28 septiembre 2006

Conceptos de Continuidad de Negocio

Siguiendo con el objetivo de aclarar conceptos, en este post voy a hacer algunas indicaciones sobre continuidad de negocio. Es un tema que cada día está más en boga, y que vuelve periódicamente a la palestra cada vez que una catástrofe afecta a empresas de cierto renombre.
Para empezar, tratemos de diferenciar entre:
  • Incidente: Es cualquier "problema". Si hacemos una analogía con la salud, sería cuando nos duele una muela, o cuando nos han pegado una patada en la espinilla.
  • Contingencia: Normalmente hablamos de contingencia cuando pensamos en un incidente grave. En temas de salud, estaríamos hablando de nuestras visitas a urgencias. Tanto si el incidente era grave inicialmente como si se ha agravado con el tiempo, por no resolverlo.
  • Crisis: Son incidentes extremadamente graves, que hacen peligrar la continuidad del activo. Estaríamos hablando de una crisis cardiaca, que haría peligrar la vida del paciente.

Como vemos, la diferencia entre esos conceptos es, simplemente, su gravedad. Del mismo modo, hablando de continuidad de negocio tenemos que pensar en términos de "gravedad" o "importancia" a la hora de diferenciar entre conceptos que normalmente se confunden, como son el Plan de Contingencias y el Plan de Continuidad de Negocio.

  • Plan de Contingencias: Hablamos de Plan de Contingencias si nos referimos a un documento con planes concretos para problemas acotados. Estaríamos ante una respuesta concreta para cada contingencia, independientemente de la causa. Podemos pensar en un plan que contemple la implantación de un marcapasos para las arritmias severas, entre otras contingencias posibles.
  • Plan de Continuidad de Negocio: En este caso estamos hablando de un plan más ambicioso, que garantice la continuidad en caso de crisis. Podríamos pensar en un corazón alternativo, para la persona que sufre del corazón.

En este caso, vemos que las contingencias se resuelven de forma distinta que las crisis. Para una contingencia concreta, la arritmia, usamos un marcapasos. Para otra distinta, como podría ser una obstrucción de las arterias, tendríamos un bypass. Todas estas soluciones constituirían el Plan de Contingencias para el enfermo de corazón. Sin embargo, el Plan de Continuidad de Negocio resolvería todos los problemas utilizando otro tipo de solución, el trasplante, aunque con un coste y unas implicaciones mucho mayores.

Por último, señalar que el ejemplo plantea un plan de continuidad de negocio para un elemento muy concreto de la persona (aunque vital, por otra parte). Esta suele ser una duda muy habitual: ¿Los planes de continuidad de negocio contemplan toda la organización a nivel global o los centros vitales a nivel particular? Estrictamente deberíamos pensar en el primer caso. Sin embargo, la situación más habitual suele ser la segunda opción, más rentable a nivel económico y con un alto grado de eficacia. Así que, como siempre, la decisión final queda en manos de la empresa. Y tendrá que ser evaluada y validada tras un análisis de riesgos...

26 septiembre 2006

Conceptos de Analisis de Riesgos

Una de las dificultades más habituales a la hora de abordar un análisis de riesgos suele ser la definición de conceptos. En este post no quiero dar definiciones oficiales, sino tratar de aclarar las diferencias entre todos ellos. Veamos si lo logro.

