La Edad Media

Después de la prehistoria, viene la edad media

Hace no mucho tiempo, digamos que unos 20 años, muchas empresas trabajaban con sistemas propietarios de las marcas que en aquella época estaban en auge. Podía encontrarse uno con los sistemas de Digital Equipment Corporation, Bull, etc., pero sin duda, toda aquella PYME de la época que tuviese cierto nivel de administración algo complejo optaba por los sistemas de IBM. Habían nacido los primeros mini ordenadores que eran asequibles, programables por el usuario, o por una empresa subcontratada.

El sistema operativo de aquellos “mini” ordenadores —el peso de la máquina podía llegar a unos 400 Kg.— era el SSP, que en sus diferentes versiones cubrió el abanico de los S/3X de IBM. El más utilizado en la época era el S/34, aunque ya existía el S/36, pero en cierto modo era bastante inalcanzable para aquellos que conservaban su S/34.

Mi trabajo en la época era de ingeniero de campo, por lo que me dedicaba a solucionar los problemas de dichas máquinas. Por lo general eran problemas de cableado de las pantallas, pero también ocurrían cosas como el bloqueo del sistema de frenado de los discos duros (que iba de 5 a 64 Mb). Hay que tener en cuenta que aquellos discos podían pesar unos 35 a 40 kilos, por lo que parar la inercia del giro era una ardua tarea, y para lo que se aplicaba la fuerza de un freno eléctrico con una zapata sobre el eje. Otros de los problemas podía ser que un módulo de memoria (de 8 Kb) fallase, y el peor desastre que podía ocurrir era que aterrizasen (literalmente, porque “volaban” controladas por un flujo de aire) las cabezas de lectura del disco duro.

Pues bien, en ese problema me vi metido en algunas ocasiones, pero la peor que recuerdo fue cuando en la empresa que me encontraba, filial de otra recientemente desaparecida, además de no tener las copias de seguridad al día, no sabían la contraseña del administrador del sistema. Restauré el contenido del disco a partir de la copia de seguridad más reciente, y tras ello arrancó el sistema operativo, pero para poder configurar lo básico y poder funcionar, se debía introducir la contraseña del administrador.

Hallé la solución por casualidad, en base a unas explicaciones ciertamente poco claras y no manuscritas: había que arrancar con el soporte de instalación del sistema operativo y utilizar la opción Debug. Esto proporcionaba una visión del contenido, byte a byte y en hexadecimal, del disco duro. En el primer segmento, aparecían varios caracteres diferentes de los 00 iniciales, por lo que deduje que la primera información que aparecía debía ser la que estaba buscando. Al no tener traducción a caracteres EBCDIC legibles, hice una sencilla operación: resté lo que estaba escrito del hexadecimal FF y me dio la clave: era el nombre del operador al revés.

Desde ese día, y con una pequeña orientación por mi parte en cuanto a seguridad básica, construyeron una verdadera fortaleza en cuanto al acceso al sistema. No hay nada cómo sufrir problemas de seguridad para que se despliegue la imaginación de los responsables.

Mi pregunta es: ¿Por qué no se conciencian desde el primer momento en que tienen a su cargo un sistema, que la seguridad es vital? Otra pregunta obvia que se me ocurre es: ¿Seguro que se le piden responsabilidades a aquellos que administran un sistema sin seguridad definida? Y la siguiente y última sería: ¿Es consciente el director general, al administrador, el gerente o el responsable de la empresa, de que su departamento de TI tiene una infraestructura de seguridad sólida y fiable?

Dejo la respuesta a esas preguntas como ejercicio para el lector.

ClickJacking

Clickjacking es una técnica reciente que ha sido descrita por varios especialistas de seguridad que han podido tener acceso a los detalles de la vulnerabilidad como TERROR?FICA. Según los datos que se han facilitado, la vulnerabilidad permitiría a un atacante preparar un sitio web malicioso mediante el cual podría realizar un “secuestro de clicks”, es decir, cada click que hagamos en el navegador podriamos estar clickando en otro sitio que no es el que pensamos, con el consiguiente riesgo de ejecución de malware y amenazas similares.

