Security Art Work

Hace unos minutos leía en elEconomista.es la siguiente información relacionada con Google Street View y los datos captados por los coches (se han corregido los errores tipográficos, abundantes al parecer por las intempestivas horas). El primer párrafo es introductorio, lo interesante son los otros dos (la negrita es del original, la cursiva mía):

[Read more…]

El mes pasado asistimos, en las jornadas de Eficiencia Energética organizadas por el Club de Excelencia en Sostenibilidad en Port Aventura, a una serie de conferencias en las que se presentaban mejores prácticas de grandes empresas en esta materia. Las jornadas fueron francamente interesantes y una de las conclusiones a las que llegamos al final de las jornadas es la importancia creciente de las técnicas de monitorización y gestión en tiempo real en este amplio campo, que, por si no lo saben ustedes, es una de las líneas en las que más estamos investigando y desarrollando en S2 Grupo desde la óptica de la “Seguridad de los Procesos”.

Entre las prácticas expuestas nos llamó mucho la atención la siguiente por su originalidad y por los aspectos del proyecto relacionados con la intimidad de las personas. Una de las cadenas de hoteles importantes de nuestro país ha presentado una iniciativa que desde el punto de vista de la eficiencia energética es original y muy interesante. El proyecto en cuestión es la Habitación Inteligente en la que las habitaciones del hotel en cuestión se monitorizan con el objetivo de analizar los perfiles de comportamiento de los clientes: se mide en tiempo real la temperatura y humedad, el consumo eléctrico, el consumo de agua fría y caliente y otros parámetros que pueden resultar de interés. El resultado es impresionante ya que el análisis de datos pasados nos permiten establecer patrones de comportamiento y por ejemplo premiar al cliente en el caso de que su consumo esté por debajo de lo que se considera normal para una época del año determinada o con unas condiciones atmosféricas determinadas, es decir, por el uso responsable de los recursos.

Si todo este historial lo ligamos a la tarjeta de fidelización de cliente que la cadena de hoteles tiene, resulta que asociado a la tarjeta en cuestión se puede almacenar una serie de parámetros que definen, con cierto detalle, nuestros gustos y costumbres en aras a dar un servicio cada vez más personalizado al cliente, lo que en mi opinión resulta impresionante. Personalmente creo que todo esto es bueno siempre y cuando los responsables de los proyectos de este tipo sean muy conscientes de lo que tienen entre manos y demuestren que es así abiertamente para que los clientes nos quedemos tranquilos.

La Ley Orgánica de Protección de Datos exige muchas cosas al respecto. Los datos recogidos mediante todo tipo de sensores en una habitación de un hotel, incluido los canales de televisión que nos gusta ver, definen sin duda alguna el perfil de la persona o las personas que ocupan la habitación y por tanto son, a priori, datos de nivel medio con los requisitos de seguridad que el Reglamento de la LOPD exige al respecto. Al margen del pequeño detalle de que el Responsable del Fichero tiene que implantar las medidas de seguridad apropiadas, a cada cliente, se le deberá solicitar permiso para almacenar y tratar toda esa información y por supuesto se le deberá indicar claramente la finalidad del tratamiento y si los datos en cuestión se van a ceder a algún tercero con cualquier finalidad. Conociendo lo permisivos que somos habitualmente los ciudadanos al conceder el consentimiento, me atrevo a decir que este último punto no supondría en su caso ningún problema, y menos cuando la negación de dicho consentimiento tenga como consecuencia la imposibilidad de estancia en el hotel o la inhabilitación de esta tecnología, ya que, ¿quién quiere ir a un hotel de última tecnología para no hacer uso de ella?

Claro ustedes seguro que pensarán que el equipo de ingenieros que han diseñado este servicio habrá analizado en detalle la LOPD y las consecuencias legales del servicio que están diseñando y montando. En las jornadas se hizo una pregunta en esta línea. ¿Cual creen ustedes que fue la respuesta? En fin, se trata evidentemente de un prototipo y como tal, seguro que el equipo que está desarrollando el mismo tomará buena nota, tanto de los aspectos comerciales del proyecto, como de los aspectos legales asociados al mismo. Veremos cómo evoluciona y lo comentaremos cuando encontremos novedades al respecto.

