Archivos de Tags: Incidente

Incidente o accidente de aviación en Toulouse

No tengo nada mejor que hacer ahora mismo más que escribir este apunte en el blog.

Hace unas horas me subía a un avión de Iberia para volver a Madrid desde Toulouse.

Todo era normal, como otras tantas-mil veces, el retraso de Iberia de casi una hora, la azafata que nos cuenta como ponernos los chalecos … y el piloto que empieza el taxi para la cabecera de la pista…

… y … ¿Donde va!!??

¡¡El avión se ha salido de la pista y el piloto se ha metido al campo con el avión!!! (increíble pero cierto). :-O

Leer más »

Análisis de riesgos, terrorismo y teléfonos móviles

La seguridad no es un producto, es un proceso” es una de las frases típicas de la seguridad y significa que no puedes comprar un producto, realizar una acción y olvidarte. Cualquier vendedor que te diga lo contrario miente o no sabe de lo que habla.

La seguridad es un proceso continuo que debe estar basado en un análisis de riesgos, en el que se identifiquen primero los activos y después los riesgos asociados a esos activos para luego poder definir las medidas de seguridad que mitiguen o anulen esos riesgos de una forma eficiente.

En esos análisis de riesgos, identifican las amenazas a los que sus activos están sometidos y, en función de la probabilidad de ocurrencia y el daño potencial se calcula el riesgo para el cual se definen unas contramedidas…

En la definición de las contramedidas entra ya el factor económico… no podemos definir unas medidas de protección que nos cuesten más de lo que nos costaría recuperarnos de la materialización de la amenaza.

En pocas palabras… ¿Tendría sentido pagar por el seguro de un coche valorado en 10.000€ unos 20.000 euros anuales?

Eso no es todo. Empezaba diciendo que la seguridad es un proceso. No podemos establecer nuestras contramedidas y olvidarnos.

Las amenazas cambian, evolucionan, aparecen amenazas nuevas y con ello las contramedidas se inutilizan y el nivel de riesgo vuelve a incrementarse… por lo que se hace necesario un nuevo análisis de riesgos y… “GOTO 10”. 😉

Quiero pensar que las agencias de seguridad nacional de los distintos estados realizan sus análisis de riesgos y que uno de sus principales activos (yo diría que el activo principal, pero nunca se sabe) somos los ciudadanos, los civiles, el pueblo. Después se establecen las medidas de seguridad más apropiadas que se pagan con los impuestos.

Pues todo lo anterior es lo que me vino ayer a la cabeza.

En Madrid sufrimos hace unos años el ataque terrorista del 11 de marzo, en Nueva York el 11 de septiembre unos años antes y algo después el del 5 de junio en Londres.

El ataque de Madrid puso sobre la mesa unos nuevos riesgos… el que unos malnacidos decidieran volar unos trenes llenos de civiles inocentes utilizando unos teléfonos móviles, además este ataque estaba asociado a los ataques del 11S de Nueva York y el de Londres.

Supongo que el análisis de riesgos posterior dijo que el riesgo era muy alto: la probabilidad de que vuelva a ocurrir es muy baja (o al menos eso espero) pero el daño en caso de materialización de la amenaza es altísimo y un país no se lo puede permitir.

Así que el siguiente punto es establecer las medidas de protección para eliminar o al menos mitigar esos riesgos: controles exhaustivos en los aeropuertos en busca de armas, bombas, nuevos pasaportes con datos biométricos … la tontería medida de no poder pasar líquidos en los aviones, … y la última tontería medida que es lo que me ha empujado a escribir esto, el que no puedan existir teléfonos móviles “anónimos”.

Creo que es a principios de noviembre cuando teóricamente se desconectarán las líneas de teléfono que no estén identificadas, incluidos los teléfonos de prepago.

Supongo que si viviéramos en un mundo perfecto, donde los delincuentes cumplieran las normas, esta medida podría tener algún efecto… se están identificando las líneas de teléfono pero lo que los terroristas modificaron fueron los terminales… puedes ponerle la SIM que te dé la gana a tu terminal-detonador y robar una SIM 10 minutos antes de hacer explotar lo que sea desde… ¿una cabina de teléfonos? ¿otro teléfono robado? y de nuevo el infierno.
Además… eso es suponiendo que a los malos no se les ocurre otra forma de hacer detonar una bomba…

Vamos que dudo yo mucho de la eficacia de esa medida, como la de los controles de los aviones.

