Seguridad

Cada vez que pienso en los protocolos de seguridad y la paranoia extrema de algunas organizaciones se me ocurre algo parecido.

 

Clic en la imagen para ver la tira de Dilbert completa.

Anuncios

Down Jones Mayo 2010: Un terrible problema de seguridad

Este el tipo de noticias que tienen mucho interés analizar.

Ayer Wall Street tuvo un día movido, una caída hasta del 9,16% (que es una barbaridad de dinero “desaparecido”) causo el pánico económico y bursátil.

Este tipo de noticias tiene mucho seguimiento en la prensa económica , de modo que durante el día de hoy y los siguientes les dirán que esto ha ocurrido por muchos posibles motivos:

  • Por la situación de crisis en Grecia.
  • Por la incertidumbre económica y el miedo a nuevos desastres.
  • Por una mala regulación legal.
  • Por un error humano de un broker que confundió una “b” y una “m”.

Todo esto es mentira, lo que ha ocurrido es porque los sistemas de información de Wall Street carecen de una adecuada gestión de la seguridad.

No es comprensible que algo así ocurra por un error humano, los sistemas están para introducir controles ante estos riesgos, imagino que hay aseguradoras temblando por las posibles demandas.

Pero el problema no es solo el error humano, después de este error cientos de sistemas automáticos se lanzaron a vender respondiendo a una configuración que está pensada para caídas reales y no errores absurdos como éste. Los sitemas detectan la bajada de los valores y se lanzan a vender incrementando los efectos.

Varios títulos más se desplomaron sin freno por una serie de órdenes automáticas de venta mientras los sistemas estaban descontrolados en Wall Street.

Imagino que si fuera un inversor al que su gestor le dice que vendió su cartera durante la bajada cuando estaba en el punto más bajo de la misma por un stop automático y que la han reconstruido cuando volvió a subir a un precio superior cobrandome además comisiones de gestión estaría entre la risa histérica y la indignación.

Hay que comenzar a controlar los riesgos que los sistemas de información y su velocidad de respuesta crean, no podemos dejar esto en manos de “errores humanos” que siempre aparecen tarde o temprano.

Si no hacemos las cosas bien, los informáticos acabaremos destruyendo el mundo… 🙂

Los ciberataques llegan a las PYME

Ahora mismo es un escenario que parece exagerado pero ya podemos empezar a ver comentarios al respecto.

“En 2007 Estonia recibió un ciberataque (ahora alberga la sede del centro de la OTAN de ciberdefensa) y durante 2009 España recibió 40 ataques graves según el CNI… Aunque no son solo la administración estatal la que debe preocuparse, también la autonómica y la local. Al fin y al cabo también ponen cerraduras y alarmas. Pero ¿se están preparando las empresas?

Desde luego el porcentaje de ataques que pueden sufrir ataques informáticos dirigidos específicamente a su compañía es pequeño, al igual que ocurre con las personas individuales, se ven ataques directos a personas concretas y creación de troyanos especialmente diseñados.

¿Por qué ahora es un riesgo? Porque atacar informáticamente a una PYME es ya muy sencillo y barato, puedes “contratar” los servicios de un hacker para que realice un ataque directo que rebase las líneas defensivas (firewall, antivirus, control de accesos). Y el beneficio potencial en una PYME es mucho mayor que atacar a una persona concreta, primero su capital circulante (que es el dinero que puedes sustraer) es mayor, segundo, sus sistemas están mucho más informatizados, es complicado acceder a mis movimientos bancarios desde el exterior de la red de mi domicilio, efectuó pocos movimientos bancarios desde mi casa y el banco me protege de ataques con sus sistemas de claves, pero una PYME es diferente.

Por ejemplo, una PYME con Ms Dynamics o SAP, esta empresa efectúa pagos bancarios desde un programa estandarizado, es posible que si alcanzo el equipo de un usuario del departamento de finanzas pueda generar las entradas manualmente en la aplicación y “ordenar” un pago bancario fraudulento como una supuesta compra o modificar los datos bancarios de un proveedor real, y además este ataque puede que no se detecte de inmediato. Además de esto el robo de información privilegiada es potencialmente valioso para la competencia (aunque no creo que los competidores de las PYME jueguen a este tipo de opciones) o servir como “chantaje” o solicitar un rescate.

