miércoles, 30 de enero de 2008 0 comentarios

Empleada borra por venganza todos los datos de la empresa

La noticia que quiero referenciar, publicada en DiarioTi: Diario Tecnologías de la Información, es el típico ejemplo de la debilidad del "eslabón humano".

Se junta este caso con el escándalo del banco frances Societé Générale que ha llenado portadas las últimas semanas.

Estos hechos muestran claramente cómo el perfil del atacante más peligroso siempre debemos situarlo dentro de la organización. Son empleados con un perfil alto de acceso, que por la responsabilidad que representan no están sometido a excesivo control ("quién se atreve a desconfiar de los mandos") y conocen bien los entresijos de la organización y las medidas de seguridad aplicadas.

Son pocos casos, pero cuando ocurren hacen temblar a toda la organización. Se pone de manifiesto también la necesidad de garantizar que el área de seguridad de la información sea una unidad independiente, de control interno que pueda informar a las más altas esferas de la organización.

El caso de la oficina de arquitectura sería el típico de empleado infiel en una pequeña o mediana empresa. Son personas "de confianza" que en un momento dado se les cruzan los cables y generan un impacto muy alto. Por resumir el caso, una empleada lee en un anuncio de periódico una supuesta oferta de trabajo de su empresa para un cargo similar al que ocupa la empleada. Ella cree que va a ser despedida y ni corta ni perezosa, por venganza, borra toda la información del sistema informático incluyendo las copias de seguridad. ¡Siete años de trabajo fueron borrados, incluyendo planos detallados e irremplazables. El valor estimado de los planos es de 2,5 millones de dólares!
Esta empleada era la única con acceso a todos los archivos junto al gerente. La interpretación de la oferta fue incorrecta y por suerte, la empresa ha podido recuperar la información recurriendo a una empresa especializada en recuperación de datos, pero el ejemplo ahí queda.

La noticia completa puede leerse en DiarioTi: Diario Tecnologías de la Información

En este caso, faltan claramente controles de seguridad. ¿Por qué la empleada podía acceder a las copias de seguridad? ¿Cómo no se detectó un borrado masivo de datos? ¿No se monitorizan los usos y abusos en el sistema?

La ausencia de controles siempre genera que se tarde demasiado tiempo en descubrir el incidente y para cuando esto ocurre, los daños son mayores. La duración en el tiempo de un incidente siempre juega en contra de la organización que sufre el daño.
lunes, 28 de enero de 2008 0 comentarios

28 de Enero, Día europeo de la Protección de Datos

Un año más y este ya es el segundo, se celebró ayer el "Día Europeo de la Protección de Datos", promovido por el Consejo de Europa, la Comisión Europea y todas las autoridades de protección de datos de los países miembros de la UE.

La Agencia Española ha organizado una jornada de puertas abiertas que ha tenido cierta repercusión mediática con la finalidad de que todos los ciudadanos puedan conocer la entidad independiente encargada de velar por su derechos en materia de protección de datos.

Este año, con la publicación del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, este tema va a estar en la cartera de actuaciones de adecuación al marco normativo de todo tipo de organizaciones.

El presente reglamento establece de manera clara cuales son los procedimientos adecuados de atención de derechos, así como aclara algunos aspectos oscuros de la Ley 15/1999 de Protección de Datos de Carácter Personal.

Coincide esta celebración con otra noticia polémica que va a traer cola. Tras la denuncia presentada por FACUA el pasado octubre, la Agencia Española de Protección de Datos (AEPD) ha declarado ilegal el modelo de negocio del servicio de correo electrónico Gmail, basado en la lectura de los mensajes entrantes y salientes de cada usuario con el objetivo de mostrar una publicidad personalizada en función de su contenido. Este proceso es gratuito y realizado de forma automática por máquinas. La noticia completa puede leerse en Protección de Datos considera ilegal el modelo de negocio publicitario de Gmail.
No es el primer palo que se lleva Google en materia de privacidad. La semana pasada también se estuvo hablando de una sentencia relacionada con la no cancelación de unos datos de un subdirector de un colegio que era objeto de mofa por parte de sus alumnos, debido a una sentencia publicada en el Boletín Oficial de la Provincia, y fácilmente localizable al teclear su nombre en el buscador.

Estos grandes devoradores de información como son los buscadores deben empezar a entender que la legislación europea y española limitan la recolección de información, y sobre todo, establecen ciertos requisitos al tratamiento de datos, siempre justificados bajo una finalidad. Si bien puede ser adecuado publicar una sanción administrativa con el ánimo de informar al afectado si no se puede contactar con él, puede que no sea lícito indexar esta información para que aparezca como resultado de una busqueda. En materia de protección de datos, la finalidad del tratamiento y el responsable son dos elementos que legitiman el uso de la información. Y las nuevas tecnologías deben entender que no todo vale con tal de dar servicio, sobre todo, cuando se lesionan derechos fundamentales como el de la protección de datos e intimidad.
jueves, 24 de enero de 2008 0 comentarios