Para el último día de la semana, tenemos una entrada de Marcos García, Periodista digitalizado y Director estratégico de écran Comunicación Interactiva, donde trabaja planificando estrategias de comunicación y escribiendo al respecto en el blog EstrategicaMENTE. Tuitea, de vez en cuando, como @elplumilla.

Sirva esta entrada además para iniciar una nueva línea del blog, orientada específicamente a esa vertiente de la seguridad cada vez más importante, dedicada a velar por uno de los activos más importantes de la empresa: la reputación online.

La reputación de cualquier empresa es uno de sus activos más importantes. En un DAFO debería estar siempre entre las fortalezas de la marca y, sin embargo, lo más habitual es que no sea así. ¿Por una mala gestión de crisis? ¿por una imagen deteriorada? ¿por una campaña de desprestigio? En la mayoría de los casos, por ninguna de las tres. La mayor parte de empresas no cuentan con una reputación favorable simplemente porque no se han preocupado nunca de construirla ya que la reputación corporativa es, hoy más que nunca, una cuestión de disponibilidad de la información.

[Read more…]

Impresionante término acuñado por Stephen Baker en su libro “Los Numerati. Lo saben todo de ti“. El propio título no deja indiferente al lector.

Ahora bien, ¿es recomendable su lectura? En mi opinión el libro como tal es un poco aburrido, aunque el concepto de base es apasionante y puede poner los pelos de punta a cualquiera. Al margen de los casos que analiza, con demasiado detalle para mi gusto, hay otros muchos, incluso más interesantes, que ni siquiera menciona. Por tanto, siempre en mi modesta opinión, el libro, en su conjunto, se hace bastante pesado, pero en el inicio del mismo, la realidad a la que hace mención en el libro, es escalofriante, y es ésta precisamente la razón por la que recomiendo su lectura ya que en él Baker nos descubre un inframundo apasionante para los que nos dedicamos al mundo de la seguridad y, sin duda, tenebroso para los que simplemente son usuarios de las tecnologías de la información y las comunicaciones.

Los Numerati lo saben todo de nosotros. Analizan trillones de datos diariamente para establecer perfiles de usuarios, de compradores, de votantes y un largo etcétera. Legiones de ingenieros y matemáticos que escudriñan la red en busca y captura de información que permita establecer patrones de comportamiento, grupos de perfiles de usuarios, grupos de individuos. Los primeros de esta saga, o al menos los primeros famosos, fueron Sergey Brin y Larry Page, cofundadores de Google.

[Read more…]

Voy a comenzar mi andadura en este blog de seguridad hablando de una de las últimas normas publicadas, y de la cual, si aún no han oído hablar de ella, les aseguro que dentro de poco oirán. Es la norma UNE-ISO 28000:2008: “Sistema de Gestión de la Seguridad en la Cadena de Suministro”, sobre la que Toni ya comentó algo hace algunos meses, en su serie de seguridad sectorial. Esta norma se ha desarrollado en repuesta a la demanda por parte de la industria sobre la gestión de seguridad y la protección tanto de los bienes, como del personal y la información.

Tras los hechos de septiembre de 2001 en Nueva York, la concepción de riesgo en el mundo occidental aumentó, según Paul Rodgers, del Centro Nacional de Protección de Infraestructuras de la Oficina Federal de Investigaciones: Hoy, un potencial destructivo tremendo cabe en paquetes fácilmente transportables (bombas, gas neurotrópico o de nervios y agentes biológicos), y los ordenadores conectados a Internet pueden ser atacados desde cualquier punto de la tierra, por lo que hay una necesidad de aumentar la seguridad en todas las operaciones críticas y establecer un sistema de gestión global de la seguridad de toda la cadena de suministro de la organización.

