miércoles, 16 de diciembre de 2009

El espíritu de la seguridad

Categoría: Seguridad de la Información


Es un hecho innegable que la importancia de la concienciación en materia de seguridad dentro de la organización es un factor de vital importancia para la seguridad efectiva de la misma. Sin embargo suele ser la gran olvidada, existe la creencia de que invertir en otros aspectos de la seguridad, como el ámbito técnico u organizativo, va a suplir la necesidad de formación cuando la primera barrera de protección es el propio usuario.

Y es que conseguir que la seguridad de la información sea algo tan contagioso como el espíritu de la navidad no es una tarea fácil, primero hay que convencer a los reyes magos de que el espíritu de la seguridad es necesario que llegue a todo el mundo y después conseguir que éste se contagie y cale lo más hondo posible y en el mayor número de personas. Pero esto no basta, como cada año, el espíritu de la navidad vuelve para recordarnos valores que son importantes y es que tenemos la mala costumbre de olvidar las cosas que no se nos recuerdan. Sin duda, no sería lo mismo la navidad si fuese cada cinco años, y por eso, cuando se trata de espíritu , los medios para mantenerlo encendido deben ponerse a intervalos lo suficientemente cortos.

La navidad tiene un plan, para muchos muy agradable y para otros no tanto, pero la cuestión es que nos visitará todos los años en las mismas fechas con sus renos, papá noel, la estrella de oriente, los árboles y los regalos, y con la seguridad debe pasar algo parecido, también debe tener un plan, un plan de formación y concienciación en materia de seguridad que mantenga viva la llama interior de todos antes de hacer un click a un correo con 3500 destinatarios porque cree que va a recibir 250€ por cada correo que envíe, que nos alerte de que los bancos no nos piden nuestras claves o que nos repita interiormente "yo formo parte de la seguridad de esta organización".

El espíritu de la navidad no siempre habitó en nosotros, lo fuimos aceptando a través de una cultura y una educación que nos lo inculcó y nos ha llevado a formarnos una opinión, y en ocasiones un cierto sentir al respecto, ya sea para bien o para mal. Y el problema del espíritu de la seguridad es que no se conoce, no se puede tener una opinión de lo que no se conoce, no se conoce lo que no se divulga, no se divulga lo que no se identifica como importante y lo que no se considera importante cae en el olvido dando lugar a... lo que dios quiera (versión para los creyentes) / lo que el destino nos depare (versión para los no creyentes).

Quizá en generaciones venideras el espíritu de la seguridad vaya junto al de la navidad, ambos cogidos de la mano y en convivencia en una misma persona educada en la generación digital y la cultura de la información con acceso global, pero hoy vivimos una transición que crea un ambiente de especial riesgo por el analfabetismo digital y por el analfabetismo en seguridad, porque, si, efectivamente, no todo el que es (o se considera) conocedor del mundo digital es consciente de los riesgos que implica el que su ordenador esté accesible a 1.007.730.000 personas. Quizá si se le hiciera pensar en 1.007.730.000 personas paseando por enfrente de su casa, algunos con conocimiento de cómo se abren ventanas desde fuera y cómo se rompen cerraduras, se le haga reflexionar y consigamos que nazca en él el espíritu de la seguridad.

Hasta que llegue el momento en el que el espíritu de la seguridad nazca de cada uno de nosotros fruto de la cultura y la educación, habrá que poner posters en las paredes de la organización, avisos en los inicios de sesión, multiplicar la política de seguridad de la organización en más de un sitio visible, comunicar y recordar las directrices para el buen uso de los sistemas y buenas prácticas de navegación y lo más importante; recordarle siempre a todos los usuarios que de su espíritu por la seguridad depende la supervivencia de la organización.

Salu2!

lunes, 14 de diciembre de 2009

COFEE DECAF please

Categoría: Análisis Forense

Microsoft lanzó hace unos meses un conjunto de herramientas destinadas al análisis forense de su sistema operativo bajo el nombre de COFEE (Computer Online Forensic Evidence Extractor). Este conjunto de más de 150 aplicaciones se distribuye entre las fuerzas de la ley sin coste alguno en 187 paises alrededor del mundo.