  • Activo: Es cualquier "cosa" que tiene valor para la empresa. Un servidor es un activo, una licencia también lo es. Pero no sólo eso: las personas, los servicios, los procesos, la imagen de la empresa, la marca... todo son activos.
  • Valor: Es la importancia que tiene ese activo dentro de la empresa. No su valor económico. Pongamos un ejemplo sencillo. ¿Cuál es el valor del carnet de conducir? ¿Lo que ha costado conseguirlo (autoescuela, tasas, ...)? Pues no, depende de la importancia de ese activo para la empresa. Para un autónomo que trabaja entregando paquetes a domicilio tiene más valor que para otro que trabaja en casa como teleoperador.
  • Amenaza: Es aquél elemento que puede provocar daños sobre el activo. Si estamos clavando un clavo, y el activo es nuestro dedo, está claro que la amenaza es que el martillo nos golpee.
  • Probabilidad de ocurrencia de la amenaza: Es la probabilidad de que la amenaza se materialice, es decir, la probabilidad de pegarnos un martillazo en el dedo. A nivel estadístico, genérico.
  • Vulnerabilidad: Es el grado de debilidad de un activo frente a una amenaza, la capacidad que tiene la amenaza de afectar a el activo. En nuestro caso, cómo de resistente es el dedo frente al martillazo.
  • Exposición : Es la medida de la vulnerabilidad, lo desprotegido que está. Dependerá de si tenemos guantes o si somos unos "machotes".
  • Incidente: El martillazo (la materialización efectiva de la amenaza, aprovechando la vulnerabilidad).
  • Degradación: Es un término que utilizan algunas metodologías para referirse al potencial que tiene la amenaza de dañar al activo. Cuánto daño es capaz de provocar el martillazo.
  • Impacto: Es un término con significados parcialmente distintos en función de la metodología que se utilice, pero que viene a hacer referencia al resultado de que se produzca el incidente. En definitiva, cuánto duele el dedo si nos pegamos un martillazo en él.
  • Riesgo o nivel de riesgo: Es el resultado de combinar todos los términos anteriores. Para ser más claros, la probabilidad de que una amenaza aproveche la vulnerabilidad del activo para provocar un daño. La probabilidad de que nos hagamos daño al pegarnos un martillazo en el dedo.
  • Controles o contramedidas: Medidas dispuestas para rebajar el nivel de riesgo: usar guantes (o guantes más gruesos), aprender o perfeccionar nuestro uso del martillo, fortalecer nuestro dedo, subcontratar la tarea...

Estos términos pueden variar en función de la metodología que utilicemos, pero los conceptos van a ser siempre los mismos. Lo importante es tener clara la metodología, y que todo el mundo piense en lo mismo cuando hacemos uso de ellos. Sobre todo, ahora que ya están más claros... ;-)

20 septiembre 2006

La Calidad de la Información

Hace unos días leí un artículo bastante interesante. Hablaba sobre la calidad de la información, y planteaba aspectos a tener muy en cuenta en esta sociedad de la información. Los más destacables quizás sean los siguientes:

  1. Datos es distinto que información. Una mayor cantidad de datos uno supone más información si esos datos no aportan nada. Una reflexión de fondo en mi anterior post sobre Consolidación de Logs, y que en este artículo se plantea de forma muy clara. Siempre será más útil dedicar algo de tiempo a procesar esos datos y poder almacenar poca información útil que dedicar algo más de dinero a recursos que permitan almacenar muchos datos...
  2. La calidad de la información no sólo se basa en la calidad de los propios datos, sino que el modelo de datos, la gestión de la base de datos o la presentación son elementos fundamentales a analizar. ¿Cuántos casos conocemos en los que unos datos de calidad no sirven para generar información de calidad? Y todo por no tener en cuenta cómo se modelizan esos datos, cómo se tratan o cómo se presentan.
  3. La calidad del SGBD está fuertemente enreaizada en la seguridad. El artículo hace referencia a la ISO/IEC 9126 a nivel de calidad de software, para posteriormente adentrarse en aspectos de seguridad como control de acceso, cifrado, logs, backups, ... No recuerdan esos elementos a algunos controles de la ISO 27001?
  4. La calidad de los datos tiene importantes implicaciones jurídicas. El propio artículo ya señala las referencias a la LOPD, pero no está de más tener este aspecto en cuenta en nuestro día a día...
  5. Aseguramiento de la calidad de la información = política + revisión + auditoría. Estamos ante el famoso ciclo de Deming (PDCA), asumiendo que la garantía de la calidad sólo se puede obtener a través de la mejora contínua.

En resumen, estamos ante un artículo que, hablando de la calidad de la información, se aproxima mucho a los principios de sistemas de gestión más conocidos como los SGSI o la gestión de los servicios IT. Porque, en realidad, cuando hablamos de estos temas... no estamos hablando de temas similares? No sería posible un enfoque coordinado? Presumiblemente, este tema dará mucho que hablar en el futuro...


19 septiembre 2006

Hacking corporativo (III y... fin?)

Buenos días!

Desde VNUnet cierran la serie de noticias sobre el espionaje en HP con un editorial sin desperdicio. Realmente, es llamativa (por no utilizar otros términos que se me ocurren, algo más duros) la doble moral que parece imperar en algunas empresas. Como se suele decir, "haz lo que digo, no lo que hago". Al menos, parece ser que HP pondrá fin al escándalo de forma contundente.. al menos, a nivel mediático.

Saludos a todos.

18 septiembre 2006

Ciber-jueces

Esta semana no ha empezado bien. Una mala noche, un mosquito vampiro en mi habitación... y una noticia como esta esperando en mi buzón. En china han decidido que es mejor dejar a una computadora decidir una pena que darle esa prerrogativa a un juez. Se escudan en la mayor imparcialidad, frente al aumento de jueces corruptos. Pero... hay algo más?

