Monitorizando usuarios en Solaris

Como llevo algunas noches de insomnio me ha dado por refrescar, tras algunos años olvidados en un cajón, aspectos de monitorización de usuarios en Solaris (Solaris 10, para ser exactos); y la verdad es que de lo que conocía -dejé de administrar máquinas Solaris “en serio” en su versión 7- a lo que me he encontrado en las nuevas versiones del operativo, hay alguna que otra diferencia que sorprende gratamente, y es que a pesar de que ahora sea un producto de Oracle, Solaris sigue siendo Solaris :)

Como siempre, para generar trazas “en serio” de la actividad de los usuarios podemos utilizar el Basic Security Module, habilitado mediante bsmconv(1M) y que nos dirá hasta qué usuario pestañea demasiado delante de la consola :) ¿Problemas? Alguno que otro… para empezar, requerimos reiniciar el sistema, cosa que ya de por sí a nadie le gusta mucho… y para continuar, tenemos el problema histórico del volumen de datos que generamos: por muy bien que configuremos el módulo de auditoría, incluso si lo hacemos por usuario, la cantidad de registros que se almacenan en la máquina no deja de ser considerable… y lo peor de todo: la marcha atrás tras habilitar BSM en nuestro sistema implica de nuevo detener servicios (la orden bsmunconv hay que lanzarla en runlevel 1).

Aunque BSM es la solución correcta y definitiva si necesitamos un registro de auditoría al detalle, me ha sorprendido en Solaris 10 DTrace, un framework que permite monitorizar en tiempo real y sin parada de sistema determinados aspectos tanto del núcleo como del espacio de usuario; este framework incorpora un lenguaje de programación propio (“D”), que nos permite registrar, de forma sencilla, actividad en el sistema de cara a detectar problemas, a “tunear”, o simplemente a monitorizar determinada actividad en la máquina (accesos a un fichero, cambios en inodos, etc.). Por supuesto, para esto último no es tan completo como BSM -que insisto, es la solución correcta-, pero nos puede servir para sacarnos de más de un apuro en cuanto a conocer qué hacen nuestros usuarios.

Un ejemplo de monitorización sencilla: ¿qué órdenes ejecuta un determinado usuario? Mediante dtrace(1M), es trivial obtener esta información: ponemos “vigilantes”, generadores de información, en las llamadas al sistema exec() y familia, y la condición de que el UID del usuario que usa estas llamadas – que pasaremos como argumento al programa- sea uno en concreto; si esto se cumple, imprimimos la información que nos interesa:

# cat t.d
syscall::exec:return, syscall::exece:return
/ uid==$1 /
{
printf("%s %-20Y %S\n", probefunc, walltimestamp, curpsinfo->pr_psargs);
}
# dtrace -s prueba.d 100
dtrace: script 'prueba.d' matched 2 probes
CPU ID FUNCTION:NAME
0 108 exece:return exece 2010 Jun 9 18:54:17 ls
0 108 exece:return exece 2010 Jun 9 18:54:28 more prueba.d
#

Seguro que el código se puede mejorar, ya lo sé :) Más cosas que nos pueden interesar de la actividad de un usuario: archivos abiertos, conexiones de red…todo esto es bastante sencillo obtenerlo mediante dtrace(1M), sus probes y las condiciones adecuadas; podemos poner todo junto, y en bonito (para que nos muestre la información más legible, básicamente) en un script que invocaremos desde línea de órdenes:

# cat luser.d
#pragma D option quiet
/*
* Ejecucion de ordenes
*/
syscall::exec:return, syscall::exece:return
/ uid==$1 /
{
printf("%s %-20Y %S\n", probefunc, walltimestamp, curpsinfo->pr_psargs);
}
/*
* Acceso a FS
*/
syscall::open:entry, syscall::creat:entry,
syscall::open64:entry, syscall::creat64:entry,
syscall::unlink:entry, syscall::rename:entry
/ uid==$1 && strstr(stringof(copyinstr(arg0)), "/proc") == NULL /
/* Nos quitamos de la condicion el acceso a procfs */
{
printf("%s %Y %s\n", probefunc, walltimestamp, stringof(copyinstr(arg0)));
}
/*
* Acceso a red / TCP
*/
::tcp_send_data:entry
{
self->lport=((unsigned int) args[0]->tcp_tcph->th_lport[0] < <8) + (unsigned int) args[0]->tcp_tcph->th_lport[1];
dig1=(unsigned int) args[0]->tcp_tcph->th_fport[0];
dig2=(unsigned int) args[0]->tcp_tcph->th_fport[1];
dig1=dig1< <8; self->rport=((unsigned int) args[0]->tcp_tcph->th_fport[0] < <8) + (unsigned int) args[0]->tcp_tcph->th_fport[1];
srcaddr=(unsigned int) (args[0]->tcp_ipha->ipha_src);
dstaddr=(unsigned int) (args[0]->tcp_ipha->ipha_dst);
self->octect[0]=srcaddr>>3*8 & 0xFF;
self->octect[1]=srcaddr>>2*8 & 0xFF;
self->octect[2]=srcaddr>>1*8 & 0xFF;
self->octect[3]=srcaddr>>0*8 & 0xFF;
self->octect[4]=dstaddr>>3*8 & 0xFF;
self->octect[5]=dstaddr>>2*8 & 0xFF;
self->octect[6]=dstaddr>>1*8 & 0xFF;
self->octect[7]=dstaddr>>0*8 & 0xFF;
self->ok=1;
}
::tcp_send_data:entry
/ self->ok && uid==$1 /
{
printf("%s %Y %d.%d.%d.%d:%d -> %d.%d.%d.%d:%d\n", probefunc,walltimestamp,self->octect[0],self->octect[1],self->octect[2],self->octect[3], self->lport,self->octect[4],self->octect[5],self->octect[6],self->octect[7],self->rport);
self->ok=0;
}
#

