Seguridad

Cada vez que pienso en los protocolos de seguridad y la paranoia extrema de algunas organizaciones se me ocurre algo parecido.

 

Clic en la imagen para ver la tira de Dilbert completa.

Down Jones Mayo 2010: Un terrible problema de seguridad

Este el tipo de noticias que tienen mucho interés analizar.

Ayer Wall Street tuvo un día movido, una caída hasta del 9,16% (que es una barbaridad de dinero “desaparecido”) causo el pánico económico y bursátil.

Este tipo de noticias tiene mucho seguimiento en la prensa económica , de modo que durante el día de hoy y los siguientes les dirán que esto ha ocurrido por muchos posibles motivos:

  • Por la situación de crisis en Grecia.
  • Por la incertidumbre económica y el miedo a nuevos desastres.
  • Por una mala regulación legal.
  • Por un error humano de un broker que confundió una “b” y una “m”.

Todo esto es mentira, lo que ha ocurrido es porque los sistemas de información de Wall Street carecen de una adecuada gestión de la seguridad.

No es comprensible que algo así ocurra por un error humano, los sistemas están para introducir controles ante estos riesgos, imagino que hay aseguradoras temblando por las posibles demandas.

Pero el problema no es solo el error humano, después de este error cientos de sistemas automáticos se lanzaron a vender respondiendo a una configuración que está pensada para caídas reales y no errores absurdos como éste. Los sitemas detectan la bajada de los valores y se lanzan a vender incrementando los efectos.

Varios títulos más se desplomaron sin freno por una serie de órdenes automáticas de venta mientras los sistemas estaban descontrolados en Wall Street.

Imagino que si fuera un inversor al que su gestor le dice que vendió su cartera durante la bajada cuando estaba en el punto más bajo de la misma por un stop automático y que la han reconstruido cuando volvió a subir a un precio superior cobrandome además comisiones de gestión estaría entre la risa histérica y la indignación.

Hay que comenzar a controlar los riesgos que los sistemas de información y su velocidad de respuesta crean, no podemos dejar esto en manos de “errores humanos” que siempre aparecen tarde o temprano.

Si no hacemos las cosas bien, los informáticos acabaremos destruyendo el mundo… 🙂

Los ciberataques llegan a las PYME

Ahora mismo es un escenario que parece exagerado pero ya podemos empezar a ver comentarios al respecto.

“En 2007 Estonia recibió un ciberataque (ahora alberga la sede del centro de la OTAN de ciberdefensa) y durante 2009 España recibió 40 ataques graves según el CNI… Aunque no son solo la administración estatal la que debe preocuparse, también la autonómica y la local. Al fin y al cabo también ponen cerraduras y alarmas. Pero ¿se están preparando las empresas?

Desde luego el porcentaje de ataques que pueden sufrir ataques informáticos dirigidos específicamente a su compañía es pequeño, al igual que ocurre con las personas individuales, se ven ataques directos a personas concretas y creación de troyanos especialmente diseñados.

¿Por qué ahora es un riesgo? Porque atacar informáticamente a una PYME es ya muy sencillo y barato, puedes “contratar” los servicios de un hacker para que realice un ataque directo que rebase las líneas defensivas (firewall, antivirus, control de accesos). Y el beneficio potencial en una PYME es mucho mayor que atacar a una persona concreta, primero su capital circulante (que es el dinero que puedes sustraer) es mayor, segundo, sus sistemas están mucho más informatizados, es complicado acceder a mis movimientos bancarios desde el exterior de la red de mi domicilio, efectuó pocos movimientos bancarios desde mi casa y el banco me protege de ataques con sus sistemas de claves, pero una PYME es diferente.

Por ejemplo, una PYME con Ms Dynamics o SAP, esta empresa efectúa pagos bancarios desde un programa estandarizado, es posible que si alcanzo el equipo de un usuario del departamento de finanzas pueda generar las entradas manualmente en la aplicación y “ordenar” un pago bancario fraudulento como una supuesta compra o modificar los datos bancarios de un proveedor real, y además este ataque puede que no se detecte de inmediato. Además de esto el robo de información privilegiada es potencialmente valioso para la competencia (aunque no creo que los competidores de las PYME jueguen a este tipo de opciones) o servir como “chantaje” o solicitar un rescate.