Esta norma internacional se ha desarrollado en respuesta a esta necesidad de responder a las posibles carencias de seguridad que tienen las organizaciones de este tipo. Aunque, en teoría, esta norma internacional es aplicable a organizaciones de cualquier tamaño que trabajen en cualquiera de las fases de la cadena de suministro, en la práctica parece haber sido pensada fundamentalmente para la gestión de la seguridad de infraestructuras críticas, y claramente orientada a la seguridad de buques y de instalaciones portuarias. Se considera que la norma ISO 28000 es una norma genérica y que en un futuro habrá otras normas de seguridad que formarán parte de esta norma genérica.

La Norma Internacional ISO 28000 basa su formato en la norma 14001:2004 por su enfoque de los sistemas de gestión basados en el riesgo. Sin embargo, las organizaciones que hayan adoptado un enfoque basado en proceso de los sistemas de gestión, Norma ISO 9001:2000, pueden ser capaces de usar su sistema de gestión como base para un sistema de gestión de la seguridad. La gestión que propone la ISO 28000, al igual que las normas anteriormente nombradas, se basa en la premisa de mejora continua, consustancial a esta y a la mayoría de las normas ISO de gestión; el ciclo de Deming, más conocido como ciclo PDCA, es el mecanismo que garantiza la continuidad de las mejoras en el proceso de gestión.

La implantación de esta norma conllevará numerosos beneficios en la seguridad de la organización, asegurando con ello que es una organización comprometida con la seguridad tanto del personal que trabaja en ella como de sus instalaciones y la información que se intercambia en (y con) ella, mejorando así la imagen externa de la organización y el control de su entorno, favoreciendo una mejor integración con la sociedad, y asegurando el cumplimiento de la legislación referente a seguridad.

Actualmente, el Puerto de Houston ha sido el primero en recibir a nivel mundial la certificación ISO 28000, mientras que DHL Express Iberia ha sido la primera empresa que ha obtenido el certificado, otorgado por AENOR, para todas sus plataformas en España. Sin embargo, sin duda alguna en los siguiente meses veremos grandes organizaciones certificadas en este nuevo sello. Si la función de su organización está relacionada con la cadena logística o trabaja con grandes empresas cuyo sector de negocio es ése, le recomiendo un estudio detallado de la norma, del establecimiento de un sistema de gestión de la seguridad y de la posibilidad de implantación en la organización, ya que al igual que ha pasado con anteriores normas, no es descartable que en un futuro no demasiado lejano esta norma, ya sea por imagen o por exigencia de terceros, se convierta en una obligación.

En próximos posts entraremos más en detalle sobre los entresijos y particularidades de esta nueva norma.

Es la cifra que dijeron el otro día en las noticias de la sexta que había crecido la pornografía infantil, un 1000%. Sí, no es un error tipográfico: mil por cien. Profesores, policías, pediatras, abogados, médicos, ingenieros, arquitectos, empresarios, etc., no parece que haya un perfil claro. Lo único en lo que coinciden el 90% de los involucrados en estos casos es que son hombres. ¿Nos estamos volviendo locos? ¿Es que, de verdad, aquellos de estos que estén consumiendo este tipo de “producto” piensan que no van a ser cazados? ¿Tan poco inteligentes son? Si por lo que parece están tan preparados profesionalmente ¿por qué infravaloran y dudan del trabajo de los profesionales que quieren ponerlos a buen recaudo? Por otro lado, ¿qué estamos haciendo tan mal para que estas cifras crezcan de forma tan alarmante?

Hay muchas cosas que se pueden hacer para cazar a estos tipos. Somos capaces de poner trampas. La red esconde a los “malos” pero también sirve para esconder a los “buenos” que quieren desenmascarar a estos individuos. ¿Acaso creen que lo que hacen no está tan mal? La pornografía infantil existe porque hay quien está dispuesto a pagar por ella. Podría decirse que es incluso peor el comportamiento de quien cobardemente consume estos contenidos protegido por una pantalla de ordenador, que aquel que los produce. Soy un convencido de que la Red es el mayor vehículo de libertad que ha inventado el hombre pero a veces me pregunto, después de oír noticias como esta, si el precio que tenemos que pagar no es demasiado alto. Desde estas líneas quiero lanzar un grito contra toda esa gente, mayoritariamente hombres, que a la luz de un flexo y por la noche se convierten en cómplices y autores de tan execrables delitos.

