En primer lugar, los asistentes. Finalmente fueron 36 personas las que pudieron asistir al curso (lamento aquellos que os tuvisteis que quedar en lista de espera) que representaron a las principales compañías industriales de nuestro país, especialmente aquellas del ámbito energético. Esto no hace sino confirmar que, en efecto, el sector más maduro en lo que respecta a la Ciberseguridad Industrial probablemente es el energético (o quizás el que más normativas de obligado cumplimiento tiene y quienes primero están siendo notificados en nuestro país por el CNPIC, Centro Nacional de Protección de Infraestructuras Críticas). CEPSA, Enagás, Endesa, Iberdrola o Repsol entre otros, y distintas Centrales Nucleares, estuvieron representados.

Pero también tuvimos la suerte de enriquecer aún más el grupo con fabricantes (como Yokogawa), ingenierías (como Técncas Reunidas, la mayor ingeniería de nuestro país y la quinta del mundo), certificadoras (como Applus) o proveedores de servicios de seguridad (como S21sec). Un grupo multidisciplinar que hizo que pronto surgiese el debate según se iba avanzando en el contenido y a medida que los trabajos en grupo se iban desarrollando.

Momentos álgidos fueron cuando Nacho Paredes mostró ejemplos de Sistemas de Control Industrial vulnerables y accesibles públicamente desde Internet y sin duda la defensa que al final del segundo día, cada grupo de trabajo tuvo que realizar ante el resto del foro, de su presentación a la alta dirección del Plan de Ciberseguridad Industrial que fueron desarrollando durante los dos días.

La competencia fue “feroz” y cada grupo valoró al resto en base a la calidad de la información presentada y su adecuada comunicación. Finalmente los ganadores fueron los representantes del sector nuclear con una excelente presentación en la forma y en el fondo. Se notó su experiencia para defender estos aspectos ante la alta dirección. ¿El premio sorpresa? Unas botellas de vino “personalizadas” identificándolos como ganadores del Primer Curso de Ciberseguridad Industrial

Esto nos sirvió como aperitivo para la cena que ese día organizamos (y que el fabricante de dispositivos de seguridad Sourcefire tuvo a bien patrocinar) y que nos permitió establecer lazos personales más cercanos (aunque los trabajos en equipo y los debates ya habían propiciado ese contacto personal, tan importante).

Finalmente llegó el momento esperado de comprobar el último día, cómo todo lo que habíamos estado describiendo podía llevarse a cabo  de forma real en un entorno controlado basado en la maqueta que preparamos para las pruebas.

Tras introducir distintas herramientas y métodos de análisis y ataque, llegó el momento del nuevo reto, en este caso, hacking ¿Quién sería el primero en vulnerar el sistema saltándose los firewalls, pasando por la red corporativa y llegando a la red industrial para activar la sirena, el ventilador y hacer caer la bola del mundo?

Fue muy ameno comprobar cómo los distintos participantes lograban vulnerar unos y otros dispositivos, pero no acababan de recabar toda la información necesaria para llegar al objetivo. Finalmente el ganador que logró activar la sirena, el ventilador y hacer caer la bola del mundo fue el CISO de Técnicas Reunidas quien se llevó otra botellita personalizada

La percepción y valoraciones del curso por todos los asistentes ha sido muy positiva, habiendo recibido numerosas felicitaciones por su parte. Mi opinión es que el alto nivel y variedad de los asistentes, unido a la oportunidad de colaborar y trabajar en equipo, junto con los debates promovidos por las distintas cuestiones planteadas han hecho que el aprendizaje en el curso haya sido elevado de manera importante. De hecho así comenzaba mi presentación del curso: anticipando que todos los asistentes al mismo (tanto profesores como alumnos) aprenderíamos mucho los unos de los otros si lográbamos compartir nuestras experiencias, opiniones y percepciones. Finalmente fue así y creo que este primer grupo ha sido un claro ejemplo de colaboración y compartición de información.

Ahora, como habíamos convenido, sólo nos queda crear el foro de discusión e intercambio de información “Ciberseguridad Industrial Alumni”  para que todos esos debates e intercambios iniciados en el curso, tengan su continuidad y puedan convertirse en un espacio colaborativo enriquecedor para todos.

Ya para finalizar, para aquellos que os quedasteis en lista de espera del anterior y para los que me estáis preguntando cuándo habrá nuevas convocatorias, estoy encantado de comunicaros que ya hemos fijado dos nuevas ubicaciones para impartir el Curso en Junio. Los lugares y fechas serán los siguientes:

– Gijón: 12 al 14 de Junio
– Madrid: 20 al 22 de Junio

En pocos días publicaremos ya la información detallada sobre cada convocatoria, formulario de inscripción … y alguna novedad que queremos incluir, que esperamos que os resulte de interés. Mientras tanto si queréis manifestar ya vuestro interés en asistir e ir reservando plaza, podéis hacerlo directamente con un email a mi dirección (samuel.linares [at] gmail [dot] com).

