Sistemas de control industrial y riesgos

Caminar por la calle debería ser suficiente para darse cuenta del afán de los humanos por controlar todo. El tiempo, el clima, la calidad del aire, el numero de plazas en el parking de debajo de tu casa. Está por todos los lados. En las farmacias, en los escaparates de tu tienda de ropa o en el bar con tus amigos. Y lo cierto es que todo este control tiene un sentido. El control nos ayuda a comprender nuestro entorno, y por consiguiente predecirlo. Esto es algo que el ser humano no ha tardado mucho en darse cuenta, ya que la intención de controlar nuestros alrededores se remonta muy atrás, pero es actualmente cuando más controversia. Ante el control que el gobierno quiere imponer a los ciudadanos, estos se revelan para proteger su privacidad. Y siempre es por lo mismo, el afán de controlar y predecir. Este control también se extiende al mundo de la empresa y de la industria. Sería ideal controlar todas las variables que pueden inferir en el negocio, pero entran en juego dos variables que limitan este sueño: el tiempo y los recursos. Por ello, es cada vez más importante saber gestionar estos recursos e identificar las variables más importantes a controlar.

Antes de comprender el presente, intentemos comprender el pasado. Uno de los primeros mecanismos de control, se cree que fue un antiguo reloj de agua Ktesibios en Alejandría, Egipto. Sin embargo, se considera que el boom de los sistemas de control industrial se inicio a medidos del siglo XVIII. Fue a finales de siglo cuando realmente se avanzó en la industria y campos específicos notaron considerables mejoras. En la industria naval, por ejemplo, se permitió la construcción  de barcos más grandes gracias a la invención de los servomecanismos o servomotor. A mediados de 1950, empiezan a aparecer lo que conocemos como sistemas de control modernos. Los ingenieros se dieron cuenta de que las mediciones reales contienen errores y están contaminadas por el ruido, por lo que empezaron a aparecer nuevas formas de medir. Emergen también los PLC, o los controladores lógicos programables y términos como SCADA (Supervisory Control and Data Acquisition). Automatizar el control hizo que incrementara muchísimo la producción del sector industrial, pero de la misma forma que la tecnología y la información trae nuevas oportunidades, trae consigo también nuevos riesgos.

Los sistemas de control industrial se habían convertido en un activos muy fiables. Si bien es cierto que podían tener algún fallo interno, estaban completamente cubiertos en cuanto a los ataques externos se refiere. Sin embargo, los sistemas computacionales no son inmunes a las ciber-amenazas. La entrada del Internet en la industria, se abre un nuevo mundo para los ciberataques. Esto es una grave amenaza, que algunas empresas han sabido identificar mejor que otras, ya que se ha demostrado que un ataque de este tipo puede tener las mismas o peores consecuencias que un ataque físico. Ejemplos muy actuales demuestran la capacidad devastadora con la que cuentan. En esta imagen se muestran los 8 mayores ciberataques del 2016 según Forbes. Los sistemas de control industrial han pasado literalmente de tener cero días de ataques, a tener ataques de día cero.

A medida de que la industria avanza surgen nuevas tecnologías con las que controlar los procesos. Los sistemas de computación en la nube son cada vez más populares en el mundo de la industria, y términos como IIoT o la industria 4.0 están dejando de ser novedosos. El mundo de la industria está viviendo su cuarta revolución hacia un mundo totalmente nuevo, en el que las fábricas son más productivas, más flexibles y más eficientes. La computación en la nube ya es una realidad también en el mundo industrial. Nuevamente vuelven a surgir oportunidades y amenazas. En un mundo tan competitivo, donde se le otorga un altísimo valor a la información y el dato, ¿qué pasa cuando esos datos están en la nube? Los sistemas de control se tienen que extender mucho más allá de los límites de la organización.

Ciertamente, como con cada revolución, se plantea un futuro incierto pero ilusionante, donde se permite que el desarrollo y la innovación puedan volver a ser factores determinantes. Sin embargo, tenemos que aprender del pasado y aplicar esas lecciones al presente y al futuro. Innovación y desarrollo y control y seguridad tienen que ir de la mano. Olvidarlo es ser olvidado.

 


 

Referencias:
<<JOnline: Security of Industrial Control Systems>>, Acceso el 8 de octubre de 2017, https://www.isaca.org/Journal/archives/2010/Volume-4/Pages/JOnline-Security-of-Industrial-Control-Systems.aspx

<<Industrial Control Systems and Risks>>, Acceso el 8 de octubre de 2017, https://blogs.deusto.es/master-informatica/industrial-control-systems-and-risks/

<<Breaking Down the Risk of Industrial Control Systems Security>>, Acceso el 8 de octubre de 2017,http://www.aberdeenessentials.com/techpro-essentials/breaking-down-the-risk-of-industrial-control-systems-security/

<<Control system>>, Acceso el 8 de octubre de 2017, https://en.wikipedia.org/wiki/Control_system

<<Industrial Control Systems: A Primer for the Rest of Us>>, Acceso el 8 de octubre de 2017, http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/industrial-control-systems-a-primer-for-the-rest-of-us.aspx

<<An Abbreviated History of Automation & Industrial Controls Systems and Cybersecurity>>, Acceso el 10 de octubre de 2017, https://ics.sans.org/media/An-Abbreviated-History-of-Automation-and-ICS-Cybersecurity.pdf

<<8 Major Cyber Attacks Of 2016 [Infographic]>>, Acceso el 10 de octubre de 2017, https://www.forbes.com/sites/kevinanderton/2017/03/29/8-major-cyber-attacks-of-2016-infographic/

<<Industria 4.0>>, Acceso el 10 de octubre de 2017, https://es.wikipedia.org/wiki/Industria_4.0




Soy adicto!