Al invocarlo mediante dtrace(1M), la salida que obtendremos será similar a la siguiente -con muchos más datos que habrá que filtrar, no estoy ahora para pulir el código que, insisto, es un simple ejemplo y tendrá N fallos y mejoras-):

tcp_send_data 2010 Jun 9 19:00:37 192.168.1.2:22 -> 192.168.1.5:37963
tcp_send_data 2010 Jun 9 19:00:38 192.168.1.2:22 -> 192.168.1.5:37964
tcp_send_data 2010 Jun 9 19:00:38 192.168.1.2:22 -> 192.168.1.5:37963
exece 2010 Jun 9 19:00:38 cat /home/toni/fbsd-como\0
open 2010 Jun 9 19:00:38 /var/ld/ld.config
open 2010 Jun 9 19:00:38 /lib/libc.so.1
open 2010 Jun 9 19:00:38 /platform/SUNW,Ultra-5_10/lib/libc_psr.so.1

Así, mediante dtrace(1M), y de una forma muy sencilla, estamos en disposición de monitorizar muchísimas acciones -en este caso de un usuario concreto- que pueden servirnos para incrementar considerablemente la seguridad de nuestros sistemas Solaris desde el punto de vista de monitorización de la actividad (aparte de para resolver algún problema en las máquinas). Por supuesto, con un ratito de búsqueda en Google tendremos acceso a un montón de ejemplos de programas en D que podemos adaptar y aprovechar para crear un luser.d en condiciones :)

En definitiva, dtrace(1M) es una herramienta que no conocía más que de oídas y que, a poco que he empezado a tocarla, me ha sorprendido muy gratamente (tanto por su capacidad como por su sencillez) para la monitorización de ciertas actividades concretas del sistema o de nuestros usuarios, sin necesidad de meternos en el “gran” BSM… además, puede ser muy útil en aquellos casos en los que BSM no esté habilitado de antemano, por ejemplo si nos enfrentamos a un análisis forense de una Solaris comprometida… en fin, que seguiremos informando :) Por cierto, ¿alguien se anima a explicarnos algo similar en Linux, Windows, AIX, etc.? Sé que Dtrace se ha migrado -o se está migrando- a BSD, pero no sé si tenemos algo de capacidades similares en otros entornos (es que ya no soy técnico :)

La Ley Ómnibus…¿y?

El pasado día 26 la Unidad Central de Seguridad Privada (Cuerpo Nacional de Policía) hacía llegar una nota informativa acerca de las implicaciones de la conocida como Ley Ómnibus (Ley 25/2009, de 22 de diciembre, de modificación de diversas leyes para su adaptación a la Ley sobre el libre acceso a las actividades de servicios y su ejercicio) en el régimen de autorización, inspección y sanción en materia de Seguridad Privada.

El resumen de la situación es sencillo: hasta este momento, sólo las empresas de seguridad privada (esto es, las autorizadas por el Ministerio del Interior con arreglo al artículo 5 de la Ley 23/1992, de 30 de julio, de Seguridad Privada) estaban capacitadas para la instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad; con la disposición que introduce la Ley Ómnibus, se liberaliza el servicio, permitiendo la venta, entrega, instalación y mantenimiento de los equipos o sistemas de seguridad a los que se hace referencia por parte de particulares o empresas distintas a las de Seguridad Privada, siempre que la instalación no implique una conexión a CRA o CECON, por lo que -con ciertas salvedades- ya no es necesario recurrir a empresas autorizadas por el Ministerio para la instalación o manejo de estos dispositivos (por ejemplo, en el caso de soluciones de videovigilancia), y por supuesto siempre que el prestador no se dedique a otras actividades de Seguridad Privada establecidas legalmente.

Las implicaciones de esta ley están generando muchos comentarios en el ámbito de la seguridad; de un lado, están las empresas de Seguridad Privada “clásicas” que ven cómo se liberaliza una parte de su nicho de mercado, hasta ahora fuertemente regulado y restringido a unos pocos, y por otra están las empresas de servicios que ven cómo se eliminan las barreras a ese negocio que hasta ahora tenían vetado. Como siempre, no ha llovido a gusto de todos, y cada uno defiende sus intereses como buenamente puede.

Más allá de apoyos y rechazos, de buenos y malos, de problemas y soluciones… en los que no voy a entrar esta vez (cada uno tiene sus razones y todas, hasta cierto punto, parecen razonables), y por supuesto más allá de las implicaciones -y lagunas- que esta Ley pueda introducir con respecto a otras (seguro que los compañeros de Consultoría van a preparar próximamente un post sobre la Ley Ómnibus y sus implicaciones en videovigilancia -por poner un ejemplo- en relación a la LOPD), para mí, la Ley Ómnibus no ha hecho más que poner el dedo en la llaga de un problema mucho más serio que muchos venimos señalando desde hace años: la necesaria remodelización al completo de la Ley de Seguridad Privada. Nos cansamos -todos- de decir que la seguridad ha cambiado mucho en los últimos años (11S, inteligencia, information sharing, terrorismo, convergencia…) y, sin embargo, en España la regulamos con una ley que está a punto de cumplir la mayoría de edad…

La LSP, bajo mi punto de vista, necesita no una disposición adicional sexta como la introducida por la Ley Ómnibus (y podemos discutir si es buena o mala), sino un lavado de cara completo, que defina nuevos roles en materia de Seguridad Privada (¿la hora del “auditor” junto al “inspector”? ¿la hora del “cibervigilante” junto al “vigilante”?), que marque nuevos requisitos de formación para el personal de seguridad privada (no es admisible, bajo ningún concepto, que el Director de Seguridad de una entidad financiera considere, como alguno me ha llegado a decir, que el phishing no es un problema de seguridad para él… imagino que porque no sabe combatirlo con una pistola) y que actualice las regulaciones, requisitos y demás que contempla la Ley -y por extensión, el Reglamento de Seguridad Privada- para trabajar en el ámbito de la seguridad.

Y es que, con todas los cambios que a diario surgen en el ámbito de la seguridad, creo que estas legislaciones son, cuanto menos, obsoletas; ojo, no hablo de eliminarlas, sino simplemente de adaptarlas, incluyendo una visión mucho más amplia de lo que es en la actualidad la Seguridad Privada y el rol que tiene en nuestra sociedad. Para ser Vigilante de Seguridad o Director de Seguridad Privada hacen falta unos requisitos perfectamente definidos por el Ministerio del Interior (seguramente mejorables, pero definidos). Para trabajar en otros ámbitos de la seguridad, como el de la seguridad de la información, no hace falta nada. ¿Quién puede hacer una auditoría de ISO 28000 o de ISO 27002? ¿Un ingeniero? ¿Un abogado? ¿Un CISA? ¿Todos? ¿Nadie? ¿Por qué para proteger un supermercado del robo de productos se exigen unos requisitos, y para proteger la información de un VIP no?

