Security Art Work

Como todos los que leemos habitualmente este blog sabemos, en los últimos años han aparecido en el panorama nacional diferentes centros de respuesta ante incidentes de seguridad informática (CSIRT, Computer Security Incident Response Team); seguramente los más conocidos son CCN-CERT e INTECO-CERT, ambos ya operativos y que se unen a los clásicos esCERT e IrisCERT, creados éstos a mediados de la década de los 90. A todos estos centros se unen otros equipos de grandes empresas, como La Caixa (e-LC CSIRT) o de administraciones autonómicas, como la andaluza, la catalana y la valenciana.

Dentro de este ámbito, el autonómico, en la Comunidad Valenciana está operativo desde hace meses CSIRT-CV, el Centro de Seguridad TIC de la Comunidad Valenciana; como se indica en su propia página, se trata de un centro contemplado en el Plan Estratégico de Comunicaciones Avanzadas de la Generalitat (AVANTIC) que tiene como objetivo la prevención, detección, asesoramiento, seguimiento y coordinación necesarios para hacer frente a incidentes de seguridad informática.

El funcionamiento del centro, plenamente operativo en estos momentos, se rige por tres grandes líneas de actuación:

• Prestación de servicios de información, como los servicios de alertas sobre nuevas amenazas y vulnerabilidades.
• Prestación de servicios de soporte y coordinación para la resolución de incidentes.
• Realización de labores de investigación, formación y divulgación de seguridad de la información.

A través de la página web del centro, de sus foros, y de sus boletines periódicos y extraordinarios se puede acceder a todos estos servicios, principalmente orientados a Generalitat Valenciana, pero extensibles a ciudadanos de toda la comunidad. Desde el reporte de incidencias de seguridad, a la suscripción a alertas de los fabricantes más habituales (Cisco, Sun Microsystems, Oracle…), pasando por el acceso a documentación relativa a seguridad desde diferentes puntos de vista. También es importante la colaboración del centro con empresas privadas, administraciones, FFCCSE, grupos de interés… relacionadas con seguridad, colaboración e intercambio de información que hoy en día se hace imprescindible siempre que hablamos de seguridad.

Evidentemente, se trata de un primer paso -fundamental- hacia un centro de seguridad global para nuestra Comunidad; aunque la mayor parte del camino está por recorrer, CSIRT-CV se encuentra, como hemos dicho, plenamente operativo y ofreciendo los servicios anteriormente citados. Para nosotros, cualquier iniciativa que trate de potenciar la seguridad de una u otra forma (técnicamente, a nivel informativo, etc.) siempre es bienvenida; especialmente en el ámbito de la Administración Pública, en la que a diario se maneja información privada de todos nosotros y que por tanto a todos nos interesa que sea protegida adecuadamente. Ójala cunda el ejemplo que en este caso han dado algunas administraciones -entre ellas la valenciana- en el resto de autonomías, y que se potencie de la mejor forma tanto la seguridad en estos ámbitos, como el intercambio de información y la colaboración entre centros de seguridad similares.

Para acabar, un apunte dirigido a los más susceptibles; como todos sabeis, en este blog tratamos de no hacer nunca publicidad de empresas o de servicios (ni propios ni mucho menos de la competencia), pero consideramos que el caso de CSIRT-CV, aún a riesgo de parecer publicidad del centro (aunque no sea una empresa sino administración pública, obviamente), bien merece un post como reconocimiento al trabajo que se está realizando en este ámbito.

PD Sabemos que el personal de CSIRT-CV es lector asiduo de nuestro blog, así que desde aquí los animamos a que amplien la información que hemos proporcionado y nos mantengan a todos al tanto de los avances o cambios de interés que se vayan produciendo en el centro (y que se puedan contar, obviamente). ¡Venga, animaos! :)

La aceptabilidad de un determinado control es un factor crítico cuando hablamos de implantar salvaguardas en nuestras organizaciones. No nos engañemos: podemos implantar la mejor política perimetral en el mejor cortafuegos, el pasillo mecanizado más moderno, la política de contraseñas más robusta… si los usuarios no las aceptan, estas medidas fracasarán antes o después: los usuarios acabarán con tarjetas 3G conectando desde sus portátiles a Internet, el vigilante de seguridad abrirá el pasillo para que no se acumule gente en horas punta, y todos apuntarán sus contraseñas en postits.

