Security Art Work

Como ayer apuntaba José Luis, estuvimos presentes en el congreso de ISACA Valencia 2010, realizado los días 19 y 20 de octubre en la Universidad Politécnica de Valencia. La sesión de ayer miércoles, dedicada a la e-Administración, comenzó con un par de ponencias dedicadas la primera de ellas al estado general de la administración electrónica en España, a cargo de Lorenzo Cotino (Universidad de Valencia), y la segunda a la interoperabilidad, a cargo esta de Roberto Santos, de Telefónica -o Movistar- (videoconferencia desde León con algún que otro problemilla técnico que finalmente pudo subsanarse).

Tras un café, continuó la jornada con una excelente ponencia de Manuel Caño (LBIGroup) en la que se desgranó de una forma muy clara la necesidad de la contratación electrónica para todos (AAPP, empresas…), los problemas a los que se enfrenta en la actualidad y las líneas de resolución que se están adoptando a nivel europeo -que pasan todas por la estandarización-. Tras Manuel, se formó una mesa redonda en la que participaron José Benedito (Diputación de Valencia), Mar Ibáñez (ACCV, en representación de la Generalitat Valenciana) y Ramón Ferri (Ayuntamiento de Valencia), y en la que se plantearon trabajos, problemas y reflexiones en torno a la e-Administración desde el punto de vista de la propia administración pública. Tengo que decir una vez más que lo que yo entendía por “mesa redonda” sigue sin coincidir con lo que entiende el resto del mundo, porque las mesas redondas que llevo viendo desde hace unos años se limitan simplemente a presentaciones más cortas que el resto de las expuestas en el congreso; pero salvado este detalle, decir que me gustaron especialmente las reflexiones personales de José Benedito a la hora de plantearse qué requiere un ciudadano de la administración (hablando de trámites administrativos, no asistenciales -sanidad, educación…-) y dejando en el aire si realmente hace falta todo lo que tratamos de hacer. A fin de cuentas, el 90% de los ciudadanos tenemos unas comunicaciones con las AAPP muy simples: declaración de la renta con AEAT, algunos impuestos con el ayuntamiento y poco más… ¿no estaremos matando moscas a cañonazos con tanta e-administración? Ahí queda eso :)

Para finalizar, decir que este año, para mi sorpresa, la afluencia de público al congreso ha sido mínima, tanto el primer día como el segundo (el último día había un poquito más de gente, pero nada perceptible). Comparado con el éxito de asistencia del congreso 2009, este año nos hemos llevado un chafón; confiemos en que 2011 sea mejor…

P.D. Aquí teneis la presentación con la que S2 Grupo participó en el congreso. Disfrutadla :)

No, no estamos hablando de dejar esta vida ajetreada de las ciudades e irnos al campo a vivir y alimentarnos de lo que cultivamos y criamos. Tampoco hablamos de “invertir” nuestro tiempo libre en juegos de una determinada red social para aprender las labores del campo. Este post viene a explicar el proceso que hemos seguido para optimizar el rendimiento de un sistema de detección de intrusos (IDS) en redes con una tasa de tráfico alta.

Hace tiempo se nos propuso preparar para un cliente un sistema de detección de intrusos de alto rendimiento, capaz de procesar una gran cantidad de tráfico totalmente heterogéneo. Así que preparamos una máquina con muy buenas prestaciones para asegurarnos que, por hardware, no iba a ser; a saber, un procesador de 6 cores con 4 GB de memoria RAM, tarjetas Gigabit Ethernet y un sistema NAS para albergar toda la información generada en una red que, suponíamos, iba a ser muy complicada de manejar por la cantidad, la variedad y la naturaleza de su tráfico.

Se optó por una de las soluciones más extendidas en los sistemas de detección de intrusos de código abierto: Snort.