Hasta que no regulemos (o desregulemos, ¿por qué no?) de alguna forma estos aspectos -y si empezamos a regularlos, seguramente discutiremos, pero eso es bueno- seguiremos pegándonos por los detalles. Como los de la Ley Ómnibus.

GOTO VII: privacidad vs. todo lo demás

De vez en cuando surgen noticias -casi siempre, muy sensacionalistas- acerca de nuevas medidas de seguridad que suponen una “importante” violación de nuestra privacidad: desde la videovigilancia en las calles (un lugar especialmente privado por definición :) hasta la necesidad de descalzarnos en los aeropuertos (desde luego, una humillación a la que sólo unos pocos sobreviven). Qué quieren que les diga: frente a los que claman al cielo, yo suelo estar de acuerdo con estas medidas. ¡Toma GOTO! :)

Maticemos en primer lugar el “suelo estar”; mi opinión es que casi cualquier medida que aporte seguridad suele tener inconvenientes de uno u otro tipo, pero si “compensa” (es decir, si el incremento de seguridad efectivo es superior a las molestias causadas por esos inconvenientes) y entra dentro de lo “normal” (de lo razonable, aunque esto suela ser subjetivo), vale la pena implantarla. ¿Qué problema hay entonces? Bajo mi punto de vista, la discusión habría que trasladarla a tres asuntos: el primero, el de la eficacia -no me atrevo a hablar de eficiencia- (si la medida aporta realmente seguridad); el segundo, el del grado de abuso (el mal uso o abuso que se pueda hacer de la información recopilada con fines que nada tienen que ver con su objetivo principal, como espiar a tu pareja, curiosear, molestar al vecino, chantajear…) y, el tercero y último, el de la aceptabilidad, esa normalidad subjetiva a la que hacía referencia.

De esta forma, cuando surge una nueva salvaguarda de esas que son polémicas, debemos plantearnos en primer lugar si la medida es efectiva. ¿Evitan atentados los registros minuciosos en los aeropuertos? ¿Evita la delincuencia una videocámara en las calles? ¿Minimiza el riesgo un perfil psicológico de una persona? Yo creo que muchas de las medidas, por no decir todas, más impopulares de los últimos años (desde la videovigilancia en las calles a temas como ECHELON o CARNIVORE) sí que son relativamente efectivas, nos gusten o no, y por eso se implantan. No nos engañemos: a ningún gobierno, servicio de inteligencia, FFCCSE, etc. a título global les interesan, en general, nuestros correos electrónicos, nuestros paseos por el centro, o nuestras retiradas de efectivo para hacer la compra (eso no implica que a personas individuales, dentro de esas organizaciones, pueda interesarles, como se comenta en el punto siguiente). Así, mi opinión es que si un delincuente puede robar un coche en plena calle, y posteriormente una videocámara ayuda a identificarlo -o incluso antes de que se cometa el delito actúa de forma disuasoria-, bienvenida sea.

A continuación, pensemos en el uso o abuso de la información recopilada con estas técnicas “intrusivas”; por muchas precauciones que se tomen a la hora de elegir al personal, por mucho control interno, por mucha disuasión… no podemos evitar que, en última instancia, una persona con acceso a los registros guardados, pueda hacer un mal uso de ellos; contra esto, sin menoscabo de medidas de prevención y detección, yo creo que lo más efectivo es la respuesta contundente cuando se demuestra un mal uso de la información (este tema daría para un post entero :). Si se demuestra que un administrador de sistemas usa la información de seguridad para publicar debilidades de sus compañeros, que un vigilante de seguridad usa la videocámara de un cajero para controlar a su vecino o que un policía se dedica a espiar a su novia gracias a las cámaras en la calle, deberían ser automáticamente despedidos, para empezar, y establecer un marco legislativo duro que les haga pensarse más de dos veces el mal uso de las medidas de seguridad. Pero al final, una de las máximas de la seguridad, nos dice que tenemos que acabar confiando en alguien o algo -eso es indiscutible- y, sin ese mínimo confiable, todo lo demás se desmorona; por tanto, estamos obligados a confiar -la discusión podría ser “de quién me fío”-. También es importante la capacidad de abuso que tiene la información almacenada: no es lo mismo un video de nuestro paseo dominical, que un historial clínico completo o un perfil comercial realizado ad hoc, y por tanto la forma de acceso a los datos y los tipos de personas que pueden acceder en cada caso a esos registros deben ser diferentes.

Para acabar, el concepto más subjetivo: el de “normalidad” de las medidas, esto es, el del grado de intromisión en nuestra intimidad, el grado de aceptabilidad (muy ligado al grado de abuso al que hemos hecho referencia). Creo que ninguna de las medidas impopulares que saltan a los medios de comunicación es, para mí, especialmente inaceptable; ¿quitarme el cinturón o los zapatos en el aeropuerto? no me parece lo peor que me haya pasado en mi vida, ni de lejos. ¿Que el gobierno espía mi correo electrónico? Lo dudo, pero si lo hicieran, que se diviertan. ¿Que para entrar en Estados Unidos me exigen firmar nosecuántos documentos con pelos y señales de mi vida? Son libres de decidir quién entra en su territorio y cómo, y como a mí nadie me obliga a ir allí, si no estoy de acuerdo con sus medidas me voy de viaje a Salamanca, donde no me piden ningún dato, no violan mi privacidad ni mancillan mi honor y, sobre todo, seguro que es más bonita y tiene mejores tapas que cualquier ciudad de los USA :) Otra cosa sería que, como medida de seguridad, nos obligaran a todos los ciudadanos a presentarnos diariamente en un juzgado: aquí la aceptabilidad -insisto, subjetiva- me parece nula, por lo que una medida de este tipo para mí sería incorrecta (eso sin entrar en temas de eficacia).

