Security Art Work

Esta es una pregunta que suele surgir con frecuencia en organizaciones que ya tienen uno o más sistemas de gestión implantados, y abordan un proyecto de implantación de SGSI. ¿Integramos, o los “llevamos por separado”? Nuestra experiencia nos dice que hay enfoques muy diversos a la hora de enfrentarse a esta pregunta.

Algunos clientes tienen claro desde el principio que quieren que su SGSI esté integrado con el Sistema de Gestión que ya tienen implantado, otros que prefieren mantenerlos independientes, y otros que aunque parten de un planteamiento definido, resistencias dentro de la organización (los responsables de los sistemas de gestión ya implantados, en ocasiones) o la detección de sinergias aprovechables les hacen cambiar de opinión. Tengo que decir que nosotros, como S2 Grupo, siempre recomendamos integrar el SGSI con cualquier Sistema de Gestión que se encuentre ya implantado, y ahora veremos porqué.

Es (para nosotros) obvio que de la integración de varios Sistemas de Gestión se obtienen muchos beneficios, y prueba de ello en la propia ISO 27001, en relación a un Sistema de Gestión de Calidad y un Sistema de Gestión Medioambiental, se indica que:

[Read more…]

Dentro de la serie dedicada a seguridad sectorial, vamos a tratar hoy brevemente aspectos de seguridad en hoteles y establecimientos similares. El principal reto al que nos enfrentamos al hablar de seguridad en hoteles es el propio negocio del sector: la continua fluctuación de viajeros que entran, salen o se alojan en el hotel, 24 horas al día y 365 días al año. Este enorme trasiego de personas define unas amenazas características a la seguridad hotelera: por un lado, las que afectan a la integridad de las personas que hay en el hotel (tanto huéspedes como trabajadores), y por otro las que afectan a la información asociada a los viajeros: protección de datos de carácter personal, medidas antiterroristas… No hablaremos de otra amenaza común, pero aparentemente asumida por todas las cadenas hoteleras: el hurto de pequeños objetos (toallas, pilas, ceniceros…) en la habitaciones por parte de los propios huéspedes.

Desde el punto de vista de las amenazas contra la integridad de las personas, sin duda en los hoteles la principal de ellas es el incendio; si en cualquier ubicación un incendio es preocupante, lo es más todavía en los hoteles, debido a tres características de estos centros: el desconocimiento por parte de los huéspedes de las instalaciones y vías de evacuación, la cantidad de personas que puede haber durmiendo en el momento de producirse un incendio y, por último, las dimensiones globales del hotel y por tanto la cantidad de personas en su interior. Para minimizar riesgos relativos a incendios, en todos los hoteles existen vías de evacuación diseñadas y señalizadas según normativa, así como indicaciones de las mismas en las habitaciones del hotel. Es más que recomendable, al llegar a la habitación, pegarle un vistazo a estas indicaciones y hacernos una idea de qué deberíamos hacer en caso de incendio; como se suele decir, nunca pasa nada, pero cuando pasa es el peor momento para ponernos a leer las indicaciones, buscar las salidas de emergencia, etc.

En lo que respecta a la información de los viajeros, sin duda lo más llamativo del sector es el libro registro y los datos enviados diariamente a las FFCCSE para detectar posibles fugados, terroristas, etc. Todos los hoteles (además de hostales, campings…) están obligados a mantener un libro registro de viajeros, por el decreto Decreto 1513/1959 de 18 de agosto, a rellenar una ficha con los datos de cada viajero mayor de 16 años que se aloje en el hotel (manteniendo dichas fichas para su posterior consulta por parte de la Policía, si así se requiriera) y a enviar el parte de viajeros, dentro de las 24 horas siguientes al hospedaje, a las FFCCSE (habitualmente, Cuerpo Nacional de Policía). Obviamente, este envío se puede realizar a la antigua usanza (imprimimos los partes, o los rellenamos a mano, y nos los llevamos a la comisaría más cercana) o, más adecuado al S.XXI, a través de una página web del CNP habilitada a tal efecto (https://w3.policia.es/). Al menos en teoría, la Policía debe revisar esta información y, si se encuentra alojada en el hotel alguna persona en busca y captura, actuar en consecuencia; hay muchas leyendas en torno a estas actuaciones, pero lo cierto es que quien tenga la desgracia de llamarse como un terrorista, un fugado o un mafioso, por poner unos ejemplos, puede llevarse más de un susto cuando se encuentra durmiendo en el hotel…