[Read more…]

Durante el día de ayer y hoy, se celebra en la Universidad Politécnica de Valencia el congreso ISACA Valencia 2010 organizado por el capítulo de Valencia de ISACA, que lleva como título “Esquema Nacional de Seguridad e Interoperabilidad y e-Administración”. Durante la jornada de ayer se realizaron una serie de conferencias dentro del marco del Esquema Nacional de Interoperabilidad y Seguridad, en las que S2 Grupo participó como ponente, y de las cuales, procedemos a realizar un pequeño resumen introductorio a continuación.

Protección de Marca

Nuestro compañero Antonio Villalón (S2 Grupo) planteó diversas cuestiones relativas a la reputación, tanto a nivel personal como a nivel de empresa, reflexionando acerca de los problemas actuales, los mismos que hace años pero elevados a la enésima potencia, debido al acceso global a la información donde todo el mundo puede opinar (en ocasiones amparados por una sensación de anonimato en la red), y recalcando que mi reputación no es algo que dependa únicamente de mí. Esta situación ha generado nuevos patrones de ataque no sólo sintácticos (virus, DoS, troyanos, etc), sino también semánticos (daño por la interpretación de la información que hace el ser humano). Para acabar, Toni nos ha sugerido que busquemos nuestro nombre en Internet para ver qué información existe de nosotros.

[Read more…]

Hace ya unos años que se produjo el boom de ventas de novelas históricas y ambientadas en el medievo. Quizás el máximo exponente fueron los famosos “Pilares de la Tierra” de Ken Follet que, aunque se publicó en 1989, creo que no ha habido ninguna novela posterior de este género que la haya podido destronar. De hecho recientemente también ha servido para poner “de moda” las series históricas de TV, con la adaptación producida por Ridley Scott. En 2007 la novela de Follet tuvo su continuación con “Un mundo sin fin”, novela que continúa la trama con los descendientes de los protagonistas de los Pilares.

Y ustedes dirán: ¿y este hombre qué nos está contando? Que esto es un blog de seguridad…

Pues les voy a sorprender. Esto es como la teoría de los grados de separación, que dice que entre dos personas que no se conocen en el mundo hay una cadena de conocidos de no más de cinco personas, y por tanto seis saltos.

Voy a ello. Para escribir la segunda parte de los Pilares (por cierto, felicidades a las Pilares que lean este blog por su reciente santo), Ken Follet se inspiró en las obras de restauración de la Catedral de Santa María de Vitoria-Gasteiz, ciudad que me permito recomendarles, y que tuve el placer de disfrutar en mis primeros años en esto de la seguridad (allá por el año 2000), colaborando en un proyecto para la Diputación Foral de Álava. De hecho, la ciudad, en la que se hizo la presentación mundial del libro, ha honrado al escritor británico con una estatua de bronce en su honor.

[Read more…]

Hace unos minutos leía en elEconomista.es la siguiente información relacionada con Google Street View y los datos captados por los coches (se han corregido los errores tipográficos, abundantes al parecer por las intempestivas horas). El primer párrafo es introductorio, lo interesante son los otros dos (la negrita es del original, la cursiva mía):

[Read more…]

El mes pasado asistimos, en las jornadas de Eficiencia Energética organizadas por el Club de Excelencia en Sostenibilidad en Port Aventura, a una serie de conferencias en las que se presentaban mejores prácticas de grandes empresas en esta materia. Las jornadas fueron francamente interesantes y una de las conclusiones a las que llegamos al final de las jornadas es la importancia creciente de las técnicas de monitorización y gestión en tiempo real en este amplio campo, que, por si no lo saben ustedes, es una de las líneas en las que más estamos investigando y desarrollando en S2 Grupo desde la óptica de la “Seguridad de los Procesos”.

