domingo, 27 de septiembre de 2009

¿Un administrador a cargo de Seguridad TI?

Me topé con un artículo de Roger Grimes donde se defiende la idea de que bien puede ser un buen administrador quien esté a cargo de la seguridad en TI. Una amiga (y al parecer una buena administradora) del autor versada en finanzas de pronto se vio como titular de seguridad en su empresa, podría una buena administradora dirigir los esfuerzos de seguridad? Mi respuesta es que no.

Y espero que no me vea influenciado por el hecho de yo mismo haber finalizado una ingeniería en sistemas para decir que "perdón pero no", y que un administrador difícilmente podrá hacer su trabajo de manera efectiva y entender la problemática que representa la seguridad de la información en una empresa. El autor Grimes incluyó en su relato que su amiga administradora le había pedido consejo para saber por dónde empezar (signo de no tener ni idea) y para decirle que ella tendría bajo su cargo gente conocedora del tema de seguridad de la información (signo de "alguien más lo hará").

Esto último me recuerda a cierta Ana y su grupo de expertos, donde si recordarán se le reprochaba que ella no tenía ni idea (¿o poca idea?) y que mejor fuera alguien de su grupo de expertos el que estuviera a cargo del puesto. Digo, no tenía a un grupo de expertos corriendo por ella, porque ahí sí, ella era la experta.

Lo mismo para un cargo de seguridad de la información en una empresa, no podemos poner a alguien que no tiene ni idea pero eso sí, rodeado de un grupo de expertos en SegInfo. ¿Mi propuesta? Es mucho mejor para una organización hacer a una persona que domina el tema de seguridad a que le entre a las cuestiones administrativas que viceversa. 

¿Por qué lo sé? Porque conozco varios casos de estos y uno muy de primera mano porque trabaja conmigo: es una persona que domina los temas de seguridad de la información y es un muy buen administrador. Pero su formación viene de sistemas y cuenta con pilares de seguridad y ya con la experiencia ha adquirido el perfil de administrador. Es lo que toda organización debería de buscar: alguien versado en SegInfo que administre recursos humanos/materiales y a la propia SegInfo.

El tema de seguridad de la información es uno muy complejo (en mi opinión), lleno de cuestiones técnicas, antecedentes informáticos, entendimiento de riesgos, estándares y todo un background que hace difícil señalar a alguien y decir "él es un experto en seguridad", y claro, que realmente lo sea.

Entre más le escarbamos al tema de SegInfo, nos damos cuenta de lo mucho que nos falta por aprender. Y al menos para un puesto de seguridad de la información sí debemos de poner a alguien que entienda la problemática y lo de "administrador" es una cuestión sí importante, pero que se puede adquirir.

De otra manera, que me hagan director de neurocirugía, ya yo me encargaré de rodearme de expertos. Nos estamos tuiteando (ID: FaustoCepeda).

 

lunes, 21 de septiembre de 2009

Balderas 17:14.

Cuando de salvar vidas humanas se trata, la prevención y no la detección o la reacción es lo que puede marcar la diferencia. Las cámaras CCTV que grabaron la tragedia del metro Balderas, simplemente se limitaron a ser testigos de los hechos; fueron un control detectivo. Las CCTV no son el eje fundamental de la seguridad, sino policías bien capacitados, armados y con ganas de servir a la sociedad.

Al momento que inició la balacera con el policía bancario, no fue gracias a la CCTV sino a otros elementos policíacos que se solicitaron los refuerzos: “El estallido alertó a los demás elementos de seguridad, quienes, vía radio, solicitaron apoyo a la policía judicial” (La Jornada http://bit.ly/KSesi). Luego la CCTV se dedicó simplemente a grabar cómo el señor Esteban Cervantes Barrera era acribillado, en unas escenas por demás trágicas e indignantes que por lo menos a mí me consternaron y dejaron en shock.

Nueve minutos pasaron para que llegaran los refuerzos, esta vez armados, para finalmente tomar control de la situación. Nueve minutos que dejaron a decenas de pasajeros en la total incertidumbre. Las cámaras CCTV no reducen el crimen, son controles detectivos y en ciertos casos disuasivos (en Balderas no fue disuasivo); son controles que deben verse como complemento de otros controles eficaces que en este caso y en mi opinión viene siendo un número suficiente de personal policíaco, capacitado, armado y dispuesto a servir  a la comunidad, apoyado de otros controles tecnológicos como los son por ejemplo arcos detectores de metales.

Algunos puntos sobre la CCTV:

·         “La inversión masiva en cámaras CCTV para prevenir el crimen en el Reino Unido ha fallado en tener un impacto significativo, a pesar de los billones de libras gastadas en la nueva tecnología”  (The Guardian http://bit.ly/sUc9T).

