Riesgos y Resiliencia de Internet ante una Tormenta Solar

Fuente Goddard Space Flight Center Scientific Visualization Studio y el Solar Dynamics Observatory.

Imaginemos. Hace dos años un amigo flipao te pregunta; “tú (como trabajador, como empresario, como ciudadano o como simple “persona humana”),  ¿si viene una pandemia mundial y nos encierran en casa y no podemos ir  a la oficina, ni viajar, ni dar un abrazo a nuestros amigos,  que harías? ¿Qué harías ahora (hace dos años) para minimizar este riesgo?”

Sigamos imaginando. ¿Y si en vez de un amigo, esa pregunta te la hace un consultor en un análisis de riesgos o de impacto?

No hace falta que sigamos imaginando. Si es un amigo seguramente te hubieras atragantado de la risa, le hubieras dado una palmadita en la espalda y le hubieras dicho “eres un flipao”.

Si eres un empresario (Responsable de TI, de infraestructuras, de CPD, CISO, CIO, CEO, etc.) “sufriendo” un análisis de riesgos, habrías levantado los ojos al cielo y pensado “con la de cosas urgentes e importantes que tengo que hacer… “.

Y así nos ha ido.

[Read more…]

La cadena de suministro y el elefante en la habitación

Hace unos días, a raíz de los ataques de ransomware “relacionados” con el producto Kaseya de gestión remota de TI, publiqué en LinkedIn una breve publicación en la que decía lo siguiente:

La cadena de suministro es el elefante en la habitación y tenemos que hablar más de ello.

Sí, hablemos un poco de prevención y dejemos la detección y gestión para otro momento. Como dice el dicho, mejor prevenir que curar. Para desarrollarlo un poco más, añadí que:

 

deberíamos empezar a pensar que el software y el hardware de terceros son inseguros por defecto y que se debería imponer la obligación a los fabricantes de software de realizar y publicar, hasta cierto punto, pentestings serios, regulares y profundos para las aplicaciones críticas que venden (y sus actualizaciones). E incluso entonces, cualquier software o dispositivo de terceros debería considerarse inseguro por defecto, a menos que se demuestre lo contrario.

 

En un comentario, Andrew (David) Worley hizo referencia a los informes SOC 2, que deberían ser capaces de prevenir mínimamente este tipo de “problemas”, y comentó un par de iniciativas que yo desconocía: el Software Bill of Materials (SBoMs) y el Digital Bill of Materials (DBoMs).

Me comprometo a hablar de ello en otro post, pero de momento sigamos.

[Read more…]

Análisis de riesgos con PILAR

Si tienen algo de memoria, recordarán que no hace mucho hicimos una breve introducción a PILAR (Deconstruyendo a PILAR y que en otras ocasiones nos hemos introducido en las metodologías de análisis de riesgos: primera parte y segunda parte).

Si conocen PILAR, sabrán que es una mujer que allá por donde va levanta odios o pasiones; lo pudimos comprobar en los comentarios de la anterior entrada. Será quizá porque puede ser complicada, un poco caprichosa e incluso a veces poco amigable. No obstante, tengo que decir que tiene su encanto y me atrevería a decir que se le coge cariño. Lo que está claro es que no es de las que te cautiva a primera vista.

Bromas aparte, podemos decir que PILAR es la herramienta de análisis de riesgos por excelencia al menos en el sector público (español), por diversas razones y por ser una de las principales implementaciones de MAGERIT. En esta entrada vamos a tratar de continuar la introducción anterior, explicando de modo breve y somero cómo llevar a cabo un análisis de riesgos. Para esto vamos a realizar ejemplo analizando nuestro blog favorito: Security Art Work.

[Read more…]