Entre las prácticas expuestas nos llamó mucho la atención la siguiente por su originalidad y por los aspectos del proyecto relacionados con la intimidad de las personas. Una de las cadenas de hoteles importantes de nuestro país ha presentado una iniciativa que desde el punto de vista de la eficiencia energética es original y muy interesante. El proyecto en cuestión es la Habitación Inteligente en la que las habitaciones del hotel en cuestión se monitorizan con el objetivo de analizar los perfiles de comportamiento de los clientes: se mide en tiempo real la temperatura y humedad, el consumo eléctrico, el consumo de agua fría y caliente y otros parámetros que pueden resultar de interés. El resultado es impresionante ya que el análisis de datos pasados nos permiten establecer patrones de comportamiento y por ejemplo premiar al cliente en el caso de que su consumo esté por debajo de lo que se considera normal para una época del año determinada o con unas condiciones atmosféricas determinadas, es decir, por el uso responsable de los recursos.

Si todo este historial lo ligamos a la tarjeta de fidelización de cliente que la cadena de hoteles tiene, resulta que asociado a la tarjeta en cuestión se puede almacenar una serie de parámetros que definen, con cierto detalle, nuestros gustos y costumbres en aras a dar un servicio cada vez más personalizado al cliente, lo que en mi opinión resulta impresionante. Personalmente creo que todo esto es bueno siempre y cuando los responsables de los proyectos de este tipo sean muy conscientes de lo que tienen entre manos y demuestren que es así abiertamente para que los clientes nos quedemos tranquilos.

La Ley Orgánica de Protección de Datos exige muchas cosas al respecto. Los datos recogidos mediante todo tipo de sensores en una habitación de un hotel, incluido los canales de televisión que nos gusta ver, definen sin duda alguna el perfil de la persona o las personas que ocupan la habitación y por tanto son, a priori, datos de nivel medio con los requisitos de seguridad que el Reglamento de la LOPD exige al respecto. Al margen del pequeño detalle de que el Responsable del Fichero tiene que implantar las medidas de seguridad apropiadas, a cada cliente, se le deberá solicitar permiso para almacenar y tratar toda esa información y por supuesto se le deberá indicar claramente la finalidad del tratamiento y si los datos en cuestión se van a ceder a algún tercero con cualquier finalidad. Conociendo lo permisivos que somos habitualmente los ciudadanos al conceder el consentimiento, me atrevo a decir que este último punto no supondría en su caso ningún problema, y menos cuando la negación de dicho consentimiento tenga como consecuencia la imposibilidad de estancia en el hotel o la inhabilitación de esta tecnología, ya que, ¿quién quiere ir a un hotel de última tecnología para no hacer uso de ella?

Claro ustedes seguro que pensarán que el equipo de ingenieros que han diseñado este servicio habrá analizado en detalle la LOPD y las consecuencias legales del servicio que están diseñando y montando. En las jornadas se hizo una pregunta en esta línea. ¿Cual creen ustedes que fue la respuesta? En fin, se trata evidentemente de un prototipo y como tal, seguro que el equipo que está desarrollando el mismo tomará buena nota, tanto de los aspectos comerciales del proyecto, como de los aspectos legales asociados al mismo. Veremos cómo evoluciona y lo comentaremos cuando encontremos novedades al respecto.

Para el último día de la semana, tenemos una entrada de Marcos García, Periodista digitalizado y Director estratégico de écran Comunicación Interactiva, donde trabaja planificando estrategias de comunicación y escribiendo al respecto en el blog EstrategicaMENTE. Tuitea, de vez en cuando, como @elplumilla.

Sirva esta entrada además para iniciar una nueva línea del blog, orientada específicamente a esa vertiente de la seguridad cada vez más importante, dedicada a velar por uno de los activos más importantes de la empresa: la reputación online.

La reputación de cualquier empresa es uno de sus activos más importantes. En un DAFO debería estar siempre entre las fortalezas de la marca y, sin embargo, lo más habitual es que no sea así. ¿Por una mala gestión de crisis? ¿por una imagen deteriorada? ¿por una campaña de desprestigio? En la mayoría de los casos, por ninguna de las tres. La mayor parte de empresas no cuentan con una reputación favorable simplemente porque no se han preocupado nunca de construirla ya que la reputación corporativa es, hoy más que nunca, una cuestión de disponibilidad de la información.

[Read more…]

Impresionante término acuñado por Stephen Baker en su libro “Los Numerati. Lo saben todo de ti“. El propio título no deja indiferente al lector.