Un modelo de seguridad se conforma a través de distintos tipos de salvaguardas. En mi opinión, las mejores son sin duda las medidas de disuasión, porque evitan el problema desde su origen. Pues bien, si esta pequeña entrada en este blog sirve algún día para disuadir a alguien, bienvenido sea. Lo que es seguro es que los que se metan en este tipo de “líos” van a acabar a buen recaudo y de esto no tengo la menor duda ya que todos estamos manos a la obra y en este caso, el primero, el propio legislador.

A nivel internacional, la Convención de las Naciones Unidas sobre los Derechos del Niño, ratificada por España por Instrumento de 30 de noviembre de 1990, comprometió a los Estados firmantes en el cumplimiento efectivo de tales derechos.

La Unión Europea, por su parte, ha aprobado a lo largo del tiempo diferentes instrumentos jurídicos dirigidos a propiciar una mayor seguridad en la utilización de Internet y las nuevas tecnologías mediante la lucha contra los contenidos ilícitos y nocivos, principalmente en el ámbito de la protección de las personas menores de edad, con el fin de crear un entorno de utilización más seguro, que impida un uso inadecuado o ilícito, especialmente en el caso de los delitos contra las personas menores, del tráfico de seres humanos o de la difusión de ideas racistas o xenófobas.

De hecho ya en el año 2000, concretamente en la Decisión del Consejo, de 29 de mayo de 2000, relativa a la lucha contra la pornografía infantil en Internet estableció la necesidad de que los Estados miembros adoptarán medidas con el fin de:

• alentar a los usuarios de Internet a indicar a las autoridades represivas los casos de presunta difusión de material pornográfico infantil en Internet;
• garantizar que las infracciones cometidas sean investigadas y sancionadas, gracias a la creación de unidades especializadas, por ejemplo en los servicios represivos;
• garantizar la rápida reacción de las autoridades represivas cuando reciben información sobre presuntos casos de producción, tratamiento, difusión y posesión de material pornográfico infantil.

Además, también se estableció que los Estados miembros deberían comprobar regularmente si la evolución tecnológica exige la modificación de su procedimiento penal en el ámbito de la lucha contra la pornografía infantil en Internet, y, para facilitar la colaboración entre los Estados, se difundiría una lista de puntos de contacto nacionales, disponibles las 24 horas del día, y de unidades especializadas, debiéndose informar a Europol de los presuntos casos de pornografía infantil y organizándose reuniones entre los servicios especializados nacionales.

Posteriormente en la “Decisión Marco 2004/68/JAI” del Consejo, de 22 de diciembre de 2003, relativa a la lucha contra la explotación sexual de los niños y la pornografía infantil se establecían claramente cuáles eran los comportamientos punibles que constituyen una “infracción relacionada con la pornografía infantil”, se realicen mediante sistemas informáticos o no:

• producción de pornografía infantil;
• distribución, difusión o transmisión de pornografía infantil;
• ofrecimiento o facilitación por cualquier otro medio material de pornografía infantil;
• adquisición o posesión de material de pornografía infantil.

También en esta decisión marco se establecían que las sanciones penales previstas por cada Estado deberían incluir una pena privativa de libertad de al menos entre uno y tres años. En los casos de determinadas infracciones con circunstancias agravantes dicha pena tendrá una duración de al menos cinco a diez años. La Decisión Marco proporciona una lista de circunstancias agravantes, sin perjuicio de otras circunstancias establecidas en la legislación nacional cuando:

• la víctima sea un niño que no haya alcanzado la edad del consentimiento sexual según el Derecho nacional;
• el autor haya puesto en peligro de forma deliberada o por imprudencia temeraria la vida del niño;
• la infracción se haya cometido empleando violencia grave contra el niño o causándole un daño grave;
• la infracción se haya cometido en el marco de una organización delictiva según la definición de la Acción Común 98/733/JAI.

