viernes, 30 de octubre de 2009

ISO 27004 pendiente de aprobación

Categoría: Seguridad de la Información

Hola a tod@s, hoy estamos de enhorabuena, estamos a punto de tener un miembro más en la familia y no me refiero a la mía, me refiero a la 27000. Como ya vimos, la norma 27000/2009 se encuentra disponible de manera pública. Este estándar con título "Information technology — Securitytechniques — Information security management systems — Overview and vocabulary" consituye una introducción al Sistema de Gestión de Seguridad de la Información proporcionando una guía para el primer acercamiento al SGSI en términos de vocabulario, funcionamiento y utilidad.

Tras no pocas dificultades, ISO 27004/2009 se puede ver en fase de aprobación en el portal de ISO. Con título "Information technology -- Security techniques -- Information security management -- Measurement" viene a solucionar uno de los más grandes problemas de la seguridad de la información, si es que no el peor, la medición. Este hecho ha sido siempre un quebradero de cabeza e incluso fuente de trabajos de investigación y tesis sobre cómo medir el cumplimiento de los objetivos en materia de seguridad de la información.

Dentro de muy poco tendremos una guía sobre cómo orientar la medición de estos objetivos.

Salu2

martes, 27 de octubre de 2009

Cifrado de datos en equipos portátiles

Categoría: Seguridad de la Información

Esta mañana he visto una noticia que me ha sorprendido. Resulta que a Joan Laporta le robaron el portátil en el transcurso del partido Barcelona - M. United el 25 de abril de 2008. Un ladrón se coló en las oficinas centrales del club blaugrana y sustrajo del despacho presidencial el ordenador personal del presidente del barcelona. De aquel ordenador nada más se supo y como no, a mi me se me encienden las luces cada vez que escucho algo de esto, máxime cuando la principal preocupación de Joan Laporta es que se filtre información que contenía dicho portátil.

De todo lo anterior, a mi se me ha venido a la cabeza que acabamos de hablar de entornos compartidos y no mencioné nada acerca de algo muy básico, el cifrado del disco duro, o como mínimo de los archivos personales. El control de acceso basado en usuario / contraseña no basta, hoy cualquiera pone un live-cd de linux y te lee todo el disco duro. Solución, utilizar cifrado del disco duro o software que crea espacios de disco cifrados como el que ya mencionamos en un post anterior. Este mecanismo es básico en entornos compartidos donde la sustracción de un portátil no es sólo un problema por disponibilidad sino por las fugas de información que se puedan derivar de la información allí contenida.

Lo cierto es que resulta difícil imaginarse a alguien entrando en las oficinas sin ser visto, sin controles físicos de entrada suficientes, sin cámaras de vigilancia, sin alarmas, sin guardias en la puerta... esto en una casita de campo es muy lógico pero la oficinas del FCB me parece algo... extraño.

Salu2!

lunes, 26 de octubre de 2009

Seguridad en Entornos Compartidos

Categoría: Seguridad de la Información

En el tiempo que llevo en este campo he podido constatar que hay un escenario tipo que tiene ciertas "particularidades" en cuanto a seguridad de la información. Este escenario es el formado por varios departamentos de diferente índole trabajando en una misma ubicación con ninguna o mínimas medidas de separación física interdepartamental y uso de impresoras compartidas.

En estas situaciones hay ciertas particularidades que cobran una importancia vital y que en ocasiones son descuidadas por aquello de que; lo que entra en el terreno de la cotidianidad pasa al lado de la confianza y deja de ser visto como un riesgo.

Uno de estos factores es el etiquetado de la información. En estos entornos, el etiquetado de la información puede pasar de ser un factor diferenciador, con respecto a qué medidas de seguridad se deben aplicar para salvaguardar su confidencialidad, a ser una golosina para quien puede ver tal etiquetado en el documento que está trabajando su compañero. "Un documento confidencial... ¿Qué contendrá?". Para prevenir esto, puede ser buena idea introducir un procedimiento de etiquetado de la información no basado en etiquetas legibles. Si este procedimiento es el mismo para toda la organización no conseguiremos huir de la curiosidad del compañero, pero sí del invitado que entra en nuestras instalaciones.

Lo comentado en el párrafo anterior entronca con la dificultad de mantener el principio de acceso a la información necesaria. Cada persona debería tener acceso únicamente a la información necesaria para el desempeño de su trabajo pero en un entorno interdepartamental compartido esto requiere una disciplina extra y unas medidas de seguridad física compensatorias como por ejemplo, cajones con llave donde guardar la información de trabajo una vez se abandona el puesto de trabajo dando cumplimiento a la política de escritorio despejado.