Los detalles de la vulnerabilidad, que afecta a practicamente todos los navegadores, iba a ser presentada en la OWASP AppSec de Nueva York pero parece ser que ha sido cancelada debido al riesgo de dar los detalles antes de que los fabricantes hayan podido desarrollar sus parches, hecho complicado puesto que según han confirmado ellos mismos no es una vulnerabilidad de fácil solución.

Por los datos que se han podido obtener, exploradores “lynx-like” no son vulnerables a este tipo de ataques. Otro de los datos que se ha publicado es que no tiene nada que ver con Javascript, por lo que usar complementos tipo NoScript no será 100% efectivo (aunque por lo que se ha podido averiguar sí que protegerá de algunos vectores de ataque).

A partir de estos datos que se han ido filtrando, varios especialistas en seguridad han “teorizado” sobre la posible vulnerabilidad, localizandola en un problema sobreponiendo un iframe transparente sobre otro que contenga otra web, de tal manera que al clickar en la web que consideramos inofensiva estamos clickando al mismo tiempo en enlaces de la web maliciosa. Hay sitios en los que incluso han creado una pequeña prueba de concepto.

Efectivamente, la solución teorizada parece tener sentido a partir de la información que ha sido facilitada de forma pública, pero no existe ninguna seguridad de que este sea el único vector de ataque.

Por ello, realizamos las siguientes recomendaciones a seguir hasta que se conozcan más detalles sobre la vulnerabilidad:

  • No clickar en enlaces que provengan de correo, MSN, etc, podrían llevarnos a una web maliciosa que parezca una web legítima.
  • Utilizar RUNAS (en Windows ó “su” en Linux) para lanzar un navegador con un usuario con mínimos privilegios en la máquina cuando queramos navegar libremente por páginas no conocidas, y NUNCA confiar en una web legítima que aparezca en este navegador.
  • Accede a las webs relevantes para tí desde los marcadores de tu navegador.
  • Esperar ansiosamente que en fabricante publique el parche que solucione la vulnerabilidad.

Comentarios “un poco” o “algo” inapropiados

Entiendo que en algunos casos, mi posición respecto a determinadas cuestiones en materia de seguridad pueda parecer algo “fundamentalista”; no obstante, sepan que admito que en este mundo, y a la hora de evaluar servicios o aplicaciones, existen otras cuestiones que también es necesario tener en cuenta, como la interoperatividad, la funcionalidad o la usabilidad, por citar algunas. Pero como suele decirse, la cabra tira al monte, y mientras paseaba por el blog de Mercè Molist, Port 666 me he encontrado con una entrevista a Lourdes Muñoz, portavoz de Sociedad de la Información y Telecomunicaciones del Grupo Socialista, en la que afirma que:

Un hacker es alguien que intenta saltarse un poco el sistema para conseguir algo, pero no es un delincuente.

[Read more…]

El nuevo CSO

Hace ya meses hablamos en este mismo blog de la convergencia de la seguridad, y en ese mismo post dedicábamos un escueto párrafo a la figura del nuevo Director de Seguridad (el CSO, como les gusta decir a los americanos).

Hasta hace unos años, en la mayor parte de organizaciones había dos figuras clave para la seguridad corporativa: el CSO (Chief Security Officer) y el CISO (Chief Information Security Officer); mientras que el primero era el responsable de las 3G (Guards, Guns and Gates), es decir, de la seguridad física o tradicional, el otro lo era de la seguridad de la información —en la mayor parte de casos, ocupándose únicamente de los aspectos tecnológicos de la misma—. Habitualmente, la relación entre ambos no solía ser la óptima (los “frikis” contra los “seguratas”), ya que por supuesto hay mucho terreno en común e incluso muchos “reinos de taifas” en juego; esta dualidad desembocaba en situaciones tan absurdas e indeseables como duplicidad de inversiones, duplicidad de esfuerzos o responsabilidades en materias de seguridad no definidas, con los consiguientes riesgos que esto implica.