En resumen, cuando leamos una noticia sensacionalista, y surjan las voces de siempre clamando por nuestra privacidad a toda costa y la violación de nuestros derechos y blablabla, creo que deberíamos plantearnos en frío, con respecto a la medida que se quiere aplicar, los tres puntos comentados aquí: su eficacia, su grado de abuso y su aceptabilidad -este más sujeto a discusión-. Y fijarnos dónde pone cada uno su nivel de aceptabilidad, que al final, nos guste o no, es el factor que decide en ocasiones la implantación de la salvaguarda en cuestión.

I Encuentro Internacional CIIP: Taller de gestión de riesgos

Siguiendo la línea de entradas sobre el I Encuentro Internacional CIIP para la Ciberseguridad y Protección de Infraestructuras Críticas, organizado por el CNPIC (Centro Nacional para la Protección de las Infraestructuras Críticas) y realizado en Madrid los días 18 y 19 de febrero, vamos a comentar los resultados del Taller II, “Gestión de Riesgos: identificación y clasificación de riesgos, amenazas y vulnerabilidades”, coordinado por José Antonio Mañas. Más allá de anécdotas, comentarios y discusiones, todos los asistentes al taller coincidimos en plantear, como resumen del trabajo, las siguientes conclusiones:

Muy importantes

  • Hay que profundizar más en la seguridad de sistemas de control, electrónica industrial, SCADAs y similar… Con demasiada frecuencia desconocemos los riesgos que introducen en nuestras organizaciones, algo que en el caso de la infraestructura crítica nacional es más que preocupante.
  • La comunidad de inteligencia debería “bajar” al mundo real de vez en cuando. Suele haber una importante diferencia entre lo que se plantea desde un centro de seguridad, incluso en ocasiones muy estratégico y poco operativo, y la realidad del día a día en una presa, un banco o un puerto, por poner ejemplos concretos.
  • Existen incoherencias entre el deber de transparencia y el deber de secreto que existe en las infraestructuras críticas nacionales, y dichas incoherencias deben ser resueltas. A modo de ejemplo, una central nuclear debe facilitar su análisis de riesgos al ayuntamiento del municipio en el que se encuentra, pero esa obligación… ¿no puede suponer en sí misma un peligro para la seguridad de la central? ¿no debería considerarse secreto dicho análisis? ¡Aclarémonos!
  • Se deben gestionar correctamente las expectativas con todos los ciudadanos. La protección de infraestructura crítica nacional está muy en boga, pero ¿hasta qué punto es crítica, importante, muy importante… o una tontería? Sin duda, el grueso de la ciudadanía lo desconoce, y puede llegar a ver esto como un gasto innecesario, y más en estos tiempos.

[Read more…]

Riesgo humano

Hace ya unos meses, en este mismo blog, comentábamos la seguridad de los procesos de negocio y de los diferentes factores de riesgo (legal, técnico…) que pueden degradar dichos procesos; hablábamos en ese post del riesgo humano, ya que las personas son un activo crítico de las organizaciones y, como tal, pueden introducir riesgos en éstas, riesgos que como siempre debemos tratar de forma adecuada. Pero el paso previo al tratamiento de riesgos es, como siempre, su análisis, y para analizar estos riesgos debemos ser capaces de determinar amenazas, probabilidades e impactos que pueden causar las pesonas en la organización.

Bajo mi punto de vista, las amenazas derivadas del factor humano son claras: todas las englobadas bajo el paraguas de amenazas corporativas (errores), las derivadas de actividades sociales (accidentes) y las derivadas de actividades antisociales (delitos); incluso rizando el rizo, podríamos hablar del factor humano en las amenazas de origen industrial y, siendo todavía más retorcidos, en las de origen natural. De la misma forma, los impactos asociados a estas amenazas también suelen estar más o menos claros, y estarán —con toda probabilidad— en la parte más alta de la escala de impactos que queramos utilizar en nuestro análisis. ¿Dónde está entonces lo que más nos interesa? En la medida de la probabilidad, como casi siempre…

Para analizar probabilidades a la hora de hablar del riesgo humano, una aproximación que me gusta mucho —adaptándola a nuestras circunstancias, por supuesto— es la presentada en [1]. La idea resumida y simplificada es que cualquier persona está modelizada por una serie de perfiles que la definen, perfiles afectados además por una serie de condiciones de contorno (relaciones, privilegios, motivaciones…) y de eventos externos o internos a la organización que pueden provocar cambios sustanciales en el perfil de una persona (un cambio de estado civil, un ERE, la muerte de un familiar…). Si somos capaces de monitorizar esto, de una u otra forma, seremos capaces de establecer controles cuando sea necesario, y por tanto de mitigar los riesgos humanos no asumibles en la organización.

¿Cuáles son los perfiles que definen a las personas? Según el trabajo anterior, son los siguientes (existe un último perfil identificado en el trabajo, el de utilización de recursos informáticos, bajo mi punto de vista demasiado ad hoc para la detección de insiders y no tan apropiado para la modelización del riesgo humano en general):

  • Perfil económico (estabilidad, actividades sospechosas…).
  • Perfil social (estado civil, personas dependientes, hobbies…).
  • Perfil psicológico (adicciones, comportamientos anómalos, falta de carácter…).
  • Perfil profesional (inteligencia, satisfacción, implicación, reconocimiento…).
  • Perfil legal (antecedentes penales, procesos pendientes, sanciones…).
  • Perfil ideológico (implicaciones políticas, religiosas…).

Si somos capaces entonces de crear estos perfiles, y lo que es más importante, de monitorizarlos en el tiempo para detectar cambios sustanciales que puedan introducir riesgos en nuestra organización, habremos dado un paso importante para reducir los riesgos derivados del factor humano. Ahora la pregunta del millón: ¿cómo monitorizar todo esto? Lo ideal sería, como siempre, hacerlo todo de forma automática, con sensores que nos avisan en tiempo real de cambios potencialmente peligrosos en la modelizacion de una persona. Para empezar, esto no es siempre posible (¿cómo diseño un sensor que detecte comentarios sospechosos durante la hora del café? ¿y rasgos faciales que puedan implicar falta de interés o cansancio?) y, cuando lo es, no suele ser fácil; seguramente para el gobierno estadounidense puede ser trivial controlar en tiempo real las transacciones económicas o los antecedentes de sus ciudadanos, pero desde luego, para nosotros (pobres mortales) ni es fácil ni muchas veces sería legal.