¿Qué opciones tiene una PYME? Para mi una estrategia de implantar ISO 27000 es la mejor opción, dotarte de una dinámica de gestión de la seguridad es el único modo de no ser especialmente vulnerable, debes ser más resistente al atacante que otras las víctimas potenciales, al igual que ocurre en la sabana africana la mejor opción para sobrevivir si eres una gacela es estar rodeada de otras gacelas más lentas, cuando ataque un depredador se “interesará” más por la más débil.

Los ataques a empresas son minoritarios, por lo tanto, evita ser parte de la minoría.

Relacionada: http://www.elblogsalmon.com/empresas/estan-preparadas-las-empresas-para-los-ciberataques

Cuando falla un servicio fundamental de modo inesperado

Europa está en caos, los aeropuertos cerrados y todas las empresas se han visto afectadas, en nuestro caso tenemos gente que no ha vuelto de un viaje, personal que no ha podido asistir a un cliente y los planes en el alero, y eso que debemos ser de los que menos impacto hayan tenido.

Es un gran ejemplo de como la supresión de un servicio (la interconexión por avión) provoca un impacto brutal e inesperado, y casi nunca se ha gestionado el riesgo, ¿quién tiene controlado que personal viaja cada fin de semana y  donde ha ido o como planea volver? Muy pocos tenemos ese nivel de prevención.

Un volcán entra en erupción en Islandia el jueves y entonces el lunes puede que dos personas críticas en su organización se hayan quedado incomunicadas en Roma, Londres o Paris. Suponga que son sus administradores de los sistemas de almacenamiento y que ha ocurrido un imprevisto, todas las aplicaciones de negocio se paralizan y su empresa se detiene.

La probabilidad de que ocurra esto, es evidentemente muy baja, ¿un 0,1% o un 0,01% de probabilidad de que las dos personas que necesita estén de viaje en el extranjero el mismo fin de semana? Multiplicado por el número de empresas que hay en España me dice que hoy varias compañías están en el alero.

Desde luego este tipo de situaciones son extremas, y gestionar pensando en ellas es exagerado, pero demuestra la vulnerabilidad latente no gestionada en las organizaciones.

Por cierto, viendo las consecuencias de si cierra el espacio aéreo, ¿han pensado en lo que ocurrirá el día que falle Internet a nivel europeo?

¿Imposible? ¿improbable? No, ustedes y yo sabemos que ocurrirá algún día porque ya nos lo dijo Murphy… 🙂

PD: La foto es de una erupción en Tonga, no he encontrado una de Islandia sin copyright

Familia de las normas ISO-27000

Hace algún tiempo que me convertí a la fe de las normativas ISO, reconozco que durante mucho tiempo fui bastante escéptico con este tema, en concreto la ISO 27000 es en mi opinión de las más relevantes en temas de tecnología (el caso de la ISO 20000 es un poco especial por la “competencia” con ITIL).

Una de las cosas que me cuesta más seguir es la lista de familias de la norma, en este artículo se hace un desglose de ellas. Como me ha parecido una información interesante aprovecho para hacer un breve resumen:

  • ISO 27001: Norma de requisitos
  • ISO 27002: Código de Práctica para la gestión de la seguridad de la información.
  • ISO 27005: guías sobre la gestión de riesgos.
  • ISO 27004: medición de la eficacia de los SGSI implementados
  • ISO27003: al proceso de planificación e implementación de los procesos del SGSI.
  • ISO 27006: informa sobre cómo los organismos de certificación deben interpretar la ISO 17021-1 en el contexto de auditorias a SGSI, en cumplimiento con la norma ISO 27001.

En desarrollo y que serán publicadas en el año 2011.

  • ISO 27007: auditorias según la norma ISO 27001, alcance y la complejidad, la gestión de riesgos, la selección de controles y la competencia de los auditores de SGSI.
  • ISO 27008: aspectos técnicos de los controles de seguridad definidos en el Anexo A de la  ISO27001.