A priori, el argumento puede parecer consistente. Sin embargo, tiene importantes lagunas, algunas de las cuales me gustaría comentar.

Por un lado, tenemos el riesgo de dejar en manos de una máquina la vida o muerte del acusado. En manos de una máquina que, no lo olvidemos, carece de moral o ética. Sólo juzga mediante la lógica. Y hablando de personas, creo que la lógica es insuficiente. Sobre todo, si tenemos en cuenta que sentimientos y emociones, totalmente contrarios a la lógica, son la causa de una gran cantidad de crímenes y delitos. Y las cumputadoras, en este caso, dificilmente van a poder analizar algo más que los simples hechos...

Por otra parte, evitamos la dependencia de muchos jueces... para depender únicamente de uno. Porque no olvidemos que todo programa informático funciona en base a los algoritmos que le han implementado. Así que es la lógica de Qin Ye, desarrollador del programa, la que se usa para dictar sentencia. Se logra evitar la dependencia de los jueces... para pasar a depender de un único "juez" todopoderoso, cuyos algoritmos son los únicos válidos para decidir una pena.

Por último, y como bien dice el artículo, no tenemos que olvidar que estamos ante un software que puede ser atacado y/o hackeado. Si tiramos de la ISO 27001... qué controles de entrada y salida de datos se han programado? Se controla y es segura la comunicación inter-procesos? Se ha desarrollado de forma segura? y respecto a los usuarios... se validan los datos de entrada? Se controla la actividad de las personas encargadas de alimentar y mantener la herramienta? Estas, que son sólo unas pocas de las preguntas que habría que responder para garantizar la viabilidad real de la aplicación, creo que se van a quedar sin respuesta. Y, desde mi punto de vista, son demasiados interrogantes como para dejar que esa aplicación decida sobre la vida y la muerte...

12 septiembre 2006

Hacking Corporativo (II)

Los chicos de VNUnet amplian hoy la noticia, y al hilo debo hacer un par de puntualizaciones.

Aparentemente, el hacking corporativo desarrollado por HP es subcontratado. Sin embargo, este hecho no debería eximir de responsabilidades, ya que, como todos bien sabemos, siempre debe ser la empresa que subcontrata la que controle la actividad de los subcontratados. Aquí deberían ser las cláusulas de seguridad en contratos, y los correspondientes SLAs, los que regulen este control...

Por otro lado, no queda claro si el hacking se ha desarrollado sólo contra los reporteros y periodistas o también contra sus propios empleados. De todos modos, creo que las consideraciones del anterior artículo siguen siendo igual de válidas.

Y por último, recordar que este tema cobra mayor trascendencia cada día. Sobre todo, si tenemos en cuenta la imagen y el prestigio internacional que se juega HP, y consideramos además que ya es el departamento de justicia de EEUU el que ha tomado cartas en el asunto.

Consolidando logs

La consolidación de logs es un tema al que desde hace algún tiempo le llevo dedicando mis reflexiones. Hoy quiero plasmar por escrito algunas de ellas.

Hemos visto aparecer en el mercado distintas marcas que comercializan este tipo de soluciones. Algunas son fabricantes de software de seguridad con abolengo, otras son nuevas marcas de software que luchan por abrirse camino, y otras incluso son firmas consultoras con una apuesta clara por el software. Por qué tanto interés?

La consolidación de logs surge cuando las empresas tienen tantos logs que no saben qué hacer con ellos. Todos los sistemas actuales generan logs, en mayor o menor medida. Logs que normalmente se procesan a nivel estadístico, como mucho. Sin embargo, las empresas necesitan algo más. Las estadísticas no dejan de ser más datos, y lo que se busca hoy en día son respuestas.

La consolidación de logs ofrece un valor añadido. Es capaz de procesar distintas fuentes de logs para ofrecer resultados. Clásicamente, información sobre ataques. Pero la verdadera ventaja no está en su uso habitual, sino en la filosofía que subyace. Se trata de hacer que los logs sean útiles. Procesarlos, consolidarlos, para generar información. Son soluciones muy útiles, y sin embargo abren un gran campo de investigación.

En las empresas actuales no basta con correlar eventos. Es necesario identificar los sucesos singulares, y por supuesto es necesario poder relacionarlos si queremos que los logs sean útiles. Sin embargo, el potencial de la filosofía de correlación puede ir mucho más lejos. ¿Por qué utilizar estas herramientas sólo para correlar eventos?