Sin duda alguna, las impresoras compartidas no ayudan en absoluto porque, como no, resulta que tenemos un compañero que es bastante despistado y manda las cosas a más de una impresora o símplemente se olvida de recogerlas de la misma o, por qué no, la impresora es caprichosa y cuando lo mandas te da un error, pero claro, a los 3 días aparece tu documento en la impresora. Todo esto sin contar que si la impresora es compartida con otras áreas físicas de la empresa, los trabajadores de otra área se equivocan y mandan los documentos a la impresora del espacio compartido y voilá!! un dossier con decenas de datos personales que mandó el de Recursos Humanos.

En relación al tema anterior me gustaría hacer mención a las destructoras de papel y su ubicación. Idealmente, la destructora de papel debería estar en un lugar cercano a donde se genera la mayor parte de la documentación. Cerca de la impresora parece a priori un lugar adecuado dado que facilitaría la destrucción de información errónea, equívoca o simplemente no útil. Pero... ¿cómo debe la información ser destruida? (Esto me da para otro post como mínimo ;)).

Otra piedra de toque esencial en estos entornos es el protector de pantalla por contraseña. Al igual que con la política de escritorio despejado, el escritorio de nuestro ordenador debe quedar bloqueado a la más mínima ausencia. Esta labor es más sencilla si los PCs son ubicados bajo un dominio dado que estas directivas pueden ser establecidas en el servidor de dominio y transmitidas a los clientes que inicien sesión bajo tal dominio.

El escenario se complica si los puestos son fijos y los ordenadores son portátiles. O bien compras / solicitas un candado para tu portátil o el portátil y toda tu documentación que no desees sea conocida por nadie más (en caso de no disponer de cajones con llave), te acompañarán como si fueran tu sombra, a la hora del almuerzo, a la comida, y todos los días hasta casa.


En un entorno compartido es relativamente fácil simular que hablas por teléfono y grabar las contraseñas del compañero cuando las teclea en un ejercicio de picardía y evolución de lo que se conoce como shoulder surfing.

En definitiva, con este post, no quiero dar una solución a un entorno compartido en el que se ubican diferentes departamentos tratando datos sensibles, entre otras cosas porque cada situación es única y los controles a aplicar deberán salir del análisis de riesgos, exigencias legales y objetivos de negocio, sino hacer reflexionar a aquellos que disponen de un entorno de este tipo de sus posibles amenazas y vulnerabilidades.

En numerosas ocasiones, restricciones de negocio o económicas hacen imposible cambiar el entorno físico en el que se desarrolla la actividad de los trabajadores. En este caso, si se desea reducir el nivel de riesgo se aplicarán controles como los descritos con anterioridad y que a continuación resumo:
  • Aplicar una política de escritorio despejado y concienciar sobre la importancia de su uso.
  • Advertir de las responsabilidades en caso de facilitar la contraseña y poner sobreaviso al empleado de que su contraseña puede ser capturada con relativa facilidad.
  • Comprar candados para los PC portátiles (valorar si también los fijos)
  • Aplicar directivas de seguridad globales basadas en un controlador de dominio que obliguen al usuario a cambiar la contraseña cada cierto periodo de tiempo (implementación del procedimiento de establecimiento de contraseñas)
  • Restringir mediante directivas de seguridad la longitud y caractéres alfabéticos que debe contener la contraseña de usuario.
  • Disponer de cajones con llave en los cuales se guarde aquella información que sólo debe ser conocida por su poseedor.
  • Disponer de destructoras de un nivel de seguridad adecuado y en una ubicación correcta.
  • Utilizar un convenio de etiquetado de la información no legible.
Salu2!

miércoles, 7 de octubre de 2009

Peritaje Informático de Parte: La Vista (III)

******************************************************
Peritaje Informático de Parte: La Vista (I)
Peritaje Informático de Parte: La Vista (II)
Peritaje Informático de Parte: La Vista (III)
******************************************************

