25 febrero 2008

INTECO estrena blog sobre Seguridad de la Informacion

El Observatorio de INTECO ha invitado a algunos que profesionalmente nos dedicamos al estudio de las TIC y su relación directa con la seguridad a escribir en su recién creado blog. En él podrás encontrar opiniones y comentarios sobre diversas cuestiones relacionadas con la seguridad de la información: tecnología, malware, fraude, protección de datos, etc... así como referencias a noticias, artículos de opinión, estudios y legislación en este campo. Todo ello con un carácter fresco y dinámico.


En el entorno actual donde los cambios se suceden a velocidad de vértigo y donde el mañana se convierte demasiado rápido en ayer, INTECO ha considerado oportuno abrir un canal de comunicación que permita dar voz a todos, profesionales, expertos, usuarios, entendidos y curiosos, un medio que supere el tradicional modo de comunicación unidireccional y abra discusiones y debates a todo el mundo.


Me gustaría invitarte desde aquí a que consultes el Blog sobre seguridad de la información y dejes tus comentarios o sugerencias. Tu aportación enriquecerá el debate, seguro.


Un saludo,

18 febrero 2008

Seamos prácticos

Hay compañías con más sentido práctico que otras. Lamentablemente, cada vez es más habitual encontrarse con empresas cuyo sentido práctico decrece progresivamente, con personas que les encanta filosofar y andarse por las ramas, pero que a la hora de concretar parecen tener muchos problemas para llevar a la práctica sus ideas. ¿Tan difícil es encontrar el sentido práctico? Pues a veces me da la sensación de que sí.

Sin embargo, hay un tipo de empresas que han aprendido a conjugar filosofía y práctica: los fabricantes de productos de seguridad. Tienen que saber filosofar en un mundo de teóricos, y al mismo tiempo tienen que ser capaces de llevar todas esas ideas a la práctica, a un producto concreto. El resultado suele ser variopinto, aunque muchas veces bastante divertido: datasheets en los que el producto aumenta la confianza de los clientes gracias a una capacidad de procesamiento de tera-flops, o catálogos en los que las medidas a tomar para reforzar la seguridad de nuestra red son poner un firewall y hacer uso de estándares. Como se suele decir, muchos mezclan "churras" con "merinas" (para quien no conozca el dicho, son dos tipos distintos de ovejas), y pese a ello suelen ser una de las fuentes de referencia más útiles que podemos encontrarnos. Sobre todo porque, si separamos el grano de la paja, podemos recopilar un montón de recomendaciones concretas y prácticas que realmente van a ser muy beneficiosas para nuestra seguridad (quick-wins, que dirían algunos).

Una de estas referencias, que me ha gustado sobre todo por su ("polemizable") procedencia, es este viejo artículo sobre la seguridad como requisito de negocio: un artículo de un fabricante que nos habla no sólo de soluciones tecnológicas sino de personas, de funciones, y de listas de verificación de la seguridad corporativa entre las que podemos encontrar una buena cantidad de medidas concretas a aplicar para ser más seguros. ¿Os gusta el ejemplo? ¿Creeis que esta empresa puede ser un buen ejemplo de seguridad? No os corteis, y haced comentarios!

11 febrero 2008

Es suficiente?

Ultimamente cada vez son más foros en los que se empieza a hablar de las "vulnerabilidades" propias de los sistemas de protección. Probablemente ya conozcais las formas de "burlar" un antivirus (explicado de forma muy completa aquí), siempre y cuando ese antivirus sea real (no vaya a ser que el antivirus que nos hemos descargado sea, en realidad, un virus). También hay formas de "burlar" un firewall, sobre todo en relación al tráfico saliente, algo bastante preocupante para muchas empresas. Aquí se puede encontrar un estupendo artículo al respecto, y aquí unos resultados de su aplicación (obviemos los comentarios "sensacionalistas"). ¿Si las tecnologías de defensa fallan, qué nos queda?


Evidentemente, el factor humano es la última barrera, y aunque tiene fama de ser la más débil, también es la más potente, y alguien bien entrenado es capaz de evitar un sofisticado ataque con sólo mover un dedo. Pero hoy no me interesa hablar de tópicos recurrentes, sino pensar en si sería posible una solución tecnológica a este tipo de problemas. Sobre todo, teniendo en cuenta la "nueva" máxima que demuestran científicamente, según parece, en el estudio del que hablan aquí: es imposible proteger (totalmente) los datos sensibles.