La Constitución Española establece en su artículo 39, como uno de los principios rectores de la política social y económica, la protección a la familia y a la infancia, llamando a los poderes públicos a asegurar la protección integral de las hijas y los hijos y afirmando que «los niños gozarán de la protección prevista en los acuerdos internacionales que velan por sus derechos».

En este sentido, este mismo año España ha traspuesto la Decisión Marco 2004/68/JAI mediante la publicación de la Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal que, fundamentalmente en las modificaciones de sus artículos 183 y 189, establece lo recogido en la normativa europea.

Son, por tanto, numerosos, los instrumentos que tenemos para luchar contra este efecto indeseado de la red de redes. Lo que tenemos que conseguir es aplicarlos en toda su extensión y aislar a esos individuos que hacen de Internet un vehículo para la comisión de estos delitos.

Nosotros vamos a seguir trabajando activamente por la seguridad de los más pequeños en la red y estaremos encantados de colaborar en cuantas iniciativas y medidas se lancen en esta dirección. Estoy seguro de que entre todos conseguiremos reducir al máximo este problema con el fin de hablar de cifras de reducción del 1000 por cien en lugar del aumento equivalente.

A estas alturas todos estaremos de acuerdo en que nos enfrentamos a cambios singulares en la forma de entender la gestión de las infraestructuras TIC. La irrupción de los servicios de cloud computing, y con ellos la IAAS “Infraestructure as a service”, va a provocar en los próximos años una reestructuración de gran calibre en este tipo de servicios, en buena parte consecuencia del desarrollo masivo de los servicios de virtualización que nos permite cambiar nuestras máquinas virtuales de CPD o datacenter en un abrir y cerrar de ojos, al menos teóricamente.

Todo esto tiene unas implicaciones en materia de seguridad de proporciones colosales. Los modelos de seguridad actuales, fundamentalmente “estáticos”, tienen que evolucionar a modelos de seguridad “dinámicos” adaptados a las necesidades de los servicios en la nube, porque esta tendencia no tiene vuelta atrás. No se trata de que opinemos si es mejor o peor la seguridad de los servicios “cloud”, se trata de que diseñemos servicios de seguridad adecuados a esta realidad, que como todo tiene aspectos positivos y aspectos negativos.

Ganamos en algunas cosas. Uno de nuestros puntos débiles en la seguridad ha sido siempre la disponibilidad y la continuidad de negocio. En este caso, en la nube, con escenarios de siniestro complicados como la caída de un datacenter por un desastre natural, la solución parece al alcance de cualquiera y los RTO parecen asumibles por cualquier tipo de negocio. Es evidente que hay muchas cosas que rediseñar en los servicios de seguridad en la nube.

Tomemos el caso de Google que tenía, en 2008, 36 localizaciones para sus centros de procesos de datos con entornos virtualizados que les permite cambiar estas ubicaciones de forma, digamos, “ágil”. Uno de sus objetivos es, lógicamente, minimizar el coste de hospedaje de su infraestructura y dado que podemos asumir que en un datacenter el 50% del coste es el coste energético de la refrigeración, entenderemos que los gestores de la infraestructura de Google busquen términos de eficiencia energética cada vez mejores. Por lo que hemos leído el factor PUE (Power use efficency) alcanzado por Google es impresionante: 1,21 de media. Esto supone que cada watio útil que llega a una máquina que da servicio a sus clientes necesita 1,2 watios de consumo real. Evidentemente esto se puede conseguir haciendo uso de datacenters que requieren poco uso energético para refrigerar las maquinas y por tanto llevándose, por ejemplo, los sistemas a localizaciones frías que utilicen aire del ambiente para refrigerar las salas técnicas. Todo esto se puede además complicar utilizando estrategias tipo “follow the moon” mediante las que buscamos tarifas nocturnas de consumo energético y por tanto tarifas económicas que, en definitiva, permiten reducir el coste de suministro eléctrico de la máquina y directamente el coste del servicio.