Más detalles en breve!

Pues bien, gracias a ISA (International Society of Automation), durante los próximos 14, 15 y 16 de Febrero, se celebrará en Madrid el Primer Curso de Ciberseguridad en Entornos Industriales y Protección de Infraestructuras Críticas que se imparte en nuestro país.

A continuación incluyo los detalles del mismo (podéis inscribiros aquí: http://www.isa-spain.org/actividad.asp?id=216).

RESUMEN

Las Infraestructuras Críticas son aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones del Estado y de las Administraciones Públicas. Por tanto cada vez más su adecuada Protección no sólo se hace necesaria, sino obligatoria a raíz de la publicación de numerosos marcos regulatorios y directivas internacionales a lo largo de todo el planeta.

Analizar y comprender el riesgo asociado a estas infraestructuras y su relación básica con los Sistemas de Control Industrial es necesario para cualquier profesional de la seguridad involucrado o relacionado con áreas como las TIC, energía, industria química y nuclear, sistemas financieros y tributarios, alimentación o transporte, entre otros.

Este taller llevará a los participantes a través del estudio del estado del arte de la Protección de Infraestructuras Críticas y la Ciberseguridad en Entornos Industriales en todo el mundo, tanto en lo que a legislación y normativa se refiere, como a los estándares, iniciativas, marcos de gestión y tecnologías aplicables, consiguiendo así una visión global de la gestión de la seguridad en este tipo de organizaciones que permita al final del día establecer claramente los siguientes pasos a seguir para asegurar una correcta supervisión, gestión e implantación de las medidas necesarias adecuadas.

Después de completar este taller el asistente podrá:

1. Identificar y definir los conceptos de Ciberseguridad en Sistemas de Control Industrial e Protección de Infraestructuras Críticas, sus definiciones y relaciones, analizando los riesgos e impacto en el negocio y en nuestras vidas,  desde las distintas perspectivas de cumplimiento, tecnológicas y de seguridad.
2. Descubrir y analizar el estado del arte de la Protección de Infraestructuras Críticas a nivel internacional (USA y Canadá, Latinoamérica, Europa) en cuanto a regulaciones, iniciativas, estándares, sectores, organizaciones, metodologías, etc.
3. Detectar y analizar la situación actual de la Seguridad en el Sector Industrial y las amenazas y vulnerabilidades de los Sistemas de Control Industrial reconociendo su riesgo asociado.
4. Discutir aspectos organizacionales y de gestión importantes: Director de TI vs. Director de Seguridad vs. Director de Planta vs. Director de Producción/Fabricación. Diseñar y proponer un marco de gestión adecuado en las Infraestructuras Críticas y Entornos Industriales
5. Identificar, describir y adoptar marcos y estándares aplicables en estos entornos: ISA 99, ISO 27001, BS 25999, NIST SP 800-82, etc.
6. Establecer, implementar y adoptar un Programa de Seguridad de los Sistemas de Control Industrial y Diseñar un Plan de Seguridad y Protección de la Infraestructura Crítica.

CONTENIDO DETALLADO

El taller seguirá una metodología participativa de forma que todos los asistentes, mediante la discusión, puesta en común y trabajo en equipo, tengan la oportunidad de asimilar, retener y aplicar más efectivamente los conocimientos adquiridos durante la sesión.

De forma general el contenido de la misma será el siguiente:

