martes, 19 de abril de 2016

Cómo seleccionar personal para su área de seguridad informática

TechTarget publicó un artículo mío, se los pongo a su disposición.

sábado, 9 de abril de 2016

La Importancia de las Cifras

Siempre que tengo unos minutos disponibles, leo la columna de Sergio Sarmiento. Considero que sus opiniones sobre el entorno político nacional e internacional son interesantes y de relevancia. Particularmente me llamó la atención su artículo del 8 de abril del año en curso, en el que expresa sus dudas sobre las cifras que maneja el gobierno de la Ciudad de México en torno a las 22 mil muertes prematuras en un año asociadas a la mala calidad del aire. Lo anterior enmarcado en el nuevo hoy no circula de la capital.


En su artículo, toca el tema de que estas cifras pareciera que no tienen un sustento claro. El periodista solo ubicó un dato certero de la Cofepris que indica que en el año 2010 hay reportes de entre 2,000 y 4,000 defunciones al año causadas por partículas inhalables que están en la atmósfera. Sin embargo no logró encontrar más datos duros que sustentaran fehacientemente las 22 mil muertes anuales ya mencionadas en la capital y asociadas a la contaminación.

Por otro lado, el periódico Milenio en su sitio de internet, publicó el 8 de abril una noticia referente a un hackeo de la página web de un candidato para gobernar un estado de nuestro país. En ese informe, la reportera Isabel Zamudio comenta que el hackeo sucedió la madrugada del jueves (supongo que se refiere al jueves 7 de abril) y que se usaron hackers de nacionalidades como la de Estados Unidos, Rusia y Asia. También agrega que el hackeo usó recursos millonarios.

Al leer el artículo de Sergio y la noticia de Isabel, de inmediato correlacioné ambos casos donde pareciera que hay datos no verificados que salen de alguna fuente no especificada y poco clara. En particular sobre la noticia del periódico Milenio, me quedan varias dudas.

¿Cómo pudieron saber tantos datos en tan poco tiempo? Interpreto por el reporte que el sitio fue afectado el jueves 7, y un día después ya sabían desde dónde había sucedido y cuánto había costado. Tal vez el primer dato se puede obtener rápidamente en unas horas, aunque yo preferiría tener más tiempo para tener una mayor seguridad antes de hacerlo público. Sin embargo el costo es más complicado y desconozco cómo pudieron “definirlo” en tan poco tiempo.

¿Cómo estimaron que se usaron millones para el hackeo del sitio web? La noticia no establece si son millones de pesos, dólares u otra moneda, ahí está otra duda. Tampoco ofrece una cifra concreta, sino solo se limita a informar que fueron “millones”; pero ni hablar, de alguna manera lograron en muy poco tiempo hacer una estimación de este dato.

¿Un hackeo a un sitio web involucra millones? Sé qué puede implicar técnicamente poder afectar un sitio web y aunque me atrevo a generalizar, estimo que no cuesta millones de pesos o dólares dado que técnicamente no es algo complejo; obvio, depende de las protecciones de seguridad con que cuenta el sitio, y parto del supuesto de un sitio con seguridad promedio o un poco debajo del promedio. Y por cierto, me llama la atención que se haya comentado que utilizaron hackers de diversas nacionalidades; al parecer afectar ese sitio no se pudo realizar por alguna razón con recursos mexicanos.

Cuando leí la noticia del hackeo al sitio, simplemente me hice esas preguntas pero no le dediqué más tiempo; de hecho tal vez con esos datos no se tomen decisiones que afecten a muchos. Sin embargo en el caso de la opinión de Sergio, pareciera que se pudieran estar tomando decisiones que afectan a un número importante de personas con base en cifras que pudieran no estar bien identificadas o que no se está difundiendo su fuente con claridad.

En mi opinión y en nuestro campo de acción, ya sea por ejemplo la seguridad física o la informática, creo que es importante tener claro de dónde se obtienen cifras y estadísticas porque en más de una ocasión estaremos tomando decisiones con base en ellas y que por ejemplo estarán afectando el rumbo de la seguridad dentro de nuestras organizaciones o afectando presupuesto. 

Cuando no hay claridad en la fuente de información o está ambigua (recuerden el costo de “millones”), debemos exigir que se clarifiquen y se concreten, igual que transparentar la fuente de donde viene ese dato.

Decir que existen “muchas infecciones de virus al mes”, “desde Asia intentan vulnerar el perímetro” o mi preferida: “evidencias de que no seguimos las mejores prácticas”, significa que estaremos arrojando de alguna forma datos, pero sin un significado real. 

De hecho, existen ocasiones en que no queda muy clara la manera de obtener un indicador y otras más donde no hay una sola manera de lograrlo y cada quien lo obtendrá siguiendo una metodología diferente. El ejemplo puede ser si nos preguntan “cuántos ataques recibes al mes” o “cuántos intentos de ataques recibes al mes”: cada quien podrá tomar en cuenta diversas fuentes de información y criterios para llegar a un número, que sobra decir, será subjetivo y por lo tanto no será comparable.