Los motores de consolidación de logs utilizan técnicas muy concretas de "Data Mining" para llevar a cabo su trabajo. Por qué no vamos más allá? Estas mismas técnicas pueden ser utilizadas para la detección de tendencias, para analizar el funcionamiento y, sobre todo, la funcionalidad de los sistemas. En las empresas actuales se implanta tecnología sin saber exactamente cuáles son los beneficios reales. Y es aquí donde este tipo de motores pueden prestarnos su ayuda.

Si ampliamos la funcionalidad de los consolidadores de logs, tendremos una herramienta que nos permita analizar de forma conjunta el funcionamiento operativo de los sistemas. Cómo se usan, qué respuestas dan en el día a día. Y si se desarrolla una herramienta que permita analizar estos datos de forma global y extraer conclusiones, estaremos dando un paso adelante. Estaremos acercando la tecnología al negocio. Y en el fondo, no es eso lo que se persigue?

07 septiembre 2006

Hacking corporativo

Hoy leo vía (VNUnet) una noticia bastante interesante. Sencillamente, HP ha decidido utilizar técnicas de ingeniería social contra sus propios empleados. En concreto, en este caso la compañía ha suplantado la identidad de un empleado para investigar sus llamadas telefónicas, con el fin de investigar filtraciones a la prensa. Y lo que es más importante: según estas fuentes, es una práctica impuesta por la presidenta de la compañía.

No voy a entrar a valorar la legalidad del hecho, que ya está investigando la fiscalía californiana. Pero sí que creo necesario analizar dos aspectos.

El primero, el hecho de que la empresa atente contra la privacidad de sus empleados. Es lícito? Todos conocemos los típicos casos de monitorización del correo electrónico. Sin embargo, este hecho va más allá, por varios elementos:
  • En este caso no se trata de monitorización, ya que en caso contrario hubiera sido suficiente con analizar el registro de llamadas de la correspondiente factura telefónica.
  • Dado que se utilizan técnicas de hacking, parece poco probable que se haya utilizado la infraestructura de la empresa para llevar a cabo las filtraciones, ya que en ese caso la empresa estaría en posesión de las facturas, y procedería a revisar registros, sin necesidad de utilizar las técnicas señaladas.

Así que estamos ante una situación distinta. Sin embargo, alguien podría pensar que la actuación se puede enmarcar dentro de los términos de la auditoría. Podría ser así? Creo que no, por los siguientes motivos:

  • El sujeto en cuestión no fue avisado con anterioridad de que podía estar sujeto a este tipo de "auditoría"
  • La empresa reconoce haber utilizado un método "cuestionable", lo que supone poner en enteredicho la ética de la actuación. Y todos sabemos que sin ética deja de haber auditoría.
Por todo ello, creo que podemos afirmar que la medida está más allá de cualquier norma de seguridad aplicable en una empresa.

El segundo aspecto que quería destacar es la incoherencia subyacente en la actuación. Reducir la privacidad del personal para aumentar la de la compañía. Reducir seguridad para aumentarla. Esto choca de frente con la filosofía de la seguridad. Disminuir la seguridad de uno de los eslabones, del más importante (e intrínsecamente más débil), para aumentar la seguridad de la cadena?

La seguridad real debe ser preventiva, no reactiva. Y por tanto, la peor idea que se nos puede ocurrir, si queremos garantizar la seguridad real y a largo plazo de la empresa, es atacar a nuestros propios empleados. E imponer como norma estos ataques. Porque ante los métodos represivos, tarde o temprano, alguien reaccionará en contra. Por muy buena que sea la policía corporativa, el daño ya estará hecho. En este caso, creo que Patricia Dunn se ha equivocado.

06 septiembre 2006

Bienvenida

Hola a todos.

Hoy inauguro mi blog. Un blog dedicado, como bien dice su título, a seguridad y gestión. Seguridad y Gestión entendidas en sentido amplio. Como es de suponer, hablará de SGSIs, de BCMSs, de ISOs... Pero mi intención es que también hable de personas, de procesos, de tecnología... o de filosofía. Porque algo que a veces se nos olvida es que, incluso en la gestión de servicios o en la seguridad IT, siempre acabamos llegando a las personas. Poniendo normas, definiendo cómo tienen que realizar los procesos... Y a veces, olvidándonos que son personas antes que activos, que recursos.

En fin. Un blog que surge con muy buenas intenciones, bastante carga de ilusión... y que ya se verá cómo evoluciona. Así que sólo me queda dar la bienvenida a todo el que llegue a visitarlo... y animar al resto a que lo lea, y participe.

Bienvenidos a todos.


Saludos


Joseba