Revelados todos los PIN de tarjetas de crédito de todo el mundo

Sorprende que estemos en el Año 2008 y sea ahora cuando se toman medidas en relación a las tarjetas bancarias. Imagino que las entidades finacieras reaccionan cuando el coste de la medida es menor que el impacto por fraude que tienen que asumir, pero pone los pelos de punta ver las pocas combinaciones que supone un pin de cuatro dígitos con nuestra actual potencia de cálculo.
Aquí dejo en enlace a la información más codiciada por todo chorizo bancario,
las claves de todas las tarjetas de todo el mundo | Microsiervos (Humor).
martes, 22 de enero de 2008 0 comentarios

Net Tools 5

He podido enterarme que existe una caja de herramientas freeware formada por más de 170 para temas de seguridad y administración de redes bastante interesante. Esta ingente cantidad de herramientas es conocida como Net Toos 5 y contiene un conjunto amplio de herramientas de escaneo de red, seguridad, herramientas de administración y mucho más, todo con una interfaz de usuario muy intuitivo. Es una herramienta ideal para los que trabajan en la seguridad de la red, administración, formación, internet forense. Net Tools está principalmente escrito en Microsoft Visual Basic 6, Visual C + +, Visual C # y Visual Studio. NET.


Para más información y la descarga gratuita de la aplicación podéis entrar en Net Tools.
lunes, 21 de enero de 2008 0 comentarios

Nuevo reglamento de de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Ya es oficial en BOE la publicación del nuevo reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Aunque todos hemos ido leyendo borradores, ahora ya por fin disponemos del texto definitivo sobre el cual opinar y hacer las diferentes valoraciones. Esperemos que se hayan esmerado, porque hemos tenido que esperar casi diez años para tener este nuevo texto.
Quien quiera acceder al texto, puede pulsar en el enlace Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Para los más perezosos que solo quieran por ahora enterarse de las novedades, se puede consultar el documento Principales novedades del nuevo Reglamento de Protección de datos.
viernes, 18 de enero de 2008 0 comentarios

Guia para la elaboración del marco normativo SGSI

Durante mi trabajo suelen siempre repetirse siempre las mismas preguntas entorno al desarrollo de normas, procedimientos y demás documentos relacionados con la construcción e implantación de sistemas de gestión de seguridad de la información certificables con la norma ISO 27001. Este tipo de proyectos requieren de un esfuerzo por parte de la Organización por formalizar y definir las actividades relacionadas con la gestión de la seguridad para dar cumplimiento a los diferentes controles de la norma ISO 27002. Para ello, se hace imprescindible establecer un marco normativo en materia de seguridad de la información, que defina y establezca los criterios y medidas que se desean garantizar y cumplir.

Debido a la ausencia de criterios formales para establecer este tipo de jerarquía de documentación, he considerado interesante contribuir con la elaboración de un texto que ayude a aclarar los diferentes tipos de documentos que pueden elaborarse dentro del marco normativo y a definir un contenido deseable en cada uno de ellos. Está basado en un criterio de máximos donde se describe lo que sería deseable que la documentación tuviera, respecto a apartados y modo de redacción. Evidentemente, la norma ISO 27001 no entra a establecer contenidos mínimos pero si requisitos de la documentación y registros en su apartado 4.3 . Para muchos esta recomendación puede resultar en algunos casos excesiva. Como siempre, eso depende del tipo de organización y de su "cultura" interna. Lo más importante, ante todo, es que las normas, procedimientos e instrucciones se utilicen. En cualquier caso, el presente documento es solamente una propuesta técnica aunque para ello he utilizado varios libros que compré en su momento como bibliografía básica al respecto y que son:

  • Made policies are easy de Charles Cresson Wood.

  • Writing Information Security Policies de Scott Barman.

  • Information Security Policies, Procedures, and Standards: Guidelines for Effective Information Security Management de Thomas R. Peltier


El documento está colgado en la Web de Firma, Proyectos y Formación S.L. porque ha sido liberado bajo licencia Creative Common.
lunes, 14 de enero de 2008 4 comentarios

Contratos para el control de externos, según ISO 27002.

Uno de los aspectos que más cuesta en las organizaciones es el control de las terceras partes. Podemos tener claro qué seguridad queremos exigirnos pero siempre aparecen externos que suministran servicios y que son tan importantes como nuestro propio personal. En estos casos, la única acción posible es regular contractualmente estas relaciones y establecer los mínimos requisitos de seguridad. Así aparece reflejado en la legislación de protección de datos a traves de la figura del "encargado de tratamiento" y en la norma ISO 27002, en sus objetivos de control 6.2 y 10.2.

A continuación, voy a enlazar con los modelos de contrato que, hasta la fecha, el Área Jurídica del INTECO está colgando gratuitamente a modo de ejemplo, para regular los diferentes aspectos que indico a continuación:

  • Contrato de prueba y compra de equipos informáticos
    El presente contrato regula la entrega de los dispositivos informáticos que se indiquen -en el anexo correspondiente- al cliente a título de “Prueba y Compra”.

  • Contrato Específico de Actualización de Aplicación Informática
    Contrato destinado a regular la relación entre el prestador, empresa dedicada al desarrollo, programación, actualización y personalización de aplicaciones informáticas, y el cliente, que desea contratar los servicios concretos de actualización de una aplicación informática (propia o de tercero).