Si en este entorno empezamos a pensar en seguridad la primera reacción es la de estupefacción. Si ya es complicado conseguir un nivel de seguridad adecuado en entornos estáticos desde el punto de vista físico, si el entorno lógico, con la virtualización, es un entorno altamente cambiante y además el físico también, el resultado es directamente un manicomio especializado en la práctica de torturas, como medida terapéutica, para los profesionales de la seguridad.

Evidentemente este escenario que se nos viene encima no es compatible con las prácticas de seguridad actuales de la mayor parte de las empresas especializadas en este tipo de servicio. Este escenario nos está pidiendo a gritos que adaptemos las políticas, los procedimientos, los controles, los sistemas de monitorización y gestión de la seguridad a estos entornos que cambian a una velocidad endiablada.

Pensemos, por ejemplo, en un análisis de riesgos tradicional. En nuestra opinión, los análisis de riesgos tradicionales son ya de por si poco útiles, sobre todo si hacen uso de metodologías pesadas y complejas como puede ser el caso de algunas metodologías que todos conocemos ;-). Vaya por delante que son metodologías muy valiosas y que conforman un buen punto de partida teórico, pero que en mi opinión no pueden ser utilizadas de forma práctica sin los matices pertinentes. ¿Por qué? Básicamente porque nos enfrentamos a entornos en continuo cambio. Cuando se diseñaron este tipo de metodologías se hicieron pensando en infraestructuras manejables, con evoluciones tranquilas, y en las que revisar el análisis de riesgos periódicamente una vez al año podía ser suficiente. Estas no son las hipótesis de partida a las que nos enfrentamos hoy y por tanto estas metodologías no sirven cuando las aplicamos tal cual fueron diseñadas.

Nos enfrentamos a entornos cambiantes desde el punto de vista lógico, con continuas variaciones que tienen impactos en la estrategia de seguridad clarísimos y por si fuera poco, en virtud de lo comentado en la introducción de esta entrada, nos enfrentamos también a entornos físicos cambiantes. En estas circunstancias las amenazas son variables, sus probabilidades también y por tanto los riesgos también. En definitiva, dentro del marco de servicios dinámicos de seguridad al que nos hemos referido, tendremos que diseñar metodologías ágiles de análisis de riesgos en tiempo real.

Mucho vamos a tener que trabajar para poder definir un marco global de productos y servicios de seguridad dinámica en este nuevo entorno, y mucho tienen que opinar lectores asiduos de este blog en esta materia… pasen en cualquier caso, ya sea pasados por agua o no, un buen fin de semana.

Aquellos que me conocen saben que hace aproximadamente cuatro meses comencé un curso de escalada, en concreto de la modalidad denominada “deportiva” (que es a la que me referiré el resto de la entrada, aunque en gran parte es aplicable a la clásica), casi por curiosidad, y aquello ha desembocado en lo que es sin duda mi principal afición hoy en día. La cuestión es que no se me ocurren muchos ámbitos en los que la seguridad tenga un componente tan importante, tanto en material, como en técnicas; es tan importante que el arnés esté en perfecto estado como saber cómo montar una reunión a 250 m. de altura. Como casi cualquier actividad, la escalada tiene sus riesgos intrínsecos, derivados de desprendimientos de rocas, una mala caída, material defectuoso,o el simple azar que hace que la cuerda vaya por un lado y no por otro; no por nada cualquier material de escalada trae una leyenda que advierte de los peligros mortales de la actividad.