¿Qué hacer entonces? Mientras trabajamos en monitorización automática de personas para calcular probabilidades cambiantes que puedan aumentar los niveles de riesgo (¡toma ya!), podemos conformarnos con realizar manualmente una modelización de las personas de nuestra organización, teniendo en cuenta los perfiles anteriores —u otros cualesquiera que nos sean útiles — y por supuesto con las consideraciones legales oportunas. En base a este análisis, y pensando un poco, seguramente no hará falta ser psicólogo para darnos cuenta de posibles riesgos (en cualquiera de los ámbitos de la seguridad, desde un insider a un riesgo reputacional) que pueden existir derivados de las personas, y por supuesto cuando identifiquemos un nivel de riesgo no asumible, deberemos tomar medidas -aplicar controles- contra el mismo. Ojo, estos controles no tienen por qué ser ni caros ni complejos: como casi siempre en seguridad, simplemente hace falta pensar.

[1] Mitigating insider sabotage and espionage: a review of the United States Air Force’s current posture. Erika C. Leach, Air Force Institute of Technology. Marzo, 2009.

GOTO III: Análisis de riesgos

Dentro de la serie GOTO, comenzada recientemente en este blog, quería dedicar hoy un post a las metodologías de análisis de riesgos; personalmente he trabajado con algunas de ellas -con demasiadas- y, si les digo la verdad, ninguna me convence realmente. Las hay sencillas, las hay complejas (sí, estoy pensando en MAGERIT :), las hay mejores y las hay peores, pero en todas hay aspectos, bajo mi punto de vista, manifiestamente mejorables. Para empezar, y aunque quizás sea lo menos importante… ¿por qué no se ponen de acuerdo en la terminología? ¿Por qué Mosler habla de “bienes” y MAGERIT de “activos”, por poner un ejemplo? ¿Por qué a lo que en unas metodologías se le llama “amenazas” en otras se le llama “riesgos”? Sinceramente, este es un tema únicamente produce confusión… ¿tan difícil es ponernos de acuerdo?

Hablando ya de cosas más serias, una cosa que me toca las narices es que en ninguna metodología (ni fuera de las mismas) me he encontrado un catálogo de amenazas decente. A día de hoy, que a todos se nos llena la boca hablando de seguridad integral, holística, global o como le queramos llamar, aún no he visto un catálogo de amenazas integral de verdad, que cubra todos los posibles problemas de una organización, sin focalizarse en aspectos físicos o lógicos en exclusiva… Creo que hasta que esto no exista, mal vamos a la hora de analizar riesgos desde el punto de vista de la protección del negocio: únicamente haremos análisis parciales, y deberemos realizar tres o cuatro visiones diferentes para hacernos una idea del mapa de riesgos de nuestra organización… Ojo, sé que es fácil criticar sin aportar alternativas y que cerrar un catálogo de este tipo es complejo, pero algún día habrá que hacerlo, ¿no? (yo estoy intentándolo, cuando consiga algo decente lo colgaré aquí… o no :).

Tampoco estoy muy de acuerdo con las medidas del impacto (o como le quieran llamar) que todas las metodologías incorporan; ¿por qué el método cuantitativo mixto, por poner un ejemplo, determina que algo es un desastre si nos causa un daño entre 150.000 y 1.500.000 euros, mientras que las consecuencias valoradas entre 75.000 y 150.000 euros son simplemente “muy serias”? Conozco más de una y de dos empresas para las que un daño de 149.999 euros significaría ya no un desastre, sino una catástrofe. ¿Quién es el señor cuantitativo mixto para decidir qué es para mí un impacto alto, muy alto o un épsilon alto? Bajo mi punto de vista, sería mucho más coherente ponderar estos valores en función del tipo de organización sobre la que se esté realizando el análisis, y no hablar -y calcular- en términos absolutos que, a la hora de la verdad, no representan más que una tabulación estándar del impacto: lo que para Telefónica puede ser una multita insignificante por incumplimiento de la LOPD, a cualquier autónomo le arruinaría la vida.

Los niveles de probabilidad, impacto o riesgo también son un tema discutible de las metodologías de análisis; ahora parece que lo más habitual es ubicar tres niveles (alto, medio y bajo, o 1, 2 y 3, por decir algo) frente a las metodologías que usan cinco. Este tema es muy discutible (¿cuál es la diferencia entre “alto” y “muy alto”?), pero cuando se trata de establecer una cuantificación, siempre he preferido -y esto es opinión personal, por supuesto- utilizar una escala con un número par de estados, para así evitar la tentación de “tirar” todo al punto medio. En cualquier caso, como siempre: ¿por qué no todos hablamos el mismo idioma? Ya sé que cada metodología es de su padre y de su madre, pero si los niveles son siempre iguales, podremos reaprovechar más el trabajo, y no empezar casi de cero si tenemos que cambiar de metodología.

Finalmente, las metodologías que tratan de cuantificar hasta el más mínimo detalle no son, para mí, muy acertadas -en especial cuando hablamos de protección de bienes intangibles-. Un análisis cuantitativo, donde se valore hasta el céntimo cada activo, cada décima de probabilidad, y cada euro de impacto, constituye un modelo matemático muy útil para explicar en la universidad, pero muy poco aplicable en el mundo real. ¿Qué impacto (en euros) tiene para una organización no tener la web levantada durante dos días? Probablemente, sabremos decir si es alto o muy alto, pero al que me diga que tiene un impacto de X euros (siendo X algo coherente), le invito a una cerveza :) Si nos tenemos que inventar -parcialmente- los datos de entrada, cualquier fórmula de cálculo del riesgo quedará muy bien en un Powerpoint, pero tendrá tanta validez como un billete de tres euros.