  • Contrato de Instalación y Mantenimiento de Equipos y Servicios
    Contrato destinado a regular la relación entre cliente y prestador, en el que éste facilitará sus servicios como profesional en materia de instalación de software, equipos y redes informáticas, así como el mantenimiento y asistencia técnica respecto a la misma, conforme a las especificaciones que se establezcan en el propio contrato, a cambio de un precio.

  • Contrato de Creación de Contenidos Web
    Contrato destinado a regular la redacción e implementación de contenidos en el sitio web titularidad del cliente.

  • Contrato de Diseño Web
    Contrato destinado a regular la prestación de servicio de diseño y programación Web solicitada por un cliente.

  • Contrato de Publicidad en Páginas Web
    Contrato destinado a regular la publicidad de productos o servicios en sitios Web.

  • Contrato de Alojamiento de Sitios Web (Hosting)
    Contrato destinado a regular la relación jurídica entre el proveedor de servicios de Internet (ISP) y el propietario de un sitio Web que desee alojarlo en un servidor para que sea accesible desde Internet.

  • Contrato de Arrendamiento de Servidor Dedicado (Housing)
    Contrato destinado a regular la relación jurídica entre el proveedor de servicios de Internet (ISP) y el propietario del sitio Web. Este tipo de contrato regula el alojamiento del sitio Web del cliente en un servidor propio del ISP y no compartido con ningún otro cliente.

  • Contrato de Depósito Notarial de Código Fuente
    Contrato destinado a regular el depósito notarial del código fuente de una aplicación informática. Este contrato garantiza al cliente el acceso al código fuente de la aplicación informática en cuestión.
miércoles, 9 de enero de 2008 0 comentarios

Las aplicaciones de seguridad de usuario final se trasladan al hardware

Aunque este mundo de la seguridad es convulso y cambiante debido a la vorágine persecución entre "buenos" y "malos", la innovación siempre presente lanza al mercado nuevos productos con nuevos enfoques.
Hoy quiero comentar el dispositivo "Yoggie Gatekeeper Pico™". Es un nuevo enfoque, que independientemente de su éxito, proporciona verdaderamente varias mejoras respecto el actual enfoque de instalar medidas de seguridad en el PC. El dispositivo portátil contiene instaladas las medidas más básicas y generales que todo usuario debe tener pero en una instalación robusta sobre un hardware que además no se modifica. Contiene protección frente a las siguientes amenazas:
- Virus
- Gusanos
- Robos de identidad
- Phishing
- Spyware
- Spam
- IP Spoofing
- Denegación de servicio

Para ello, dispone de medidas de seguridad configuradas utilizando las siguientes tecnologías:
- Anti-Virus
- Anti-Spam
- Anti-Phishing
- Anti-Spyware
- Intrusion Detection System (IDS)
- Intrusion Prevention System (IPS)
- Firewall (Stateful Inspection)
- Parental Content Control
- Transparent Email and Web Proxies
- Adaptive Security Policy™
- Multi-Layer Security Agent™
- Layer-8 Security Engine™

El diseño del cacharro en cuestión se trata de un "micropc" de propósito específico destinado a ejecutar medidas de seguridad. Detrás hay un linux con varias aplicaciones de seguridad como Snort, IP tables, Antivirus de Karspesky, Antivirus y antispam de Mailshell,etc.

Lo que me parece ingenioso y novedoso es trasladar al hardware la ejecución de estas medidas y liberar al PC del gasto de recursos que este tipo de aplicaciones causan, y sobre todo, liberar al usuario de la configuración y vigilancia de las mismas. No se puede a priori valorar su efectividad porque sin el producto delante es dificil distinguir entre lo que es pura publicidad y lo que es una realidad, por eso, me abstengo de comentarios técnicos al respecto. La actualización si está contemplada al menos de manera automática pero ya no se cómo se parametrizan las soluciones de seguridad para que se ajusten a las necesidades de protección del usuario. En todo caso, imagino que este producto abre una nueva línea de diseños de soluciones de seguridad y eso es digno de destacar.
Se puede ver una demo en el siguiente video:




Quien esté intrigado, puede consultar la información técnica en Yoggie PICO Personal, e incluso hay un folleto publicitario en castellano descargable en aquí.
lunes, 7 de enero de 2008 0 comentarios

Pronósticos para el 2008

Como viene siendo tradición de este blog cada comienzo de año, toca tratar de vaticinar cuáles van a ser los problemas que este año nos van a llevar de cabeza.

Los últimos días del año, el grupo Google ISO27001security.com ha estado tambien tratando la cuestión y el grupo coordinado por Gary Hinson han elaborado un documento titulado "los principales riesgos en seguridad de la información para el 2008" que puede ser descargado en ingles en la siguiente dirección. El documento está licenciado bajo Creative Common y es bastante completo, identificando los diferentes elementos de seguridad que determinarán los riesgos del 2008, como son:
- principales amenazas
- principales vulnerabilidades
- principales impactos

Con todo ello, se determinan cuales podrán ser los riesgos a mitigar este 2008.
 
;