Sin entrar en temas de este nivel, pero también referente a los problemas relativos a la información de los viajeros, nos encontramos la protección de datos de carácter personal que debe realizarse en el hotel, al igual que en cualquier otro centro, pero con un condicionante: los hoteles son lugares en los que son habituales encuentros “secretos”, no tanto para tratar temas ilegales, sino para cerrar acuerdos comerciales, políticos, citas sentimentales -con una pareja que no es la habitual-, etc. Aunque cualquier hotel tiene una política de seguridad que comprende, entre otros aspectos, la protección de los datos de sus clientes, y por supuesto ningún empleado nos va a revelar el nombre de los huéspedes del hotel, en la práctica no resulta difícil, mediante técnicas de ingeniería social, conseguir ciertos datos que, sin ser especialmente relevantes, si pueden determinar aspectos útiles para alguien que quiera conocer ciertas actividades de sus socios, competidores, empleados o parejas… “Soy fulanito de tal, quería hacer una reserva. Estuve alojado allí en septiembre, no recuerdo la fecha…”. “Sí, señor de tal, aquí lo tengo. Efectivamente, fue en septiembre, en concreto el 24…”. O “No, en septiembre no estuvo aquí, su última estancia es de marzo…”. En fin, historias truculentas, propias en algunos casos del periodismo rosa más que de la seguridad :)

Habiendo recorrido en entradas anteriores (véase I y II) aspectos del Esquema Nacional de Seguridad como su origen, su ámbito, su finalidad y los actores involucrados, en esta tercera entrada relacionada con esta temática veremos, aunque de momento sea por encima, los contenidos prácticos del mismo.

Resumen de contenidos del Esquema Nacional de Seguridad

Los puntos destacados a continuación pretenden ser los conceptos más importantes que introduce, desde mi punto de vista, el Esquema Nacional de Seguridad. Incluimos los artículos donde se alude al concepto descrito, pero tengamos presente que alguna de estas ideas se recoge no solo en un artículo concreto, sino a lo largo de todo el documento.

[Read more…]

(La entrada de hoy es la quinta colaboración de Francisco Benet, que como ya les hemos comentado anteriormente es un amigo de algunos de nosotros —y familia de algún otro— que tiene gran experiencia en la gestión e integración de sistemas, protección de datos de carácter personal y evaluación de soluciones de integración de software y hardware, entre otros aspectos. Esperamos que les guste.)

Para empezar, todo este ’embrollo’ debe comenzar, cómo no, con la generación de una política, que esté en consonancia con la Política de Clasificación de la Información (ver estas dos entradas sobre el tema). Hay que destacar que un aspecto crítico en todo este jaleo es el aspecto legal, ya que el documento en sí mismo puede tener unos aspectos legales importantes que constituyen el principal handicap (y que veremos más adelante).

Por tanto, en la definición de dicha política esta altamente implicado el departamento legal, tanto para definir los periodos de retención, como para poder traducir todos los requerimientos legales en la definición del par categoría del documento-período de retención. Otros participantes deberán ser Dirección y el Responsable de Seguridad, como responsables y encargados de implantar y hacer cumplir dicha política (aunque la figura puede ser otra). Otro de los principales problemas que no debemos olvidar es la destrucción de la información no necesaria; esto deberá estar plasmado en la política.

[Read more…]

Dentro de los posts dedicados a la seguridad en las eléctricas (que a su vez se engloba en la serie de Seguridad Sectorial, que todos seguís atentamente en este blog :), toca el turno de los aspectos relativos al transporte, transformación y distribución de la energía para hacerla llegar al usuario final (véase entradas anteriores: [Introducción][Producción][Control]).