Conforme los conceptos y las ideas que sustentan la convergencia de la seguridad (de nuevo, consultad aquel post de este mismo blog) comienzan a afianzarse en las organizaciones, la figura de un Director de Seguridad único se hace cada vez más necesaria. Este nuevo CSO, único en la organización, debe ser la referencia corporativa en materias de seguridad y el contacto único de la organización en este tema; obviamente, en la actualidad se trata de huir del Director de Seguridad clásico, focalizado en las 3G, y todos tendemos a buscar un CSO holístico, con una alta capacidad de gestión y capaz de gestionar el riesgo corporativo desde un punto de vista global. Como siempre, son factores críticos para garantizar el éxito -y por tanto, la seguridad- que el Director de Seguridad reporte directamente a la Dirección corporativa y que la confianza en el CSO sea total desde cualquier punto de la organización.

En España, la figura y funciones del Director de Seguridad vienen recogidas en la Ley 23/1992, de 30 de julio, de Seguridad Privada, y son autorizadas por el Ministerio del Interior. Para obtener el título de Director de Seguridad reconocido por este ministerio es necesaria, entre otras, la superación del examen o curso oficial de Director de Seguridad, realizado periódicamente en universidades y centros de estudio de todo el país; en Valencia, dicho curso puede realizarse en la Universidad de Valencia o en Florida Universitaria. Dicho curso aporta conocimientos generales de gestión de la seguridad, dirección de empresas, seguridad tecnológica, seguridad operativa y legislación, entre otros. Obviamente es un curso generalista en materias de seguridad, dirigido a su gestión efectiva y a conocimientos a grandes rasgos de diferentes áreas técnicas, que debe complementarse con la experiencia en la Dirección de Seguridad que sólo aportan los años de trabajo; en cualquier caso, un servidor echa en falta un pequeño punto en el que se hable de las tendencias internacionales en materias de seguridad, es decir, en el futuro de la seguridad desde un punto de vista holístico, que sin duda es hacia donde los directores de seguridad nos venimos dirigiendo consciente o inconscientemente.

Seguridad en la prehistoria

Ahora que está tan de moda revivir sucesos y acontecimientos de los años 70 y 80 (no hablo de D.C., sino del siglo pasado), antes de que existiese la necesidad de protegerse de los accesos exteriores de “curiosos” (por no llamarles de otra manera) a nuestras redes y sistemas, ya existía la preocupación por la seguridad. Recuerdo el primer sistema que vi en funcionamiento en una empresa: un IBM, del que no recuerdo el modelo pero posiblemente se llamaba P6 ó P36. El caso es que era similar a una máquina de escribir, con una esfera de caracteres que imprimía sobre el papel continuo todo aquello que se procesaba. Servía, además de consola de control del sistema y recepción de los mensajes del mismo, para obtener la salida de la información que procesaba el operador. El sistema operativo se cargaba mediante fichas perforadas, y cada uno de los programas con paquetes individuales de fichas muy similares, pero de colores diferentes. Contabilidad rosa, facturación verde, gestión de almacén azul, y sistema operativo gris. No existían usuarios y claves, ni tampoco bloqueos para el acceso, sino algo tan simple cómo un sitio seguro, como una caja fuerte controlada muy de cerca por la gerencia de la empresa. Al fin y al cabo, aquello había que protegerlo: había costado millones. Y entonces un coche de “categoría” valía 150.000 Pesetas.