Las medidas de seguridad más efectivas no suelen ser aquellas que sólo son técnicamente más avanzadas que el resto, sino que a esa eficacia -que se presupone- se debe unir un alto grado de aceptabilidad; hace años, estudiando acerca de sistemas de autenticación, leía un ejemplo muy significativo: quizás un modelo de autenticación rápido, barato y robusto podría basarse en un análisis de ADN o similar (me lo invento, por supuesto, no sé si analizar ADN en la actualidad es barato, rápido y robusto). Al acceder a una sala de acceso restringido, o a un sistema informático, podríamos sustituir las tarjetas inteligentes o las contraseñas por un simple análisis de sangre u orina del usuario, que en caso de ser satisfactorio abriría una puerta o una aplicación. Sencillo, ¿verdad? Probablemente, desde el punto de vista de seguridad, sería perfecto, pero el nivel de aceptabilidad haría que el sistema fracasara: poca gente está dispuesta a dar sangre para abrir una puerta, y tampoco a tener un botecito con la leyenda “Deposite aquí su muestra”.

La aceptabilidad de las medidas de seguridad es cada vez más crítica conforme la medida es invasiva o puede poner en riesgo -o parecer que pone en riesgo- la privacidad del usuario; en biometría encontramos los casos más claros: el análisis de huellas se asocia a criminales, el análisis de retina puede permitir la detección de enfermedades -aparte del miedo lógico a que un escáner nos barra el ojo-, etc. Modelos de autenticación biométrica técnicamente estupendos han fracasado debido a que los usuarios no aceptan el sistema, y por tanto evitan utilizarlo o tratan de engañarlo por cualquier medio.

De esta forma, es responsabilidad de los que trabajamos en seguridad el implantar controles no sólo técnicamente correctos, sino ACEPTABLES por parte de aquellos que tienen que vivir con ellas día a día. Es especialmente importante que nuestras medidas de seguridad sean aceptables cuando repercuten en el trabajo de los usuarios menos concienciados con la seguridad: si a un técnico le obligamos a utilizar contraseñas de veinte caracteres para entrar en un router, entenderá que se trata de una importante medida de seguridad, pero si obligamos a utilizar una clave igual de larga a alguien del departamento de Recursos Humanos para acceder a su correo electrónico, acabará apuntándola en cualquier sitio o utilizando contraseñas triviales.

Evidentemente, no podemos seleccionar nuestros controles de seguridad en base únicamente a la aceptabilidad que van a tener en la organización; si así fuera, seguramente no implantaríamos ninguna medida de seguridad y dejaríamos la protección del negocio al libre albedrío de los usuarios, aproximación que significaría desprotección total (o best effort, en el mejor de los casos). Como siempre, necesitamos un equilibrio entre seguridad y, en este caso, aceptabilidad; si logramos dicho equilibrio, podremos estar seguros de haber implantado una medida que funcionará correctamente y que se mantendrá en el tiempo, garantizando así la seguridad de nuestro negocio.

Estas navidades fui obsequiado con una flamante sudadera azul con un inmenso logotipo en letras blancas que anunciaba Nike just do it! Me parece que no es necesaria una descripción más detallada puesto que todos tenemos en mente el popular icono de esta marca deportiva.

Tras la abundante pitanza de la cena y enfundado en mi nueva prenda me dispuse a abrir el Pub de la plaza del pueblo, bar que junto con mi primo con gran ilusión compramos hace ya algunos años. Subí con gran esfuerzo la persiana oxidada del local golpeándome súbitamente un olor, como diría yo… un olor así como a mueble-bar antiguo, ya sabéis, esa puerta de obertura horizontal que nuestros abuelos tenían en el salón de casa y que siendo niño no te dejaban abrir. Tres botes de ambientador en spray solucionaron el problema, así mucho mejor.

Me dirigí al fondo del local donde tengo, en el privado, una caja de herramientas. Sacando un gran martillo y un par de enormes clavos me dispuse a colocar en la pared el cuadro que me amiga Silvia me había pintado y que desde hacia tiempo le había prometido que colocaría a la entrada. Precioso quedó arriba de las butacas de raso, y es que esta chica tenía casi tanto talento como el mismísimo Picasso.

Iba siendo hora ya de comenzar a crear ambiente, así que puse uno de los últimos discos que había adquirido y de un par de brincos me metí detrás de la barra. En ese preciso instante una voz grave desde la puerta dijo:

—Buenas Noches.
—Buenas noches —contesté yo— ¿Qué desea?
—Mire, represento a la Sociedad General de Autores Gráficos, SGAG y venia a reclamarle el canon visual por su sudadera y… ¡ese cuadro que tiene en la pared!
—Canon visual, ¿usted está loco?, ¿qué quiere decir con canon visual? —respondí enérgicamente.
—Sí mire, ya que usted tiene una obra creada por un autor de nuestra sociedad, este debería percibir una modesta parte de sus ingresos debido a que todo cliente de su local puede disfrutar visualmente de su sudadera o de su flamante cuadro. Así que debe pagar 300 euros mensuales si quiere exhibir públicamente esos objetos.
—Pero bueno, esta usted en sus cabales, quiere decir que ¿tengo que pagar por ponerme una prenda que he comprado o un cuadro que me han regalado?
—Sí —contestó el cuervo negro.
—¡Márchese ahora mismo de mi local y no vuelva por aquí!