El transporte de energía eléctrica se realiza desde las centrales productoras, que hemos comentado en un anterior post, hasta las centrales de transformación, donde se modifican las características para distribuir la energía hasta el usuario final. En esta etapa de transporte se utilizan líneas de alta tensión, con una distribución geográfica muy extensa, lo que ya de entrada implica varios riesgos considerables: por un lado, los relativos a la falta de vigilancia de las líneas (robos, hurtos, sabotajes…) y por otro los relativos a las amenazas naturales (desde tomentas eléctricas hasta desprendimientos que puedan comprometer la línea). El primero de estos grupos no suele ser habitual, a pesar de que las condiciones —por ejemplo, el aislamiento— lo favorezcan, debido por un lado debido a la peligrosidad de las instalaciones (¿quién se atreve a meter mano en una torreta de alta tensión?) y por otro a la escasa repercusión que estos actos tendrían a nivel social: si se produce un ataque a una línea que la deja inutilizada, se distribuiría energía desde otra central. En lo que respecta a amenazas naturales, las instalaciones implicadas en el transporte suelen ser robustas, incorporando desde protecciones contra rayos hasta elementos estructurales frente a avalanchas, por lo que sólo fallarían en el caso de problemas de relativa magnitud.

Una vez llega la energía a la central de transformación, se modifican sus características para hacerla llegar, a través del proceso de distribución, hasta el usuario final. En estas centrales, que pueden estar ubicadas en lugares muy diversos en cuanto a seguridad, el principal problema con el que nos podemos encontrar (aparte de los sabotajes o el vandalismo y de las amenazas de origen natural, comunes a casi todo el proceso) es el robo o hurto de material: se trata de estaciones automatizadas, sin presencia humana habitual, y en ocasiones muy aisladas, lo que las convierte en un objetivo fácil de los ladrones (por ejemplo, es común el robo de cobre o material de trabajo para su venta posterior).

Finalmente, ya transformada la energía, se hace llegar al usuario final a través de la distribución, basada de nuevo en una infraestructura similar al transporte (torretas y elementos de conducción), y por tanto con problemas; en esta etapa, quizás una de las mayores amenazas es el robo en las instalaciones finales de distribución, ubicadas habitualmente en núcleos urbanos pero sin personal en ellas, y en cuyo interior encontramos material equivalente al de las centrales de transformacion.

Por supuesto, en todo este proceso existe un componente de seguridad que no hemos nombrado hasta ahora: la protección de las personas frente a accidentes causados por la energía eléctrica. No obstante, y dado que considero que se trata de un tema más de Prevención de Riesgos Laborales que de Seguridad, de momento no profundizaremos en este tema (¿algún experto en PRL leyendo el blog que quiera aportarnos algo?).

Espero que esta “subserie” de entradas sobre el sector eléctrico les haya resultado de interés. En la próxima entrada de la serie, cambiamos de sector radicalmente. Espero que también les parezca interesante.

Muchas veces hemos oído el termino bastión o bastionar un servidor en una red DMZ. Este término es empleado cuando a una configuración por defecto de una instalación en un servidor se le realizan modificaciones para fortalecer la seguridad del sistema. A muchos de ustedes les vendrá a la mente Bastille en entornos RedHat.

Dichas modificaciones suelen estructurarse comúnmente en tres etapas:

• La primera etapa se centra en cerrar los puertos de aquellos servicios que escuchan por defecto y que no se requieren para las necesidades solicitadas para dicho servidor.
• La segunda etapa consiste en fortalecer la configuración de los servicios que si se necesitan mediante la restricción de los usuarios que pueden acceder a los servicios, restricción de ordenes que pueden realizar, control y filtrado de los datos que se le envían al servidor (XSS, SQL injection, etc), política de actualizaciones…
• La tercera etapa se centra en instalar el servidor en la red DMZ, la cual dispone de un firewall que restringe el acceso de las máquinas externas hacia la DMZ.