Terminado el turno del abogado de la parte del perito vendrá el turno de la parte contraria que tendrá como objetivo desacreditar al perito. Para ello, el abogado puede emplear diversas tácticas:
  • Búsqueda de Inconsistencias o contradicciones: el abogado puede hacer preguntas en busca del error del perito cambiando partes de su dictamen o pidiéndole que precise datos que no figuran en el mismo. Para resolver esta situación el perito debe tener el informe bien estudiado, cosa que en un principio puede parecer sencilla, pero en ocasiones pasan más de 6 meses desde la redacción del dictamen hasta su defensa en juicio. Es crucial en este punto que el perito disponga claramente de los objetivos que se plantearon y cual fue su resolución evadiendo preguntas como; "¿Cual es la probabilidad de que un usuario busque en el programa ares un acrónimo?" respondiendo cosas como: "No soy especialista en la conducta del ser humano y no puedo determinarlo", que no es lo mismo que decir simplemente "no lo se". El abogado contrario puede hacer preguntas incompletas esperando una respuesta, a lo que el perito responderá; "¿Y qué desea saber exactamente?". También puede repetir la misma pregunta hasta la saciedad, buscando la extenuación del perito, aunque normalmente suele intervenir el juez en su defensa instando al abogado a que deje de repetir la misma pregunta.
  • Aprovechar las debilidades de la personalidad del perito: El abogado contrario puede buscar la forma de poner bajo presión al perito para ver como responde. Esto puede hacerlo poniendo en duda su competencia en el tema en cuestión o alterando los tonos de voz pasando de un estado aparentemente tranquilo a sobresaltarse cuando se dirige al perito ante una declaración suya. El perito debe manejar los tiempos de respuesta y el tono firme y seguro durante toda la declaración.
  • Estrechar el cerco sobre los puntos débiles: sin duda alguna, el abogado contrario tratará de ceñirse a aquellos aspectos del informe pericial que le puedan ser mínimamente beneficiosos no preguntando sobre nada más, por lo que es de vital importancia resaltar todas las bondades a favor de la parte del perito cuando es su turno de preguntas.
En última instancia, el juez puede pedir ciertas aclaraciones a las que el perito responderá en función de sus conocimientos. En general y para toda la vista es esencial respetar los siguientes puntos:
  • No ofrecer más información de la que nos preguntan
  • Tomarse tiempo para responder las preguntas
  • Estar seguro de que se ha entendido bien la pregunta
  • Nunca adelantarse a una pregunta, debe esperarse a que termine de ser formulada
  • Nunca perder la frialdad
  • Terminar siempre las respuestas aunque el abogado trate de cortarte
  • Corregirse si llega el caso de un error
  • Tomarse tiempo para revisar la documentación
  • Responder de manera cautelosa a preguntas poco concretas o situaciones hipotéticas
  • Escuchar las objeciones de los abogados a una pregunta y tratar de acotar la respuesta en caso de no haber sido bien transmitida.
Referencias:
  • Proceso Judicial por descarga de archivos ilícitos en el que el autor es perito de parte
  • La peritación Informática, Un enfoque práctico. Xabiel García Pañeda, David Melendi Palacio (Colegio Oficial de Ingenieros en Informática del Principado de Asturias)
  • Effective Expert Witnessing. Jack V. Matson, Suha F. Daou, Jeffrey G. Soper (CRC PRESS)
******************************************************
Peritaje Informático de Parte: La Vista (I)
Peritaje Informático de Parte: La Vista (II)
Peritaje Informático de Parte: La Vista (III)
******************************************************

martes, 6 de octubre de 2009

Peritaje Informático de Parte: La Vista (II)

******************************************************
Peritaje Informático de Parte: La Vista (I)
Peritaje Informático de Parte: La Vista (II)
Peritaje Informático de Parte: La Vista (III)
******************************************************

Cuando por fin pronuncian el nombre del perito, a éste le será requerido cualquiera de los documentos de identificación anteriormente mencionados y será dirigido hacia la sala en la que encontrará entre 4 y 6 personas. A la izquierda estará el letrado de la defensa, a la derecha la acusación y enfrente el secretario y el juez (o jueces). La disposición de la sala es como sigue:


No suele ser frecuente pero es posible que si hay más de un perito se pase diréctamente al careo y hagan pasar a los peritos al mismo tiempo con el objetivo de resolver sus discrepancias situando a ambos en las sillas de declarantes.

La seguridad debe quedar plasmada desde el inicio y la actitud y la expresión corporal deben reflejar dicha seguridad. El perito se situará ante el juez y éste podría hacerle una serie de preguntas como cual es su edad, fecha de nacimiento, etc que deben ser contestadas rápidamente. Una vez hecho esto, el juez preguntará al perito si promete o jura decir la verdad a lo que el perito contestará con juro o prometo. Si entra sólo el perito de parte, preguntará en primer lugar su parte y a continuación la parte contraria. Si hay un careo directo, las primeras preguntas pueden ir de la otra parte a su perito.

Hay que tener en cuenta que la estrategia del abogado de parte del perito puede cambiar y formular preguntas no convenidas anteriormente, dada la declaración de testigos anteriores. A estas preguntas hay que contestar con sinceridad como al resto de ellas en base a nuestros conocimientos, siempre hay que recordar que cualquier interpretación o respuesta no basada en evidencias claras puede suponer un grave problema para la credibilidad del perito y el resultado final del caso.