En resumen, ¿por qué no acordamos una metodología de análisis de riesgos global, que contemple todos los riesgos del negocio -y por tanto que nos sirva más eficaz y eficientemente para protegerlo- y que usemos todos de una forma más o menos igual? ¿Por qué no la flexibilizamos para hacerla operativa en cualquier tipo de organización -como a priori son las normas ISO-? Y si además la hiciéramos sencilla, ya sería la leche.

(N.d.E. Nos vemos, si quieren, el lunes que viene. En nombre del equipo de S2 Grupo, les deseamos una feliz nochevieja y próspero año nuevo a todos.)

GOTO: Consultores de Seguridad

Sin haber acabado aún -espero- la serie de posts dedicada a seguridad sectorial, quiero comenzar con este artículo una nueva serie: la serie GOTO. Muchas entradas de este y otros blogs no generan casi debate (tenemos una información, la estructuramos para convertirla en un post, estamos todos de acuerdo con el contenido del mismo -o no, pero nadie lo dice-, y vuelta a empezar). Eso obviamente es bueno para un libro, pero no para un blog, donde lo que se busca es debatir y polemizar, que cada uno exponga sus opiniones (buenas o malas, pero siempre respetables) y así, entre todos, aprender cosas nuevas y analizar puntos de vista diferentes a los nuestros. Con esta idea surge la serie GOTO, porque… ¿qué hay más polémico que la instrucción GOTO plantada en el código de un programa? Realmente podríamos haber titulado la serie RISC vs. CISC, vi vs. emacs, Unix vs. Windows… y así un largo etcétera, pero hemos decidido llamarla GOTO (si alguien prefiere otro nombre, que lo proponga, que de eso se trata).

Dentro de esta serie, vamos a hablar hoy de los Consultores; más concretamente, de los Consultores de Seguridad, aunque imagino que los comentarios podrían extrapolarse a cualquier otro tipo de consultor: RRHH, financiero… Para mí, al menos hasta hace unos años, un consultor -simplificando- era alguien que sabía mucho de un tema concreto, de forma que podía ayudar enormemente a resolver problemas tanto por el conocimiento de la materia a tratar como, en muchos casos, del negocio en sí. En resumen, un perfil muy valorado en cualquier organización, sin importar si era externo o interno a la misma.

Hoy en día, por desgracia, creo que hay pocos puestos tan degradados como el de consultor; cualquiera que se ponga una corbata, googlee durante media hora e incluya en una conversacion términos como “alineación”, “sinergia”, “la nube”, “2.0” o “forlayos”, como diría el gran Fuckowski, es un consultor. Consultor, ¿de qué? De forlayos, obviamente… Ser consultor no es conocer tres términos de moda, unirlos en un informe y presentarlo a Dirección: es aportar soluciones reales y eficientes a una organización que tiene un problema.

Para colmo del absurdo, ya se distingue entre consultores “junior” y “senior”; sinceramente, creo que hablar de consultor junior es lo mismo que hablar de becario senior: no es más que un oxímoron. ¿Cómo narices se puede ser consultor junior? ¿Quién le otorga la experiencia necesaria para llamarse “consultor”? ¿Un libro? ¿Una página web? Por favor, seamos serios: para ser consultor se necesita conocer muy bien la materia sobre la que se trabaja, y aparte tener unos cuantos añitos de experiencia trabajando con la misma… que no me venga un pipiolo imberbe, con una tarjeta donde pone “Consultor” de una gran multinacional, porque estoy riéndome una semana. O peor, llorando, cuando me toca implantar lo que ese “consultor”, cuyas únicas herramientas de trabajo en su corta carrera han sido Word y Powerpoint, ha decidido que es lo mejor para un cliente es poner en marcha un sistema de sinergias alineadas con la nube, o algo así. Por favor, recuerda que Word o Powerpoint son plataformas tecnológicas en la que todo funciona a la primera, hasta el Single Sign On o las PKIs, pero el mundo real no es tan bonito… creo que todos conocemos ejemplos similares, ¿no?

¿Y de quién es culpa esta situación? Creo que, en parte, de todos nosotros; por un lado, están las grandes consultoras que todos conocemos (sí, yo también estoy pensando en esa misma). Multinacionales a las que les viste mucho un chavalín con la carrera recién acabada, encorbatado y que se haya leído un libro de seguridad; le regalan unas tarjetas donde pone “Consultor” y a partir de ahí su hora cuesta más de noventa euros. Total, si luego algo no va, el trabajo lo ha hecho esa consultora, no el “consultor” concreto, y cualquier cosa que una multinacional haga sin duda es correcta, ¿verdad? :) Por otro lado, están los clientes que se creen ciegamente lo que dice el consultor, sin plantearse en muchos casos si es o no lógico. ¿Que la solución a nuestros problemas es cambiar la máquina de café? Sin problemas: la cambiamos, dejamos constancia por escrito para cuando venga el auditor (auditores, material para otro post de la serie) y asunto arreglado. ¿Por qué lo hemos hecho? Porque lo dijo el consultor… ¿Sirve para algo? ¿Ha mejorado nuestra organización? ¡Seguro! Si lo dijo el consultor…

Por supuesto, existen consultores “de verdad”, no importa si en multinacionales, pequeñas empresas o como freelances. De los que conocen muy bien algo y te ayudan a aplicarlo en tu organización, de una forma ordenada, asumible y por supuesto integrada con tu negocio; ¿frases bonitas? por supuesto, pero no más de las necesarias, y sobre todo frases con sentido. Es decir, soluciones de verdad para problemas de verdad. A todos estos consultores, a los de verdad, va dedicado este primer post de la serie… ahora, a discutir un rato: ¿qué opinais?

Seguridad en los billetes de euro

Desde hace unos años utilizamos a diario billetes de euro. Aunque todos los expertos coinciden en que falsificar estos billetes es difícil, seguramente por nuestras manos ha pasado, sin nosotros saberlo, algún que otro billete falso, imitaciones en muchos casos tan perfectas que únicamente prestando mucha atención -o siendo un experto- podríamos haberlas detectado. Los billetes más falsificados han sido los de 20 y 50 euros (en especial los primeros), aunque con la crisis se empiezan a falsificar también billetes más pequeños, y por tanto más fáciles de “colocar”.