Déjame empezar este post partiendo un ejemplo verídico. Supongamos que hablo del Aeropuerto de Castellón.

A lo largo de la vida he aprendido cosas que me han sido muy útiles pero hay una gran cantidad de cosas que he aprendido sobre qué no hacer. Y empezaba con el ejemplo del aeropuerto, porque esa me parece una de ellas. Una de esas cosas que sirve para demostrar una estrepitosa gestión y planificación llevada a cabo durante la realización de ese proyecto. Un proyecto en que se juntaron ingredientes muy peculiares y que de esa mezcla, salio lo que hoy se conoce como ‘otra estafa mas que añadir a la lista’.

Y es que como si de un mafioso se tratara, Fabra se encargo personalmente de que, con una inversión en el proyecto de 160 M €, ese proyecto saliera adelante, para que a dia de hoy se haya convertido en un referente de lo que no hay que hacer. Tanto es asi, que el propio New York Times, lo usa como ejemplo para poner en evidencia la gestión del Gobierno de España.

Pero, hoy sin embargo, y sin entrar en temas politicos, me centraré en la parte que más desapercibida puede pasar de este suceso: la planificación.

Y es que sabemos que hay acuarios sin peces, obeliscos giratorios que no giran o incluso la ciudad de la cultura fantasma de Galicia.

Pero empezemos por lo primero, la planificación. Para muchos de los que conozco, planificar, se asocia con la realizacion de un documento de innumerables paginas que describa con lenguage de abogado que es lo que se supone que se va a hacer, como, cuando, con que directrices, criterios de verificacion, etc. Algunos de vosotros, tambien llamareis a esto Documento de Proyecto, pero la verdad, y aunque a alguno le duela escucharla, planificar no es esto. O al menos, no es sólo eso.

Cuando se establece la necesidad de planificar algo, ya se un proyecto, una actividad en grupo, o una actividad personal, es un proceso en el que hay que estar centrado en realizar dicha tarea. Un proceso en el que se tienen que ver involucrados todas las personas necesarias para llevarlo a cabo. Un proceso en el que la opinion de los involucrados, cuenta y es realmente importante. Un proceso en el que hay que reconocer las barreras del entorno para poder evitarlas. Un proceo en el que buscar nuevas direcciones en caso de bloqueos.

En definitiva, un proceso con el que intentaremos tener control, seguridad y confianza sobre el trabajo a realizar. Porque en caso de ser necesario, dispondremos del conocimiento necesario para actuar en consecuencia.

Todo hay que decirlo, y la verdad es que es una muy buena forma de evitar el caos y el desconcierto! Por este motivo, las empresas o incluso los grupos de trabajo que precien contaran con al menos dos de los tres niveles de planificación, concretamente los niveles de planificacion a corto plazo y a medio plazo.

Un breve resumen de dichos niveles sin entrar en detalle de los mismos se aprecia a continuación:

  • Nivel 1 (Planificacion a corto plazo): conocida como la planificación diaria, a lo sumo, semanal.
  • Nivel2 (Planificacion a medio plazo): Seguramente sea la oveja negra de las planificaciones. El caso es que es aquí cuando se definen los objetivos a nivel mensual o trimestral, objetivos mas manejables que los anuales que se centran en hacer tareas mas sencillas para llegar al objetivo general.
  • Nivel 3 (Planificacion a largo plazo): es el coloquialmente conocido como la ‘Big picture’ y representa el recorrido que va a tener la empresa o proyecto a lo largo de un periodo relativamente largo. Es en esta planificación donde se definen los objetivos y tiempos de los mismos, aunque bien es cierto, que estos últimos pueden ser bastante variables.

Como se puede ver, separando la planificacion en estos tres niveles, se parece bastante a la filosofía de

Divide et impera

dividiendo las tareas grandes en secciones mas manejables. Al fin y al cabo es una metodología más.

Todo esto que os acabo de contar es mera teoría pero es que en la realidad ocurre algo totalmente diferente y anecdotico. Somos adictos a la planificación, por el motivo que fuera. Y es que quien no ha planeado nunca un viaje? Quien no ha hecho una lista de la compra antes de ir al super?

Esto aunque no lo parezca también es planificación, porque básicamente estas definiendo lo que vas a hacer antes de que lo hagas. Por seguridad, tranquilidad o porque tienes que cumplir con una serie de metodologías, la planificación esta ahí, formando parte de tu vida profesional y personal. Muchas veces latente ante los acontecimientos, pero hay que asumir que para muchas personas, sin planificación no son nada. Y otros sin embargo, no tienen tanto problema.

Ahora que ya conoces otra perspectiva más, ¿Con cual de las dos posturas te sientes identificado?




Factores de riesgo en las aplicaciones móviles y algunos controles básicos con los que abordarlos

Con la continua evolución tecnológica, especialmente en el ámbito empresarial, la auditoría del TI y los profesionales de seguridad deben adaptarse al escenario de las amenazas cambiante creado por las aplicaciones móviles adelantándose al riesgo. Para ello deben poner controles apropiados y probar las aplicaciones móviles desde su concepción hasta su lanzamiento. Es por ello que he seguido leyendo sobre la Gestión del Riesgo Institucional en el Mundo Móvil, y esta vez he investigado acerca de los factores de riesgo en las aplicaciones móviles y algunos controles básicos con los que abordarlos. En este Post he utilizado como fuente un artículo de una revista llamada ISACA Journal: mobile apps.

Los riesgos en las aplicaciones móviles se pueden dividir en cuatro categorías:

Cuatro categorías.