1. Introducción. Descripción de la situación socio económica actual y el impacto que la Protección de Infraestructuras Críticas y la Seguridad en Entornos Industriales (o la falta de ellas) puede tener en nuestras vidas, personales y profesionales, en nuestras organizaciones y en nuestros países. (20 min)
2. Términos y Conceptos. Definición e identificación de los distintos términos y conceptos claves: infraestructura crítica, infraestructura estratégica, servicios esenciales, sectores afectados, operadores críticos, plan de seguridad del operador, plan específico de protección, sistemas de control industrial, informática industrial, etc. (30 min)
3. Estado del arte internacional de la Protección de Infraestructuras Críticas: Estados Unidos y Canadá, Latinoamérica y Europa). Revisión del estado de este campo en los distintos países, incluyendo regulaciones, leyes, directivas, iniciativas, sectores, organizaciones sectoriales, grupos de trabajo y estándares. (60 min)
4. Relación entre Protección de Infraestructuras Críticas y Ciberseguridad en Sistemas de Control Industrial: entendiendo el riesgo. Análisis del enlace entre el entorno industrial, el corporativo y su impacto en las organizaciones clave para la supervivencia de un país. Análisis en detalle de un caso práctico: Stuxnet. (60 min). Trabajo en grupos para el análisis de Stuxnet y búsqueda de posibles analogías en distintos entornos (financiero, energético, telecomunicaciones, etc. uno por grupo). (20 min)
5. Aproximación a los Sistemas de Control Industrial. Aspectos básicos de los sistemas de control. Definiciones y explicación de conceptos y componentes claves: SCADA, DCS, RTU, IED, PLC, HMI, FEP, PCS, DCS, EMS, sensores, comunicaciones, wireless (radio, Wifi, microondas, celulares), protocolos (ModBus, ProfiBus OPC, etc.) y capas de red. (60 min). Trabajo en equipo: identificación en grupos de los distintos elementos de un sistema de control sobre documentación proporcionada (15 min)
6. Vulnerabilidades y Amenazas de los Sistemas de Control. El perímetro. Vectores de ataque (líneas de comunicación, accesos remotos y módems, accesos de fabricantes, conexiones a bases de datos, manipulaciones del sistema, etc.). Análisis y contramedidas. (60 min). Trabajo en equipo: análisis de un caso práctico e identificación de vulnerabilidades y contramedidas a adoptar (30 min)
7. Situación Actual de la Ciberseguridad en los Entornos Industriales. Estudio de la tendencia hacia la convergencia entre los sistemas industriales y los corporativos (o de TI tradicional). Resultados de algunos estudios. Ejemplos y casos reales de convergencia y proyectos de convergencia. Análisis de los hechos: “imaginemos un mundo donde un simple resfriado pudiese matarnos: bienvenido al mundo de los sistemas industriales”. Análisis de la seguridad de los sistemas industriales. Regreso al futuro: la seguridad en los sistemas industriales. Algunos casos reales propios sobre problemas de seguridad en los entornos industriales. (60 min)
8. Aspectos Organizacionales y de gestión: Director de TI vs. Director de Seguridad vs. Director de Planta vs. Director de Producción/Fabricación. Aspectos humanos de la seguridad en entornos industriales y protección de infraestructuras críticas. Estudio de distintas alternativas de organización. (30 min).
9. Diagnóstico de la Seguridad en Entornos Industriales. Análisis y puesta en común del diagnóstico de la Seguridad en Entornos Industriales (visión del usuario, del fabricante, de la organización, de las ingenierías, etc.). Siguientes pasos. (30 min). Discusión pública y puesta en común entre los asistentes (15 min).
10. Estándares Aplicables. Descripción general y aplicación en estos casos de ISA 99, ISO 27001, BS 25999, NIST SP 800-82, NERC CIP Standards, etc. (90 min)
11. Recomendaciones y Siguientes Pasos: Estableciendo un Programa de Seguridad de Sistemas de Control Industrial. Diseño de un plan de seguridad y protección de la infraestructura crítica. Estructura. Contenido. Aproximación práctica. (90 min). Trabajo en equipo: análisis de un caso práctico y desarrollo esquema/contenido mínimo de un Plan de Seguridad/Protección. “Role-play” presentación a Dirección del Programa de Ciberseguridad Entorno industrial o Protección Infraestructuras Crítica (120 min)
12. Taller Práctico HOL “Hands On Lab” (360 min). Objetivos:
a. Comprender y aplicar los conceptos relaciones con el diseño de redes seguroas
b. Descubrir y analizar vulnerabilidades en sistemas de control
c. Desarrollar y aplicar estrategias y técnicas de defensa

Este taller permitirá a los asistentes experimentar las dos caras de la Ciberseguridad de los Sistemas de Control:
– Un atacante intentando tomar el control del sistema
– Un gestor intentando defender el sistema de control

Durante los ejercicios, los asistentes serán capaces de identificar componentes vulnerables en la infraestructura del sistema de control, identificar cuáles sería los principales vectores de amenaza y desarrollar las estrategias de mitigación más adecuadas. Para conseguir estos, loa sistentes aprenderán a utilizar aplicaciones software estándares relacionadas con la seguridad como tcpdup/wireshark, OpenVAS o Metasploit, entre otros.

AGENDA

FORMADORES

Samuel Linares
Samuel Linares es Director de Servicios TI y Seguridad de Intermark Tecnologías, Experto Evaluador de la Comisión Europea y Gerente del Equipo de Seguridad M45 del Cluster TIC de Asturias. Con más de 16 años de experiencia en seguridad, integración de sistemas y dirección de proyectos, lidera y ha creado los servicios de Seguridad y TI ofrecidos por Intermark Tecnologías y anteriormente de Tecnocom, una de las 3 mayores compañías del sector TIC en España, implementando numerosas soluciones de seguridad en clientes, desde planes directores de seguridad, auditorías o hacking éticos, hasta diseños de arquitecturas de red y servicios seguras. Cuenta en su haber con varias certificaciones como CRISC (Certified in Risk and Information Systems Control), CGEIT (Certified in Governance of Enterprise IT), CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), CISSP (Certified Information Systems Security Professional), GIAC Systems and Network Auditor (GSNA), GIAC Assessing Wireless Networks (GAWN), BS 25999 Lead Auditor, BS 7799 Lead Auditor por BSI (British Standards Institution) desde 2002, NetAsq CNE y CNA, Juniper JNCIA-FW, Checkpoint CCSA y CCSE o Sun SCNA y SCSA, entre otras. Samuel es Ingeniero Técnico en Informática por la Universidad de Oviedo, Experto Universitario en Protección de Datos por el Real Centro Universitario Escorial Maria Cristina y Davara&Davara y en la actualidad está cursando el Grado de Psicología en la Universitat Oberta de Catalunya.