Todos tenemos en mente el simil de la seguridad y la cadena. Si nos centramos en el ámbito tecnológico eliminamos el último eslabón, las personas, y nos quedamos con otros tres: el terminal de usuario, la red y el servidor. Es una gran simplificación, pero me parece útil porque en cada una de ellas tenemos que hacer frente a retos distintos. El servidor es el proveedor de los servicios, y como tal el responsable de velar por sus características inherentes: rendimiento, fiabilidad, ... La seguridad debe ser una más de las características inherentes al servicio, pero siempre desde el punto de vista de las características del servicio en cuestión. Más allá del servidor la seguridad es responsabilidad del segundo eslabón: la red. Las necesidades de seguridad de la red son más claras, ya que es simplemente un intermediario: debe garantizar que las comunicaciones entre ambos extremos se realicen de forma correcta, y que el servicio llegue adecuadamente al tercer eslabón: el terminal de usuario. Este es un eslabón clave, ya que contiene la interfaz hombre-máquina. Es el elemento a través del cual se accede, en la práctica, al servicio. Y no sólo eso, sino que en muchas ocasiones se compone de multitud de servicios "locales" sobre los que actúa directamente el usuario y que acaban provocando nuevos usos de los servicios remotos.

Desde este punto de vista, los retos a los que debemos responder en cada parte son distintos. Los asociados a las redes son los más maduros, ya que existen una gran cantidad de protocolos de comunicación seguros con suficientes garantías, sobre todo si están basados en el uso de firma, cifrado y certificados digitales. Los avances en seguridad asociada a la fiabilidad de los servidores no son tan claros, pero al ser el núcleo del negocio siempre van a tener muchos ojos pendientes de ella, con lo cual el futuro que se puede augurar en este apartado es bastante aceptable, y seguro que la "moda" del desarrollo seguro va a suponer un importante espaldarazo en este ámbito. Pero me temo que el problema está en el eslabón tecnológico más desprotegido: el terminal de usuario. Es el punto crítico, sobre todo por la imprevisibilidad de las personas que lo usan, y sin embargo es donde más parches y menos esfuerzos globales podemos encontrar. Los usuarios tienen una grna libertad para hacer modificaciones y personalizaciones a su gusto, en un parque de terminales cuya heterogeneidad tiende al infinito. Y no nos engañemos: la diversidad y los cambios no se llevan demasiado bien con la seguridad, sobre todo en largos periodos de tiempo. El resultado final es que la seguridad tecnológica de los terminales de usuario es muy pequeña, con unas soluciones que no van más allá de distintos tipos de parches (antivirus, antispy, firewall personal, etc.) que no afrontan los problemas a nivel global (eso sí, abren una gran multitud de nichos de mercado en los que ganar dinero). Y claro, si este eslabón es débil, la cadena se debilita...

En definitiva, creo que los esfuerzos en materia de seguridad se deben dirigir a concienciar a los usuarios, pero también a concienciar a los fabricantes de terminales de usuario. Sobre todo porque, aunque los usuarios sepan de seguridad, si sus máquinas no son capaces de ofrecer las suficientes garantías, no servirán de nada todos los esfuerzos de concienciación que se hagan. No tenemos que relajar los esfuerzos tecnológicos en relación a la seguridad, pero sobre todo tenemos que destinarlos a los eslabones tecnológicos más débiles de la cadena. Sobre todo ahora que nos adentramos en un mundo cada vez más móvil e interconectado, donde sólo las soluciones más sólidas aguantarán los envites de los nuevos riesgos a los que nos vamos enfrentando.

04 febrero 2008

Seguridad y Recursos Humanos

Creo que todos estamos bastante acostumbrados a oir hablar de la visión holística de la seguridad, y que la seguridad debe ir más allá de los entornos TIC. Sin embargo, la mayor parte de estos comentarios surgen precisamente de esos entornos TIC de los que habría que salir. ¿es cierto que la seguridad se está expandiendo, o es sólo el deseo del mundo TIC de abarcar más allá de sus propios límites?

Sin entrar a analizar ese deseo (y seguro que algo de eso también hay) parece que eso de la seguridad de la información poco a poco va calando en otros entornos. Creo que es bastante gratificante ver artículos como este (parte I y II), en los que un foro dedicado específicamente a la Gestión de Recursos Humanos decida un artículo doble a las implicaciones de seguridad de la información asociadas a este tipo de puestos. El artículo no es que aporte ningún contenido especialmente novedoso a los expertos en la materia, pero creo que hace una revisión bastante completa y con un grado de profundidad nada desdeñable para todos aquellos gestores de RR.HH. que se adentran por primera vez en este mundo. Tenemos una revisión general de la seguridad de la información, para luego adentrarnos en los controles específicos de personal que especifican las normas ISO 27000 y en las implicaciones que tiene el compliance desde el punto de vista de los recursos humanos y dar un par de pinceladas de otros dos aspectos que no se deben olvidar, como es la continuidad del negocio y las implicaciones de la LOPD en estos entornos. No está mal para ser una introducción para profanos, verdad?

Y ya que estamos hablando de gestión de recursos humanos, no me resisto a hacer una reseña con respecto a este artículo, donde se afirma ni más ni menos que "los hombres creen ser menos vulnerables a los ataques informáticos que las mujeres". ¿Será la seguridad un campo en el que también tendremos que sufrir la perpetua guerra de los sexos? ¿Tendrán que tener en cuenta también esto los responsables de RR.HH. a la hora de seleccionar personal? ¿O es mejor considerarlo símplemente un artículo un poco sensacionalista y dejarlo correr? ¿Qué pensais? La polémica está servida...