Weblog de JaCkSecurity

A lo largo del 2010, se ha acusado del oportunismo ganado por compañías fabricantes de productos de seguridad con los acontencimientos mediáticos (Google atacado por gobierno Chino) y no mediáticos (situación real de la red), para lanzar productos cuya descripción aporte a la protección de APT (Advanced Persistent Threats). Sin embargo, para el común de las empresas, si eso es cierto o no, la prensa y las empresas de seguridad no han parado de hablar del tema.

Así, con el advenimiento del malware Stuxnet, las cosas parecen verse aún más claras, y quizás estemos presenciando el dejavu de tanta ficción profetizada (Die Hard 4), o la maduración magistral de tantas brechas del cibercrimen.

Sin embargo, para un ejecutivo de a pie el excepticismo (aunque siempre necesario) ante este tipo de noticias puede dejarlo muy mal parado y ponerlo en el dicho “no hay peor ciego, que el que no quiere ver“.

Por ello conviene hacer la tarea, y preguntar a los expertos. Uno de ellos muy posiblemente sea el Sr. Eric Byres, cuya compañía (Byres Security, hoy comprada por Tofino) ha sido miembro de la RISI (Very cool!). En un blog reciente, Eric afirma que no ha visto ningún gusano que se le parezca a Stuxnet. Como miembro de RISI, Eric no sólo ha tenido acceso a los reportes anuales de esa base de datos (de más de 175 incidentes), sino que fue (hasta el 2006) quien mantenía una de las más primitivas base de datos de esa índole, mientras estaba en la British Columbia Institute of Technology (BCIT) en Canada. Además, al año 2008, Eric conseguió reaperturar esa base de datos (otra más del género de incidentes industriales). Por lo que sin duda, estamos oyendo de alguien con más experiencia y contacto.

Ya con eso, ¿todavía tendríamos razones para menosprecia a Stuxnet?, o ¿podríamos ya estar pensando en añadir una nueva amenaza a los agentes de riesgo (p.e. “estado-nación“) de nuestras empresas, como nos deja entrever el CEO de Kaspersky?

JaCkSecurity
Conocimiento, Conciencia y Consultoría

Es una plan conciso y real de cómo tus gerentes deben actuar ante un (bastante) probable escenario de daño de reputación, financiero, comercial, y similares.

En tu posición como jefe de seguridad o CISO, su construcción no se basa en cuánto de seguridad informática, o incluso de seguridad de la información sepas, tampoco de cuánta tecnología domines, más bien se basa en cuanto de las consecuencias reales de un mal manejo de crisis eres capaz de ver en tu rubro de negocio.

Recientemente, realizamos una entrevista a un GERENTE GENERAL, a manera de simulacro, de cómo manejar ciertos escenarios de crisis, y fue sorprendente ver su acertada y natural alineación con dos de los objetivos básicos de un plan de gestión de crisis, como el que habíamos preparado, sin que él lo haya leído previamente. De hecho, a este cliente tuvimos que quitarle algunos parches de manejo de crisis, que ciertas gerencias requieren por su apego a antiguas prácticas de respuesta legal (para este tema de crisis).

Aunque regulatoriamente, algunas instituciones están obligadas a poseer su respectivo plan de gestión de crisis, en PAPEL, más importante que ello, es que los GERENTES sean conscientes de los escenarios de crisis que se pueden presentar en su gestión, a manera de concientización (crisis awareness), y con ello desarrollar -aunque parcialmente- su automática y futura respuesta a este tipo de problemas corporativos.

En resumen, tenga su plan, pero haga que este no sea iluso, debe ser tan bien calzado como un saco de sastrería. Si quiere uno de estos sacos, ya nos conoce, somos:

Javier Romero
GIAC Legal Issues
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Nota: Los planes de gestión de crisis (algunas veces llamados -de incidentes) son parte importante de una gestión de continuidad de negocios, como la solicitada en la circular G-139 de la Superintendencia de Banca, Seguros y AFP (en el caso del Perú), o lo más parecido al estándar BS 25999 (Business Continuity Management).

Aunque negro es la humo que viene dejando la erupción de un volcán, negro también es el adjetivo que se le da a las ocurrencias de bajísima probabilidad pero de altísimo impacto, expresado sobre los cisnes, “cisnes negros”.

Definición de la Teoría del Cisne Negro
A BLACK SWAN is a highly improbable event with three principal characteristics: It is unpredictable; it carries a massive impact; and, after the fact, we concoct an explanation that makes it appear less random, and more predictable, than it was. The astonishing success of Google was a black swan; so was 9/11. For Nassim Nicholas Taleb, black swans underlie almost everything about our world, from the rise of religions to events in our own personal lives.