[Read more…]

En el entorno científico-tecnológico, con un buen nombre se tienen más probabilidades de llegar a algún sitio. Piénsese en el “método de la burbuja” como algoritmo de ordenación, en la “partícula de dios” (bosón de Higgs), en la computación cuántica o en la nanotecnología. Marketing científico, podríamos llamarlo. Viene esto a cuento de que, la semana pasada, asistí a la Jornada de Inteligencia Computacional Aplicada al Negocio, organizada por el ITI y me llamó la atención los nombres tan atractivos que tienen los tipos de algoritmos de que se trata en este campo: redes neuronales, inteligencia de enjambre, computación evolutiva… son nombres que inspiran.

Una de los ponentes, Arthur Kordon, de Dow Chemical, presentó una clasificación de las diferentes ramas de la Inteligencia Computacional que me resultó bastante esclarecedora y que paso a comentar de manera muy resumida. Algunas de estas técnicas son utilizadas en los sistemas de detección y protección de seguridad de la información. Ya hablaremos de ello.

Agentes inteligentes.
Se construyen diferentes agentes especializados, con un (micro)comportamiento y un objetivo definido en términos locales y emergen (macro)patrones de comportamiento en el nivel más alto del sistema. En otras palabras, definimos el comportamiento de partes simples del sistema y esperamos a que el resultado se muestre en un comportamiento global deseable.

Inteligencia de enjambre.
De nuevo, se definen agentes simples o boids, todos iguales, que interactúan localmente entre sí y con el entorno y que, sin que se haya definido un control centralizado, hacen emerger un comportamiento inteligente global y auto-organizado que consigue optimizar el sistema.

Computación evolutiva (algoritmos genéticos, entre otros).
Se expresan las ecuaciones para modelar un fenómeno en forma de algoritmos y se realiza una simulación evolutiva haciéndolos competir para alcanzar una solución óptima, a base de la recombinación de sus características y la selección de aquellos que tienen mejor comportamiento.

Lógica difusa.
Se consigue la optimización del control de un sistema complejo mediante el uso de sensores con variables no binarias, expresadas en términos cercanos a los usados por los seres humanos (difusos) y la aplicación de reglas de inferencia que utilizan esos valores “difusos”.

Redes neuronales.
Se consigue el modelado automático y el aprendizaje suministrando datos experimentales a una red que simula el funcionamiento de un cerebro animal (quizás decir humano sea decir demasiado).

Máquinas de soporte vectorial.
Se consigue la clasificación de datos mediante sistemas de modelado automático que aprenden a base de datos experimentales y se aproximan a la optimización de manera automática.

En general, se podría decir que todos estos métodos tienen en común la aceptación de que se renuncia a una solución exacta y analítica del sistema y se deja en manos de la auto-organización la obtención de una solución razonablemente buena del problema. Es una especie de imitación de los sistemas evolutivos naturales. En cierto modo, obtenemos una solución sin entender en el nivel macro cómo se llega a ella. Nos ocurre lo mismo, por ejemplo, cuando somos capaces de entender el funcionamiento de una neurona, pero no el de los procesos cerebrales de alto nivel. ¿No es inquietante?

En las conferencias de enise que les comenté en la pasada entrada, celebradas los pasados 27, 28 y 29 de octubre en León, tuve la suerte de asistir a una conferencia que, como ya he comentado en un post anterior, me gustó especialmente.

Habló D. José Manuel Maza, magistrado del tribunal supremo. Una persona que emana personalidad por los cuatro costados y que dijo muchas cosas en muy poco tiempo. Entre otras cosas habló de lo lejos que están las leyes que aplican los magistrados de la realidad del momento en el que nos encontramos, y de lo atados de manos que se encuentran en muchas ocasiones con el código penal que nos ha tocado vivir.

Hizo un comentario que me llamó mucho la atención: D. José Manuel estaba un poco disgustado porque había tenido que ausentarse de su puesto en un momento en el que se iba a debatir la postura que se tenía que adoptar, en general, con los asuntos relacionados con las redes P2P y la pornografía infantil.