Ahora bien, ¿es recomendable su lectura? En mi opinión el libro como tal es un poco aburrido, aunque el concepto de base es apasionante y puede poner los pelos de punta a cualquiera. Al margen de los casos que analiza, con demasiado detalle para mi gusto, hay otros muchos, incluso más interesantes, que ni siquiera menciona. Por tanto, siempre en mi modesta opinión, el libro, en su conjunto, se hace bastante pesado, pero en el inicio del mismo, la realidad a la que hace mención en el libro, es escalofriante, y es ésta precisamente la razón por la que recomiendo su lectura ya que en él Baker nos descubre un inframundo apasionante para los que nos dedicamos al mundo de la seguridad y, sin duda, tenebroso para los que simplemente son usuarios de las tecnologías de la información y las comunicaciones.

Los Numerati lo saben todo de nosotros. Analizan trillones de datos diariamente para establecer perfiles de usuarios, de compradores, de votantes y un largo etcétera. Legiones de ingenieros y matemáticos que escudriñan la red en busca y captura de información que permita establecer patrones de comportamiento, grupos de perfiles de usuarios, grupos de individuos. Los primeros de esta saga, o al menos los primeros famosos, fueron Sergey Brin y Larry Page, cofundadores de Google.

[Read more…]

Voy a comenzar mi andadura en este blog de seguridad hablando de una de las últimas normas publicadas, y de la cual, si aún no han oído hablar de ella, les aseguro que dentro de poco oirán. Es la norma UNE-ISO 28000:2008: “Sistema de Gestión de la Seguridad en la Cadena de Suministro”, sobre la que Toni ya comentó algo hace algunos meses, en su serie de seguridad sectorial. Esta norma se ha desarrollado en repuesta a la demanda por parte de la industria sobre la gestión de seguridad y la protección tanto de los bienes, como del personal y la información.

Tras los hechos de septiembre de 2001 en Nueva York, la concepción de riesgo en el mundo occidental aumentó, según Paul Rodgers, del Centro Nacional de Protección de Infraestructuras de la Oficina Federal de Investigaciones: Hoy, un potencial destructivo tremendo cabe en paquetes fácilmente transportables (bombas, gas neurotrópico o de nervios y agentes biológicos), y los ordenadores conectados a Internet pueden ser atacados desde cualquier punto de la tierra, por lo que hay una necesidad de aumentar la seguridad en todas las operaciones críticas y establecer un sistema de gestión global de la seguridad de toda la cadena de suministro de la organización.

Esta norma internacional se ha desarrollado en respuesta a esta necesidad de responder a las posibles carencias de seguridad que tienen las organizaciones de este tipo. Aunque, en teoría, esta norma internacional es aplicable a organizaciones de cualquier tamaño que trabajen en cualquiera de las fases de la cadena de suministro, en la práctica parece haber sido pensada fundamentalmente para la gestión de la seguridad de infraestructuras críticas, y claramente orientada a la seguridad de buques y de instalaciones portuarias. Se considera que la norma ISO 28000 es una norma genérica y que en un futuro habrá otras normas de seguridad que formarán parte de esta norma genérica.

La Norma Internacional ISO 28000 basa su formato en la norma 14001:2004 por su enfoque de los sistemas de gestión basados en el riesgo. Sin embargo, las organizaciones que hayan adoptado un enfoque basado en proceso de los sistemas de gestión, Norma ISO 9001:2000, pueden ser capaces de usar su sistema de gestión como base para un sistema de gestión de la seguridad. La gestión que propone la ISO 28000, al igual que las normas anteriormente nombradas, se basa en la premisa de mejora continua, consustancial a esta y a la mayoría de las normas ISO de gestión; el ciclo de Deming, más conocido como ciclo PDCA, es el mecanismo que garantiza la continuidad de las mejoras en el proceso de gestión.