Ignacio Paredes
Ingeniero Superior en Informática y actualmente trabaja como consultor de seguridad de la información en Intermark Tecnologías. Desde el año 1999 ha desarrollado su carrera profesional involucrado en proyectos de tecnologías de la información y telecomunicaciones para empresas de distintos sectores (telecomunicaciones, industria, logística, ingeniería, administración pública). Es experto en el diseño e implantación de soluciones de seguridad tanto a nivel físico y lógico como organizativo. Con amplia experiencia en campos como el diseño seguro de redes, hackings éticos, la seguridad en entornos industriales, la seguridad en aplicaciones, planes de continuidad del negocio, la implantación de sistemas de gestión de la seguridad ISO 27001, gestión y tratamiento de riesgos.
Entre otras, posee las certificaciones CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), CRISC (Certified in Risk and Information Systems Control), CISSP (Certified Information Systems Security Professional), PMP (Project management Professional), GIAC Systems and Network Auditor (GSNA), GIAC Assessing Wireless Networks (GAWN), ISO 27001 (BS 7799) Lead Auditor por BSI (British Standards Institution), EC-Council Certified Ethical Hacker, NetAsq CNE y CNA, Sun SCNA y Sun SCSA.

José Valiente
Diplomado en Informática de Gestión por la Universidad Pontificia de Comillas, es Especialista en Consultoría Tecnológica y de Seguridad.  Con más de 15 años de experiencia trabajando en Consultoras como Davinci Consulting y Tecnocom en  proyectos de Seguridad y TI para Gran Cuenta y Administración Pública. Cuenta con múltiples certificaciones de soluciones de fabricantes de seguridad y TI (Cisco CCNA y CCDA, System Security Mcafee,  Security Specialist Juniper, Websense Certified Enginer, F5 Bigip Specialist y Radware certified security Specialist)
Actualmente es Gerente de Seguridad en Intermark Tecnologías y experto en la dirección de proyectos para gran cuenta y administración pública. Dirige proyectos de implantación de SGSIs en compañías del IBEX 35 y administración pública, con equipos de trabajo de alta capacitación en seguridad y cuenta con amplios conocimientos en ITIL y PMI, impartiendo formación a empresas del sector financiero y administración pública.

Francisco Uría
Licenciado en Derecho por la Universidad de Oviedo. Experto en Derecho de las Tecnologías de la Información y Comunicación, así como en Seguridad de la Información y Protección de Datos, desempeña en la actualidad las funciones de Consultor Legal dentro de la Dirección de Servicios de TI y Seguridad de Intermark Tecnologías. Además, es ISO 27001 Lead Auditor por BSI (British Standards Institution) y Especialista en Contratación Informática por el Real Centro Universitario de El Escorial.
Actualmente, es también el Responsable del Servicio de Gestión de Órganos de Gobierno de Gobertia Gestión del Conocimiento y Secretario de Consejos de Administración de las empresas de Grupo Intermark.

LUGAR

El curso tendrá lugar en MADRID:
Hotel Meliá Avenida América – C/ Juan Ignacio Luca de Tena, 36
Transporte Urbano: Autobús 146, salida Plaza del Callao y Autobús 114, salida desde Terminal Avenida de América

COSTE

El coste del curso será (I.V.A. INCLUIDO):
– Miembros ISA: 850 euros
– No miembros ISA: 1000 euros
– Sección Estudiantes: 200 euros

Nota: Como bonificación a los no miembros de ISA, se incluye dentro del costo del curso su inscripción gratuita por un año a ISA (costo normal: 100 euros aproximadamente)
Los estudiantes deberán hacer las inscripciones a través de la Sección de Estudiantes de ISA España a la que estén suscritos.
El coste comprende los gastos de impartición del curso, comidas, cafés, y documentación.
Los asistentes deberán llevar un ordenador personal el tercer día.

Esperamos que tenga muy buena acogida y satisfaga vuestras expectativas. Os esperamos a todos en Febrero!!!

Si estuviéseis interesados en organizar alguna otra convocatoria en otras fechas, lugares o “in company”, ponte en contacto conmigo

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

Muchas veces le hemos puesto el ejemplo del cuento de “Pedro y el Lobo” insistiéndole en que debe medirse en sus “alarmas” sin ningún resultado aparente. Todo esto no había tenido mayor importancia hasta hace unos meses en los que tras operarse de una prótesis de rodilla, ella (como siempre) alertaba de los enormes dolores que tenía y lo mucho que sufría y nosotros no le hacíamos más caso del normal. Cuál fue nuestra sorpresa cuando tras llevarla a una revisión nos informaron que en la intervención habían tocado un nervio y que por tanto, estaba “hiperexcitado” causándole mucho más dolor del normal. Fue en ese momento cuando ella (y nosotros) nos dimos cuenta de la importancia de valorar adecuadamente los consejos, las advertencias y el conocimiento de los expertos, además de asumirlos y expresarlos de forma adecuada.