Hoy veo en SANS un kit de herramientas antiforense especialmente dedicado a perturbar las evidencias extraídas mediante las herramientas COFEE. Este kit se denomina DECAF (Detect and Eliminate Computer Assisted Forensics). Dado que COFEE está diseñado para la extracción de evidencias volátiles en un windows en ejecución, la idea que hay tras DECAF es dificultar esa labor monitorizando la introducción de la unidad externa usb que contiene las herramientas COFEE y realizando una serie de acciones una vez se ha detectado con el fin de imposibilitar la recogida de evidencias.

Salu2!

domingo, 13 de diciembre de 2009

Destrucción de Información, referencias legales y normativas (IV)

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

Categoría: Seguridad de la Información

Destrucción de Información en Soporte Digital

Ahora bien, todo lo anterior es válido para información que figura en formato papel pero no tiene sentido aplicar la misma vara de medir a los soportes magnéticos. Por ello, cuando se habla de destrucción segura de soportes que contienen información digital podemos optar por dos tipos de destrucción principalmente:
  • Destrucción por software: si se desea reutilizar el soporte ésta es la única opción y ya comentamos con anterioridad cómo se puede realizar este borrado seguro de información del disco duro aplicando el conocido como algoritmo de Gutmann. Este métido de destrucción de la información por software es mucho más exhaustivo que, por ejemplo, el utilizado por el Departamento de Defensa de los Estados Unidos según el Standard DoD 5220.22-M en lo que a discos en PCs físicos se refiere.
  • Destrucción por hardware: Este grupo de procedimientos de destrucción es el adecuado cuando la reutilización del soporte no es necesaria o no se considera conveniente porque la información contenida en el soporte está clasificada dentro de una categoría de alta confidencialidad. Disponemos de las siguientes opciones:
  1. Destrucción mecánica del dispositivo: esto implica que una máquina se encarga de realizar una destrucción del dispositivo. Algunas destructoras de papel, también destruyen otros soportes como CDs o disquetes, pero para los discos duros hay que utilizar máquinas o bien que taladren el disco duro agujereando los platos donde figura la información (de otra forma podría recuperarse aunque se haya provocado un daño mecánico montando estos discos sobre otro soporte de iguales características), o bien que literalmente lo planchen o reduzcan a pedazos. Sirva esta imagen que no puedo incluir por derechos de autor como un buen ejemplo.
  2. Destrucción mediante campos magnéticos: En este caso los discos duros son sometidos a intensos campos magnéticos que dejan la superficie del diso ilegible e inutilizada y por ende la información irrecuperable.
  3. Destrucción mediante el fuego: Una opción a tener en cuenta es someterlos a altas temperaturas durante un periodo de tiempo prolongado que permita que los materiales se fundan.
Ya para finalizar os dejo un vídeo sobre una planta de destrucción de soportes y medios:



******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

viernes, 11 de diciembre de 2009

Destrucción de Información, referencias legales y normativas (III)

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

Destrucción de Información en soporte papel, la norma DIN 32757

Tras este repaso sobre algunas de las referencias legales en cuanto a clasificación que ya existen y que se van a imponer en breve, quiero hacer una reflexión al respecto de cómo se trata la destrucción de la información ligada a los requisitos legales de destrucción y el nivel de clasificación que estos dos marcos legales nos ofrecen.

La norma DIN 32757 regula el tamaño máximo que deben tener los fragmentos de un soporte destruido dependiendo de la clasificación de la información que contiene definiendo 5 niveles:
  • Nivel 1: Tiras de un máximo de 12 mm de ancho. Documentos generales que deben hacerse ilegibles.
  • Nivel 2: Tiras de un máximo de 6 mm de ancho. Documentos internos que deben hacerse ilegibles.
  • Nivel 3: Tiras de un máximo de 2 mm. de ancho / Partículas de un máximo de 4 x 80 mm. Documentos confidenciales.
  • Nivel 4: Partículas de un máximo de 2 x 15 mm. Documentos de importancia vital para la organización que deben mantenerse en secreto.
  • Nivel 5: Partículas de un máximo de 0,8 x 12 mm. Documentos clasificados, para los que rigen exigencias de seguridad muy elevadas.
A mayor nivel de seguridad, menor es el tamaño de las partículas resultantes. Podemos entonces establecer para el papel una correspondencia en función de la criticidad de los datos (y las sanciones por fuga de datos en caso de la LOPD) entre los diferentes niveles establecidos por el RD 1720/2007, el ENS y la norma DIN 32757.