Normas para sectores específicos

  • ISO 27010: para comunicaciones entre sectores
  • ISO 27011: para organizaciones de telecomunicaciones
  • ISO 27013: integración de la ISO 20000-1 y la ISO 27001 para beneficiarse de los elementos comunes en ambas normas.
  • ISO 27014: marco de gobierno de la seguridad de la información
  • ISO 27015: para el sector financiero y de seguros

La Agencia de protección de datos inspecciona más de 600 centros en España

Según esta nota de prensa la AEPD está realizando una evaluación en hospitales de toda España del cumplimiento de la ley respecto de la protección de los datos, la nota es (en mi opinión) extremadamente dura.

  • Ha requerido a 654 centros sanitarios para que remitan a la AEPD un informe antes del 31 de mayo.
  • La finalidad es comprobar si cumplen con las garantías de protección de datos, especialmente con las medidas de seguridad y confidencialidad de la información sanitaria.
  • Existe una preocupación creciente de la AEPD por el impacto del incumplimiento de la normativa de protección de datos por parte de centros hospitalarios.
  • En los últimos años la AEPD ha detectado alarmantes casos relacionados con la difusión de datos de pacientes a través de redes P2P, como e-Mule, así como datos de salud abandonados en la vía pública.
  • Se analizará asimismo como son atendidos los derechos de acceso de los pacientes a las historia clínica.

En España no hay una clara conciencia respecto de la seguridad de los datos, sobre todo de terceros, y la política de gestión es difusa (o lo que es lo mismo, cada día diferente según el tiempo y recursos disponibles).

Es lógico que se comience por atender este tipo de acciones en áreas como la médica donde la información es muy sensible, pero creo que va siendo hora de que se le de un empujón a este tema desde un organismo o por ley incluso.

Simplemente la exigencia de la ISO 27000 para contratar con el estado (yo añadiría la exigencia al sector financiero y sus proveedores) podría ser suficiente para impulsar estas políticas, al menos exigir que se realice una gestión de las mismas y no se las deje de la mano de dios. Pero me temo que esto solo llegará desde el ámbito de la UE en algún momento.

Hasta el caso de moda, el juicio de Gürtel deja en evidencia la situación, ¿la información sobre cajas B, sobornos, delitos se guarda en un Pen Drive con nombres de ficheros tan descriptivos? No existe una conciencia de la seguridad informática, creemos que nuestros PC están seguros..

¿Puede la ISO 27001 llegar a ser de obligado cumplimiento?

Uno de los temas de los que quiero hablar en el futuro es de la norma de seguridad ISO 27000 y su aplicación, para mi gusto una de las áreas que más puede aportar a las compañías en el futuro por el tremendo margen de mejora que hay en los conceptos de seguridad y gestión del riesgo (en tecnología pero sobre todo a nivel corporativo) que su aplicación aporta.

Hemos tenido múltiples ejemplos en el pasado reciente de empresas que han gestionado mal el riesgo y cuyas consecuencias son enormes (Lehman Brothers, Bear Stearns, Martinsa) aunque lo más comúnmente comentado es una mala gestión empresarial (que posiblemente la hubo) sobre todo para mi hay una pésima gestión del riesgo asumido por las compañías debido a malos procedimientos y a una mal control de la información.

Este artículo (que he encontrado viendo el portal  http://www.iso27000.es/ comenta los pasos que se están dando en algunos países hacia convertir la ISO 27001 en una norma de obligado cumplimiento, además da un dato que a mi me parece notablemente interesante (por la cuenta que me trae el uso de la tecnología)

Las organizaciones con mayor grado de desarrollo en IT GRC –o GRC de las Tecnologías de la Información- superan la media de ingresos en un 17%, que se traduce en un 13,8% más de beneficios.

Yo no veo que a corto plazo la ISO 27000 se convierta en norma legal en la Unión Europea salvo para el sector público (que no le iría nada mal), pero desde luego creo que si tu empresa quiere sobrevivir y competir a medio plazo necesita dos cosas: Un uso intensivo de tecnologías de la información y una adecuada gestión del riesgo y la seguridad.

Tal vez las TI y la ISO 27000 no sean obligatorias, pero desde luego son tremendamente recomendables, ya sabemos que las inversiones se están recortando porque los beneficios están más ajustados, los riesgos son elevados, pero si las TI mejoran los beneficios y la seguridad es primordial para sobrevivir, ¿a que espera para dar los pasos que mejoren su cuenta de resultados y disminuya sus riesgos?