Riesgos y controles en la categoría de Dispositivos móviles:

  1. Almacenamiento de datos:
    • Riesgo: Pérdida y divulgación de datos.
    • Control: El cifrado de los datos en reposo en el dispositivo móvil se establece en el Estándar de Cifrado Avanzado (Advanced Encryption Standard: AES) de 128, 192 o 256. Mediante este control los datos se almacenan de forma segura para evitar la extracción maliciosa de la aplicación cuando los datos están en reposo.
  2. Transmisión de datos:
    • Riesgo: Pérdida y divulgación de datos.
    • Control: El cifrado de datos se aplica para los datos en transmisión a través de la Capa de Puertos Seguros (Secure Sockets Layer: SSL) y fuertes protocolos de seguridad tales como:
      • Acceso Web – HTTPS vs. HTTP
      • Transferencia de archivos – FTPS, SFTP, SCP, WebDAV sobre HTTPS vs. FTP, RCP
      • Protocolos de seguridad – Seguridad en la Capa de Transporte (Transport Layer Security: TLS)

Mediante este control la transmisión datos de la aplicación móvil está cifrada cuando no se dispone de datos en reposo.

IMPORTANTE: Estos dos primeros riesgos tratan sobre la pérdida y la divulgación de datos, tema que hace referencia a la DLP y a la gestión de contenido móvil (MCM).

  1. Aplicación de gestión de acceso y seguridad:
    • Riesgo: Acceso no autorizado y fraude.
    • Control: La gestión de aplicaciones móviles (MAM) se utiliza para gestionar el acceso y el despliegue de la aplicación. Además, se mantienen unas adecuadas listas blancas y listas negras. Mediante este control la aplicación está configurada para limitar el acceso y configurada adecuadamente para uso autorizado limitado.
  2. Llevar dispositivos móviles fuera del perímetro empresarial:
    • Riesgo: Pérdida o robo del dispositivo móvil, haciendo posible el acceso no autorizado a las aplicaciones móviles del dispositivo y al fraude de los datos de éstas.
    • Control: (MAM) *Leer el control 3.2 de esta categoría.

Riesgos y controles en la categoría de Red:

  1. Conectividad inalámbrica:
    • Riesgo: Pérdida y divulgación de datos (DLP & MCM).
    • Control: La transmisión de datos utiliza, como mínimo, SSL o TLS. Ambos protocolos criptográficos para la transmisión segura de datos. Mediante este control el cifrado se aplica cuando se activa la conexión Wi-Fi.
  2. Secuestro de sesión (Session hijacking):
    • Riesgo: Pérdida y divulgación de datos y acceso no autorizado (DLP & MCM).
    • Control: Los protocolos de conexión para el Localizador Uniforme de Recursos (Uniform Resource Locator: URL) a través de TLS son a través de HTTPS en lugar de HTTP para conectarse de forma segura a una URL. Mediante este control se evita el secuestro de una sesión debido a un protocolo de conexión inseguro.

Riesgos y controles en la categoría de Servidor web:

  1. Gestión de acceso:
    • Riesgo: Pérdida y divulgación de datos y acceso no autorizado (DLP & MCM).
    • Control: Todos los servidores web aplicables se asignan a los propietarios de sistemas técnicos y empresariales. Los roles y responsabilidades definidos son adecuados, especialmente para el personal interno y de terceros. Mediante este control los roles y responsabilidades de la propiedad son establecidos, documentados y comunicados.
  2. Ataque de fuerza bruta:
    • Riesgo: Acceso no autorizado y fraude, disponibilidad de la aplicación.
    • Control: Los protocolos de bloqueo están habilitados para cuentas con varios intentos de contraseña incorrectos. Se recomienda la utilización de CAPTCHA (programa que distingue entre seres humanos y ordenadores) para evitar DoS (Denegación de Servicio). Mediante este control la gestión de la estrategia de DoS abarca programas adecuados para bloquear los protocolos no autorizados.

Riesgos y controles en la categoría de Base de datos:

  1. Acceso privilegiado:
    • Riesgo: Acceso no autorizado y fraude.
    • Control: El acceso a la BD está limitado a las personas apropiadas, y las revisiones de acceso adecuadas y las cuentas del sistema documentadas se mantienen archivadas. Todas las cuentas y contraseñas predeterminadas se deshabilitan al aplicar controles de contraseña estrictos. Mediante este control el acceso elevado a las BBDD se asegura adecuadamente utilizando las mejores prácticas.
  2. Inyección SQL (SQL injection):
    • Riesgo: Acceso no autorizado y fraude.
    • Control: Se da lugar a la técnica de validación de entrada; existen reglas específicamente definidas para el tipo y la sintaxis contra las reglas clave de negocio. Mediante este control el acceso a la BD del Back-end está protegido adecuadamente de vulnerabilidades utilizando técnicas de validación de entrada apropiadas.
  3. Validación de la entrada de la aplicación (cliente):
    • Riesgo: Acceso no autorizado y fraude.
    • Control: La limpieza de los datos de usuario de la aplicación procedentes de la aplicación móvil se protege adecuadamente mediante comprobaciones de lógica incorporada dentro de la aplicación. La correcta implementación de las comprobaciones lógicas está habilitada en el lado del servidor. Mediante este control los datos procedentes de aplicaciones móviles son examinados antes de confiar en ellos para extraerlos o enviarlos a la capa de BD.
  4. Servicios de BD de aplicaciones.
    • Riesgo: Acceso no autorizado y fraude.
    • Control: El servidor de BD se prueba adecuadamente y se protege contra ataques maliciosos. Los formularios de inicio de sesión requieren HTTPS. Las conexiones SSL son obligatorias.

¿Y el último post?:

No se han tratado amenazas como el Phishing. Puesto que considero que es fundamental tener ciernas nociones de esta amenaza, mi último post, tratará sobre ésta.

