seguro

Una de las mejores definiciones que he leído de Seguridad es aquella que dice que la Seguridad es una sensación. Las personas tenemos la sensación de estar seguras o inseguras en base percepciones, estímulos que recibimos del entorno y que nos hacen sentirnos de esa manera.

El otro día en una conversación con unos amigos en la cual estábamos recordando anécdotas del verano, con mucha morriña por supuesto, uno de ellos comentaba que este verano en su casa del pueblo había pasado algunos momentos de intranquilidad y quería poner remedio para que el verano que viene no le pasara lo mismo.

En esta casa mi amigo tiene una pequeña piscina, y a lo largo del verano había recibido muchas visitas de familiares que venían con niños pequeños de edades entre 2 – 7 años, no se trataba de visitas puntuales sino que eran estancias de varios días. El tener niños correteando por la parcela y en los alrededores de la piscina, le había hecho estar muy intranquilo teniendo que estar pendiente todo el rato por si acaso algún niño se caía al agua.

[Read more…]

El buzón, ese pequeño gran boquete de seguridad

buzonHace unos días en la comunidad en la que vivo se llevo a cabo una medida que me llamo mucho la atención y que me hizo reflexionar: se reordenaron los buzones de los vecinos del portal.

Como pasa en todos los edificios de vecinos, cada domicilio tiene asignado un buzón para el correo postal, que se encuentra en la entrada y que generalmente suele ser el receptor de facturas y publicidad a partes iguales. Pues resulta que el orden en el que estaban situados los buzones no cumplía las especificaciones descritas en el Real Decreto 1829/1999, el cual recoge las directrices concretas para llevar a la práctica lo que establece la Ley del Servicio Postal Universal y de Liberalización de los Servicios Postales.

Para ajustarnos a la normativa vigente, en la comunidad se procedió a la reasignación de los buzones. Pero cuál fue mi asombro cuando descubrí que la reordenación se limitó a cambiar los cartelitos donde pone el nombre de las personas que viven en cada domicilio, y al pertinente intercambio de llaves entre los propietarios, sin cambiar las cerraduras. Dicho de otra forma: la llave que yo tenía de mi buzón sigue abriendo ese buzón aunque ya no sea el que me corresponda.

[Read more…]

Pongámonos la toga un momento

En numerosas entradas de este blog se han expuesto ejemplos y casos prácticos muy buenos que nos han ayudado a entender las normas que marcan tanto LOPD como el RDLOPD. Sin embargo, muchas veces cuando estudiamos una ley pasamos por alto algo que para muchos es trivial pero que estoy seguro que para muchos otros no lo es: la propia definición de la ley. Es decir, todos sabemos que la LOPD es La ley Orgánica 15/1999 del 13 Diciembre de Protección de Datos de Carácter Personal. Y también sabemos que el RDLOPD es el Reglamento de Desarrollo de la LOPD aprobado por el Real Decreto 1720/2007 del 21 Diciembre. Pero, ¿tenemos claro que significa “Ley Orgánica”? ¿Y “Real Decreto”?

Pues eso es básicamente lo que viene a comentar este post, de manera resumida. Pongámonos la toga por un momento y veamos que significan:

Las Leyes Orgánicas son aquellas desarrollan los derechos fundamentales y de las libertades públicas, es decir:

  • Aquellas leyes que desarrollen los principios contenidos en la Constitución en la regulación de los citados derechos y libertades.
  • Las que aprueben los Estatutos de Autonomía y el régimen electoral.
  • Las demás previstas en la Constitución.

Para la aprobación, modificación o derogación de este tipo de leyes es necesario alcanzar mayoría absoluta en el Congreso en una votación final sobre el conjunto del proyecto.

Por su parte, un Real Decreto es un norma jurídica con rango de reglamento generada por el Gobierno en virtud de sus competencias atribuidas por la Constitución. Ésta precisa para su adopción la aprobación del Presidente del Gobierno ó del acuerdo del Consejo de Ministros. La palabra “real” hace referencia a que es el propio Rey quien sanciona y ordena publicar.

En la práctica son disposiciones concretas, de desarrollo, y no tratan aspectos tan amplios como las leyes, o decretos-ley (urgentes); normalmente aprueban reglamentos, nombramientos, restructuraciones de departamentos, etc. Por último, los reglamentos aprobados por un Real Decreto no pueden regular materias reservadas a la Ley ni infringir normas con rango de Ley.

A mí que no he estudiado derecho me viene bien de vez en cuando repasar estos conceptos, espero que a vosotros también os sea de utilidad.