Madre mía, ¿había enloquecido este hombre pasto de los polvorones navideños? Cuando todavía no me había repuesto de semejantes barbaridades, oí nuevamente una voz estridente que decía:

—Buenas Noches.
—Buenas noches —contesté yo. Era un tipo bajito con un maletín negro de piel. —¿Qué desea?
—Mire, represento a la Sociedad General de Autores de Perfumes, SGAP y venia a reclamarle el canon aromático por el ambientador que utiliza.
—¡¿Canon aromático?! —¡Madre mía! parece que el especial de “Mira quien baila” navideño ha hecho bastante daño este año.
—¿Qué quiere decir con canon aromático? —respondí desconcertado.
—Sí mire, ya que usted utiliza un ambientador con derechos de autor, nuestra sociedad debería percibir una modesta parte de sus ingresos, debido a que todo cliente de su local puede disfrutar olfativamente de su fragancia y su persona se esta lucrando haciendo uso de ella. Así que debe pagar 300 euros mensuales si quiere dispersar públicamente su ambientador.
—Joder, el mundo esta lleno de tarados, ¡me está diciendo que tengo que pagar por que mis clientes huelan mi spray perfumado!
—Efectivamente —contestó la pequeña alimaña.
—Lárguese de aquí enseguida antes de que le eche a patadas.

Dios mío, salió más rápido que el anterior. No daba crédito a lo que me estaba sucediendo; parece ser que la gente se estaba buscando la vida de forma un tanto extraña últimamente, pero a mi no me iban a engañar.

—Buenas Noches. —Madre mía, ¿quien será ahora?, pensé.
—Mire, represento a la Sociedad General de Autores y Editores, SGAE y venia a reclamarle el canon de derechos de autor por toda la música que usted tiene en el local y de la cual se esta lucrando al emitirla a sus clientes.

Reflexiones navideñas…

Los que nos dedicamos a Seguridad siempre hemos oído (y asumido como propio) aquello del equilibrio entre seguridad y funcionalidad: debemos conseguir una seguridad aceptable para los procesos corporativos de nuestra organización, pero al mismo tiempo sin degradar el correcto funcionamiento de dichos procesos y permitiendo que el negocio continúe; y todo esto, por supuesto, en base a los recursos de los que dispongamos y a la estrategia corporativa. Dicho de otra forma, si mi seguridad se basa en mantener siempre los sistemas críticos apagados o las puertas de mi oficina comercial cerradas permanentemente, lo más probable es que sea el más seguro… de la cola del paro.

No obstante, conforme la seguridad se ha convertido en una materia multidisciplinar en las organizaciones, en las que ya no hablamos sólo de seguridad sino que ampliamos el concepto a protección del negocio, y tocamos ramas tan dispares (¿o no?) como la seguridad legal, la continuidad del negocio, la seguridad física o la seguridad lógica, nos encontramos con que en ocasiones no sólo debemos mantener el equilibrio del que hablábamos antes (seguridad vs. funcionalidad, seguridad vs. coste) sino que además debemos anteponer en ocasiones una visión de esa seguridad frente a otras.

Imaginemos que nuestra compañía organiza unas sesiones comerciales para presentar sus nuevos productos, sesiones a las que va a acudir algún que otro VIP. Cuando desde Seguridad se solicita a Protocolo la relación de personas que van a asistir, para determinar qué medidas de protección es necesario adoptar, Protocolo nos dice que por la LOPD no puede facilitarnos esta relación (o sí que puede, pero tardará N días, cuando la sesión es dentro de N-1 días). ¿Qué hacemos? Aparte de iniciar los trámites necesarios para que no vuelva a ocurrir, tenemos dos opciones: si queremos proteger adecuadamente a las personas que acuden al evento, debemos conseguir esa lista por algún medio, y si queremos cumplir con la ley, no podemos conseguirla… En cualquier caso, el problema tiene mala solución, ¿verdad?