En fin, sirva el presente artículo para reflexionar sobre este asunto y estar al pendiente de cuando nos presenten “cifras” que realmente son ambiguas, sin sustento claro o cuya fuente no es especificada.

martes, 16 de febrero de 2016

viernes, 15 de enero de 2016

La Importancia de los Planos


Las áreas de seguridad física y de arquitectura son ejemplos claros de áreas que manejan planos de manera intensa. Los primeros usan los planos de instalaciones por ejemplo para hallar puntos vulnerables de acceso o para plasmar los requerimientos de las ubicaciones exactas de controles de seguridad como detectores de incendio o cámaras CCTV. Sobra decir las razones de los arquitectos para usar planos de edificios, basta decir que los usan diariamente para sus labores de construcción o remodelación.


Normalmente a los planos no se les trata con un cuidado especial, son como cualquier otro documento de trabajo que se usa por diversas áreas de la organización y hasta por proveedores. Sin embargo los planos de un inmueble pueden llegar a ser de alta relevancia, sobre todo dependiendo del tipo de instalación del que se trata.
Por ejemplo hablemos del sector penitenciario. Si un reo tiene la intención de escapar, él y sus cómplices bien pueden hacer uso de estos planos para construir un túnel que consiga alcanzar exactamente el baño de su celda para por ahí iniciar su huida de película. Otro ejemplo sería algún edificio donde se guarde dinero o algún otro valor donde los planos puedan servir para construir túneles o que sean de utilidad para planear un hurto.

Por lo tanto es importante mantener la seguridad de planos que sean de relevancia y que podrían llegar a tener un mal uso si caen en manos maliciosas. A continuación identifico algunos de los riesgos asociados al manejo de los planos y propongo algunas posibles medidas que se pueden seguir para incrementar la seguridad de los mismos.

Evitar dejar desatendidos los planos en impresoras. Es común que se deban imprimir planos para algún fin. Y también es común que uno vaya pasando y que dichos planos se puedan encontrar en la impresora ya que su dueño no tuvo el interés de ir por ellos o los va a recoger “luego”. Una medida para mitigar el riesgo es crear una política que establezca que toda impresión de planos debe de recogerse de inmediato o bien, proteger electrónicamente a los planos de tal manera que se impida su impresión en primera instancia.

Cifrar planos enviados por correo o medios electrónicos. Mandar un plano adjunto por correo es necesario en varias situaciones ya que por ejemplo un proveedor los puede necesitar para alguna cotización. Estos adjuntos van sin protección por la red. Por lo tanto una medida de seguridad importante a tomar en cuenta antes de enviarlos, es que se les proteja por medio de cifrado para que el plano adjunto al correo vaya protegido.

Cifrar los planos almacenados en medios electrónicos. Si bien es importante proteger los planos cuando se envían por correo, también es importante darles seguridad cuando están almacenados en las computadoras a través del cifrado. Esta medida cobra especial importancia cuando se guardan en lapotps que salen de la organización y que tienen mayor riesgo de ser robadas o extraviadas. Y ni se diga de los dispositivos tipo USB que se llegan a extraviar con facilidad y lo último que deseamos es que el nuevo dueño del USB encuentre nuestros planos.

Proteger los planos impresos. Para el uso cotidiano de los planos seguramente los tendremos a la mano y si bien puede parecer una manera de trabajar razonable, la sugerencia para mitigar el riesgo de que alguien no autorizado tome y robe un plano fácilmente, es la de resguardarlos bajo llave y no dejarlos por ejemplo encima del escritorio desatendidos.

Acuerdos de confidencialidad con proveedores. Las razones por las cuales los proveedores deben de tener acceso a los planos y conocerlos son diversas y justificables para por ejemplo realizar una cotización o llevar a cabo un trabajo en los inmuebles. Y es exactamente ahí donde perdemos el control de estos planos, ya que ahora su resguardo depende de un tercero. Un control administrativo que se puede poner en marcha para atender esta situación es el de incluir un acuerdo de confidencialidad con los proveedores con el fin de que manejen los planos con medidas de seguridad similares a las que seguimos y aplicamos nosotros.

En conclusión, los planos de los inmuebles son de relevancia para instituciones con instalaciones estratégicas y se les debe de manejar con un nivel de seguridad que corresponda a su nivel de importancia.  Y claro, obviamente las anteriores medidas se pueden no solo aplicar a planos sino a todo tipo de documentación con información sensible.

martes, 12 de enero de 2016

¿Por qué hacerlo, si no está en la política de seguridad?

Les comparto mi artículo que TechTarget publicó.

martes, 5 de enero de 2016

De zombis y pentesters

¿En qué se parece un pentester a un zombi? Averígualo aquí.

Transmitiendo la urgencia de seguridad

Ojalá les agrade el artículo con el tema de transmitir la urgencia de seguridad en una organización.