Sin duda era la seguridad al uso, el no perder aquello por lo que se había pagado tanto. Sin embargo, debo decir que en aquella época no tenían consciencia del peligro que una máquina similar representaba: todo aquello que se imprimía en la consola acababa en la basura en forma de grandes cajas de papel continuo. Yo iba a la escuela en esa época, concretamente terminaba el bachiller y pasaba aquello que se llamaba reválida, y al salir de casa podía ver esas cajas de papel, e incluso utilizarlo para escribir en el reverso (sí, era buen chico y no cogía el extremo del papel y salía corriendo hasta la puerta del colegio con unos cuatrocientos metros de desastre detrás de mí).

Sin duda, situaciones tan aberrantes cómo aquellas en materia de seguridad de datos se seguirían viendo años después, y en la línea de una entrada anterior, debemos suponer que más de una empresa ha perdido sus clientes por saber la competencia el producto o productos que les servían, a qué precios y en qué escalado de tarifas según las cantidades servidas. De todos modos, en ocasiones da la sensación de que no nos hemos movido de los 70 en esa materia, cuando se encuentra en la basura de un juzgado los datos completos de maltratados y maltratadores en fichas perfectamente legibles.

Y a veces también nos preguntamos si es que las mentalidades de los empresarios formados entonces siguen ancladas en el pasado.

Comunicaciones comerciales

Esta mañana me he sorprendido al encontrar en mi buzón personal el siguiente e-mail (la ausencia de algunos acentos es del original):

[Texto de la comunicación comercial]

De conformidad con lo dispuesto por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de caracter personal, le informamos que sus datos, obtenidos de fuentes accesibles al publico asi como de entidades dedicadas a la venta de base de datos, seran incorporadas a un fichero responsabilidad de [Nombre Apellidos], siendo tratados con el objeto exclusivo del envio de publicidad sobre nuestros productos y servicios.

En este sentido. le indicamos que dispone de treinta dias para manifestar, por escrito, su negativa al tratamiento de datos descrito. Si transcurrido dicho plazo no hubiese manifestado su disconformidad en el sentido indicado, se entendera que presta su consentimiento para el tratamiento de sus datos de caracter personal en los terminos anteriores indicados.

Por otra parte, le comunicamos que podra usted ejercitar los derechos de acceso, rectificación, cancelación y oposición dirigiendose a [Nombre Apellidos] en [Dirección postal]; o bien remitiendo un mensaje a la dirección de correo electronico [e-mail].

[Read more…]

¿Espionaje? ¿A mí? ¡Venga ya!

Cuando uno oye hablar de espionaje industrial, la idea casi siempre va asociada a grandes “cosas”. A gigantes aeronáuticos —Boeing y EADS, por ejemplo— o automovilísticos —¿se acuerdan de Ignacio López de Arriortúa, popularmente conocido como Superlópez?—, a grandes despliegues tecnológicos como Echelon, o a informes de altos organismos internacionales advirtiendo del peligro de esta o aquella potencia económica emergente.

El caso es que, si nos atenemos a ese tipo de casos grandilocuentes, cualquiera se podría sentir más o menos a salvo; mucha gente con la que he trabajado, aunque no toda, parece haber respondido implícitamente a la siguiente pregunta: ¿quién podría estar interesado en la información que yo manejo? Pueden imaginar que algo como Nadie o Casi nadie es esa respuesta. Lo que me gustaría dejar claro con esta entrada, sin ánimo de meterle miedo a nadie, sino más bien al contrario concienciar, es que en realidad hay mucha más gente de la que parece interesada en esa información que usted cree que no interesa a nadie. Déjenme que me explique; hay un par de aspectos que me interesa comentar.

Tomemos primero una empresa de tamaño medio, como por ejemplo para la que yo trabajo: S2 Grupo. Dentro del área en el que me muevo, mi empresa presenta de manera regular ofertas para proyectos relacionados con consultoría y auditoría LOPD, implantación de SGSI, proyectos de continuidad de negocio o auditorías ISO 27002, entre otros. Día sí y día también, para conseguir esos proyectos hemos de competir con empresas de la competencia, que presentan sus propias ofertas con su correspondiente importe económico. Estoy seguro de que se hacen a la idea de lo crítico que resultan unos miles de euros arriba o abajo en el precio ofertado; eso puede decidir la balanza de un lado o de otro, y saber el importe que ofertamos sería de una extremada utilidad para cualquier empresa de la competencia (y viceversa, claro).