******************************************************
Peritaje Informático de Parte: La Vista (I)
Peritaje Informático de Parte: La Vista (II)
Peritaje Informático de Parte: La Vista (III)
******************************************************

lunes, 5 de octubre de 2009

Peritaje Informático de Parte: La Vista (I)

******************************************************
Peritaje Informático de Parte: La Vista (I)
Peritaje Informático de Parte: La Vista (II)
Peritaje Informático de Parte: La Vista (III)
******************************************************

Si hay un momento claramente definitivo y definitorio de un peritaje informático, éste es la vista. En este estadío del peritaje llega la hora de defender el informe entregado y ratificarnos en todo lo allí reflejado. Los nervios, la incertidumbre de lo que va a acontecer y los momentos de falta de confianza son enemigos internos contra los que hay que luchar y dejar a un lado antes del día D y la hora H.

Al día de la vista se debe llegar con todo bien amarrado entre el abogado y el perito, las preguntas que te van a hacer y las que el abogado puede hacer a la otra parte y de las cuales se puede sacar algo positivo. El proceso de confeccionar las preguntas puede no ser sencillo si el tema tiene connotaciones técnicas, algo muy probable en nuestra profesión, y el abogado carece de tales conocimientos. Es por ello que el planteamiento de la parte para la que se redacta el dictamen debe ser decidido conjuntamente por perito y abogado aportando el uno los conocimientos técnicos y el otro los legales. La labor del perito es en este escenario decisoria.

Cuando llega el día de la vista el perito debe llevar una copia del informe para consultarla en caso necesario así como su DNI, pasaporte o tarjeta de residente. Es conveniente que el informe no lleve ninguna etiqueta externa que pueda ser identificativa de la persona para la que fue emitido y que el perito haya realizado una labor previa de etiquetado y resaltado del mismo, teniendo localizables rápidamente los principales puntos del informe; objetivos, conclusiones, informes examinados si existieran, puntos críticos del procedimiento llevado a cabo, etc.

Las horas antes de la vista no son menos importantes. Los peritos de ambas partes (si existiera de la parte contraria) serán los últimos en entrar en la sala y esto propicia tiempo, puede que mucho tiempo, de espera. En primer lugar estarán presentes en la sala el acusado, los letrados y el juez (puede que haya más de uno). Acto seguido entrarán los testigos de ambas partes y por último lugar los peritos. Durante el tiempo de espera hay que tratar de evitar hablar del caso con los testigos de tu parte y desviar el tema, máxime si el juicio ha sido declarado como público y hay prensa, la cautela y la discreción debe ser una de las máximas en los momentos previos. Si aún así, el abogado insta al perito a que le aclare ciertas cosas se debe buscar un lugar adecuado, a ser posible con barreras físicas que impidan la audición de lo que se está tratando, con motivo de impedir que se proporcione información valiosa a la otra parte. La colaboración con el abogado es fundamental hasta el momento en que el perito sale de la sala e incluso después.

El tiempo de espera hará al perito pasar por una situación de calma tensa propia de las mejores películas de suspense en las que los maestros del cine consiguen mantenernos pegados a la silla y con los ojos bien abiertos porque no sabes qué va a pasar al segundo siguiente. Sentado en una silla durante 2 o 3 horas en un pasillo y a la espera de que se abra una puerta y suene tu nombre hay tiempo para pensar en muchas cosas y el ambiente puede ser agobiante, luz artificial, pasillos relativamente angostos, calor y otros factores pueden hacer aún más complicada la espera y cumplir con los principios de cautela y discreción ya mencionados.

******************************************************
Peritaje Informático de Parte: La Vista (I)
Peritaje Informático de Parte: La Vista (II)
Peritaje Informático de Parte: La Vista (III)
******************************************************

viernes, 2 de octubre de 2009

Algunas certificaciones de seguridad están sobrevaluadas

Categoría: Noticias

Quiero dejaos aquí una referencia a una noticia en la que se expone el punto de vista de Carsten Casper, director de investigación de Gartner y poseedor de las certificaciones CISA y CISSP que ya comenté aquí.

En esta entrevista, Casper habla sobre las certificaciones que tratan de abarcar un nicho concreto de la seguridad como por ejemplo el análisis forense o el hacking ético y otras más amplias en cuanto a seguridad de la información y cómo cada una de éstas certificaciones contribuye al conocimiento dependiendo del perfil que se busca. Quizá la conclusión más importante la podais encontrar en el último párrafo de manera que si no os es posible leer la entrevista completa, echadle un ojo a dicha parte de la misma.