Vamos a comentar en este post algunas de las medidas de seguridad de los billetes de euro que a diario circulan por Europa; y para empezar, es necesario hablar del papel del billete de euro. Está compuesto principalmente de fibras de algodón, material con una alta resistencia física, y por tanto de larga duración; este algodón es tratado para obtener una pasta a la que se añaden medidas de seguridad adicionales (fibrillas, colorante, etc.). A simple vista, podemos observar que este papel presenta carteo (el sonido característico del papel moneda), y pasando el dedo o la uña por el billete podemos notar que la tinta es más o menos gruesa en función de la zona del billete; esta última medida de seguridad es debida a la impresión calcográfica del billete en su anverso, técnica de imprenta costosa (no suele ser habitual para el falsificador disponer de una prensa con esta tecnología) que proporciona al billete un relieve característico de hasta 0,14 mm. de altura

Otra característica de seguridad son las marcas de agua. La marca de agua es una representación en el papel que se incorpora al mismo durante su fabricación; está formada por partes de diferente grosor, con lo que a contraluz los rayos atraviesan la parte más delgada con mayor facilidad, dando lugar a tintes claros, frente a los tintes oscuros de la parte más gruesa; en los euros existen tres marcas de agua: multitonal, electrotipo y de código de barras. Observando el billete al trasluz, podemos observar una imagen y la cifra que indica el valor del billete.

El hilo de seguridad de los billetes de euro es una tira de material sintético de aproximadamente un milímetro de grosor, empotrada en el papel durante su fabricación y cruzándolo transversalmente; al mirar el billete a contraluz se puede leer su valor y la palabra “EURO” (en mayúsculas) sobre una banda oscura.

Los billetes también incorporan holografía; en los billetes de 50 o más euros se utiliza un parche holográfico, mientras en los de menor valor se utiliza la banda. Al girar el billete la imagen cambia, alternando entre la cifra que indica su valor y el símbolo “€” (billetes menores) y este símbolo y una puerta o ventana (billetes de mayor valor).

También apreciables a simple vista son los motivos de coincidencia del billete. En una esquina del billete aparecen impresos en ambas caras trazos discontínuos que se complementan y forman la cifra que indica el valor del billete; estos trazos pueden observarse al trasluz, debiendo encajar ambas partes a la perfección para formar la cifra. Si ambas partes llegan a superponerse, o existe espacio libre entre ellas, estaremos ante una falsificación.

La banda iridiscente es una banda impresa en el reverso de los billetes de bajo valor, visible en función de la incidencia de la luz; al girar el billete, podremos apreciar en ella el valor del billete y el símbolo “€” (ojo, esta banda no guarda relación con la banda holográfica de la que hemos hablado antes).

Las tintas también son una característica de seguridad del euro. En los billetes de valor igual o superior a 50 euros se utiliza tinta ópticamente variable, una tinta cara que cambia de color al girar el billete; con esta tinta se imprime el valor del billete en la esquina del reverso. Adicionalmente, diferentes partes de todos los billetes de euro se imprimen con tinta ultravioleta, no perceptible a simple vista pero sí bajo este tipo de luz, de la misma forma que las fibrillas luminiscentes. Éstas son fibras sintéticas incorporadas al proceso de fabricación del papel, no perceptibles a simple vista pero sí bajo luz ultravioleta. Se encuentras distribuidas irregularmente por toda la superficie del billete, y son de color rojo, verde o azul.

Finalmente, ya para acabar, es importante que sepamos que todos los billetes de euro incorporan la firma del presidente del Banco Central Europeo (Willem F. Duisenberg o Jean-Claude Trichet); cualquiera de estas firmas es válida. Obviamente, esta medida es la más fácil de falsificar de todas las expuestas con anterioridad, pero ahí está…

Casi todas estas medidas de seguridad son perceptibles a simple vista, salvo las relativas a tinta ultravioleta; además de todas ellas, los billetes incorporan otras salvaguardas que ni se ven ni se tocan tan directamente, por lo que aunque son de utilidad para detectar billetes falsos, no lo son tanto en nuestro día a día. No se trata de analizar exhaustivamente cada billete de los que pasan por nuestras manos, sino simplemente de prestar un poco de atención y, ante la más mínima duda, comprobar la presencia de las medidas de seguridad que hemos expuesto aquí. Se trata de medidas que, conociéndolas con un mínimo detalle, nos pueden ayudar a evitar algún que otro disgusto a la hora de que “nos cuelen” billetes falsos. O eso esperamos :)

Seguridad sectorial (VII): hoteles

Dentro de la serie dedicada a seguridad sectorial, vamos a tratar hoy brevemente aspectos de seguridad en hoteles y establecimientos similares. El principal reto al que nos enfrentamos al hablar de seguridad en hoteles es el propio negocio del sector: la continua fluctuación de viajeros que entran, salen o se alojan en el hotel, 24 horas al día y 365 días al año. Este enorme trasiego de personas define unas amenazas características a la seguridad hotelera: por un lado, las que afectan a la integridad de las personas que hay en el hotel (tanto huéspedes como trabajadores), y por otro las que afectan a la información asociada a los viajeros: protección de datos de carácter personal, medidas antiterroristas… No hablaremos de otra amenaza común, pero aparentemente asumida por todas las cadenas hoteleras: el hurto de pequeños objetos (toallas, pilas, ceniceros…) en la habitaciones por parte de los propios huéspedes.

Desde el punto de vista de las amenazas contra la integridad de las personas, sin duda en los hoteles la principal de ellas es el incendio; si en cualquier ubicación un incendio es preocupante, lo es más todavía en los hoteles, debido a tres características de estos centros: el desconocimiento por parte de los huéspedes de las instalaciones y vías de evacuación, la cantidad de personas que puede haber durmiendo en el momento de producirse un incendio y, por último, las dimensiones globales del hotel y por tanto la cantidad de personas en su interior. Para minimizar riesgos relativos a incendios, en todos los hoteles existen vías de evacuación diseñadas y señalizadas según normativa, así como indicaciones de las mismas en las habitaciones del hotel. Es más que recomendable, al llegar a la habitación, pegarle un vistazo a estas indicaciones y hacernos una idea de qué deberíamos hacer en caso de incendio; como se suele decir, nunca pasa nada, pero cuando pasa es el peor momento para ponernos a leer las indicaciones, buscar las salidas de emergencia, etc.