Referencia:

Revista de ISACA:

J. Khan, Mohammed «Mobile App Security Audit Framework», ISACA Journal: mobile apps, nº 4 (2016): 14-17.




Prestadores de servicios de certificación

En este post hablare acerca de la figura de los prestadores de servicios de certificación, los cuales han ido apareciendo en repetidas ocasiones durante los post anteriores. Un prestador de servicios de certificación es la persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica. Es decir, es la figura a la que tenemos que dirigirnos cuando tenemos un documento o un contrato y necesitamos una firma para poder establecer nuestra identidad como firmantes. Esta figura da fe que esa firma electrónica corresponde a una persona concreta, y por ello los certificados también son firmados por ellos.

Cada prestador de servicios de certificación debe disponer de un servicio de consulta, en el cual se puedan consultar los certificados expedidos por los mismos y el estado en el que se encuentran. Es decir, si los mismos siguen vigentes, han expirado o si han sido suspendidos. De esta forma el receptor del documento podrá comprobar si el certificado correspondiente corresponde a el firmante y este no ha sido modificado durante el envío y recepción del mismo. Por ello, podemos decir que los prestadores de servicios de certificación son los sujetos que hacen posible el empleo de la firma electrónica, ya que son los que realizan esa función de nexo o pegamento entre el emisor o firmante y el receptor.

Como se indica en el artículo 19 de la ley de firma electrónica [1] cada uno de los prestadores deberá realizar una declaración de prácticas de certificación. El mismo deberá contener todos los requisitos exigidos a los prestadores en la ley, como por ejemplo como se custodiarán los datos de creación de firma o como se comunicarán con los Registros públicos para notificarles de los cambios. Esta declaración tiene la misma consideración frente a la ley que el documento de seguridad, el cual hemos visto en clase y nos fue introducido también en la charla de uno de los invitados.

Ahora os voy a hablar un poco de cómo ha cambiado el mundo de los prestadores de servicios de certificación en España en los últimos años. Estos se regían por la ley de firma electrónica vigente en España[1], por tanto, cumpliendo lo que establecía esa ley, los mismos eran considerados con el máximo grado de confianza. ¿Qué ha ocurrido entonces? La Unión Europea lanzo el “Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior” [2]. Como ya sabemos los reglamentos expedidos por la Unión Europea son de obligado cumplimiento por todos los estados miembros. Este reglamento entro en vigor el 17 de septiembre de 2014, pero la fecha en la que ha sido empezado a aplicar en su totalidad ha sido este año, exactamente el de 1 de julio.

Reglam-PD-UE

¿Qué cambia entonces con la entrada en vigor de este nuevo reglamento? Se distinguen dos tipos de prestadores de servicios de certificación, por un lado, los prestadores cualificados de servicios electrónicos de confianza y por otro lado los prestadores no cualificados. Y os preguntareis cual es la diferencia entre los mismos, pues es simple, para ser cualificado debe cumplir con los requisitos aplicables establecidos en el Reglamento (UE) 910/2014.

¿Cuáles son esos requisitos que deben cumplir? Cuando un prestador de servicios de certificación tiene la intención de pasar a ser considerado cualificado, debe presentar su intención de convertirse en un organismo cualificado a el organismo de supervisión junto a un informe de que le evalué, expedido por un organismo de evaluación de la conformidad. Una vez recibidas estas dos cosas el organismo de supervisión supervisara si todo cumple con lo establecido en el nuevo reglamento. En caso de que todo este correcto, le concederá la cualificación y actualizara la lista de confianza. En este párrafo, he introducido muchos términos nuevos y que posiblemente no se reconozcan, por ello voy a pasar ahora a explicar cada uno de ellos.

El primero de ellos es el termino de organismo de supervisión, el reglamento define que cada Estado miembro tiene la obligación de designar un organismo que realice esa función. Este organismo es responsable de supervisar a los prestadores de servicios de certificación establecidos en el Estado y de tomar las decisiones oportunas referentes a cada uno de los prestadores no cualificados. En el caso de España, el organismo designado para realizar esta función es el Ministerio de Energía, Turismo y Agenda Digital. Este organismo debe elaborar además la citada lista de confianza, en la que se incluye información relativa a cada uno de los prestadores cualificados y la información relacionada con los servicios que presta cada uno de ellos. En el caso de España se puede acceder de dos formas a esta información, la primera es mediante el documento de lista de confianza [3] que obliga a realizar el reglamento y por otro lado mediante una página web en la que se accede de forma más sencilla y más visual a la información [4]. Además de esto, el organismo de supervisión también deberá tener accesible la información de cuáles son los prestadores que ofrecen servicios no cualificados.

energia-turismo-agendadigital-Gob-Web

Por último, tenemos el término de organismo de evaluación de la conformidad, que se corresponde a los organismos que auditan y certifican a los prestadores de los servicios de certificación. La acreditación de estos organismos de evaluación de la conformidad en España corresponde a Entidad Nacional de Acreditación (ENAC) [5]. ENAC se encuentra en disposición de acreditar conforme a la norma EN 319 403 que establece los requisitos para asegurar la competencia técnica, la operatividad e imparcialidad de aquellos organismos que auditan y certifican a los proveedores de servicios de identificación electrónica y prestadores de servicios electrónicos de confianza para transacciones electrónicas [6].

Por tanto, como hemos visto los prestadores deben de ser auditados. Esta auditoria debe ser realizada al menos cada 24 meses, es decir 2 años, y debe ser realizada por uno de los organismos de evaluación de la conformidad acreditados por la ENAC. La finalidad de la auditoria que se debe realizar es confirmar que tanto los prestadores de servicios certificación cualificados como los servicios que prestan los mismos cumplen con lo establecido en el Reglamento (UE) 910/2014. Los prestadores de servicios de certificación cualificados deben enviar el informe recibido como resultado de la auditoria, a el organismo de supervisión en el plazo máximo de tres días hábiles desde su recepción.