La implantación de esta norma conllevará numerosos beneficios en la seguridad de la organización, asegurando con ello que es una organización comprometida con la seguridad tanto del personal que trabaja en ella como de sus instalaciones y la información que se intercambia en (y con) ella, mejorando así la imagen externa de la organización y el control de su entorno, favoreciendo una mejor integración con la sociedad, y asegurando el cumplimiento de la legislación referente a seguridad.

Actualmente, el Puerto de Houston ha sido el primero en recibir a nivel mundial la certificación ISO 28000, mientras que DHL Express Iberia ha sido la primera empresa que ha obtenido el certificado, otorgado por AENOR, para todas sus plataformas en España. Sin embargo, sin duda alguna en los siguiente meses veremos grandes organizaciones certificadas en este nuevo sello. Si la función de su organización está relacionada con la cadena logística o trabaja con grandes empresas cuyo sector de negocio es ése, le recomiendo un estudio detallado de la norma, del establecimiento de un sistema de gestión de la seguridad y de la posibilidad de implantación en la organización, ya que al igual que ha pasado con anteriores normas, no es descartable que en un futuro no demasiado lejano esta norma, ya sea por imagen o por exigencia de terceros, se convierta en una obligación.

En próximos posts entraremos más en detalle sobre los entresijos y particularidades de esta nueva norma.

Es la cifra que dijeron el otro día en las noticias de la sexta que había crecido la pornografía infantil, un 1000%. Sí, no es un error tipográfico: mil por cien. Profesores, policías, pediatras, abogados, médicos, ingenieros, arquitectos, empresarios, etc., no parece que haya un perfil claro. Lo único en lo que coinciden el 90% de los involucrados en estos casos es que son hombres. ¿Nos estamos volviendo locos? ¿Es que, de verdad, aquellos de estos que estén consumiendo este tipo de “producto” piensan que no van a ser cazados? ¿Tan poco inteligentes son? Si por lo que parece están tan preparados profesionalmente ¿por qué infravaloran y dudan del trabajo de los profesionales que quieren ponerlos a buen recaudo? Por otro lado, ¿qué estamos haciendo tan mal para que estas cifras crezcan de forma tan alarmante?

Hay muchas cosas que se pueden hacer para cazar a estos tipos. Somos capaces de poner trampas. La red esconde a los “malos” pero también sirve para esconder a los “buenos” que quieren desenmascarar a estos individuos. ¿Acaso creen que lo que hacen no está tan mal? La pornografía infantil existe porque hay quien está dispuesto a pagar por ella. Podría decirse que es incluso peor el comportamiento de quien cobardemente consume estos contenidos protegido por una pantalla de ordenador, que aquel que los produce. Soy un convencido de que la Red es el mayor vehículo de libertad que ha inventado el hombre pero a veces me pregunto, después de oír noticias como esta, si el precio que tenemos que pagar no es demasiado alto. Desde estas líneas quiero lanzar un grito contra toda esa gente, mayoritariamente hombres, que a la luz de un flexo y por la noche se convierten en cómplices y autores de tan execrables delitos.

Un modelo de seguridad se conforma a través de distintos tipos de salvaguardas. En mi opinión, las mejores son sin duda las medidas de disuasión, porque evitan el problema desde su origen. Pues bien, si esta pequeña entrada en este blog sirve algún día para disuadir a alguien, bienvenido sea. Lo que es seguro es que los que se metan en este tipo de “líos” van a acabar a buen recaudo y de esto no tengo la menor duda ya que todos estamos manos a la obra y en este caso, el primero, el propio legislador.

A nivel internacional, la Convención de las Naciones Unidas sobre los Derechos del Niño, ratificada por España por Instrumento de 30 de noviembre de 1990, comprometió a los Estados firmantes en el cumplimiento efectivo de tales derechos.

La Unión Europea, por su parte, ha aprobado a lo largo del tiempo diferentes instrumentos jurídicos dirigidos a propiciar una mayor seguridad en la utilización de Internet y las nuevas tecnologías mediante la lucha contra los contenidos ilícitos y nocivos, principalmente en el ámbito de la protección de las personas menores de edad, con el fin de crear un entorno de utilización más seguro, que impida un uso inadecuado o ilícito, especialmente en el caso de los delitos contra las personas menores, del tráfico de seres humanos o de la difusión de ideas racistas o xenófobas.