Entramos en el terreno de la opinión dadas las mínimas diferencias que existen entre niveles adyacentes de la norma DIN 32757. En relación al reglamento de desarrollo de la LOPD y respetando lo descrito en el artículo 92.4 donde no se distingue entre niveles de clasificación de la información de carácter personal, una alternativa es destruir cualquier información de carácter personal en soporte papel mediante una destructora que asegure un nivel 4. Otra posible alternativa puede ser la siguiente:
  • LOPD nivel bajo <--> DIN 32757 nivel 2
  • LOPD nivel medio <--> DIN 32757 nivel 3
  • LOPD nivel alto <--> DIN 32757 nivel 4 o 5
En relación al ENS, podemos establecer la siguiente correspondencia en cuanto a la clasificación que por confidencialidad hace en el artículo 43:
  • ENS Información Pública --> No es necesaria la destrucción
  • ENS Información No Divulgable <--> DIN 32757 nivel 3
  • ENS Información de Difusión Administrativa <--> DIN 32757 nivel 4 o 5
No obstante, el ENS entiendo que tiene una doble clasificación en términos de confidencialidad que quizá debería ser revisada dado que en el Anexo I se vuelve a tipificar la información como básica media y alta dependiendo del impacto generado por un incidente de seguridad. Atendiendo a esta clasificación podríamos tener la siguiente opción:
  • ENS nivel bajo --> DIN 32757 nivel 2
  • ENS nivel medio --> DIN 32757 nivel 3
  • ENS nivel alto --> DIN 32757 nivel 4 o 5
Esta correspondencia establece a su vez una equiparación en términos de destrucción entre los niveles medio y alto y la información de carácter no divulgable y de Difusión Administrativa respectivamente.

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

jueves, 10 de diciembre de 2009

Pornografía Infantil NO

Desde seguinfo vi ayer una bonita y necesaria campaña contra la pornografía Infantil que no he dudado un segundo en secundar.

Vaya mi condena ante cualquier abuso a menores y mi propuesta para todo aquel que me lea de que, si dispone de un blog lo publique.

La inocencia de un niño debe ser salvaguardada de cualquier abuso y en especial de los abusos sexuales.

Esta campaña tiene como propósito llenar internet de páginas con las palabras clave empleadas por los pedófilos para dificultar en la medida de lo posible que encuentren el material que buscan.

Pedófilos y Pedrastas NO.


Destrucción de Información, referencias legales y normativas (II)