·         Las CCTV no reducen el crimen y en donde sí lo hace, es probablemente debido a otros controles; no hace sentir a la gente más segura y no cambia el comportamiento en general de los criminales (Assessing the impact of CCTV http://bit.ly/16IT6).

·         "Nadie ve las cámaras, y los videos son vistos sólo si la policía los pide específicamente (San Francisco Chronicle http://bit.ly/169AIU)"

Nos tranquilizaría la idea de que hay personal vigilando cada cámara del metro en todo momento, y si es que ponen más CCTV, que este monitoreo constante efectivamente continuará. ¿Realmente hay personal vigilando cada cámara en todo momento? O es más bien lo que queremos creer? Y aún así, es un control que no previene un asalto o un asesinato. ¿Qué opciones tenemos?

Opción A ¿Poner más cámaras CCTV por todas la estaciones? Como dije, tratándose de vidas humanas, queremos prevenir, no tanto detectar. La detección es un complemento para otros controles.

Opción B ¿Poner detectores de metales? Sí, mientras se pongan en todas las estaciones de todas las líneas del metro (y claro, que estén bien calibrados, no queremos detener a centenares por traer llaves y celulares). Es un control preventivo, pero hay que invertir un monto considerable si se desea hacer bien.

Opción C ¿Revisión de pasajeros? No puede ser a todos y ya fue reconocido por una alta autoridad del GDF: “la revisión se llevará a cabo en las más de 170 estaciones que integran la red del Metro, de manera aleatoria (El Universal http://bit.ly/PTzAT)”. Alguien que desee ingresar armado, simplemente evitará traer mochila (según esto las revisiones se centrarán en individuos que porten mochilas), buscará una estación (o torniquete) poco estricta y las probabilidades de la aleatoriedad jugarán a su favor (a todo esto, será una medida permanente?). Por otro lado, si las revisiones se harán “sobre todo” a los que lleven mochilas, entonces ya no es aleatorio y no traer mochila aumentará las posibilidades de que no se sea revisado.

Opción D ¿Armar a los uniformados? Sí, definitivamente, de otra forma estarán en desventaja. Y al parecer esto sí se llevará a cabo (El Universal http://bit.ly/Artka). Y aquí entra lo que decía de que estos señores deben tener vocación de servicio; no queremos prepotencia y abusos a la sociedad ahora que al parecer se portarán armas.

Este es un tema muy delicado, no es mi intención simplificar un problema que va más allá de los “controles de seguridad”, ni ser negativo indicando que ninguna propuesta funcionará. Todo esto va más allá de lo eficientes que pueden ser las cámaras CCTV, la discusión de si policías armados y capacitados pueden servir o no; estamos frente a un problema social de violencia, ante la capacidad de respuesta y prevención de las autoridades. Al final y lo más importante, estamos hablando de vidas humanas y de las mejores maneras de protegerlas.

Por cierto, creo que hubiera preferido no haber visto el video donde se observan los hechos, fue demasiado crudo, por decir lo menos. En fin, estoy seguro de que cada quien tendrá diferentes reflexiones sobre este tema, alguna aportación?

** Que descansen en paz Esteban Cervantes Barrera y Víctor Manuel Miranda Martínez. Si alguien sabe de alguna forma de ayudar a sus familias, no dude en contactarme: fausto_c_g arroba hotmail.com **

 

martes, 15 de septiembre de 2009

Winner

Recibí un mensjae donde dice que soy un ganador de miles y miles de libras...seré rico o es un engaño?

Después de pensarlo mucho (ja), llegué a la conclusión de que no había ganado nada.
Tal vez por el hecho de que dudo que te avisen de que ganaste un premio de esta magnitud vía correo, o porque el reply-to tiene la cuenta ukbtelecom@gmail.com.
Tal vez fue el hecho de que no me explico cómo viviendo en México me puedo ganar un premio en Inglaterra porque mi correo fue seleccionado en un sorteo.

Dudes: esfuércense más, al menos manden un mensaje mejor elaborado y visualmente más creíble.



---------- Forwarded message ----------
From: British Telecom Promotion <info@tomaatnet.nl>
Date: Tue, Sep 15, 2009 at 8:31 AM
Subject: Winner
To:


Your Email address was awarded the cash prize of £1,0000,000.00 POUNDS In
the British Telecom Promotion,
verify this mail immediately by sending in your information. This will
include your.
NAME:
AGE:
ADDRESS:
MOBILE PHONE:
OCCUPATION:


Los Capone en línea expanden horizontes.