¿Considera Ud. a los “Cisnes Negros” en sus análisis de riesgo? ¿Los considera alguien? ¿Los habrán considerado los administradores del transporte aéreo?

Datos del impacto:

Datos del peligro:

¿Datos de contingencias?:

¿A pesar de ello califica esto como un Evento Cisne Negro? Para responderlo mejor, quizás ayude la lectura de este libro, gratis on-line. Sólo asegúrese de no perderse muy lejos, cuando anuncien su vuelo (los aeropuertos sobrecargados suelen acelerar el ritmo del boarding-pass de un momento a otro).

Update: Después de días de publicado este post, es posible que la respuesta sea un sí. Estamos ante un cisne negro.

Update: Nube de ceniza volcánica en Europa tuvo un ‘costo’ de US$ 5.000 millones (link)

Javier Romero, CTO
JaCkSecurity
Conocimiento, Conciencia y Consultoría

En ocasiones, no nos falta motivos para sobre-exigir la seguridad de algunos puntos de nuestra cadena de procesos. Sin embargo, la excesiva seguridad en un eslabón se convierte también en el punto más frágil de toda la cadena, al sobre-exigir los demás eslabones (menos fuertes o normales). Aunque sea extraño decirl, ese tipo de descompensación sucede todo el tiempo, especialmente en organizaciones con departamentos de seguridad con gran poder.

Cada vez que implantamos un nuevo control de seguridad, principalmente los apegados a la “protección”, ponemos en riesgo a toda la cadena, aún discriminando el típico residual pos contramedida.

Esto sucede a causa de que somos incapaces de tener una visión holística de la cadena de procesos. Quizás un poco de experiencia, y mas bien paciencia (trabajo multidisciplinario) nos puede ayudar a evitar el fortalecer tanto un eslabón, que termine quebrando lazos con los dos de extremo.

Aunque el conocimiento integral es ideal para lo anterior, el mismo puede sonar inalcanzable, sin ayuda externa. He allí, donde un consultor de seguridad sigue siendo vital, aún a profesionales de seguridad in-house. La diversidad de experiencias en varios sectores de la industria y/o en empresas similares se vuelven útiles. Por supuesto, esta misma experiencia también la puede conseguir con literatura (books) de consultores o expertos. No obstante, con tanta presión regulatoria y normativa, ¿cuántos CISO realmente podemos lograr esto último?

Lo dicho se resume en un antiguo proverbio judío:

Quien quiera pelear,

primero debe pensar;

quien quiera ganar,

debe saber escuchar.

JaCkSecurity
Conocimiento, Conciencia y Consultoría

Es una interesante pregunta que surge cuando hacemos una típica consultoría de seguridad, que embebe, por ejemplo, una clasificación de activos o análisis de riesgos. A esta interrogante solemos no darle mucha atención, y procedemos a hacer lo que nos indique el cliente, y no ejercer una opinión más reflexiva, como ¿es realmente ese señor el owner final de ese activo de información? ¿no será mas bien el representante de otro, quien sí es el verdadero owner, pero no lo podemos visualizar a simple vista en nuestro mapa de áreas/procesos/activos?

Aquí una lección importante, de por qué detenernos a reflexionar si tal, cual o nosotros somos o no los owner.

Transcendió que un CISO tuvo que renunciar a su empleo en una agencia de gobierno, luego de citar de un incidente de seguridad en su agencia, durante su ponencia en la conferencia RSA. Bob Maley al parecer fue invitado a dimitir a causa de esa divulgación no autorizada, condicionada por una política de no-divulgación de dicha agencia. Según la ponencia de Bob, el estaría hablando de los problemas de seguridad que gente como él tiene que enfrentar en el día a día en las agencias de gobierno.

Aunque a simple vista, parecería que el proceso fue lo justo. Sin embargo, un comentarista de seguridad argumentó dos cosas (de las que citaremos sólo una, para ejemplo y reflexión):

On its face, that’s a sensible policy. No one wants unauthorized people spouting off to the media. But on the other hand, this is a state government, and the government’s business is the people’s business. This is not classified information, and I would argue that it’s not even sensitive information; it’s simply evidence that someone in the Pennsylvania IT organization misconfigured a Web application. Dennis Fisher

Por esto, quizás convenga cambiar nuestra pregunta de ¿quién es el owner? por ¿a quién le afecta más las decisiones o problemas sobre ese activo? Si el owner no es visible, entonces debería haber un owner-proxy, y ese debería tener claro que no vela por sus interéses, sino por los del verdadero owner, de quien necesita su “aprobación para” (defender, atacar, analizar, borrar, etc).