Pues bien, estos días no hace si no rondarme la cabeza exactamente lo mismo con el impacto en los medios, en el sector y en la industria de lo ocurrido con Wikileaks y Stuxnet, y es que, seamos realistas, ambos casos no son más que la práctica de lo que muchos llevamos años diciendo y advirtiendo. Por centrarlo en 2 de los discursos:

• Wikileaks: el eslabón más débil son siempre las personas y como tal, deben analizarse y gestionarse sus riesgos asociados, en cuanto a comportamiento, a práctica, a organización, etc. En este caso, no nos engañemos, detrás de este gran escándalo no hay grandes hackers con conocimientos extremos de seguridad, de informática, de desarrollo. Lo que hay son personas con acceso a información que probablemente no deberían tener acceso y si tuviesen que tenerlo, una falta de controles adecuados para la prevención de su fuga de información (estoy seguro que los fabricantes de soluciones DLP están frotándose las manos en estos momentos…:)).

• Stuxnet: los sistemas industriales y de control han heredado todas las características (buenas y malas) de los sistemas de TI tradicionales. En este caso sí que parece que tras este suceso existen grandes expertos e investigadores en seguridad, pero si nos fijamos en el fondo, lo que subyace es una falta de las medidas de seguridad adecuadas en los sistemas de control de infraestructuras críticas. ¿Cómo es posible que un malware pueda “llegar” desde Internet al sistema de control de una central nuclear? No debería (dejemos aparte ya, que el sistema de control se trate de un sistema de propósito general que además no esté actualizado, etc. ). De esto hablábamos más que sobradamente hace unas semanas en ENISE en mi ponencia “Regreso al Futuro: la Seguridad en los Entornos Industriales”: los sistemas de control e industriales se encuentran, en lo que a medidas de seguridad se refiere, al menos una década atrás respecto a los sistemas TI tradicionales.

Pero realmente, ¿cuál es la diferencia y a la vez el punto común de estos dos casos? El impacto. Si Stuxnet en lugar de afectar a los sistemas de control o industriales lo hiciese a los sistemas de correo o web corporativos, no dejaría de ser un nuevo malware (avanzando, eso sí) de los muchos que hay. Si Wikileaks en lugar de hacer referencia a la información de uno de los gobiernos más poderosos de nuestro planeta lo hubiese montado un ex-empleado descontento con información de alguna compañía no pasaría de ser una noticia más (en el mejor de los casos) en alguna revista especializada.

Recuerdo hablar exactamente esto con mi compañero y gran amigo Nacho Paredes hace unos años: “este tema de la seguridad en entornos industriales y protección de infraestructuras críticas no se moverá hasta que no ocurra algo gordo”, comentábamos, “tarde o temprano se abrirá la Caja de Pandora”, repetíamos. Parece que comienza a abrirse. En todos los eventos últimamente aparece este tema, los medios comienzan a hacerse eco de ello, la industria aunque muy lentamente, empieza a recibir algunos mensajes al respecto y parece que lentamente la rueda comienza a moverse (al fin).

Y yo me pregunto: con todos los mensajes de advertencia, información, etc. que muchos de nosotros llevamos lanzando, ¿no habrá ocurrido lo del cuento de Pedro y el Lobo? Que viene el lobo, que viene el lobo, mira que va a venir, pero como nunca llegaba, pues tan contentos… ¿habremos estado exagerando los mensajes lanzados ante la incomprensión de nuestros interlocutores obteniendo el efecto contrario al deseado?

Como en las relaciones de pareja quiero creer que toda la culpa no es de una de las partes. Probablemente no toda la culpa sea de los usuarios, de los clientes y debamos “cargar” con parte de la misma los proveedores, consultores e integradores, al fin y al cabo no nos estaremos comunicando efectivamente cuando no obtenemos la comprensión esperada… ¿deberíamos cambiar nuestras tácticas?

Mientras tanto mi suegra sigue la pobre con dolores de rodilla. Ella no debería haber “exagerado” siempre sus reacciones y quizás nosotros deberíamos haberla escuchado un poquito más.

Mientras tanto nuestras infraestructuras críticas y con ellas, nuestras naciones y forma de vida, siguen siendo vulnerables. Quizás deberían atender más a la información existente, realizar análisis de riesgos reales, etc. y probablemente sus proveedores deberíamos ser más efectivos en nuestras comunicaciones.

Mientras tanto la información clasificada de los gobiernos más poderosos del planeta sigue filtrándose y no creo que tardemos mucho en ver en “Sálvame” (o como se llame lo de los sábados por la noche) un “analís” en profundidad de los cotilleos de los distintos gobiernos.