Las grandes empresas en EUA están impulsando mayores protecciones perimetrales e internas (http://tinyurl.com/otroshoriz) por lo que es más difícil atacarlas; de ahí que los nuevos objetivos sean empresas medianas y pequeñas mucho más fáciles de atacar en ese país.

No es tan fácil como seguir "varios pasos fáciles" y estar protegidos de pronto. El problema es que no hay sensibilidad por proteger la información (es un problema en organizaciones grandes y pequeñas) y en segundo lugar no abundan las personas que entienden el problema y que cobren baratos sus servicios.

¿En qué va a acabar todo eso? No va a mejorar, sino que va a empeorar; es un nicho basto donde si las grandes empresas en EUA se protegen, vamos con las pequeñas y si se protegen, vamos a otro país y se encuentra otro nicho, y así sucesivamente.

Metamos a la licuadora el hecho de que no hay fronteras digitales, agreguemos una falta de sensibilidad para proteger la información, escasez de personal capacitado para proteger los datos de una organización y una infraestructura llena de hoyos…todo da como resultado que el crimen en línea sea un negocio lucrativo y que cada vez lo sea más.

Me pregunto en qué momento los Capone profesionales voltearán "en serio" a ver a México y a Latinoamérica…me supongo que es todo un nuevo mundo por conquistar.

 

domingo, 6 de septiembre de 2009

SecurityTube.net

Existen varios sitios *tube que conozco, el más famoso de ellos seguro que es YouTube donde se pueden ver todo tipo de videos, sin embargo en esta ocasión quisiera atraer su atención hacia SecurityTube.net, un sitio que como su nombre lo dice, contiene videos de seguridad informática. Y mi intención no es tanto que lo visiten, sino que consideren colaborar en él con alguna aportación.

En este sito hay videos bajo el esquema de presentaciones PPT, videos que muestran las ventanas con la serie de acciones que el autor va haciendo para realizar una demostración y claro, videos y conferencias que a su vez se ligan a YouTube.

Hay temas como el desbordamiento de memoria, inyección de SQL, gusano Conficker, explotaciones de navegadores, ingeniería en reversa, rootkits y la inseguridad en redes inalámbricas entre muchos otros temas de interés.

Muchas veces un video bien producido puede ser mejor entendido que leer hojas y hojas de un documento técnico de seguridad, sin mencionar que puede ser más divertido y ameno para el usuario ávido por entender un tema en particular.

Finalmente, ya que naveguemos un rato en el sitio de seguridad, los invito a participar en él colaborando con algún tema que conozcan o que hayan solucionado. La base de estos sitios es que uno colabore con su granito de arena.


viernes, 4 de septiembre de 2009

Falso y malicioso correo que aparenta venir de Presidencia

Me llega un correo dizque de nuestro presidente Caldreón.
Se me hizo raro.
Si le dan click a la leyenda de "Si no puedes ver este mensaje haz click aquí", te lleva a un sitio malicioso (http://go2.informe3.com).
Obviamente es un correo falso y con malas intenciones, así es que hay que ignorarlo de inmediato.
Inlcuyo el mensaje que recibí:


---------- Forwarded message ----------
From: Presidente Felipe Calderón Hinojosa <presidente.calderon@informe.gob.mx>
Date: 2009/9/4
Subject: Mensaje del Presidente Calderón Hinojosa en materia de Empleo
To:


---
Si no puedes ver este mensaje correctamente haz clic aquí
 
Envía a un amigo
Email:
Si no puedes enviar, haz clic aquí
 
 
http://www.informe.gob.mx/entrevistas/video18.html
 
 
Este boletín fue enviado a fausto.cepeda@gmail.com. Si tú no eres este usuario o si deseas cancelar la suscripción haz clic aquí

miércoles, 2 de septiembre de 2009

Mapa SGSI 27001

Uno de los mejores mapas del SGSI de 27001 que he encontrado, me gustó:

http://www.iso27001security.com/html/27001.html

 

martes, 1 de septiembre de 2009

Curso "Security 508: Computer Forensics, Investigation, and Response".

No existen muchos cursos de “forensics” en México, y este que lo patrocina el SANS es bastante recomendable, ya que no sólo se obtendrá conocimiento en esta área poco explorada de la seguridad, sino que se podrá presentar el examen para obtener la certificación “GIAC Certified Forensics Analyst”.

 

El curso inicia el 18 de noviembre aquí en el DF en formato mentor, donde mi amigo Jesús Ramírez estará precisamente como mentor del mencionado curso, por lo cual también lo recomiendo de manera personal ya que seguro les transmitirá el conocimiento necesario en el área de “forensics”.

 

Más información la podrán encontrar en: http://www.sans.org/info/47444

 

Espero sea de su interés.