Referencias

[1]” Apartado 31 del Código de Derecho de la Ciberseguridad 22 de noviembre de 2016, Ley 59/2003 de la firma electrónica”, BOE,

http://www.boe.es/legislacion/codigos/codigo.php?id=173_Codigo_de_Derecho__de_la_Ciberseguridad

[2] “REGLAMENTO (UE) No 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE”, BOE,

https://www.boe.es/doue/2014/257/L00073-00114.pdf

[3] “Lista de Confianza de prestadores de servicios de certificación cualificados del 2 de noviembre de 2016”, Ministerio de Energía, Turismo y Agenda Digital, consultado el 22 de noviembre de 2016,

https://sede.minetur.gob.es/Prestadores/TSL/TSL.pdf

[4] “Prestadores de servicios electrónicos de confianza cualificados”, Ministerio de Energía, Turismo y Agenda Digital, consultado el 23 de noviembre de 2016,

https://sedeaplicaciones2.minetur.gob.es/prestadores/

[5] “Pagina web de ENAC”, Entidad Nacional de Acreditación, consultado el 23 de noviembre de 2016,

https://www.enac.es/inicio

[6] “Nuevo esquema de acreditación en el marco del Reglamento UE 910/2014”, Entidad Nacional de Acreditación, consultado el 24 de noviembre de 2016,

https://www.enac.es/prestadores-servicios-confianza-identificacion-electronica

[7]“PREGUNTAS FRECUENTES SOBRE EL REGLAMENTO (UE) Nº 910/2014 SOBRE IDENTIFICACIÓN ELECTRÓNICA Y SERVICIOS DE CONFIANZA (EIDAS)”, Ministerio de Energía, Turismo y Agenda Digital, consultado el 23 de Noviembre de 2016,

http://www.minetad.gob.es/telecomunicaciones/es-ES/Servicios/FirmaElectronica/Paginas/preguntas-frecuentes.aspx#dt12




BYOD: ¿Es posible controlar algo que no es tuyo?

En el anterior post redacté algunos de los riesgos que nos podemos encontrar al utilizar las tendencias BYOD y COPE que estoy tratando en esta serie de entradas. En aquel momento finalicé diciendo que la próxima vez iba a hablar única y exclusivamente de los controles que se les podían aplicar a esos problemas y, como no puede ser de otra manera, así va a ser. Os preguntaréis, ¿Es realmente necesario aplicar controles?, pues sí. Una sociedad que se toma a la ligera lo que ocurra sin tener en cuenta si existen problemas, tarde o temprano terminará en desastre. Y esto se puede aplicar a todos los ámbitos de la vida, eso sí, sin llegar a tener que vivir, como decía uno de mis compañeros en uno de sus posts, vigilados por el “gran hermano”.

Lo primero de todo será identificar la persona encargada de hacer estos controles. En este punto es donde entra en juego la figura del Auditor, que en este caso tendrá el rol de hacer que se cumplan las políticas adoptadas para la empresa, identificar los controles internos y deficiencias que puedan afectar a la organización y detectar cualquier problema de seguridad de la información que esté relacionado con la poca seguridad de los dispositivos móviles. Recientemente, desde ISACA ha sido lanzado un programa para la auditoría de BYOD [1]. Este, se centra en los dispositivos BYOD que se conectan a la red de la organización o contienen su información, incluyendo todas las variedades de Smartphone, Tablet, Ordenadores portátiles y todos sus sistemas operativos. Además, los propios auditores tendrán que adaptar esta guía para sus organizaciones, ya que, se plantea como un punto de partida para la realización de su trabajo.

Una de las prácticas más recomendables para una empresa o incluso nosotros mismos, es la de crear una política de uso de los dispositivos. Para ello, podemos tener en cuenta el estándar ISO 27001 [2], el cual se refiere a la seguridad de la información. Sin embargo, aunque parezca increíble en la sociedad en la vivimos, en ningún momento se nombra la palabra BYOD en el estándar, pero sí que existen numerosos controles [3] de esta que son imprescindibles en cualquier compañía moderna y que los podríamos adoptar para este caso.

El primero de ellos, la política de dispositivos móviles (6.2.1), que requiere el desarrollo de una política de uso de dispositivos móviles para reducir los riesgos. El segundo, el correspondiente al teletrabajo (6.2.2), ya que los dispositivos son usados no solo en las oficinas. Este, está formado por controles para el acceso, procesamiento y almacenamiento de información. El tercero, las políticas y procedimientos de intercambio de información (13.2.1), se centra en la protección de la información que se transfiere mediante cualquier modo de comunicación, incluyendo en este caso los dispositivos móviles. Finalmente, el último control que se podría incorporar, el de mensajería electrónica (13.2.3) que recogerá la forma en la que los mensajes electrónicos serán protegidos. Pero no nos podemos limitar solo a estos, otros como el uso aceptable de los activos (8.2.3) y el control de acceso a redes y servicios asociados (9.1.2) serían igual de relevantes para una compañía que utilice el BYOD en su día a día.

Además de los controles relacionados con los estándares ISO, también pueden ser planteados otros muchos en relación a los riesgos que pueden surgir en las tendencias BYOD y COPE. Teniendo en cuenta los mencionados en la anterior entrada, voy a comentar algunos controles que se pueden aplicar.