[Read more…]

Son muchas las recomendaciones hechas por ITIL en su Gestión de Incidencias, todas útiles y de implantación obligatoria. Eso sí, ITIL no te las va a resolver, sino que te va a ayudar para establecer un proceso para gestionar cada una de las incidencias, aprender de ellas, ser más proactivos y reactivos, obtener mejoras de cada una de ellas y aplicarlas a la infraestructura IT que se tenga, que no es poco…

Saber reaccionar ante una incidencia es fundamental, y más aun si conlleva una pérdida de servicio. En este tipo de casos la experiencia es el rasgo más valorado para saber afrontarlas. Por mucha preparación técnica que se tenga, es difícil mantener la compostura y tener la serenidad suficiente para poder abstraerse de la presión y analizar la situación.

[Read more…]

enise es ya un clásico, joven, pero ya un clásico. A mí me gusta. Cada año parece que reúne a más gente del sector. Casi todos somos empresas proveedoras de servicios o de productos en el ámbito de la seguridad e instituciones públicas. Casi todas en el ámbito de la seguridad de la información, aunque se hacen tímidos intentos de dar cabida a proyectos y soluciones de seguridad fuera de ella. Hemos sido 520 los asistentes y 110 empresas e instituciones han estado representadas en León para ver que se está haciendo en España en esta materia. Es un foro de encuentro, un lugar y un momento para reposar y reflexionar sobre el sector. Un momento para establecer relaciones y recoger ideas.

El tema general del encuentro ha sido la innovación tecnológica en seguridad TIC. Ha habido algo de innovación, no demasiado, porque como dijo uno de los ponentes, exagerando un poco, esto parece como en la película “El día de la marmota”: Un año más vuelvo a estar aquí, hablando de lo mismo, a los mismos….para acto seguido hacer una exposición interesante con cosas totalmente nuevas. Bueno, no deja de ser una visión que, personalmente, no comparto, puede ser que una persona, un año después, no tenga nada nuevo que presentar. Cada uno es libre de exponer lo que estima oportuno en un evento de estas características. Nosotros, desde S2 Grupo, tenemos muchas cosas que contar y les adelanto que el año que viene estaremos allí, participando, para demostrar que esto no tiene porque ser así.

Bromas aparte, 180 han sido los ponentes. Tal vez demasiados porque no daba tiempo a que contasen mínimamente lo que estaban haciendo. Muchas conferencias; unas interesantes y otras prescindibles, sobre todo cuando el ponente se dedicaba a “contar su libro”; aunque se les había dicho explícitamente que no era un espacio en el que tuviese sentido hacer publicidad de sus empresas o productos, la verdad es que en algunas ocasiones se hacía caso omiso a esta recomendación. En mi opinión, “craso error” porque el efecto que se consigue en los asistentes es el contrario del que pretende. Al hacer esto parece que no tengan nada interesante que contar en un espacio en el que teóricamente se debe hablar de innovación tecnológica en seguridad TIC.

Echo en falta, por parte de la organización, y lo digo como crítica constructiva, una evaluación de los ponentes por parte de los asistentes que sirva de base para filtrar, en futuros “enises”, las conferencias y los conferenciantes y, tal vez, un filtrado temático por parte del equipo organizador. Por el contrario, la logística del equipo de INTECO espectacular. Una organización que en mi opinión no merece crítica alguna. ¡¡Enhorabuena a todo el equipo de Inteco!!

Personalmente me parecieron muy interesantes, en general, los puntos de vista de miembros de las fuerzas y cuerpos de seguridad del estado, de las fiscalías representadas y de magistrados que también participaron; todo un acierto por parte de INTECO. No es habitual encontrar a estas personas, con un papel tan importante en el proceso de la seguridad, opinando sobre pruebas, leyes, procedimientos, tecnologías, etc. Mi conclusión al respecto es un poco desalentadora: vivimos en mundos distantes, aunque gracias a personas como las que tuvimos la suerte de escuchar en las conferencias es posible que consigamos construir puentes entre ambos mundos.