¿Y al final quién tiene más culpa, Wikileaks, Stuxnet, mi suegra, el lobo … o nosotros?

Exagerando un poco, permitidme una analogía bastante sencilla.  Ante una epidemia, una enfermedad, les decimos a la gente cómo prevenirse, qué deben hacer, etc. además de darles medicinas. La situación actual en cuanto a pérdida de información es similar a una epidemia. Basta repasar algunos números: en 2005 (no me atrevo a poner los datos actuales porque ya estos me marean…), 250 millones de personas en USA perdieron o les fue robada información personal sensible. El coste de gestionar este éxodo de información fue estimado en unos 55 billones de dólares (billón arriba billón abajo ).

La gente sigue facilitando su información porque creen que están haciendo lo correcto, muchas veces colaborando con personas (que les están engañando), otras publicando información personal en redes sociales sin ser conscientes de las implicaciones que todo esto tiene, etc.

Necesitamos un antibiótico para esta epidemia y por supuesto, educar a las personas para evitar el contagio (se está fallando en ambos puntos). Estamos asistiendo a una auténtica pandemia de la información y no estamos abordando correctamente (a veces ni lo abordamos) el principal problema o punto débil en la situación: las personas.

En mi opinión, las compañías deben evaluar su nivel de conciencia(ción) de seguridad: ¿cómo de bien saben proteger los empleados la información sensible de la compañía? (y la suya propia, por supuesto). Deberíamos compartir esta reflexión con muchos de los responsables y directores de organizaciones, pero también con los propios usuarios “de a pie”. ¿Todo el mundo es consciente que lo que está publicando en Facebook (o en este blog) tiene la misma privacidad que si lo pusiese en el muro de su calle…. Si por su calle pasasen varios cientos de millones de personas?

La respuesta, en el caso de las organizaciones, pasa por elaborar e implantar un Programa de Conciencia(ción) en Seguridad. Crear una programa así no supone descubrimientos científicos, ni ciencia ficción: no deja de ser marketing. Si un empleado no ve valor en el contenido de la información que se le proporciona entonces, ¿por qué hacerle caso, y mucho menos seguir sus indicaciones? Es extremadamente importante que las iniciativas, acciones e información que se desarrolle  y promueva tenga aplicación en sus vidas personales (evitar virus en sus casas, información en redes sociales, mensajería instantánea, acceso a cuentas bancarias por internet, etc.). Lo que hagamos debe ser aplicable a su vida personal y esa será la única forma de tener cierto éxito en nuestra labor.

El Programa de Conciencia(ción) debe ser continuo y visto como un valor importante de la compañía por la dirección y los empleados. Debemos identificar canales de comunicación adecuados como intranet, correo, panfletos, posters/carteles, podcasts, vídeos, etc.: Debemos intentar transmitir el mismo concepto 7 veces de 7 formas distintas.

Concluyo ya resumiendo lo que para mí serían los tres pilares base y clave de mi visión de la Conciencia(ción) en Seguridad:

• – Diles lo que vas a decirles. Díselo, y después diles lo que les dijiste.
• – La concienciación (awareness) es una responsabilidad individual y un esfuerzo de equipo.
• – ¡Comunica, comunica y comunica!

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

Como habríais notado en los últimos tiempos del Blog, no sólo estaba centrado en el ámbito de la seguridad (que por supuesto también) sino que comencé a abordar otros campos que para mí tenían (y tienen) mucho interés como el Gobierno de TI, la Seguridad en Entornos Industriales y Protección de Infraestructuras Críticas, la Psicología de la Seguridad o todo este “nuevo” mundo del Cluod Computing, entre otros.

En esa línea, durante este tiempo (hoy hace 322 días, casi 11 meses, que no actualizaba el Blog) han pasado cosas interesantes:

He tenido una hija que tiene, casualmente, 11 meses … (y ya 8 dientes!)

Estoy cursando el segundo semestre del Grado de Psicología en la UOC y voy por la octava asignatura con unos resultados que me están sorprendiendo muy gratamente (no solo en las calificaciones sino en la nueva perspectiva a aplicar en el resto de temas que estoy manejando).

Desde Intermark seguimos investigando, participando y ejecutando temas de mucho interés en Seguridad en Entornos Industriales. En este sentido muy recientemente hemos coordinado e impartido el 1er Taller de Seguridad en Productos y Sistemas de Control Industrial (SCADA) organizado en nuestro país, coincidiendo con el I Encuentro Internacional CIIP organizado por el CNPIC (Centro Nacional de Protección de Infraestructuras Críticas).

Estoy participando todo lo activamente que puedo en la Comisión para el Buen Gobierno Corporativo de las TIC del capítulo de Madrid de ISACA, en las Comisiones de Seguridad  y de Software de ASIMELEC y en el recientemente constituido grupo de Cloud Computing de dicha comisión, entre otros.

Tras habernos certificado en ISO 27001 el año pasado (además de 166001 y 9001 hace tiempo ya), en Intermark estamos en pleno proceso de implantación de ISO 20000, con un objetivo de certificación antes de final de año.

El Equipo M45 de seguridad en el que participo como Gerente,  lleva ya casi 2 años de feliz andadura con importantes logros y referencias en el ámbito de la Administración Pública. Enhorabuena desde aquí a todos sus participantes. Creo que somos un gran ejemplo de trabajo en colaboración entre empresas y profesionales de un mismo ámbito que en ocasiones pueden ser competidores y en otras aunar esfuerzos en busca de un objetivo común.

Han pasado muchas más cosas, pero creo que con este pequeño resumen (de hecho únicamente con el primer punto sería suficiente) podéis justificar mi ausencia “bloguera”.

Como está próximo mi cumpleaños, voy a intentar “regalarme” el propósito de continuar estando presente aquí con nuevos contenidos y espero que diversas noticias profesionales, del sector (y personales) que puedan ser de vuestro interés.

A los que me habéis ido preguntando: aquí estoy de nuevo. Al resto, ya que estáis leyendo esto, gracias por permanecer a la escucha.

Seguiremos informando

Aprovechando el embarazo de mi mujer, llevaba ya unos meses observando una situación que me parecía bastante preocupante, y que estaba esperando a publicar aquí a que naciese mi hija: la falta de “autenticación” en los servicios médicos. Me explico.

Desde la primera visita al médico hasta el momento del parto el único mecanismo de autenticación de los servicios médicos hacia la madre ha sido la tarjeta sanitaria que como podéis suponer, no supone autenticación alguna ya que no contiene ningún dato “contrastable” fácilmente (como una fotografía o similar).

Esto que al principio me resultó algo sorprendente, me dejó profundamente preocupado cuando al acudir a urgencias el día del parto tampoco se le solicitó en ningún momento el documento nacional de identidad o algún otro medio de autenticación adecuado. Quiere esto decir que alguien podría suplantar la identidad de la madre (por ejemplo una madre de alquiler) durante todo el embarazo e incluso en el mismo parto de forma muy sencilla (portando su tarjeta sanitaria!!)… con todo el campo de posibilidades que esto proporciona.

Me quedé algo más tranquilo cuando una vez nacida mi hija, al poco tiempo le tomaron las huellas a la madre y a la niña (hombre, al menos un punto de autenticación biométrico, en realidad más bien de registro y malo ya que las huellas están movidas) y me proporcionaron una copia de la ficha que se supone que debería entregar en el Registro Civil al inscribir la recién nacida.

En la inscripción en el Registro, he de comunicaros que en ningún momento me pidieron la ficha, y por tanto pude inscribir a mi hija sin autenticación alguna, nuevamente.

Mi pregunta entonces es: ¿se realiza algún tipo de comprobación con las huellas registradas en la ficha del hospital o es un mero registro? Mi impresión es que únicamente es esto último, aunque si alguien tiene más información sobre este tema, estaría encantado de conocerla.

Esto no deja de confirmar mi desconfianza con los mecanismos habituales de autenticación en el área de la salud donde son tan extremadamente importantes (de ser quien dices que ser a ser otro, puede suponer la extirpación de un órgano vital… o la bienvenida de un nuevo hijo… sin haberlo concebido). De hecho se han dado fraudes importantes  utilizando esa debilidad al cambiar historiales de pacientes más enfermos por otros sanos (por ejemplo para obtener pensiones de forma “maliciosa”) y acontecimientos similares.

… 2 familiares cercanos en diferentes momentos y lugares, ambos con problemas óseos importantes en rodillas, espalda, etc. curiosamente desaparecieron de sus historiales todas las radiografías que tenían, … ¿casualidad?…

Es importante proteger los datos tratados en estas áreas, pero también es importante asegurar su autenticidad e integridad (la disponibilidad, como el valor, se presupone ;)) ¿Existe alguna medida de obligado cumplimiento en ese sentido?

SEMINARIO GRATUITO SEGURIDAD EN REDES SOCIALES EN LA UPM

El 6 de mayo de 2009 se celebrará en la Escuela Universitaria de
Ingeniería Técnica de Telecomunicación de la Universidad Politécnica de
Madrid, el seminario “Seguridad en redes sociales: ¿están nuestros datos
protegidos?”

La asistencia es gratuita, si bien se requiere y recomienda una
inscripción previa.

IMPORTANTE: El seminario se transmitirá por videostreaming a través de los
servicios del Gabinete de Tele-educación de la UPM, GATE, desde una url
que se informará en breve en el sitio Web de la Cátedra. En este caso, no
hace falta inscribirse pues su visualización es libre.