Ayer, cuando fui a pagar la gasolina, en el mostrador de la gasolinera había unas cajas que no había visto yo nunca… parecían unos teléfonos móviles de juguete… pero por otro lado me daba la impresión de ser teléfonos de verdad… así que pregunté: “¿Esto qué es?”

Sí, la noticia es vieja, estos teléfonos existen desde junio pero yo no lo había visto antes. BIC (la marca de los bolígrafos y los mecheros) vende ahora, de la mano de Orange, unos teléfonos móviles desechables (que valen 30€ y vienen con 12€ de saldo). Lo primero que me vino a la cabeza fue el tema de la identificación de los usuarios y demás… así que pregunté: “¿Si me llevo un teléfono de estos… hace falta que me identifique?” y lo sorprendente fue la respuesta del personal de la gasolinera que me dijeron una y otra vez que no, incluso cuando les comenté la medida que obliga a la identificación de las líneas… no.

Puedes llevarte un kit de esos, pagar en efectivo y… bueno, las maldades que cada uno piense las suyas.

Es cierto que aun no estamos en noviembre… a lo mejor Orange te vende este número y luego no te lo deja usar… a lo mejor, pero a lo mejor no… empieza a ser el momento de revisar el análisis de riesgos o comprobar la eficacia de las medidas que tenemos establecidas.

Tu sistema está comprometido, asúmelo

Como ya comenté en un apunte de hace tiempo sobre el hecho de que el enemigo puede estar dentro, los profesionales de la Seguridad de la Información empleamos mucho tiempo definiendo medidas, contramedidas, requisitos, métricas, planes, sistemas de seguridad, instalando parches, … con el objetivo de que nuestros activos no se vean comprometidos.

Se emplean cantidades ingentes de dinero (no siempre correctamente) para mantener al malo fuera de nuestros dominios…

El problema es que el atacante no siempre está fuera, puede estar ya dentro.

Se ha dicho mil y una veces… o más.

La siguiente derivada es asumir que el enemigo está dentro, que nuestra red ha sido comprometida.

Aquí es donde entran en juego los detectores de intrusión, configurados para detectar al enemigo dentro, así como análisis de logs y demás pero no pensando en cómo dejar al enemigo fuera… sino pensando qué hacer, una vez que el enemigo está dentro.

Hay muchos tipos de enemigo:

  • Un virus que impide trabajar, ataca a la disponibilidad del sistema.
  • Un virus generalista que busca robar datos personales, financieros, …
  • Un virus específicamente diseñado pensando en tu organización para robar información sensible, diseños nuevos, proyectos, …, enviado a un objetivo muy concreto y orientado.
  • Un atacante, una persona ajena que accede a tus sistemas de forma remota.
  • Un empleado, personal subcontratado que por la razón que sea se dedica a robar, alterar o destruir información, …
  • Otros, …

Las posibilidades son múltiples y como dice el artículo que menciono, destinar una pequeña parte del presupuesto a monitorizar la red y buscar intrusos, asumiendo que están dentro, es una política que los responsables de seguridad de la información de grandes organizaciones deben al menos valorar pues el riesgo es real.

¿Cómo se si mi sistema está o no comprometido? ¿Tengo que hacer una revisión activa de todos mis sistemas, elegir una muestra o simplemente esperar a que los sistemas de análisis de log y monitorización avisen de que se ha detectado una intrusión?

¿Estoy seguro de que todo mi personal es leal? ¿Me fio del 100% del personal subcontratado? ¿Se establecen los mismos controles para todo el tipo de personal?

¿Tenemos un plan de contingencia? ¿Sabemos qué hacer cuando detectemos una intrusión o que nuestro sistema se ha visto comprometido?

Especialmente en grandes redes, con cientos si no miles de servidores y miles o incluso millones de usuarios, accediendo a diferentes servicios, desde diferentes redes o incluso desde Internet, a información de diferentes grados de clasificación, … sistemas de información complejos.

¿El asumir que nuestros sistema están comprometidos es algo sensato o es sólo paranoia?

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies