I Encuentro Internacional CIIP

Hace un par de semanas tuvo lugar en Madrid el primer encuentro internacional CIIP sobre Ciberseguridad y Protección de Infraestructuras Críticas. El encuentro se desarrolló en la División de Formación y Perfeccionamiento de la Subdirección General RRHH de la DG de la Policía y la Guardia Civil con una muy alta participación tanto de gestores de Infraestructuras Críticas como de consultores que estamos trabajando en estos temas.

La inauguración oficial de las jornadas corrió a cargo del Secretario de Estado de Seguridad, D. Antonio Camacho, quien destacó la importancia que en los últimos tiempos ha tomado la seguridad para el conjunto de la sociedad y especialmente la seguridad de las infraestructuras críticas para todos los gobiernos del mundo. En su intervención lanzó una serie de datos que ponen los pelos de punta a cualquiera y que ponen de manifiesto la importancia de los temas tratados en el encuentro durante estos días. Habló, en términos generales, del ya disponible Catálogo de Infraestructuras Estratégicas de España, promovido a instancias proyecto de Directiva de la UE para la identificación y designación de infraestructuras críticas europeas (ICE) de diciembre de 2006, y desarrollado en España en base a lo establecido por del Acuerdo del Consejo de Ministros sobre Protección de Infraestructuras Críticas. Este Catálogo, tal y como se establece en el Real Decreto está considerado como material SECRETO y recoge información de unas 3.700 Infraestructuras Estratégicas en España, algunas de las cuales son Críticas. El Secretario de Estado comentó que aproximadamente el 80% de las Infraestructuras Estratégicas catalogadas están en manos privadas y que en los estudios que se han realizado en materia de seguridad sobre una población de unos 600 directivos de ICs, el 54% de las encuestadas reconocen haber sufrido ciberataques organizados.

A priori estos datos estremecen a cualquiera, y más cuando uno empieza a profundizar sobre las medidas de protección que algunas de estas instalaciones tienen en términos generales. En este blog ya hemos escrito en varias ocasiones sobre estos temas; hace algún tiempo, incluso antes de crearse el CNPIC, nos preguntábamos sobre si podíamos o no dormir tranquilos en un post que escribimos poco después de realizar una auditoría de seguridad en una instalación que no podemos ni debemos citar.

Para terminar su intervención, D. Antonio Camacho destacó la importancia del tema anunciando la próxima publicación del Real Decreto sobre la Protección sobre Infraestructuras Críticas Nacionales. El Plan Nacional de Protección de Infraestructuras Críticas define como Infraestructuras Críticas: “Aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones del Estado y de las Administraciones Públicas”, y contempla la inclusión de éstas en 12 Sectores estratégicos, subdivididos a su vez en Subsectores, Ámbitos y Segmentos que son los siguientes:

  • Administración
  • Alimentación
  • Energía
  • Espacio
  • Sistema Financiero y Tributario
  • Agua
  • Industria Nuclear
  • Industria Química
  • Instalaciones de Investigación
  • Salud
  • Tecnologías de la Información y las Comunicaciones
  • Transporte

En términos generales, constatamos el incipiente desarrollo de actividades en todos los sectores en esta materia y que es mucho el camino que queda por recorrer. No se puede decir, ni mucho menos, que sea un problema maduro en su definición, con soluciones maduras por parte del mercado. Mucha intención, mucho proyecto de I+D+i y mucho futuro para problemas que no obstante más que de futuro son totalmente presentes. Los asistentes tuvimos la oportunidad de recibir información sobre la perspectiva nacional, la internacional, la visión de algunos gestores de Infraestructuras Críticas y las tímidas soluciones de la Industria al problema planteado.

Las jornadas finalizaron con la creación de 4 talleres en torno a los temas que la organización consideró más urgentes e importantes:

  • Taller I: Gestión de incidentes y Sistemas de detección preventiva
  • Taller II: Gestión de Riesgos
  • Taller III: Gestión de continuidad
  • Taller IV: Seguridad en productos de sistemas y control industrial

En próximas entradas que escribirá el equipo que asistió al evento, intentaremos resumir las conclusiones que hemos sacado de cada uno de estos talleres. Por último, desde este blog queremos enviar nuestra más sincera enhorabuena al joven Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) por la organización del encuentro, y nuestro mensaje de ánimo a su Director, D. Fernando Sánchez, para afrontar el duro trabajo que tienen por delante. Desde S2 Grupo seguiremos trabajando en labores de I+D+i, concienciación y consultoría para aportar nuestro granito de arena en una labor tan importante para los estados como es la protección de sus Infraestructuras Críticas.

Seguridad (y todo lo demás)

En los últimos años el panorama global de la seguridad ha sufrido grandes cambios que afectan, tanto a la percepción que la sociedad tiene de la seguridad, como a la forma en la que organizaciones de todo el mundo plantean sus estrategias de seguridad.

Sin duda alguna, los lamentables atentados del 11-S contra el World Trade Center neoyorkino hicieron tambalear los principios básicos de seguridad —en todos los sentidos— que hasta entonces habían predominado en la materia; si hasta ese momento la seguridad estaba dividida en parcelas perfectamente delimitadas, sin ninguna relación necesaria a priori entre ellas, y cada una preocupada en luchar contra unas amenazas palpables y relativamente predecibles (accesos físicos, robos, seguridad perimetral, piratas…), a partir del once de septiembre de 2001 el panorama internacional de la seguridad dio un vuelco que, hoy en día, debido a factores como la globalización de la sociedad o la ubicuidad de las organizaciones, ya se considera irreversible.

Una corriente generalizada parece arrastrar a la sociedad hacia un nuevo concepto de seguridad, mucho más amplio en su concepción; una seguridad que considera las amenazas globales y que percibe los distintos medios y canales por los que se materializan los incidentes como un todo, una seguridad que hasta no hace mucho disgregaba el tratamiento del problema en pequeñas partes y que no contemplaba determinado tipo de riesgos por su baja probabilidad. Una seguridad que ha visto, en los últimos tiempos, atentados terroristas de gran magnitud que han hecho tambalear gobiernos y organizaciones y que ha visto como equipos organizados con fines claramente económicos, intentan poner en jaque, a través de nuevos medios y haciendo un uso intensivo de la tecnología, a la sociedad de la información y del conocimiento de la que tanto se escribe.

Como consecuencia de los acontecimientos del último lustro relacionados con la seguridad que abarcan tanto los atentados terroristas como los grandes desastres naturales, la evolución de los ciberdelitos y las mafias organizadas que operan en la red, emerge con fuerza una corriente que nace, como era previsible, en los Estados Unidos de América. Esta corriente tiene como núcleo central la convergencia de las seguridades y la colaboración en materia de seguridad como aspectos incuestionables de las nuevas estrategias en este ámbito, además de la consideración de ciertos sectores de negocio como infraestructura crítica nacional, por lo que su protección es algo que se tiene en cuenta como parte de la defensa de la propia nación.

El término “convergencia” hace referencia a la visión holística de la seguridad, que considera que los incidentes introducen niveles de riesgo en el negocio, sin disgregar en ningún momento el problema de un riesgo global en tratamientos parciales (como hasta hace unos años se ha venido haciendo), sino contemplándolo y afrontándolo en su conjunto. Dicho de otra forma, los grupos terroristas, los elementos antisistema, las mafias organizadas… o simplemente los delincuentes comunes, están cada vez más preparados para atacar a una organización a través de cualquier medio, tanto físico como lógico, y lo harán simplemente por aquél que les resulte más fácil para lograr sus objetivos.

La infraestructura crítica nacional y su protección es sin duda uno de las mayores preocupaciones de los países industrializados desde los atentados del 11-S en Nueva York; si hasta ese momento los responsables de seguridad consideraban conocidas todas sus amenazas, el derrumbamiento de las Torres Gemelas trajo consigo el derrumbamiento simultáneo de este precepto. A partir de entonces, todos los que trabajamos en el ámbito de la seguridad comenzamos a plantearnos nuevos escenarios de siniestro que, aunque muy poco probables, era necesario considerar de cara a garantizar la continuidad del negocio en todos sus ámbitos. En particular, aquellos sectores básicos para el funcionamiento de una nación —energía, alimentación, finanzas…— han comenzado a considerarse de facto objetivo común de nuevas amenazas, y por tanto a protegerse de forma conjunta mediante un concepto clave: la colaboración a través de la compartición de información (information sharing).

Ríos de tinta se han derramado en los últimos años para hablar de la convergencia de la seguridad física y de la seguridad lógica, para estudiar los beneficios de la cooperación en materia de seguridad a todos los niveles, para analizar la seguridad de las organizaciones e infraestructuras críticas de una nación como una cuestión de seguridad nacional, para estudiar las barreras que las personas ponemos a algo que en principio parece tan evidente y para trasladar a la sociedad en general y a las organizaciones en particular lo que la OCDE no ha tenido reparo en titular “Hacia una cultura de Seguridad” , que define nueve principios sobre los que debe pivotar la estrategia de la sociedad en esta materia:

  • Concienciación: los participantes deben ser conscientes de la necesidad de contar con sistemas y redes de información seguros y tener conocimiento de los medios para ampliar la seguridad.
  • Responsabilidad: todos los participantes son responsables de la seguridad de los sistemas y redes de información.
  • Respuesta: los participantes deben actuar de manera adecuada y conjunta para prevenir, detectar y responder a incidentes que afecten a la seguridad.
  • Ética: los participantes deben respetar los intereses legítimos de terceros.
  • Democracia: la seguridad de los sistemas y redes de información debe ser compatible con los valores esenciales de una sociedad democrática.
  • Evaluación del Riesgo: los participantes deben llevar a cabo evaluaciones de riesgo que afectan a sus organizaciones.
  • Diseño y realización de la seguridad: los participantes deben incorporar la seguridad como un elemento esencial de los sistemas y redes de comunicación.
  • Gestión de la seguridad: Los participantes deben adoptar una visión integral de la administración de la seguridad.
  • Reevaluación: Los participantes deben revisar y reevaluar la seguridad de sus sistemas y redes de información y realizar las modificaciones pertinentes sobre sus políticas, prácticas, medidas y procedimientos de seguridad.

Estos principios se fortalecen con la actividad que a nivel europeo e internacional se está desarrollando en materia de seguridad, y en particular en lo referente a la protección de las infraestructuras críticas (PIC) como continuación de la corriente iniciada en Estados Unidos tras la PDD 63 (Presidential Decision Directives 63) por la que se crearon los ISAC (Information Sharing & Analysis Center).

Tomando como base lo establecido en el documento de la OCDE “Hacia una cultura de Seguridad”, y como consecuencia de los principios contenidos en el mismo y de los actos terroristas de Nueva York y los siguientes en Madrid y Londres, durante 2004 la Comisión Económica Europea consideró la prevención, preparación y gestión de las consecuencias del terrorismo y de otros riesgos en materia de seguridad como aspectos esenciales de la protección de las personas y de las infraestructuras críticas en el espacio de libertad, seguridad y justicia, incidiendo, entre otros asuntos, en la necesidad de analizar y gestionar los riesgos y amenazas de forma continua, creando, en marzo de 2004, ENISA (European Network and Information Security Agency), una agencia especializada en seguridad de la información y de las redes.

En diciembre de 2005, el Consejo Europeo decidió que el programa europeo de protección de las infraestructuras críticas (PEPIC) se basara en un planteamiento que abarcase todo tipo de riesgos, considerando prioritaria la lucha contra las amenazas terroristas. Poco después, en 2006 la Comisión Europea, mediante la Comunicación de la Comisión al Consejo, al Parlamento Europeo, al Comité Económico y Social Europeo y al Comité de las Regiones, pretende revitalizar el enfoque político europeo en materia de seguridad de las redes y de la información. Se trata de determinar los retos actuales y proponer medidas e iniciativas para afrontarlos, adoptando un enfoque que se basa en una aproximación multipartita que reúne a todas las partes interesadas en el diálogo, la colaboración y la responsabilización.

En próximas entradas veremos los movimientos más recientes a nivel gubernamental y europeo en el campo de la seguridad, pero mientras tanto, pasen una feliz día de Navidad; nosotros volvemos el lunes , pero no antes.

GOTO II: Consultores de LOPD

Me encanta la iniciativa GOTO de Toni y, sin ninguna acritud, me uno a ella para darles mi visión de episodios profesionales que nos toca vivir con más frecuencia de la que sería deseable. Hablo, en este caso, de los Consultores de la LOPD, una clase especial de consultores de seguridad, mitad abogados, mitad técnicos y al final en muchos casos, desgraciadamente, ni lo uno, ni lo otro.

Si como ha dicho Toni en su post el “Consultor Junior” es por definición un oxímoron y como tal, lo único que nos puede traer es algún que otro problema, además de un trabajo relativamente mal hecho por muy importante que sea la firma para la que trabaja, el caso se complica cuando lo que hace el supuesto consultor es implantar un Sistema de Gestión de la LOPD o auditar la LOPD de una organización.

En este caso la LOPD es como todos ustedes saben una ley, y por tanto de obligado cumplimiento, aunque a veces no lo parezca. Además, en el caso de nuestro país, está acompañada por un reglamento que para ser de mínimos es bastante exigente, y de un régimen sancionador que pone los pelos de punta al que se lo estudia con un poco de detalle.

[Read more…]

¿Posesión o distribución de pornografía infantil?

En las conferencias de enise que les comenté en la pasada entrada, celebradas los pasados 27, 28 y 29 de octubre en León, tuve la suerte de asistir a una conferencia que, como ya he comentado en un post anterior, me gustó especialmente.

Habló D. José Manuel Maza, magistrado del tribunal supremo. Una persona que emana personalidad por los cuatro costados y que dijo muchas cosas en muy poco tiempo. Entre otras cosas habló de lo lejos que están las leyes que aplican los magistrados de la realidad del momento en el que nos encontramos, y de lo atados de manos que se encuentran en muchas ocasiones con el código penal que nos ha tocado vivir.

Hizo un comentario que me llamó mucho la atención: D. José Manuel estaba un poco disgustado porque había tenido que ausentarse de su puesto en un momento en el que se iba a debatir la postura que se tenía que adoptar, en general, con los asuntos relacionados con las redes P2P y la pornografía infantil.

[Read more…]

enise: III Encuentro Nacional de la Industria de la Seguridad en España

enise es ya un clásico, joven, pero ya un clásico. A mí me gusta. Cada año parece que reúne a más gente del sector. Casi todos somos empresas proveedoras de servicios o de productos en el ámbito de la seguridad e instituciones públicas. Casi todas en el ámbito de la seguridad de la información, aunque se hacen tímidos intentos de dar cabida a proyectos y soluciones de seguridad fuera de ella. Hemos sido 520 los asistentes y 110 empresas e instituciones han estado representadas en León para ver que se está haciendo en España en esta materia. Es un foro de encuentro, un lugar y un momento para reposar y reflexionar sobre el sector. Un momento para establecer relaciones y recoger ideas.

El tema general del encuentro ha sido la innovación tecnológica en seguridad TIC. Ha habido algo de innovación, no demasiado, porque como dijo uno de los ponentes, exagerando un poco, esto parece como en la película “El día de la marmota”: Un año más vuelvo a estar aquí, hablando de lo mismo, a los mismos….para acto seguido hacer una exposición interesante con cosas totalmente nuevas. Bueno, no deja de ser una visión que, personalmente, no comparto, puede ser que una persona, un año después, no tenga nada nuevo que presentar. Cada uno es libre de exponer lo que estima oportuno en un evento de estas características. Nosotros, desde S2 Grupo, tenemos muchas cosas que contar y les adelanto que el año que viene estaremos allí, participando, para demostrar que esto no tiene porque ser así.

Bromas aparte, 180 han sido los ponentes. Tal vez demasiados porque no daba tiempo a que contasen mínimamente lo que estaban haciendo. Muchas conferencias; unas interesantes y otras prescindibles, sobre todo cuando el ponente se dedicaba a “contar su libro”; aunque se les había dicho explícitamente que no era un espacio en el que tuviese sentido hacer publicidad de sus empresas o productos, la verdad es que en algunas ocasiones se hacía caso omiso a esta recomendación. En mi opinión, “craso error” porque el efecto que se consigue en los asistentes es el contrario del que pretende. Al hacer esto parece que no tengan nada interesante que contar en un espacio en el que teóricamente se debe hablar de innovación tecnológica en seguridad TIC.

Echo en falta, por parte de la organización, y lo digo como crítica constructiva, una evaluación de los ponentes por parte de los asistentes que sirva de base para filtrar, en futuros “enises”, las conferencias y los conferenciantes y, tal vez, un filtrado temático por parte del equipo organizador. Por el contrario, la logística del equipo de INTECO espectacular. Una organización que en mi opinión no merece crítica alguna. ¡¡Enhorabuena a todo el equipo de Inteco!!

Personalmente me parecieron muy interesantes, en general, los puntos de vista de miembros de las fuerzas y cuerpos de seguridad del estado, de las fiscalías representadas y de magistrados que también participaron; todo un acierto por parte de INTECO. No es habitual encontrar a estas personas, con un papel tan importante en el proceso de la seguridad, opinando sobre pruebas, leyes, procedimientos, tecnologías, etc. Mi conclusión al respecto es un poco desalentadora: vivimos en mundos distantes, aunque gracias a personas como las que tuvimos la suerte de escuchar en las conferencias es posible que consigamos construir puentes entre ambos mundos.

Me llamaron mucho la atención las mini-conferencias de D. José Manuel Maza, magistrado del tribunal supremo y de D. Jorge Bermúdez, miembro de la Fiscalía provincial de Guipúzcoa. Desde el punto de vista de la conferencia en sí, ambas fueron en dos palabras “im-presionantes”. En primer lugar por la capacidad de síntesis y facilidad de exposición, y en segundo lugar por la claridad con la que presentaban asuntos delicados; aunque decían ser legos en la materia, no tenía desperdicio nada de lo que decían al respecto. Les recomiendo que si en alguna conferencia leen estos nombres como ponentes, acudan a escucharlos, merece la pena.

Universidad, Instituciones e Industria estaban también representadas en el encuentro. Tuvimos la oportunidad de asistir a un fugaz y amargo debate entre Universidad e Industria protagonizado por D. Gianluca D’Antonio, Presidente de ISMS Forum y CISO de FCC, con el catedrático de la Universidad Carlos III de Madrid, D. Arturo Ribagorda, en el que la Industria en general, representada por Gianluca, se quejaba de lo divergente del camino que está recorriendo la Universidad, alejada de los intereses reales de la sociedad y de la industria, al menos en la materia que nos ocupa. La verdad es que, como miembros de la industria de la seguridad, nos sentimos muy identificados con las palabras expresadas por el Presidente de ISMS Forum. A nosotros, en Valencia, nos cuesta mucho encontrar grupos de investigación dentro de las universidades que estén desarrollando su actividad en estos campos. Si alguno de los lectores conoce algún equipo de investigación en alguna de las universidades de la Comunidad Valenciana con ganas de participar en proyectos de innovación e incluso de I+D con aplicación práctica, le agradeceríamos nos lo hiciese saber con un comentario a este post o enviando un correo a info@s2grupo.es. Le estaríamos eternamente agradecidos.

Desde el punto de vista institucional tuvimos también la suerte de escuchar, entre otros, a D. Miguel Ángel Amutio, hablando en nombre del Ministerio de la Presidencia de “su” Esquema Nacional de Seguridad, e incluso pudimos comentar con él, después en la comida, los avatares del mismo. Siempre es un placer escuchar a una persona tan serena y docta como él hablando de algo que nos va a afectar a todos directa o indirectamente. Nótese que lo de “su” ENS lo digo en tono de broma ya que durante la comida protestaba precisamente por el hecho de que algunas personas se referían en esos términos al ENS, mientras que él defendía que detrás del mismo hay mucha gente trabajando y aportando su conocimiento y buen hacer. Por lo que nos contó en su charla parece que tenemos el ENS a la vuelta de la esquina con todo lo que esto conlleva (véase las últimas entradas de Sergio sobre el ENS: [1][2]).

Las entidades de clasificación y certificación tuvieron también sus espacios en las jornadas. D. Carlos Manuel Fernández, Responsable de la Certificación de Sistemas de Gestión de la Seguridad de Información de Aenor, compartió con los asistentes la hoja de ruta de la entidad en aspectos relacionados con las Tecnologías de la Información y Comunicaciones en general y con la Seguridad en particular.

En definitiva y por no extenderme más de la cuenta, creo que enise es, para los que de una u otra forma conformamos la industria de la seguridad en España, una cita anual obligada. También creo, y lo lanzo como reto a los organizadores, que se podría utilizar este encuentro como un catalizador de la concienciación en materia de seguridad en toda España y que precisamente por este motivo debería plantearse la necesidad de que enise fuese un evento itinerante, al margen de que la sede de INTECO, entidad que tan bien lo organiza, sea León.

Lanzo este reto a enise y a sus organizadores de INTECO y me brindo, desde S2 Grupo, a apoyar y a ayudar a INTECO a organizar este evento en Valencia el próximo año.

En definitiva, nuestra más sincera enhorabuena por el éxito del evento al Director General de INTECO, D. Víctor Manuel Izquierdo y a todo su equipo que tan de cerca han seguido el desarrollo del encuentro. Queda en el aire ese ofrecimiento…

Por cierto, coincido plenamente en las palabras de Víctor Manuel Izquierdo en la sesión inaugural: “La innovación es un imperativo categórico en materia de Seguridad”. Seguiremos contando algunas cosas de lo que en este encuentro aconteció.

(Tienen algunas de las ponencias en la página del enise: [Día 27][Día 28][Día 29])

SRC ’09: Security Research Conference

src09 La semana pasada tuvo lugar en Estocolmo, la 4ª conferencia europea sobre investigación en seguridad, Security Research Conference (SRC’09).

El nivel de participación fue francamente alto, más de 500 inscripciones, lo que pone de manifiesto el interés generalizado que despiertan todos los temas relativos a la seguridad dentro y fuera de nuestras fronteras. La delegación española estaba compuesta por 49 personas de empresas, universidades y organismos públicos.
Aunque como es habitual en estos eventos el nivel de profundidad alcanzado en las exposiciones de los ponentes no puede ser mucho, sí nos permite hacernos una idea de los campos en los que se está investigando y desarrollando iniciativas a nivel europeo poniendo de manifiesto las áreas de interés de los distintos actores o stakeholders (ciudadanos, administración, empresas, etc…)

Siguiendo las recomendaciones que en su día realizó la ESRAB, “European Security Research Advisory Board en su informe “Meeting the Challenge: The European Security Research Agenda”, en esta cuarta edición de la conferencia tuvimos la oportunidad de asistir a la presentación de proyectos enmarcados en el ámbito de las cuatro principales áreas de trabajo o misiones que identificó el informe que les indicaba, y que son la base de la Call 3 de Seguridad del 7º Programa Marco:

  • Seguridad de los ciudadanos
  • Seguridad de las infraestructuras críticas y “utilities”
  • Seguridad de las fronteras y vigilancia inteligente
  • Gestión de crisis

Todos los avances presentados, como consecuencia de los proyectos de investigación y desarrollo apoyados por la Comisión, contribuyen, en definitiva, a mejorar y desarrollar capacidades que salvaguardan la seguridad a través del desarrollo de tecnologías y conocimiento en estas áreas.

Tuvimos también la oportunidad de conocer, de primera mano, las conclusiones del informe que va a publicar en las próximas semanas la entidad que recogió el testigo de ESRAB hace un par de años: la ESRIF, “European Security Research & Innovation Forum, de las que ya existe un resumen ejecutivo y que podrán consultarse en su sitio web en breve. Asistimos además al anuncio de la creación de la ESRIA, “European Security Research and Innovation Agenda”, organizada en torno a cinco grandes clusters que abarcan desde el ciclo clásico de la seguridad (prevención, protección, detección, respuesta y recuperación) hasta la securización de identidades, accesos y movimientos de personas y mercancías, pasando por la seguridad de los activos críticos o la identificación de diferentes medios de ataque.

A las puertas del cierre de la Call 3 relativa a Seguridad del 7º Programa Marco, las conferencias fueron también punto de encuentro para el desarrollo de las propuestas. En definitiva, mucha información concentrada en poco tiempo, pero que nos permite analizar el pulso del mercado de la seguridad global en Europa, y conocer las líneas estratégicas hacia las que se van a dirigir los proyectos en los próximos años.

Disponibilidad y seguridad

En los tiempos que corren, creo que ya nadie duda de que disponibilidad es seguridad. Por si tenemos aún algún escéptico entre nosotros le invito a que se fije en la foto adjunta e intente preguntárselo a los pobres 22,000 “pollos” (servidores) que por una falta de disponibilidad del sistema de acondicionamiento de aire de su “granja” (CPD) perecieron todos en unas horas y nos dejaron esta siniestra imagen.

La noticia, que fue publicada el pasado mes de junio por distintos medios de comunicación, nos contaba como una tormenta fulminó el sistema automático de ventilación de una granja y los animales fallecieron asfixiados.

Esto es lo que pasa en muchas ocasiones cuando no se tiene en cuenta o no se analiza suficientemente la necesidad de que nuestros equipos y nuestras instalaciones en general estén disponibles. Esto es lo que pasa cuando, teniendo en cuenta que esto es desgraciadamente frecuente, no disponemos de los mecanismos que nos permitan verificar la seguridad de nuestros procesos, aunque estos (los procesos) sean tan simples como el enfriamiento de un recinto cerrado.

La disponibilidad es una de las principales dimensiones de la seguridad y debe ser analizada en su conjunto hablando de alta disponibilidad de una base de datos, de un servicio, de un servidor, de una línea de comunicaciones, de una fuente de alimentación e incluso —como nos recordarían si pudiesen estos “pollitos”— de las instalaciones industriales que garantizan la seguridad física de nuestra infraestructura.

Evidentemente es importante disponer de un sistema de acondicionamiento de aire (medida de protección) pero, como se ha demostrado, es tan importante o más disponer de un sistema de monitorización de funcionamiento del mismo o de la temperatura del recinto acondicionado (medidas de detección) que nos permitan poner en marcha los protocolos de actuación en caso de tener un incidente (que lo tendremos).

En definitiva, dado que es imposible evitar que los sistemas fallen, ¿no creen ustedes que deberemos prestar especial atención a vigilar el fallo de los mismos? ¿no creen por tanto que los sistemas de monitorización son igual de importantes, o incluso más, que los de protección? Yo estoy absolutamente convencido de la necesidad de disponer de un equilibrio entre protección, detección y respuesta. Hoy en día creo que, al menos, los “pollos” de la foto, me darían la razón.

Sirva esta contribución para destacar nuestra firme apuesta por los sistemas de monitorización y la gestión eficaz y eficiente de los eventos y alertas que los mismos disparan.

Centros de Seguridad (III): WARP – Warning, Advice and Reporting Point

Los centros WARP (Warning, Advice and Reporting Point) británicos surgen de la misma necesidad de los ISAC de proteger las infraestructuras nacionales mediante la compartición de información sensible, en este caso del gobierno británico. Los centros WARP se centran en prestar servicios a la sociedad en cuatro grandes grupos:

Servicio de alertas seleccionados

El servicio de alertas permite a los miembros del WARP recibir alertas y recomendaciones seleccionadas según las elecciones de cada uno de los miembros. La información de seguridad recibida es analizada y distribuida a los asociados. El equipo de administración del WARP recoge información de diversas fuentes, añade información adicional y envía la información sólo a aquellos miembros que han expresado su interés en la información de una determinada categoría. Los centros WARP disponen de las siguientes capacidades:

  • Registrar los miembros con los perfiles seleccionados.
  • Procesar alertas y avisos de diversas fuentes.
  • Generar alertas y avisos para la comunidad WARP.
  • Distribuir alertas y avisos a los miembros correctos del WARP.

Aunque las funciones anteriormente descritas pueden desarrollarse sin herramientas especializadas, es lógico que se desarrollen aplicativos específicos para este fin. De esta forma, se ha desarrollado un paquete de software para los WARP que facilita el tratamiento de las selecciones y preferencias de los usuarios por parte de los operadores del WARP; esta aplicación se denomina FWA (Filtered Warning Application).

El servicio descrito en este punto cubre la W (Warning), dentro de la denominación WARP (Warning, Advice and Reporting Point).

Intercambio de recomendaciones y consejos

El servicio de intercambio de recomendaciones y consejos permite que los miembros del WARP tengan diálogos entre ellos mismos en un entorno seguro. Esto posibilita el intercambio de consejos y recomendaciones sobre asuntos de seguridad, guías de buenas prácticas basadas en experiencias propias, etc. Una de las maneras de promover este diálogo puede ser a través de foros electrónicos, que pueden ser moderados por el operador del foro añadiendo información relevante, consejos de expertos, resumiendo temas de interés, etc. Esto puede ser utilizado para, una vez eliminados los datos confidenciales, alimentar al servicio de alertas. Además, puede dirigir al operador del WARP hacia las temáticas de interés de sus miembros, organizando sesiones de formación, buscando fuentes de alertas de esa temática, etc. Este servicio puede facilitar la colaboración entre los miembros, ofreciendo la experiencia que han desarrollado unos miembros frente a problemas o iniciativas que otros no habían considerado.

La realización de reuniones periódicas facilita el desarrollo de este servicio. Tales reuniones son organizadas por el operador del WARP, implicando a los miembros en su participación.

Este servicio cubre la A (Advice), dentro de WARP (Warning, Advice and Reporting Point).

Servicios seguros de compartición de información

El servicio de compartición confiada trata de crear un entorno seguro en el que se pueda compartir información sensible, como puede ser la relativa a incidentes o problemas sufridos por los miembros del centro. Los miembros del WARP deben tener confianza en que la información compartida no les va a causar daño de ningún tipo (económico, reputacional, etc.), ya que de otra manera serán reacios a compartirla. El operador del WARP debe por tanto gozar de la confianza de los miembros a través de los servicios de alertas y recomendaciones, y puede y debe anonimizar las partes de la información antes de compartirla con el resto de miembros. Esta compartición de información sensible puede ayudar mucho a los miembros en la toma de acciones preventivas, beneficiándose de la experiencia del resto, hasta tal punto que la utilidad de una alerta temprana y el evitar impactos en la organización puede ser suficiente para justificar el coste de pertenecer al WARP.

Este servicio cubre la R (Reporting), dentro de la definición de WARP (Warning, Advice and Reporting Point). La P (Point) se cubre con la propia creación de un centro a tal efecto.

Herramientas de soporte

Existen dos conjuntos de herramientas desarrolladas específicamente para dar soporte lógico a los centro WARP. Estas herramientas son proporcionadas o bien de manera gratuita o de bajo coste a los centros aprobados como WARP por el Centro Nacional para la Defensa de la Infraestructura.

  • WARP toolbox.
  • FW software.

Centros existentes

A fecha de Abril de 2007 existen 20 WARPS registrados, repartidos entre sector público, gobierno local, sector privado y organizaciones de voluntarios. Aunque el concepto de WARP es amplio, las organizaciones existentes hasta la fecha están principalmente focalizadas en aspectos relacionados con la protección civil. Se puede consultar una tabla con la relación de WARPS, así como información detallada en el siguiente enlace: http://www.warp.gov.uk/

Centros de Seguridad (II): ISAC (Information Sharing and Analysis Center)

Continuando con la serie de centros de seguridad que comenzamos la semana pasada, en esta entrada vamos a introducir el “concepto” de ISAC. Éste surgió a partir de la preocupación por la seguridad nacional del gobierno estadounidense, que tuvo como reflejo una directiva presidencial por parte del presidente Bill Clinton el 20 de mayo de 1998, por la que instaba a todas las entidades privadas que formaban parte de la infraestructura crítica de la nación a compartir información sobre amenazas, vulnerabilidades, incidentes y soluciones y respuestas dentro de estos sectores críticos. En esta misma directiva se define ISAC como Information Sharing and Analysis Center.