Siguiendo con el mismo ejemplo, piensen ahora en la licitación pública de un proyecto, en el que hay un determinado número de puntos asociado al importe económico; la gran mayoría de empresas que se presentan, por no decir todas, “matarían” por conocer el montante económico de sus rivales, ya que eso podría suponer la concesión del concurso público. No es difícil ver dónde voy a parar; la idea, si quieren extrapolarlo a un caso más general, es que la práctica totalidad de empresas manejan información que quizá no sea de utilidad para gigantes corporativos, pero sí lo es para mucha otra gente. Y aunque me he limitado a un ejemplo concreto, obviamente existen infinidad de ellos: márgenes comerciales, costes o métodos de producción, planos de diseño, estrategias corporativas, prototipos, proyectos I+D+i, etc.; la lista es interminable. Claro que no estoy afirmando que las empresas vayan por ahí robándole información a la competencia, pero estarán conmigo en que eso no quita para poner las medidas de seguridad apropiadas; y es mejor no tentar a la suerte.

Una vez hemos dejado claro que todo el mundo dispone de información que en algún momento puede ser interesante para alguien, pasemos a una gran empresa de esas que en opinión de cualquiera, sí dispone de información confidencial de mucho interés para sus competidores. Tomemos en este caso como ejemplo una multinacional con plantas industriales en infinidad de países, y antes de nada, y para atajar cualquier tipo de especulación, he de dejar claro que aunque he trabajado con varias multinacionales, este ejemplo no está basado obviamente en ninguna de ellas.

Como decía, en este caso, gran cantidad de personal trabaja con información que en manos de la competencia podría suponer un impacto serio para las actividades de la empresa; se me ocurre, por ejemplo, que un competidor patente antes que nosotros un medicamento, componente o pieza que hemos desarrollado. A pesar de ello, y este es el segundo aspecto que les quería comentar, y aunque parezca extraño, parte de ese personal no es consciente de la importancia que puede tener la información que maneja. Unas veces por mera inconsciencia o desconocimiento, otras por necesidades del momento, u otras por simples hábitos laborales (como el teletrabajo “no regulado”). Lo que importa, al fin y al cabo, es que la rutina laboral genera una serie de costumbres y hábitos perjudiciales que pasan desapercibidos.

Y aquí es precisamente donde debe entrar la empresa: a implantar procedimientos y políticas, a concienciar al personal, a obligar a utilizar herramientas corporativas, a ofrecer alternativas seguras. Es decir, allí donde se generan rutinas indeseables, cortarles los brazos (a las rutinas, por supuesto) y sustituirlas por otras que, sin impedir el flujo de trabajo, preserven la seguridad de la información corporativa que el empleado gestiona. ¿Que de qué estoy hablando? Pues estoy hablando del uso de USBs corporativos, políticas estrictas de contraseñas, de herramientas de cifrado, de políticas de copia de equipos personales, de registros de entrada y salida de soportes, de políticas de correo electrónico, de un estricto control del soporte papel, o de políticas de mesas limpias y bloqueo automático de sesiones, sin olvidar las necesarias sesiones de formación participativas, que resulten realmente efectivas y no —como en ocasiones es tristemente evidente— un mero entretenimento o una molesta interrupción más de mi jornada laboral.

Todo el mundo —yo el primero— tiene rutinas diarias a las que se acostumbra, que de una forma u otra, piensa que le hacen el trabajo más fácil, y de las que no intuye que pueden suponer un riesgo de seguridad. Tal y como yo lo veo, y disculpen la comparación (yo también soy un trabajador, un “currante”), es como sacar a pasear a un perro con una correa; no vamos a dejar de pasearlo, pero ahí está la correa para decirle por dónde puede y por dónde no puede pasear. El perro somos todos nosotros, y la correa, las medidas que les comentaba.