Así como fue una mala idea la Bob, también lo fue la de su agencia en permitirle renunciar sin una aclaración explícita, luego de esos hechos (sea que lo despidieron o no).

JaCkSecurity
Conocimiento, Conciencia y Consultoría

Este artículo de Día 1, El Comercio, especula muy bien el porqué a veces lo ideal de un sistema de prevención y alerta antes crisis o emergencias, no hace todo lo deseable.

Si hay una entidad con igual o mayor poder que quien generar la alerta, y su agenda en contrariamente diferente, entonces, el sistema de alerta (ante crisis/emergencia) podría pasar a segundo plano en su cometido inicial.

Preste mucha atención con eso, cuando establece su propio nivel de jerarquías de manejo de crisis, es mejor sincerar lo previsible que prometer lo incumplible. El lenguaje juega un factor importante. Apóyese de sus abogados, no use sólo su criterio de experto de seguridad o continuidad de negocios.

Un buen ejemplo de lo dicho, y una buena forma de recordar esta verdad, es el circuito de doble interruptor que -muy seguro- posee en casa (si alguna vez lo hizo en su clase de eletricidad básica, la idea le será más que clara).

Con dos interruptores se puede prender y apagar una lámpara. Sólo imagine dos niños jugando en ambos extremos, con los dos interruptores, mientras uno apaga, el otro enciende.

JaCkSecurity
Conocimiento, Conciencia y Consultoría

Entre algunas cosas de las que se puede analizar (especular) a partir del reciente reporte anual de riesgo operacional de la asociación ORX, está el impacto de la crisis financiera.

La gráfica 1 y 2 permite expresar eso.

¿en qué sentido guarda relación el incremento de incidentes y la crisis financiera? Una razón -quizás- sea la reducción de gastos o inversiones de controles de seguridad en ámbitos relativos al riesgo operacional de las entidades financieras a nivel global. ¿qué tipo de controles específicos? Eso, sólo lo saben los afectados.

De otro lado, si trasladamos el 18% (calculado visualmente) de incremento global en pérdida anual por riesgos operativos podríamos especular que al terminar el 2009, la pérdida local bien podría ser igual o próxima a dicho número. Esto si se asume un rezago de un año al impacto global de la crisis financiera, en los mercados menos afectados (algo que en nuestra percepción como proveedores de seguridad parece cierto).

Asimismo, al analizar el número de eventos por principal línea de negocio afectada (Retail Banking: tabla 3b) podemos conocer cuál sigue siendo el objetivo principal del hacking en el primer periodo del 2009. Este “external fraud” implica: “theft of information, hacking damage, third-party theft and forgery“.

Por supuesto, aún no lo hemos visto todo, si da un vistazo más al ORX December 2009, notará que el riesgo por External Fraud apenas si llegaba a la mitad en pérdidas de los dos eventos punta entre el 2002 y 2008 (Tabla4a) en comparación con el despunte que tiene en la Tabla4b.

Definitivamente, Ed Skoudis no se equivocó en señalar a esta época como “la era dorada del hacking”, lo mejor aún está por venir.

JaCkSecurity
Conocimiento, Conciencia y Consultoría

Luego de validar la existencia de un incidente de seguridad, es mejor no pasar por alto ningún detalle y revisar más acerca de él. El seguimiento puede dar frutos mucho más relevantes que la existencia del mismo incidente.

Así sucedió con Google, luego de percatarse que los ataques que recibió desde China, no sólo lo recibieron ellos, sino además otras compañías americanas en China. En ese proceso de darle más seguimiento al incidente, concluyeron que el ataque tenía una cognotación mas bien política.

Cuando su personal de seguridad le advierta de un incidente, no lo deje en el inventario de vulnerabilidades por resolver solamente, dese un tiempo para preguntarse ¿por qué?, déjese llevar por la curiosidad “hágase más preguntas”.

“Follow your incidents”

JaCkSecurity
Conocimiento, Conciencia y Consultoría

Se ha preguntado ¿por qué seguimos escuchando preguntas acerca de qué AV es más seguro, si siempre lo veremos con un obstáculo en la vida práctica de TI?

Si está por adquirir AV para su compañía, quizás deba replantear las preguntas acerca de los AV ¿qué es lo que realmente me sirve de ellos? o ¿para qué si sirve (además, claro, de estorbar un poco cuando se quiere instalar software)?

JaCkSecurity
Conocimiento, Conciencia y Consultoría