A diario en nuestro trabajo podemos encontrar ejemplos como el anterior. Ya no sólo se trata de garantizar la seguridad global de la organización, sino que en ocasiones se trata de anteponer una visión de la seguridad a otras; como hemos dicho, los riesgos que debemos evaluar sobrepasan muchas veces el habitual “seguridad vs. funcionalidad”. Sólo un detalle: tengamos en cuenta que la protección de personas siempre suele ser el elemento más crítico en cualquier organización (por si sirve de pista para solucionar el problema anterior ;).

Ah, podemos enlazar esta entrada con la serie acerca de Problemas LOPD, en este mismo blog… ¿o no es lo mismo?

No, no me he equivocado. Esta mañana leía en un foro lo siguiente, con fecha del pasado 22/12 21:40h:

Al parecer, este problema afectaba únicamente a los clientes de prepago, y aunque no he indagado demasiado en el error, también existía alguna relación entre el usuario que el cliente veía cuando accedía, y las fechas de alta de la tarjeta o el programa de puntos de ambos. Vodafone dió de baja el acceso a dicha sección de la web a partir de las 12h del día siguiente, un poco tarde en mi opinión para un operador nacional de móvil de estas dimensiones. A pesar de ello, hasta ayer 29 los medios de comunicación no se hicieron eco del problema, y todo gracias a la denuncia interpuesta por Facua contra Vodafone ante la AEPD. Sin mayores reflexiones, sirva este último caso como colofón a un año que nos ha traído la entrada en vigor de un nuevo reglamento y un buen montón de fugas, pérdidas, robos, evaporaciones, transmutaciones y venta de datos de carácter personal, algunas públicas, otras (¿muchas?) no. Y discúlpenme que no ponga los enlaces, pero es que son muchos.

No podíamos acabar el año sin dar respuesta al tercer problema LOPD, aunque lo cierto es que todos los participantes habéis acertado de pleno y no creo que pueda añadir demasiado. Más allá de las medidas que Atmedsa debe implantar en relación con sus propios trabajadores, la idea era centrarse en la relación responsable – encargado del tratamiento.

La verdad es que, si les gustan los puzzles, la situación en la que Atmedsa y Plásticos Cremallera están es un bonito rompecabezas que incluso es parcialmente regularizable. ¿Se han planteado que Plásticos Cremallera, contra todo pronóstico, podría actuar de Encargado del Tratamiento de los datos responsabilidad de Atmedsa, dando servicios de soporte informático? Entre otras muchas cosas, deberían firmar un contrato de acceso a datos y Cremallera disponer de un Documento de Seguridad como Encargado del Tratamiento. Claro que el tema de las llaves del armario no hay manera de regularizarlo.

No obstante, el señor Botón y su amigo, que se dedica “a eso de la LOPD”, son partidarios de las soluciones sencillas. De la navaja de Occam y del Principio KISS (Keep It Simple, Stupid) que tanto le gusta a Tanenbaum. Y por eso se dan cuenta de que convertir a Plásticos Cremallera en Encargado del Tratamiento de Atmedsa, es, aparte de una estupidez, y perdónenme el lenguaje, un marrón considerable teniendo en cuenta el nivel de los datos que el servicio médico gestiona.

Así pues, en la línea de las soluciones indicadas, es imperativo que el servicio médico tenga en exclusiva las llaves del armario, y recomendable que los equipos informáticos sean proporcionados por Atmedsa. Vuelve a ser imperativo que el soporte técnico de los equipos (copias, registro de acceso, cifrado, etc.), independientemente de quien lo proporcione, no lo preste técnicos de Plásticos Cremallera, sino personal de Atmedsa o una tercera empresa contratada por ésta (desde el punto de vista de cumplimiento, ese es ya su problema y no el de Plásticos Cremallera). Es recomendable que se disponga de segmentación en la red, tanto para evitar el acceso al equipo del servicio médico por parte del personal de Plásticos Cremallera (esto debe ser preocupación de la empresa del servicio médico) como para impedir que el personal médico tenga acceso a la red corporativa (y esto, preocupación de Cremallera). En este caso en particular, la solución ideal podría ser en mi opinión una ADSL directa al equipo del médico sin ningún tipo de conexión con la red corporativa, pero por supuesto eso tiene un coste (tanto económico como de gestión, y en este caso yo deshabilitaría lógicamente cualquier punto de red a menos de 5 metros del router ADSL). Y creo que, aunque no haya añadido nada, eso es más o menos todo; ¿qué les parece?

Ahora, déjennos que tomemos las uvas, pensemos un poco y el año que viene venimos con más problemas. Total, es pasado mañana. Así pues, feliz año a todos, con puente o sin él.