Esto es todo. Mi intención con esta entrada era dejar claros dos aspectos. El primero, que aunque no lo creamos, todos tenemos información que puede ser útil a terceras partes, y el segundo, que aún cuando pueda ser evidente que esa información existe, la mayor parte de las personas no nos comportamos como si fuésemos conscientes de ello.

Consideraciones de seguridad en entornos virtualizados

Hace ya unos cuantos meses introdujimos brevemente el concepto de entornos virtualizados, si recuerdan la entrada de nuestro compañero José Selvi. La cuestión es que cualquiera que haya tenido la oportunidad de “tocar” un entorno virtualizado ya sabe las ventajas que ofrece esta tecnología. Yo personalmente, aún recuerdo aquella época donde la llamada del operador 24 horas a las 2 de la mañana daba el inicio a una noche de nervios, crisis, backups y reinstalaciones hasta que el servidor volvía a la vida (si lo hacía).

Hoy en día, se pueden tener tranquilamente varios servidores “host” en un clúster albergando decenas de servidores virtuales. Estos servidores virtuales pueden migrarse de un host a otro en caliente, según se necesiten más o menos recursos; si hubiese un error crítico en uno de los hosts, automáticamente se balancearían todos los servidores virtuales de uno a otro. En resumen, llegas por la mañana, sacas un café y mientras lo saboreas te das cuenta que esa misma noche un “host” se ha apagado inesperadamente, pero que todos los servidores virtuales asociados siguen en marcha, esto es vida…

[Read more…]

SOX. Una breve introducción.

No sé hasta dónde llega su memoria histórica, pero es muy posible que recuerden el nombre de Enron, una empresa energética que se hizo mundialmente famosa por salpicar en un escándalo de fraude contable al actual presidente de los Estados Unidos a finales de 2001, y por desprestigiar gravemente a la conocida firma de auditoría Arthur Andersen. Quizá también les suene el nombre de Worldcom, que se declaró en bancarrota y ostenta el dudoso título de ser a día de hoy el mayor caso de bancarrota en la historia de EEUU (disculpen mi falta de vocabulario financiero técnico y/o legal); Enron le acompaña como segunda en el podio. Más allá de estos dos célebres casos, es posible que desconozcan que Tyco o Xerox estuvieron también implicadas en escándalos similares; y hay bastantes más.

Sin entrar en demasiados detalles, el denominador común a todos estos casos fue la utilización de “técnicas contables” que enmascaraban y ocultaban problemas financieros, que llegaban a ser de miles de millones de dólares, reflejando una falta de transparencia del gobierno empresarial y la situación contable y financiera. Noten que no he indicado que existiese una falta de control, porque dadas las características de dichos fraudes multimillonarios, en los que estaban implicados los principales responsables corporativos, no puede decirse que hubiese ausencia de control interno (aunque sí externo) en la medida en que las actividades fraudulentas eran premeditadas. Como respuesta a este tipo de fraudes, se introdujo en EEUU la ley conocida comúnmente como SOX, cuyo nombre completo es Sarbanes-Oxley Act of 2002.

Esta ley fue pensada y escrita con el propósito de incrementar la transparencia financiera de las empresas que cotizan en la bolsa estadounidense, protegiendo de este modo a los inversores y accionistas exigiendo fiabilidad, responsabilidad y exactitud en los datos financieros; salvando las distancias, que no son pocas, podríamos decir que SOX es, respecto a datos contables y financieros, lo que la LOPD es a los datos de carácter personal. La manera que SOX tiene de aplicar estos objetivos es mediante el establecimiento de controles que impidan y disuadan de la realización de actividades financieras ilícitas, además de introducir multas de hasta 5 millones de dólares y penas de cárcel de hasta 20 años para aquellos gestores cuyas empresas incumplan con los requerimientos de SOX. En la actualidad, esta es una de las leyes más completas y estrictas —quizá en algunos aspectos demasiado— en la prevención del crimen financiero, definiendo una serie de comportamientos fuertemente penados tales como alteración de informes financieros, amenazas contra posibles denunciantes de actividades irregulares (whistleblowing), o engañar y confundir a los auditores.