Me llamaron mucho la atención las mini-conferencias de D. José Manuel Maza, magistrado del tribunal supremo y de D. Jorge Bermúdez, miembro de la Fiscalía provincial de Guipúzcoa. Desde el punto de vista de la conferencia en sí, ambas fueron en dos palabras “im-presionantes”. En primer lugar por la capacidad de síntesis y facilidad de exposición, y en segundo lugar por la claridad con la que presentaban asuntos delicados; aunque decían ser legos en la materia, no tenía desperdicio nada de lo que decían al respecto. Les recomiendo que si en alguna conferencia leen estos nombres como ponentes, acudan a escucharlos, merece la pena.

Universidad, Instituciones e Industria estaban también representadas en el encuentro. Tuvimos la oportunidad de asistir a un fugaz y amargo debate entre Universidad e Industria protagonizado por D. Gianluca D’Antonio, Presidente de ISMS Forum y CISO de FCC, con el catedrático de la Universidad Carlos III de Madrid, D. Arturo Ribagorda, en el que la Industria en general, representada por Gianluca, se quejaba de lo divergente del camino que está recorriendo la Universidad, alejada de los intereses reales de la sociedad y de la industria, al menos en la materia que nos ocupa. La verdad es que, como miembros de la industria de la seguridad, nos sentimos muy identificados con las palabras expresadas por el Presidente de ISMS Forum. A nosotros, en Valencia, nos cuesta mucho encontrar grupos de investigación dentro de las universidades que estén desarrollando su actividad en estos campos. Si alguno de los lectores conoce algún equipo de investigación en alguna de las universidades de la Comunidad Valenciana con ganas de participar en proyectos de innovación e incluso de I+D con aplicación práctica, le agradeceríamos nos lo hiciese saber con un comentario a este post o enviando un correo a info@s2grupo.es. Le estaríamos eternamente agradecidos.

Desde el punto de vista institucional tuvimos también la suerte de escuchar, entre otros, a D. Miguel Ángel Amutio, hablando en nombre del Ministerio de la Presidencia de “su” Esquema Nacional de Seguridad, e incluso pudimos comentar con él, después en la comida, los avatares del mismo. Siempre es un placer escuchar a una persona tan serena y docta como él hablando de algo que nos va a afectar a todos directa o indirectamente. Nótese que lo de “su” ENS lo digo en tono de broma ya que durante la comida protestaba precisamente por el hecho de que algunas personas se referían en esos términos al ENS, mientras que él defendía que detrás del mismo hay mucha gente trabajando y aportando su conocimiento y buen hacer. Por lo que nos contó en su charla parece que tenemos el ENS a la vuelta de la esquina con todo lo que esto conlleva (véase las últimas entradas de Sergio sobre el ENS: [1][2]).

Las entidades de clasificación y certificación tuvieron también sus espacios en las jornadas. D. Carlos Manuel Fernández, Responsable de la Certificación de Sistemas de Gestión de la Seguridad de Información de Aenor, compartió con los asistentes la hoja de ruta de la entidad en aspectos relacionados con las Tecnologías de la Información y Comunicaciones en general y con la Seguridad en particular.

En definitiva y por no extenderme más de la cuenta, creo que enise es, para los que de una u otra forma conformamos la industria de la seguridad en España, una cita anual obligada. También creo, y lo lanzo como reto a los organizadores, que se podría utilizar este encuentro como un catalizador de la concienciación en materia de seguridad en toda España y que precisamente por este motivo debería plantearse la necesidad de que enise fuese un evento itinerante, al margen de que la sede de INTECO, entidad que tan bien lo organiza, sea León.

Lanzo este reto a enise y a sus organizadores de INTECO y me brindo, desde S2 Grupo, a apoyar y a ayudar a INTECO a organizar este evento en Valencia el próximo año.

En definitiva, nuestra más sincera enhorabuena por el éxito del evento al Director General de INTECO, D. Víctor Manuel Izquierdo y a todo su equipo que tan de cerca han seguido el desarrollo del encuentro. Queda en el aire ese ofrecimiento…

Por cierto, coincido plenamente en las palabras de Víctor Manuel Izquierdo en la sesión inaugural: “La innovación es un imperativo categórico en materia de Seguridad”. Seguiremos contando algunas cosas de lo que en este encuentro aconteció.

(Tienen algunas de las ponencias en la página del enise: [Día 27][Día 28][Día 29])