Comenzando por la seguridad [4], para la pérdida de información sensible habría que implementar políticas y procedimientos que comunicasen los límites para el uso de los dispositivos y que ocurrirá si eso es ignorado. Para prevenir las vulnerabilidades, es recomendable el uso de una VPN y así verificar que la información que se transmite se encuentra encriptada y es la correcta, por parte del administrador, la existencia de perfiles únicos de seguridad permitiría adaptar la infraestructura a cada usuario. Así mismo, para evitar que se mezcle la información personal con la de negocio, se puede invertir en software EMM o Enterprise Mobility Management que monitoriza y detecta los riesgos antes de que estos ocurran. Otro de los riesgos comentados se refería a la pérdida de los dispositivos, para esto, una política de seguridad aplicada mediante una solución MDM o Mobile Device Management sería la ideal al permitir al administrador bloquearlo remotamente. Finalmente, para poder combatir las infraestructuras no preparadas para BYOD, se debería hacer una auditoría de todo el entorno TI de la empresa para revisar si puede ser usada con dispositivos móviles y documentar los usos de la red permitidos para evitar el exceso en su uso (descargas, etc…).

Además de todo esto, se debe controlar que los propios dispositivos tienen la seguridad adecuada como, por ejemplo, no permitir dispositivos con ‘jailbreak’ [5], y asegurarse de que los empleados conocen la política de empresa para este uso de los dispositivos, así como, que están concienciados de los riesgos que puede haber en ella. El auditor debería asegurarse de que esto se está realizando por medio de la firma de un contrato confirmando que conocen sus libertades y limitaciones. Otro de los problemas es la posible pérdida de las contraseñas de la empresa [6], por lo que debe existir una política de guardado de las mismas y asegurarse que se encuentran encriptadas.

Todos estaremos de acuerdo en que muchas veces a pesar de tener estos controles no se les hace demasiado caso. En numerosas ocasiones, son hojas y hojas incomprensibles que pasan desapercibidas. Por ello, nuestro objetivo no tiene que ser el de rellenar documentos, esos carecen de importancia y cuanto más cortos y simples sean mejor será (Adoptando el ya conocido principio KISS “keep it simple stupid”). Lo importante siempre deben ser las personas, por lo que lo más relevante debe ser cambiar su comportamiento y hacer que trabajen de una forma segura sin cambiar ninguna de las libertades de las que disponían hasta ahora.

 

[1] BYOD Audit/Assurance Program, ISACA, http://www.isaca.org/knowledge-center/research/researchdeliverables/pages/byod-audit-assurance-program.aspx, Visitado el 21 de noviembre de 2016

[2] How to write an easy-to-use BYOD policy compliant with ISO 27001, Advisera, http://advisera.com/27001academy/blog/2015/09/07/how-to-write-an-easy-to-use-byod-policy-compliant-with-iso-27001/ , Visitado el 21 de noviembre de 2016

[3] Controles ISO 27002-2013, iso27000, http://www.iso27000.es/download/ControlesISO27002-2013.pdf, Visitado el 21 de noviembre de 2016

[4] 5 BYOD security implications and how to overcome them, Edel Creely, Trilogy Technologies, http://trilogytechnologies.com/5-byod-security-implications/, Visitado el 21 de noviembre de 2016

[5] BYOD: How your business can address the 5 biggest vulnerabilities, Scott Anderson, Ccb Technology, http://ccbtechnology.com/byod-5-biggest-security-risks/, Visitado el 22 de noviembre de 2016

[6] 10 worst-case BYOD scenarios (and how to prevent them), Jack Wallen, Techrepublic, http://www.techrepublic.com/blog/10-things/10-worst-case-byod-scenarios-and-how-to-prevent-them/, Visitado el 22 de noviembre de 2016




¡Erase una vez…, un control! Controles chulos para social media

Mis jovenzuelos lectores, espero que los riesgos desde el punto de vista empresarial hayan quedado claros. Al fin y al cabo, los medios sociales es la tercera actividad más popular que una persona random hace después del puesto número uno y dos que se lo llevan mirar el email y leer artículos (o libros). ¡Es lo que tienen las cosas estas que tienen pixeles y que emiten luz! ¡Algunos los llaman monitores! Estos objetos nos desinhiben un poquito más de lo que haríamos en la vida real. Un 15% de nosotros compartimos con nuestros allegados (y no tan allegados), información online que realmente no llegaríamos a compartir en el mundo físico, al menos así [1] lo detalla Kaspersky, una firma de seguridad IT muy conocida en el mundo.

¡Uno puede partir de una dirección email y acabar colándose por las resquebradizas fisuras de algún sistema empresarial o simplemente esperando al acecho tras enviar una serie de emails con logotipos y mensajes que pueden confundir al personal! La mayoría no, pero mucha gente afirma que ellas o ellos no son precisamente de interés para un cibercriminal. Algo que ciertamente podría ser verdad, pero en el caso de organizaciones, instituciones o PYMES podrían acabar siendo un verdadero honeypot que atrae hasta al hacker junior en sus comienzos… Aún y todo, de aquellos que reclaman no ser de interés para un hipotético cibercriminal, un 40% recibe emails sospechosos o mensajes desconcertantes en aplicaciones de mensajería. Los propios empleados y trabajadores (en plantilla, subcontratados, becarios) pueden ser excelentes embajadores de la compañía (hablando bien, representando la marca, dando charlas), pero a su vez, unas dianas más grandes que el reloj de la piscina descubierta de Artxanda.

Por ende, podría parecer interesante poner en práctica algún que otro control con los que nos sintamos, como organización mucho más cómodos y seguros.

social_overload1

Hay empresas que reconocen que los social media (en inglés) son herramientas muy chulas para facilitar sus tareas y objetivos de las mismas, pero a su vez, pueden representar un riesgo penumbroso (mala reputación, documentos filtrados). Los comités de auditoría debieran tomar cartas en el asunto y encarar dichos riesgos.