En lo que respecta a la información de los viajeros, sin duda lo más llamativo del sector es el libro registro y los datos enviados diariamente a las FFCCSE para detectar posibles fugados, terroristas, etc. Todos los hoteles (además de hostales, campings…) están obligados a mantener un libro registro de viajeros, por el decreto Decreto 1513/1959 de 18 de agosto, a rellenar una ficha con los datos de cada viajero mayor de 16 años que se aloje en el hotel (manteniendo dichas fichas para su posterior consulta por parte de la Policía, si así se requiriera) y a enviar el parte de viajeros, dentro de las 24 horas siguientes al hospedaje, a las FFCCSE (habitualmente, Cuerpo Nacional de Policía). Obviamente, este envío se puede realizar a la antigua usanza (imprimimos los partes, o los rellenamos a mano, y nos los llevamos a la comisaría más cercana) o, más adecuado al S.XXI, a través de una página web del CNP habilitada a tal efecto (https://w3.policia.es/). Al menos en teoría, la Policía debe revisar esta información y, si se encuentra alojada en el hotel alguna persona en busca y captura, actuar en consecuencia; hay muchas leyendas en torno a estas actuaciones, pero lo cierto es que quien tenga la desgracia de llamarse como un terrorista, un fugado o un mafioso, por poner unos ejemplos, puede llevarse más de un susto cuando se encuentra durmiendo en el hotel…

Sin entrar en temas de este nivel, pero también referente a los problemas relativos a la información de los viajeros, nos encontramos la protección de datos de carácter personal que debe realizarse en el hotel, al igual que en cualquier otro centro, pero con un condicionante: los hoteles son lugares en los que son habituales encuentros “secretos”, no tanto para tratar temas ilegales, sino para cerrar acuerdos comerciales, políticos, citas sentimentales -con una pareja que no es la habitual-, etc. Aunque cualquier hotel tiene una política de seguridad que comprende, entre otros aspectos, la protección de los datos de sus clientes, y por supuesto ningún empleado nos va a revelar el nombre de los huéspedes del hotel, en la práctica no resulta difícil, mediante técnicas de ingeniería social, conseguir ciertos datos que, sin ser especialmente relevantes, si pueden determinar aspectos útiles para alguien que quiera conocer ciertas actividades de sus socios, competidores, empleados o parejas… “Soy fulanito de tal, quería hacer una reserva. Estuve alojado allí en septiembre, no recuerdo la fecha…”. “Sí, señor de tal, aquí lo tengo. Efectivamente, fue en septiembre, en concreto el 24…”. O “No, en septiembre no estuvo aquí, su última estancia es de marzo…”. En fin, historias truculentas, propias en algunos casos del periodismo rosa más que de la seguridad :)

Seguridad sectorial (VI): eléctricas. De la central al usuario

Dentro de los posts dedicados a la seguridad en las eléctricas (que a su vez se engloba en la serie de Seguridad Sectorial, que todos seguís atentamente en este blog :), toca el turno de los aspectos relativos al transporte, transformación y distribución de la energía para hacerla llegar al usuario final (véase entradas anteriores: [Introducción][Producción][Control]).

El transporte de energía eléctrica se realiza desde las centrales productoras, que hemos comentado en un anterior post, hasta las centrales de transformación, donde se modifican las características para distribuir la energía hasta el usuario final. En esta etapa de transporte se utilizan líneas de alta tensión, con una distribución geográfica muy extensa, lo que ya de entrada implica varios riesgos considerables: por un lado, los relativos a la falta de vigilancia de las líneas (robos, hurtos, sabotajes…) y por otro los relativos a las amenazas naturales (desde tomentas eléctricas hasta desprendimientos que puedan comprometer la línea). El primero de estos grupos no suele ser habitual, a pesar de que las condiciones —por ejemplo, el aislamiento— lo favorezcan, debido por un lado debido a la peligrosidad de las instalaciones (¿quién se atreve a meter mano en una torreta de alta tensión?) y por otro a la escasa repercusión que estos actos tendrían a nivel social: si se produce un ataque a una línea que la deja inutilizada, se distribuiría energía desde otra central. En lo que respecta a amenazas naturales, las instalaciones implicadas en el transporte suelen ser robustas, incorporando desde protecciones contra rayos hasta elementos estructurales frente a avalanchas, por lo que sólo fallarían en el caso de problemas de relativa magnitud.

Una vez llega la energía a la central de transformación, se modifican sus características para hacerla llegar, a través del proceso de distribución, hasta el usuario final. En estas centrales, que pueden estar ubicadas en lugares muy diversos en cuanto a seguridad, el principal problema con el que nos podemos encontrar (aparte de los sabotajes o el vandalismo y de las amenazas de origen natural, comunes a casi todo el proceso) es el robo o hurto de material: se trata de estaciones automatizadas, sin presencia humana habitual, y en ocasiones muy aisladas, lo que las convierte en un objetivo fácil de los ladrones (por ejemplo, es común el robo de cobre o material de trabajo para su venta posterior).

Finalmente, ya transformada la energía, se hace llegar al usuario final a través de la distribución, basada de nuevo en una infraestructura similar al transporte (torretas y elementos de conducción), y por tanto con problemas; en esta etapa, quizás una de las mayores amenazas es el robo en las instalaciones finales de distribución, ubicadas habitualmente en núcleos urbanos pero sin personal en ellas, y en cuyo interior encontramos material equivalente al de las centrales de transformacion.

Por supuesto, en todo este proceso existe un componente de seguridad que no hemos nombrado hasta ahora: la protección de las personas frente a accidentes causados por la energía eléctrica. No obstante, y dado que considero que se trata de un tema más de Prevención de Riesgos Laborales que de Seguridad, de momento no profundizaremos en este tema (¿algún experto en PRL leyendo el blog que quiera aportarnos algo?).

Espero que esta “subserie” de entradas sobre el sector eléctrico les haya resultado de interés. En la próxima entrada de la serie, cambiamos de sector radicalmente. Espero que también les parezca interesante.