Organizado por la Cátedra UPM Applus+ de Seguridad y Desarrollo de la
Sociedad de la Información, de 09:00 a 14:00 horas se analizarán y
debatirán temas relacionados con la seguridad de nuestros datos de
carácter personal en este tipo de redes sociales, entornos virtuales que
han adquirido una notable notoriedad pública en estos últimos años,
convirtiéndose en un verdadero fenómeno de masas y de máxima actualidad.

Siguiendo el reciente informe “Estudio sobre la privacidad de los datos
personales y la seguridad de la información en las redes sociales online”,
elaborado por el Instituto Nacional de Tecnologías de la Comunicación
INTECO y la Agencia Española de Protección de Datos AEPD, con fecha de
febrero de 2009, podemos destacar de dicho documento:

“La notoriedad de estos espacios sociales online no queda exenta de
riesgos o posibles ataques malintencionados. Es una preocupación de las
organizaciones nacionales, europeas e internacionales con competencias en
las materias afectadas por el uso de estas redes, que han impulsado la
elaboración de normas y recomendaciones dirigidas a garantizar el acceso
seguro de los usuarios –con especial atención a colectivos de menores e
incapaces- a estas nuevas posibilidades online.”

Por tal motivo, este seminario está dirigido a público en general y de
forma muy especial a jóvenes, adolescentes y padres de familia.

El seminario contará con destacados invitados:

– D. Artemi Rallo Lombarte
Director de la Agencia Española de Protección de Datos AEPD
– D. Arturo Canalda González
Defensor del Menor de la Comunidad de Madrid
– Dña. María Teresa González Aguado
Defensora Universitaria de la UPM
– D. Antonio Troncoso Reigada
Director de la Agencia de Protección de Datos de la Comunidad de Madrid APDCM
– D. Emilio Aced Félez
Subdirector de Registro de Ficheros y Consultoría de la APDCM
– Dña. Gemma Déler Castro
Directora IT & Telecom BU de Applus+
– D. Ícaro Moyano Díaz
Director de Comunicación de Tuenti
– D. Pablo Pérez San-José
Gerente del Observatorio de la Seguridad de la Información, Instituto
Nacional de Tecnologías de la Comunicación INTECO

Las conferencias planificadas son las siguientes:

– “Los menores y las nuevas tecnologías”, de D. Arturo Canalda.
– “Las redes sociales como nuevo entorno de confianza”, de D. Ícaro Moyano.
– “Redes sociales: nueva frontera para la privacidad de los digital
babies”, de D. Emilio Aced.
– “Diagnóstico sobre la seguridad de la información y privacidad en las
redes sociales online”, de D. Pablo Pérez.

Además, se contará con un Coloquio de una hora y media de duración, donde
los asistentes podrán realizar sus preguntas a un grupo de expertos así
como debatir sobre esta temática.

PREINSCRIPCIONES: por limitación del aforo, deberá realizarse una
preinscripción, recomendándose hacerlo en la página Web de la Cátedra UPM
Applus+, siguiendo las instrucciones que aparecen en dicho servidor:

Puede descargar el tríptico en formato pdf con el programa del seminario
desde la página Web de la Cátedra UPM Applus+.

Fecha: miércoles 6 de mayo de 2009
Hora: de 09:00 a 14:00 horas
Inscripción: gratuita pero requiere una inscripción previa
Lugar: Sala de Grados 3004 de la EUITT-UPM, en Madrid
Cómo llegar: http://www.euitt.upm.es/escuela/como_llegar

Para información adicional, por favor dirigirse a Dña. Beatriz Miguel
Gutiérrez a la dirección de correo bmiguelATeuitt.upm.es o bien al
teléfono 91 336 7842, en este último caso con atención solamente de 09:00
a 11:30 horas.

* Se entregará certificado de asistencia con 3 créditos CPE a quien lo
solicite *

En todo caso, sólo quería dejar aquí una pequeña reflexión (y sí, también vamos a hablar aquí del día Obama):

¿Cómo es posible que a las corporaciones, empresas, etc. les cueste tanto entender que no sólo deben protegerse contra las amenazas externas (con medios tecnológicos, etc.) sino que deben tener muy en cuenta a las amenazas internas?

Y digo esto, porque según parece (y ayer me dí cuenta) el juramento del cargo de VicePresidente de Estados Unidos incluye en su texto de forma explícita desde 1789 que “defenderá la Constitución de los Estados Unidos contra todos los enemigos, externos e internos“. Parece claro y obvio, verdad? Sin embargo en el mercado empresarial no se está aplicando como debiera.

El texto original completo (me gusta especialmente la última frase: “que Dios me ayude!” ):

“I, A— B—, do solemnly swear (or affirm) that I will support and defend the Constitution of the United States against all enemies, foreign and domestic; that I will bear true faith and allegiance to the same; that I take this obligation freely, without any mental reservation or purpose of evasion; and that I will well and faithfully discharge the duties of the office on which I am about to enter. So help me God.”

Una lectura muy interesante que os recomiendo. La versión electrónica cuesta 7,95US$ y podéis acceder a ella aquí.