¿Qué opciones tiene una PYME? Para mi una estrategia de implantar ISO 27000 es la mejor opción, dotarte de una dinámica de gestión de la seguridad es el único modo de no ser especialmente vulnerable, debes ser más resistente al atacante que otras las víctimas potenciales, al igual que ocurre en la sabana africana la mejor opción para sobrevivir si eres una gacela es estar rodeada de otras gacelas más lentas, cuando ataque un depredador se “interesará” más por la más débil.

Los ataques a empresas son minoritarios, por lo tanto, evita ser parte de la minoría.

Relacionada: http://www.elblogsalmon.com/empresas/estan-preparadas-las-empresas-para-los-ciberataques

Cuando falla un servicio fundamental de modo inesperado

Europa está en caos, los aeropuertos cerrados y todas las empresas se han visto afectadas, en nuestro caso tenemos gente que no ha vuelto de un viaje, personal que no ha podido asistir a un cliente y los planes en el alero, y eso que debemos ser de los que menos impacto hayan tenido.

Es un gran ejemplo de como la supresión de un servicio (la interconexión por avión) provoca un impacto brutal e inesperado, y casi nunca se ha gestionado el riesgo, ¿quién tiene controlado que personal viaja cada fin de semana y  donde ha ido o como planea volver? Muy pocos tenemos ese nivel de prevención.

Un volcán entra en erupción en Islandia el jueves y entonces el lunes puede que dos personas críticas en su organización se hayan quedado incomunicadas en Roma, Londres o Paris. Suponga que son sus administradores de los sistemas de almacenamiento y que ha ocurrido un imprevisto, todas las aplicaciones de negocio se paralizan y su empresa se detiene.

La probabilidad de que ocurra esto, es evidentemente muy baja, ¿un 0,1% o un 0,01% de probabilidad de que las dos personas que necesita estén de viaje en el extranjero el mismo fin de semana? Multiplicado por el número de empresas que hay en España me dice que hoy varias compañías están en el alero.

Desde luego este tipo de situaciones son extremas, y gestionar pensando en ellas es exagerado, pero demuestra la vulnerabilidad latente no gestionada en las organizaciones.

Por cierto, viendo las consecuencias de si cierra el espacio aéreo, ¿han pensado en lo que ocurrirá el día que falle Internet a nivel europeo?

¿Imposible? ¿improbable? No, ustedes y yo sabemos que ocurrirá algún día porque ya nos lo dijo Murphy… 🙂

PD: La foto es de una erupción en Tonga, no he encontrado una de Islandia sin copyright

Familia de las normas ISO-27000

Hace algún tiempo que me convertí a la fe de las normativas ISO, reconozco que durante mucho tiempo fui bastante escéptico con este tema, en concreto la ISO 27000 es en mi opinión de las más relevantes en temas de tecnología (el caso de la ISO 20000 es un poco especial por la “competencia” con ITIL).

Una de las cosas que me cuesta más seguir es la lista de familias de la norma, en este artículo se hace un desglose de ellas. Como me ha parecido una información interesante aprovecho para hacer un breve resumen:

  • ISO 27001: Norma de requisitos
  • ISO 27002: Código de Práctica para la gestión de la seguridad de la información.
  • ISO 27005: guías sobre la gestión de riesgos.
  • ISO 27004: medición de la eficacia de los SGSI implementados
  • ISO27003: al proceso de planificación e implementación de los procesos del SGSI.
  • ISO 27006: informa sobre cómo los organismos de certificación deben interpretar la ISO 17021-1 en el contexto de auditorias a SGSI, en cumplimiento con la norma ISO 27001.

En desarrollo y que serán publicadas en el año 2011.

  • ISO 27007: auditorias según la norma ISO 27001, alcance y la complejidad, la gestión de riesgos, la selección de controles y la competencia de los auditores de SGSI.
  • ISO 27008: aspectos técnicos de los controles de seguridad definidos en el Anexo A de la  ISO27001.

Normas para sectores específicos

  • ISO 27010: para comunicaciones entre sectores
  • ISO 27011: para organizaciones de telecomunicaciones
  • ISO 27013: integración de la ISO 20000-1 y la ISO 27001 para beneficiarse de los elementos comunes en ambas normas.
  • ISO 27014: marco de gobierno de la seguridad de la información
  • ISO 27015: para el sector financiero y de seguros