Uno de los temas más importantes y costosos en la escalada (y en el montañismo en general) es el material. Mientras que para jugar al baloncesto el material deportivo puede ser más o menos importante, para la escalada es algo vital, literalmente, y eso se paga: una cuerda en mal estado puede dar con tus huesos en el suelo, y pueden imaginarse que lo siguiente es organizar el funeral. Por ello, todo el material de escalada tiene que pasar una serie de normas de seguridad ISO, que comprueban la resistencia del elemento y certifican que el material es adecuado para dicha actividad; luego, cada cual que lo utilice bajo su responsabilidad. En cierto modo, es similar a nuestro sector: una hoja Excel sirve para lo que sirve, y no es válida (en general) para gestionar datos de salud de un centro médico; no obstante, eso queda a discreción de la empresa, que deberá asumir la responsabilidad si se enfrenta a una inspección de la AEPD o a una pérdida de datos.

Como en la seguridad a la que probablemente usted esté acostumbrado, en este contexto también existe una dura riña entre la “funcionalidad”, representada principal pero no únicamente por el peso, y la seguridad; podríamos hacer cuerdas que fuesen capaces de aguantar la caída de un coche, pero su peso supondría una dificultad añadida e innecesaria que no quieres tener cuando estás escalando. En el otro extremo, subir con una cuerda de 5 mm que apenas aguante 5 Kn es lo más cómodo después de subir en libre, pero no muy recomendable si aprecias tu vida en algo. La idea, como en cualquier otro ámbito, es conseguir la mayor funcionalidad posible, con las mayores garantías de seguridad (más Kn, más caídas de nivel 2, más resistencia, etc.).

Dicho esto, la cantidad de material que se utiliza en escalada susceptible de deteriorarse y cuya degradación conlleva un gran peligro es muy grande: mosquetones de seguridad (HMS), cuerdas, arneses , cintas express (véase la imagen), etc. Lo cierto es que aunque uno preste atención al material, es imposible asegurar que todo él se encuentra en perfecto estado; es difícil llevar la cuenta del número de caídas que se han tenido, o de la fuerza de una caída. Debido a ello, el material de escalada tiene fecha de caducidad aproximada: aunque no hayamos utilizado apenas una cinta express, su uso no está recomendado más allá del tercer o cuarto año, y si el uso ha sido intensivo, este periodo puede reducirse de manera importante. Algunos fabricantes incluso indican la fecha de fabricación, de manera que uno puede saber cuánto tiempo hace que la cuerda se manufacturó.

Por supuesto, todas estas recomendaciones vienen directamente dadas por el fabricante. Sin embargo, algunas voces del mundo de la escalada critican que esta política se deriva no siempre de una situación real de riesgo, sino del interés económico de las compañías; nadie puede negar que el negocio del miedo es algo muy lucrativo. Recuerdo haber leído que Petzl había realizado pruebas de resistencia sobre algunos arneses con muchos más años de los recomendados, y los resultados fueron muy superiores a lo esperado, manteniéndose dentro de los parámetros aceptables.

Tras esta breve pero interesante (no me lo negarán) introducción, llega la aplicación a nuestro sector, en la que aunque somos juez y parte, haré más de juez que de parte. Por tanto, déjenme, sin perder el hecho de que S2 Grupo es una empresa de seguridad, plantearlo desde una perspectiva externa: ¿hasta qué punto podemos decir que las compañías de seguridad, informática en este caso, se parecen a las empresas de material de escalada en lo que les comentaba? ¿Son necesarios todos los sistemas, aplicaciones, estructuras y personal implicado en la gestión de la seguridad? Ya sea el desarrollo de un Plan de Continuidad de Negocio, un programa antivirus o antispyware, la adaptación a la LOPD, los sistemas cortafuegos software o hardware, la implantación de SGSIs, la monitorización de infraestructuras o la formación de los trabajadores ¿Está el negocio de la seguridad alimentado en parte y de manera intencionada por falsas amenazas? ¿Exageran las empresas los riesgos de seguridad a los que las organizaciones están expuestos? Visto de otra forma, ¿somos presa de organizaciones paranoicas que ven incendios, virus, intrusiones y criminales hasta en la taza del váter? ¿Es Internet realmente tan insegura? ¿Nos estamos volviendo todos locos?