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

Categoría: Seguridad de la Información

Esquema Nacional de Seguridad

El recientemente publicado borrador del Esquema Nacional de Seguridad establece dentro de su capítulo 10 en su artículo 43 una clasificación de la información distinguiendo entre:
  1. Información de Difusión Administrativa: aquella cuya revelación pública no autorizada pueda ocasionar un perjuicio para el procedimiento administrativo o para los intereses de las personas afectadas.
  2. Información No Divulgable: aquella que, sin ser información clasificada, o de difusión administrativa, tenga limitada su publicidad por disposición legal.
  3. Información Pública: toda información que no sea información clasificada, dato de carácter personal, ni esté clasificado como de Difusión Administrativa o No Divulgable por prescripción legal.
En su anexo I, hace una categorización de los sistemas que los divide en tres categorías:
  • Básica, Media y Alta.
Habla también allí de que un sistema pertenecerá a una determinada categoría dependiendo del impacto que un determinado incidente de seguridad pudiera provocar a nivel organizativo. Hace también una exposición de las dimensiones de seguridad (con la que no estoy de acuerdo) y menciona que debe evaluarse cada dimensión por separado y cómo se debe hacer corresponder cada dimensión con su categoría de seguridad. En el punto 6 del mismo anexo podemos encontrar una secuencia de pasos que nos conducirá hasta la categorización del sistema pasando por:
  • Identificación de la información manejada según lo dispuesto en el artículo 43
  • Determinar las dimensiones de seguridad relevantes
  • Determinar el nivel de seguridad correspondiente a cada dimensión
  • Determinar la categoría del sistema
En lo relativo a la destrucción de la información, el ENS introduce en su punto 5.5.5 del Anexo II a qué deben aplicarse y qué garantías deben proveer las medidas de borrado y destrucción:
La medida de borrado y destrucción de soportes de información se aplicará a todo tipo de equipos susceptibles de almacenar información, incluyendo medios electrónicos y no electrónicos.

a) Los soportes que vayan a ser reutilizados para otra información o liberados a otra organización serán objeto de un borrado seguro de su anterior contenido.

b) Se destruirán de forma segura los soportes en los siguientes casos:
  • 1º Cuando la naturaleza del soporte no permita un borrado seguro.
  • 2º Cuando así lo requiera el procedimiento asociado al tipo de la información contenida.
c) Se emplearán, preferentemente, productos certificados [op.pl.5]

Como se puede apreciar hace referencia al requisito op.pl.5 que se encuentra en el punto 4.1.5. y que recomienda el uso de productos o equipos cuyas funcionalidades hayan sido rigurosamente evaluadas conforme a normas internacionales o europeas. Reza:

Tendrán la consideración de normas europeas o internacionales, ISO/IEC 15408 u otras de naturaleza y calidad análogas
Sobre ISO 15408 hablaremos en un futuro en este blog.

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

miércoles, 9 de diciembre de 2009

Destrucción de Información, referencias legales y normativas (I)

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

Categoría: Seguridad de la Información

En post pasados analizamos las peculiaridades de los entornos compartidos e hicimos mención a la destrucción de datos, dejándola a un lado para otro post. Aquí trato este aspecto, que constituye la última parte dentro del ciclo de vida de la información, su destrucción, desde una perspectiva legal. Para ello se va a tener en cuenta el reglamento de desarrollo de la LOPD y el ENS. Dependiendo del país y del sector empresarial pueden existir otras leyes que vinculen la clasificación de la información con los requisitos a cumplir en su destrucción pero la información aquí contenida puede ser igualmente útil.

Introducción

La clasificación de la información es, sin duda alguna, uno de los puntos comunes a toda normativa ya sea de obligado cumplimiento y origen legal (Ley Orgánica de Protección de Datos, Esquema Nacional de Seguridad) o de cumplimiento voluntario (ISO 27001). Esta clasificación nos permite aplicar medidas de seguridad dependiendo de la criticidad de la información a ser protegida.

Dentro del marco legal español ya existen reglamentos que aplican la clasificación de la información y que de manera más o menos directa vinculan la clasificación de un activo de información a los requisitos que se deben cumplir en su destrucción. A continuación se resumen las diferentes partes del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos y del futuro Esquema Nacional de Seguridad que tienen implicaciones en la destrucción de la información ofreciendo un vínculo entre dichos requerimientos y otras normativas existentes para cumplir los requerimientos impuestos por la legislación.

Reglamento de desarrollo de la Ley Orgánica 15/1999

El Real Decreto 1720/2007 de 21 de Diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de datos de carácter personal, en su artículo 80 expone;
Las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles: básico, medio y alto.
Esta misma legislación hace referencia a la destrucción de la información en su artículo 88.3.g) en el que menciona en relación a la información que debe figurar en el Documento de Seguridad;
Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.
También lo hace refiriéndose a ficheros y tratamientos automatizados en el Artículo 92.4 donde reza;
Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.
Finalmente impone en el artículo 105.2.d. que lo anterior también es válido para ficheros y tratamientos no automatizados.

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************