Hay que destacar que, por el espíritu de protección de los accionistas e inversores que tiene SOX, su ámbito de aplicación no se limita a aquellas corporaciones sitas en EEUU, sino a todas aquellas, estadounidenses o no, que directa o indirectamente tienen presencia en la bolsa americana; esto implica por tanto que una corporación multinacional formada por diversas unidades de negocio, en la que únicamente una de ellas cotiza en la bolsa estadounidense, deberá ser conforme a SOX en todas ellas. Esto evitará que un fraude financiero en una filial o la empresa matriz repercuta en las cuentas de la empresa que cotiza en la bolsa americana y que está “limpia” financieramente a todos los efectos.

Aunque como se ha indicado anteriormente la ley establece claramente cuáles son aquellas conductas irregulares penadas, y transmite en general la idea de transparencia y responsabilidad a la conducta y gobierno empresarial, no entra en los detalles concretos de cuáles deben ser las medidas para la adaptación y conformidad a SOX, dejando la decisión y definición de los controles a las propias empresas. Esto aporta como principal ventaja la libertad y flexibilidad que confiere a la propia empresa en el tipo, calidad y cantidad de los controles, aunque por otra parte, esta falta de definición y ausencia de concreción es uno de principales focos de confusión acerca de qué debe considerarse un control apropiado para SOX. Las áreas donde SOX tiene una mayor incidencia son, según la metodología COSO (Committee of Sponsoring Organizations of the Treadway Commission) de cumplimiento, la Evaluación de Riesgos, el Control del Ambiente Laboral, el Control de las Actividades, la Monitorización, y la Información y Comunicación.

Aparte de la ley estadounidense, leyes con un propósito similar existen en otros países, bien creadas a partir de SOX, o de manera independiente; algunos ejemplos son CSOX (Canadá), CLERP9 (Australia), J-SOX (Japón) o LSF (Francia), y en la actualidad existe un proyecto de SOX europea denominada euroSOX. Aunque como se ha indicado SOX es de obligatorio cumplimiento sólo para organizaciones que coticen en la bolsa americana, hay que considerarla como norma de referencia para el buen gobierno.

No obstante, es preciso aclarar que SOX no es, como cualquier regulación, norma o ley, la panacea; SOX no pone una pistola en la nuca de cada bróker, contable o financiero, ni una cámara encima de cada persona; no es capaz de preveer o evitar complejos fraudes financieros que son desarrollados por personas muy conocedoras del entorno en el que se mueven; y otro ejemplo más es el reciente caso del bróker Jérôme Kervial en Société Genéralé, aunque el comentario lo dejamos para una próxima entrada.

Para finalizar con esta introducción, lo que este tipo de situaciones ponen de manifiesto es que, más allá de regulaciones o restricciones exógenas, se hace imprescindible que los controles y mecanismos tengan un origen endógeno, que surjan de la propia organización, consciente de los riesgos a los que se enfrenta, tanto ajenos como propios. Conceptual e idealmente, los controles que introducen leyes como SOX no deberían ser algo que “emanase” de organismos ajenos sino que las empresas deberían implantar de “motu propio”.

La Seguridad de la Información en el desarrollo

Es complicado trabajar en el mundo de la seguridad. Estaba pensando emplear la palabra “duro”, en lugar de complicado, pero para ser justos creo que debemos dejar ese tipo de términos para otros trabajos que son “realmente duros”. Lo dejaremos simplemente en complicado.