O por el contrario, ¿están las empresas de seguridad en lo cierto, y en realidad sólo hemos visto la punta del iceberg de lo que se avecina? ¿Son los ataques de denegación de servicio, o los robos de información confidencial y personal no sólo algo mucho más habitual de lo que suponemos, sino también más serio? ¿Nos estamos preparando correctamente para las actividades de redes de criminales que operan, gracias a Internet, de manera global? ¿Estamos olvidando con demasiada facilidad la importancia, capacidad y habilidades de miles de usuarios malintencionados repartidos por el globo, a menudo sin un control legislativo nacional que limite e impida sus actividades? ¿Tenemos en cuenta los intereses geopolíticos que se juegan en Internet las grandes potencias? ¿Ignoramos demasiado a menudo las consecuencias de conectar un sistema a Internet, potenciando la funcionalidad sobre la seguridad? Dicho de otra forma, y volviendo a la analogía con la escalada, ¿hasta qué punto nos la estamos “jugando”?

Más allá de los comentarios que puedan dejar a continuación (que espero que sean muchos), ¿cual es su opinión al respecto?

A la hora de verificar el estado de nuestra red o en caso de detectar alguna anomalía, es práctica habitual hacer uso de un analizador de protocolos de red. Una de las herramientas más utilizadas para llevar a cabo esta función es Wireshark, la cual nos proporciona una forma cómoda y gráfica (aunque para aquellos de la línea “clásica”, dispone de línea de comandos) de capturar los paquetes de red para su análisis.

Normalmente, para llevar a cabo esta tarea, debemos configurar una interfaz del switch de nuestra red en modo monitor (mirroring o SPAN), habitualmente la que nos conecta con el firewall, y configurar el switch para que reenvíe todo el trafico a un equipo donde tenemos el analizador; esta configuración también la podemos encontrar en implantaciones de NIDS, puesto que a grandes rasgos, trabajan de forma similar.

Para la captura de tráfico de nuestra red, existen no obstante otras opciones que se basan en la captura realizada en los propios firewalls de nuestra red, o si estamos llevando a cabo el análisis de una gran red, es posible que ésta disponga de equipos Cisco con sistema Cisco NX-OS (antiguo SAN-OS), un sistema operativo diseñado para entornos de datacenter. Estos sistemas nos pueden facilitar la tarea de análisis de trafico en el plano de control (control plane), es decir, el tráfico que mantiene la funcionalidad de la red (protocolos de enrutamiento, gestión de infraestructura de red,.. ).

El sistema Cisco NX-OS se encuentra implantado en equipos de comunicaciones de ultima generación, como por ejemplo, las series Cisco Nexus 7000 (o Nexus 5000), una plataforma modular altamente escalable que soporta velocidades de 10Gigabit Ethernet (e incluso 100Gbps), pensada para unificar entornos LAN y SAN, convirtiendo el equipo Nexus en múltiples switches lógicos, los cuales ejecutan procesos totalmente independientes. Para facilitar tareas como el análisis de red, estos sistemas incorporan el comando Ethanalyzer, basado en la version 1.0.8 de Wireshark, que nos permite de forma cómoda capturar y decodificar los paquetes de red, usando el mismo tipo de filtros que la herramienta original, pudiendo salvar las distintas capturas para analizarlas posteriormente.

Aunque debido a su coste es poco probable que la mayoría de nuestros lectores dispongan de un sistema como los descritos, para aquellos que tengan la suerte de poder administrarlos, Ethanalyzer puede hacerles la vida un poco más fácil. Los demás tendrán que conformarse con la versión de servidor de Wireshark, que no es poco.

Por extraño que nos parezca, mucho me temo que la lógica de los usuarios en el ámbito de la seguridad es bastante similar al de la tira cómica. Quizá es hora de que alguien elabore un estudio antropológico al respecto, que desentrañe los misterios que encierra la mente del usuario. No por nada, y como dice Toni, la mayor parte de los problemas técnicos, incluyendo los de seguridad, se reducen a “PLBKAC”: Problem lies between keyboard and chair.

(Tira cómica por Marco Canepa, en juanelo.cl. Gracias a Paco Benet por la referencia.)