1st Security Blogger Summit 2009

El pasado 3 de Febrero se celebró en Madrid el 1st Security Blogger Summit 2009, organizado por Panda Security con el objetivo de reunir a expertos en nuevas tecnologías y seguridad informática, periodistas y bloggers para tratar a modo de debate temas como las últimas tendencias en Seguridad Informática, o el Cibercrimen y las medidas tomadas por el gobierno para combatir a este.

El debate comenzó con una breve intervención de Bruce Schneier, en la que intentó reflejar cómo el estado actual de la seguridad informática se puede evaluar en base a factores estrictamente económicos, y afirmando que dichos factores económicos están dando como resultado productos que ofrecen unos niveles de seguridad muy bajos, pero que sin embargo los aceptamos y los compramos.

Tras la intervención del señor Schneier la línea argumental del debate se estructuró en torno a las siguientes tres preguntas:

¿Estamos mejor que hace unos años?
¿Qué se puede hacer para mejorar la seguridad?
Predicciones

Cada uno de los expertos reunidos por Panda Security en este acto argumentó sus respuestas. Es difícil extraer una conclusión de lo dicho, puesto que las respuestas fueron muy dispersas y, en ocasiones, el debate generado por alguna de ellas se alejó bastante de la idea inicial planteada en la pregunta.

Por tanto, y dado que este es un blog de opinión, voy a dar mis propias respuestas a estas preguntas.

¿Estamos mejor que hace unos años?

Mi respuesta a esta pregunta es muy clara: Ni si, ni no, ni todo lo contrario :)

Las nuevas tecnologías de la información crecen de manera exponencial, al igual que la importancia que dichas tecnologías adquieren en el desarrollo de nuestras actividades profesionales e incluso personales. Esta dependencia cada vez más acusada de los sistemas de la información hace que el mantener éstos a salvo, seguros, sea una tarea de importancia crítica. Si a esto le sumamos el incremento y sobre todo la profesionalización de los “malos” de esta película (o black hats), que han encontrado en la guerra de la información una manera de ganarse la vida, podemos pensar que nos encontramos en una situación peor que años anteriores. Sin embargo, y para que no sean todo malas noticias, también podemos hablar del crecimiento y mayor especialización de los profesionales dedicados a la Seguridad de la Información (o white hats), de una mayor preocupación de las Fuerzas de Seguridad del Estado y del desarrollo de legislación al respecto que equilibran la balanza.

¿Qué se puede hacer para mejorar la seguridad?

La seguridad es una sensación. Todas las medidas de protección que tomamos tienen como objetivo el incrementar esa sensación. Uno de los mayores riesgos con los que nos encontramos hoy en día es “la falsa sensación de seguridad”; tanto organizaciones como particulares se sienten seguros por el hecho de haber tomado alguna medida de protección, o por pensar “eso no me puede pasar a mí”. Sin embargo esa falsa sensación de seguridad les (nos) hace, si cabe, más vulnerables.

Para mejorar la seguridad es necesario conseguir que tanto organizaciones como particulares sean conscientes de en qué situación se encuentran y a que riesgos se enfrentan. Además, de nada servirá conocer la situación en que se encuentran en un momento dado, si dentro de unas horas, una semana, un mes, esta situación va a ser muy distinta. Es necesario saber en qué situación nos encontramos en cada momento y para eso es necesaria la Monitorización en tiempo real. En resumen, mejorar la seguridad pasa ineludiblemente por conocer cuál es nuestro nivel real de seguridad.

Predicciones

Ni yo ni nadie disponemos de una bola de cristal que nos indique hacia dónde va a tender las Seguridad de la Información en un futuro, pero sí que podemos hacer hipótesis y conjeturas, que además son gratis.
Como ya comente antes, la mayor profesionalización de los “malos” me hace pensar que los actos delictivos en materia de seguridad de la información cada vez tendrán mayor repercusión, los veremos aparecer en los medios de comunicación con mayor frecuencia y causarán un mayor impacto social.

No obstante, no cabe duda de que esto no va frenar el desarrollo de la Sociedad de la Información, que avanza como una bola de nieve ladera abajo haciéndose cada vez más y más grande. Durante todo ese recorrido, a un lado seguirá habiendo “malos” que intenten aprovecharse de ella y al otro “buenos” que intentaremos que no lo consigan. Pero lo que es seguro es que la bola avanzará y todos nosotros con ella.


Para este jueves, la pregunta de la encuesta de la semana va muy en línea de lo ya dicho:

[poll id=”4″]

Y el resultado de la anterior es la siguiente:

[poll id=”3″]