Normalmente, los que nos dedicamos a estos menesteres, trabajamos para evitar que las cosas sucedan. Somos trabajadores incansables y silenciosos. Lo mejor es que se sepa que estamos pero que no se note. Este suele ser nuestro trabajo, pero digo suele porque no en todas las disciplinas nos ocurre lo mismo, como luego comentaremos. En los sistemas en explotación distribuimos sensores para enterarnos de las cosas, bastionamos equipos, configuramos redes y sistemas, diseñamos arquitecturas seguras, dibujamos nuestras trampas en las redes para que los “malos” caigan en nuestras redes y podamos “pillarlos con las manos en la masa”, compramos y ponemos hardware y software específico para levantar murallas virtuales (más feas que las de Carcassonne —véanlo ustedes mismos en la imagen adjunta— pero murallas al fin y al cabo). Todo con el fin último de defender nuestros bienes más preciados: nuestra información, nuestro conocimiento.

Trabajar para que no pase nada solía ser muy difícil de justificar, por no decir imposible, pero la verdad es que, poco a poco, directivos y empresarios, se van concienciando de que la Seguridad de la Información es una de esas actividades necesarias para proteger el patrimonio de las organizaciones de todo el mundo sea cual sea su actividad y tamaño y que no requiere un ROI (*) o un ROSI que lo justifique. Por decirlo de otra forma, son parte del peaje que debemos pagar por el uso que hacemos de la tecnología.

Ahora creo que toca empezar por el principio para evitar situaciones como las que nos encontramos con cierta frecuencia a la hora de hacer auditorías. Nos gusta hacer nuestro trabajo y aportar soluciones, pero en el caso de las auditorías de aplicaciones, en ocasiones, resulta muy complicado. ¿Por qué? Creo que la respuesta general la debemos buscar en la forma de afrontar el inicio del ciclo de desarrollo de las mismas. Cuando iniciamos un proyecto lo que creo que queda claro, o al menos debería quedar claro, es la funcionalidad que se desea conseguir, ¿qué es lo que queremos hacer? Desgraciadamente no es muy habitual que en el equipo de desarrollo de estos proyectos o aplicaciones intervengan equipos independientes o profesionales independientes especializados capaces de diseñar, a partir de unos requisitos funcionales, los Requisitos de Seguridad de la Información en todos sus frentes: seguridad organizativa, física, lógica y legal.

El resultado en bastantes casos es el que sufrimos cuando se nos solicita que llevemos a cabo una auditoría contra redes, sistemas y aplicaciones de una organización. En ese momento nuestro trabajo ya es reactivo y la capacidad para la acción de nuestro cliente suele ser, desgraciadamente, baja. La situación con la que nos encontramos es desalentadora para nuestro equipo, ya que planteamos un problema a nuestro cliente y sabemos de antemano que la solución, en el caso de detectar una vulnerabilidad grave en una aplicación, es difícil, costosa y a veces inviable a corto o medio plazo.

Nuestro equipo de seguridad “reclama”, en el buen sentido del término, la oportunidad para trabajar donde nuestro trabajo es más creativo, donde podemos aportar para evitar que lleguemos a situaciones como las descritas, donde en definitiva somos capaces de aportar más valor a nuestros clientes, ya que de eso se trata, ¿no?

Sirva este pequeño post como introducción de una nueva sección en el Blog de Seguridad de S2 Grupo. Una sección en la que llevamos ya algún tiempo trabajando y que podríamos denominar “Seguridad de la Información en el Desarrollo” (el nombre de la categoría tendrá que ser algo más breve). Una sección en la que nuestro equipo de de seguridad y desarrollo, dirigido en esta ocasión por nuestro Director de Desarrollo, Daniel de los Reyes, nos contará sus vivencias e impresiones sobre estos temas.

(*) ¿Acaso requiere el cálculo de un ROI la decisión de implantación de un ERP en una organización? Sin entrar a valorar qué ERP, en mi opinión la inversión está sobradamente justificada. Lo que sí deberemos analizar es el ERP que implantamos pero no si lo necesitamos o no.