De hecho ya en el año 2000, concretamente en la Decisión del Consejo, de 29 de mayo de 2000, relativa a la lucha contra la pornografía infantil en Internet estableció la necesidad de que los Estados miembros adoptarán medidas con el fin de:

• alentar a los usuarios de Internet a indicar a las autoridades represivas los casos de presunta difusión de material pornográfico infantil en Internet;
• garantizar que las infracciones cometidas sean investigadas y sancionadas, gracias a la creación de unidades especializadas, por ejemplo en los servicios represivos;
• garantizar la rápida reacción de las autoridades represivas cuando reciben información sobre presuntos casos de producción, tratamiento, difusión y posesión de material pornográfico infantil.

Además, también se estableció que los Estados miembros deberían comprobar regularmente si la evolución tecnológica exige la modificación de su procedimiento penal en el ámbito de la lucha contra la pornografía infantil en Internet, y, para facilitar la colaboración entre los Estados, se difundiría una lista de puntos de contacto nacionales, disponibles las 24 horas del día, y de unidades especializadas, debiéndose informar a Europol de los presuntos casos de pornografía infantil y organizándose reuniones entre los servicios especializados nacionales.

Posteriormente en la “Decisión Marco 2004/68/JAI” del Consejo, de 22 de diciembre de 2003, relativa a la lucha contra la explotación sexual de los niños y la pornografía infantil se establecían claramente cuáles eran los comportamientos punibles que constituyen una “infracción relacionada con la pornografía infantil”, se realicen mediante sistemas informáticos o no:

• producción de pornografía infantil;
• distribución, difusión o transmisión de pornografía infantil;
• ofrecimiento o facilitación por cualquier otro medio material de pornografía infantil;
• adquisición o posesión de material de pornografía infantil.

También en esta decisión marco se establecían que las sanciones penales previstas por cada Estado deberían incluir una pena privativa de libertad de al menos entre uno y tres años. En los casos de determinadas infracciones con circunstancias agravantes dicha pena tendrá una duración de al menos cinco a diez años. La Decisión Marco proporciona una lista de circunstancias agravantes, sin perjuicio de otras circunstancias establecidas en la legislación nacional cuando:

• la víctima sea un niño que no haya alcanzado la edad del consentimiento sexual según el Derecho nacional;
• el autor haya puesto en peligro de forma deliberada o por imprudencia temeraria la vida del niño;
• la infracción se haya cometido empleando violencia grave contra el niño o causándole un daño grave;
• la infracción se haya cometido en el marco de una organización delictiva según la definición de la Acción Común 98/733/JAI.

La Constitución Española establece en su artículo 39, como uno de los principios rectores de la política social y económica, la protección a la familia y a la infancia, llamando a los poderes públicos a asegurar la protección integral de las hijas y los hijos y afirmando que «los niños gozarán de la protección prevista en los acuerdos internacionales que velan por sus derechos».

En este sentido, este mismo año España ha traspuesto la Decisión Marco 2004/68/JAI mediante la publicación de la Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal que, fundamentalmente en las modificaciones de sus artículos 183 y 189, establece lo recogido en la normativa europea.

Son, por tanto, numerosos, los instrumentos que tenemos para luchar contra este efecto indeseado de la red de redes. Lo que tenemos que conseguir es aplicarlos en toda su extensión y aislar a esos individuos que hacen de Internet un vehículo para la comisión de estos delitos.

Nosotros vamos a seguir trabajando activamente por la seguridad de los más pequeños en la red y estaremos encantados de colaborar en cuantas iniciativas y medidas se lancen en esta dirección. Estoy seguro de que entre todos conseguiremos reducir al máximo este problema con el fin de hablar de cifras de reducción del 1000 por cien en lugar del aumento equivalente.