Del mismo modo que en clase de telemática aprendíamos la pila TCP/IP con un acercamiento top-down, hay gente que  sugiere acercarse al problema de los riesgos o mitigarlos, de una manera similar [2]: primero habría que identificar los riesgos (describir el riesgo, evaluar su probabilidad, detectar el impacto etc) luego especificar las herramientas que se llegarán a utilizar (en tu organización) para monitorear las áreas de riesgos así como de qué manera los resultados van a ser dirigidos y contemplados. Acto seguido poner en marcha esas herramientas e implementarlas y por último quedarte en constante vigilia a la vez que vas haciendo pequeños ajustes.

Una manera buena de comenzar sería generando y poniendo en común una guía, directrices o políticas [3] sobre los medios sociales con una documentada y clara estrategia para los recursos humanos (aún más relevante cuando te pueden seguir el camino de migas que dejas atrás y encontrar el nombre de la empresa donde trabajas). Es el empleado quien debiera tener muy presente que es un activo muy apetitoso y propenso a cometer alguna que otra metedura de pata involuntaria . Estas directrices vienen acompañadas normalmente por un documento o guía que detalla y encamina cual es la estrategia en relación a los medios sociales que la compañía está siguiendo (albergando por ejemplo, una definición extensa de lo que son los social media para la empresa también). No descartaría personalmente un proceso de reciclaje en la empresa (con los empleados, directivos etc.) en el sentido de impartir y actualizar los conocimientos y las bases del porqué del cuidado a tener en los medios sociales y la razón de ser de las guías y directrices. Es al fin al cabo, un recordatorio para mantener al día a los empleados y jefes sobre las últimas tendencias cibercriminales, los controles y nuevos posibles riesgos. Porque una vez más, el humano es el eslabón más débil de la cadena. Al final, se demuestra confianza [4] entre las personas de tu plantilla esforzándote por educarles y haciéndoles entender la misión de la empresa.

policy

Antes hablábamos de monitorear las áreas de riesgos, y efectivamente, es un buen remedio, al menos para mitigar el impacto de los riesgos mencionados en anteriores posts. Yo lo enfocaría más por la senda de monitorear la actividad de tu organización en los medios sociales, a modo de alertas, debieras tener un sistema que te permita tomar decisiones o que te haga llegar un aviso cuando algo no cuadre bien en el ciberespacio. Del mismo modo, yo estaría ojo avizor a cualquier mensaje que pudiera hacer sentir mal al consumidor, y por tanto, procedería a su pronta eliminación. ¡O eso, o respondes a las inquietudes del cliente de turno con sus comentarios en Twitter, Facebook etc! Otorgad cierta prioridad a dedicar tiempo para responder en los medios sociales [4 bis]. Otro elemento interesante del que no me gustaría olvidarme es la segregación de responsabilidades. Internamente hablando, hemos de asegurarnos de que cada empleado tiene su propio ámbito de trabajo y no interviene en las responsabilidades de otro compañero. De esta manera, podríamos reducir el riesgo de meter la pata al postear, escribir algún artículo o subir datos en vuestra página web corporativa sin que el responsable tenga constancia de ello (o incluso sin haber dado permiso de hacerlo público).

¡Atención! Llámalo backup, copia de seguridad, pendrive, DVD… (¡sé que has tenido que cerrar los ojos en esas dos últimas palabras!). Es realmente [5] y con toda humildad, un acción preventiva que las organizaciones o pequeñas empresas debieran de implantar en su lista de controles. Ataques como los ransomware pueden paralizar tu actividad empresarial ipso facto, lo cual te puede generar pesadillas. En general, para controles de seguridad, el responsable de turno en la empresa tendría que proactivamente ponerse en contacto con el departamento de sistemas y definir un roadmap para blindar vuestras instalaciones “digitales” (protegerlas de vulnerabilidades).

Y para acabar, no te olvides de mantener actualizadas las políticas de seguridad y comportamiento sobre los medios sociales cada cierto tiempo (las que he comentado antes), y que éstas sean comprensibles por el pueblo! ¡O sea, por tus empleados! Por muy tecnólogo que sea tu perfil, has de procurar allanar tu vocabulario y que impregne a la mayoría del personal [6]. Un caso anecdótico es el del departamento de justicia de Victoria (¡Australia!), echadle un ojo, porque responde a una forma de transmitir información muy amigable:

Hay voces que abogan por crear un documento que reúna políticas de seguridad para post-incidentes [7] también, es decir, una serie de procedimientos para analizar cuáles fueron nuestros errores, analizar qué controles fallaron, el ámbito del incidente, aprender lecciones y detallar los pasos venideros para evitar que se repita el problema.

¡Al final, van a tener razón con aquello de que es mil veces mejor prevenir que curar! 🙂

Referencias:

[1] Tuttle, Hilary, Users not grasping social media risks. Risk Management [0035-5593], 2014 vol.:61 pág.:44

[2] “Monitoring Social Media for Risks, Control Issues and opportunities”, cmswire, http://www.cmswire.com/cms/customer-experience/monitoring-social-media-for-risk-control-issues-opportunities-015194.php , acceso el 17 de Noviembre

[3] James Field , John Chelliah , (2013) «Employers need to get to grips with social-media risks: Two key policies required to cover all the bases», Human Resource Management International Digest, Vol. 21 Iss: 7, pp.25 – 26

[4] “Top five risks companies face when using social media”, techxb,  http://techxb.com/top-five-risks-companies-face-when-using-social-media, acceso el 18 de Noviembre

[5] “5 Ways CFOs Can Implement an Effective Cybersecurity Strategy”, itbusinessedge, http://www.itbusinessedge.com/slideshows/5-ways-cfos-can-implement-an-effective-cybersecurity-strategy-03.html, acceso el 18 de Noviembre

[6] He, Wu, (2012) A review of social media security risks and mitigation techniques, Journal of Systems and Information Technology [1328-7265] vol.14 iss:2 pág.:171 -180 (Océano)

[7] “5 Essential Incident Response Checklists”, itbusinessedge, http://www.itbusinessedge.com/slideshows/5-essential-incident-response-checklists-06.html, acceso el 18 de Noviembre

Experts Advise Corporate Audit Committees To Focus on Addressing Social Media Risks
Odom, Che. Accounting Policy & Practice Report (2011), pág.:755-756.