[Read more…]

Centros de seguridad (I)

secAunque supongo que tod@s los lectores conocerán el término SOC (Security Operation Center), creo que es importante aportar nuestra visión particular sobre los objetivos y el funcionamiento de los mismos a través del análisis de distintos tipos de Centros de Seguridad que hemos tenido la oportunidad de conocer y estudiar en alguno de los proyectos que hemos realizado; ésta es la primera de las entradas semanales que dedicaremos a este tema.

Un Centro de Seguridad en general y un Centro de Seguridad Gestionada (SOC) en particular, es un centro de servicios especializado en la prestación de servicios de seguridad a sus clientes. Los Centros de Servicios, en general, son centros especializados en la provisión de servicios de valor añadido a sus clientes que buscan de forma incesante la gestión eficaz y eficiente de sus recursos humanos y materiales para la consecución de sus objetivos.

Con la calidad de servicio como estandarte, un Centro de Servicios se caracteriza por una organización por niveles de especialización y una férrea organización que permita la gestión de los eventos asociados al mismo con un estándar de calidad determinado y medido de forma continua. Este tipo de centros disponen de herramientas que le permiten gestionar en tiempo real los eventos asignados al mismo, asegurando que en ningún caso se deja de atender, en los tiempos establecidos, los sucesos que acontecen en el devenir del mismo. Sistemas que deben contemplar la monitorización de procesos y actividades en tiempo real (BAM: Business Activity Monitoring) e incluso la posibilidad de actuar de forma automática ante la existencia de determinados estímulos o sucesos. Otro aspecto a destacar de los centros de servicios es la gestión de forma procedimentada, con el fin de que el conocimiento de la propia gestión cotidiana del centro revierta en la mejora continua de los procedimientos de actuación y que los niveles menos especializados de atención puedan incluso actuar en caso de emergencia. Para conseguir este objetivo es muy importante la definición de un modelo de gestión del centro y su posterior certificación en base al referencial o referenciales adecuados en cada caso.

Un Centro de Servicios es una vía de búsqueda de sinergias, de concentración de conocimiento y saber hacer no sólo en un sentido científico o tecnológico, sino también en la optimización de procesos de gestión como puede ser el caso de la gestión de la seguridad de la información.

Los SOC o centros de seguridad gestionada, como centros de servicios que son, deben cumplir estas características generales. A pesar de ello existen distintos tipo de centros de seguridad que en varias entradas vamos a intentar analizar brevemente; algunos tienen sus orígenes en aspectos técnicos de la seguridad, mientras que otros nacen de la necesidad de la defensa de las infraestructuras críticas nacionales. Algunos tienen su origen en la actividad privada de las organizaciones mientras que otros son centros públicos. Unos tienen como objetivo compartir información y otros actuar en caso de incidentes. En cualquier caso, todos ellos tienen como común objetivo la mejora de la seguridad de las organizaciones para las que trabajan.

Hemos clasificado algunos de los centros analizados en función de su origen, determinando los siguientes grandes grupos:

  • CERTs: Centros de respuesta ante incidencias técnicas y por tanto, a priori reactivos. Son centros surgidos en torno a las amenazas dentro de Internet. Públicos y privados. Ejemplos: FIRST, CERT, IRIS CERT, CERT Centro Criptológico Nacional, Inteco-CERT, CSIRT-CV, E-CSIRT….
  • Centros de defensa nacional: Surgidos como iniciativas gubernamentales para la defensa de sectores de infraestructura gubernamental o considerada crítica para el estado: ISACs americanos (Information Sharing and Analysis Center), WARP británicos (Warning, Advice and Reporting Point), BFAG australianos, …. Son centros preventivos a diferencia de los anteriores que son reactivos almenos en su concepción inicial.
  • Centros divulgativos, académicos y de investigación: Centros enfocados principalmente a la investigación en materias de seguridad. SANS o INTECO.
  • Centros sectoriales: Desarrollados de manera privada por un sector específico. Ejemplos: Comisión nacional de Seguridad en el entorno de las Cajas de Ahorro, centros de seguridad de medios de pago, Centro sectoriales de banca: BITS, s-CERT, UK Financial Sector Continuity, e-LC CSIRT, CCI, Centro de Cooperación Interbancaria.
  • Otros centros de seguridad: Centros de seguridad privados que ofrecen servicios de seguridad gestionada a sus clientes, como Argópolis en nuestro caso.