Field, James, Human Resource Management International Digest [0967-0734] (2013) vol.:21 iss:7 pág.:25 -26

Corporate Risks from Social Media, Computer (2014), pág.: 13 – 15




Los controles para mitigar los riesgos asociados a la propiedad intelectual

En mi post anterior hablé sobre los diferentes riesgos relacionados con la propiedad intelectual. Estuvimos hablando tanto de los riesgos externos como de los internos y recordamos que ambos son de igual importancia, es decir, no podemos dejar de contemplar ni a los unos ni a los otros.

En este post quiero hablar sobre los diferentes controles que se pueden aplicar en las empresas para estos riesgos. Estos controles nos servirán de escudo contra estas amenazas y les servirán a las empresas para saber si están fallando (en caso de que éstas los estén empleando) o si simplemente no se están aplicando.

431071-Kysb

Los controles que os iré mencionando y recomendando en este post son algunos de los muchos que están presentes en la ISO 27002. Esta ISO es un estándar para la seguridad de la información publicado por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC). También deciros que la última versión de este estándar se publicó en el año 2013; con esto lo único que pretendo es concienciaros de que no es un estándar obsoleto y en desuso.

Retomando el tema de los controles, ¿qué tipo de controles aplicaríamos contra los riesgos externos? ¿Y contra los riesgos internos? ¿Qué controles tendríamos que aplicar para mitigar los riesgos relacionados con los ciberataques? ¿Y para mitigar aquellos relacionados con el espionaje corporativo?

En este post os iré dando una serie de recomendaciones sobre qué controles aplicar para mitigar los riesgos que mencioné en mi anterior post: ciberataques (riesgo externo) y espionaje corporativo (riesgo interno). Para ello, seguiremos los controles que nos proporciona el estándar ISO 27002.

Para mitigar los riesgos relacionados con los ciberatques os recomiendo aplicar (como mínimo) los siguientes controles del estándar:

  • 12.2.1 Controles contra el código malicioso: asegurarnos de que el código que se utiliza en la empresa está libre de virus o esté infectado desde el exterior.
  • 13.1 Gestión de la seguridad en las redes: aplicar todos los controles relacionados con la seguridad de las redes de la empresa.
  • 13.2.1 Políticas y procedimientos de intercambio de información: establecer claramente cuáles son las políticas y procedimientos seguros para el intercambio de información.
  • 11.2.1 Emplazamiento y protección de equipos: asegurarnos de que los equipos que se utilicen estén bien protegidos.
  • 11.2.3 Seguridad de cableado: comprobar que el cableado esté correctamente securizado.
  • 11.2.4 Mantenimiento de los equipos: comprobar que los equipos estén siendo actualizados gracias a un buen mantenimiento; que no tengan versiones obsoletas de antivirus y cosas por el estilo.
  • 11.2.6 Seguridad de los equipos y activos fuera de las instalaciones: que todos los equipos y activos que se utilicen fuera de las instalaciones, pero, que forman parte de la empresa y acceden a recursos de la empresa estén debidamente protegidos de los ataques externos.
  • 16.1.2 Notificación de los eventos de seguridad de la información: que se notifiquen debidamente los diferentes eventos de seguridad que se produzcan en la empresa.
  • 16.1.3 Notificación de los puntos débiles de seguridad: que se notifiquen debidamente los diferentes puntos débiles que tenga la empresa.
  • 16.1.5 Respuesta a los incidentes de seguridad: asegurarse de que haya una respuesta a cada incidencia que se produzca en el sistema de información de la empresa.
  • 16.1.6 Aprendizaje de los incidentes de seguridad de la información: que haya un proceso de aprendizaje de las incidencias que se comentan en la empresa.

Por último, para mitigar los riesgos relacionados con el espionaje corporativo os recomiendo aplicar (como mínimo) los siguientes controles del estándar:

  • 7.1.1 Investigación de antecedentes: previo a la contratación de cualquier empleado, investigar bien los antecedentes de la persona entrevistada para obtener pistas sobre si puede ser o no un espía corporativo enviado desde otra compañía (normalmente desde una compañía de la competencia).
  • 11.1.2 Controles físicos de entrada: que se realicen controles físicos para asegurarnos de que no entre ninguna persona autorizada a las instalaciones (por ejemplo, el trabajado de una compañía de la competencia).
  • 11.1.3 Seguridad de oficinas despachos y recursos: del mismo modo que en el anterior, que las oficinas, despachos y recursos estén protegidos contra las persona que no tengan una autorización para acceder a dichos lugares.
  • 11.1.4 Protección contra amenazas externas y ambientales: protegerse contra amenazas externas (que puedan venir del exterior) como son los espías corporativos.
  • 9.1 Requisitos de negocio para el control de acceso: todos los controles relacionados con los requisitos mínimos que hay que cumplir para acceder al sistema de la empresa (se evita que entre al sistema quién no deba).
  • 9.4.1 Restricción de acceso a la información: del mismo modo que en algún punto anterior, con este control se evitar que personas sin autorización puedan acceder a ciertas partes de la información.
  • 13.2.4 Acuerdos de confidencialidad y secreto: en los contratos, acordar este tipo de acuerdos para que en caso de que la persona contratado lo incumpla y desvele secretos de tu empresa a otra compañía; tu empresa pueda denunciar lo ocurrido y no verse tan perjudicada.