03 agosto 2012

Hace unos días estuve leyendo el excelente trabajo de Samuel Linares (@infosecmanblog) y Enrique Fojon (@efojonc) acerca de la necesidad de establecer una Estrategia Nacional de Ciberseguridad, cuyo resultado se puede conocer en el documento "La Ciberseguridad Nacional, un compromiso de todos", el cual recomiendo su lectura.

Además del post en este blog llamado "¿Por qué es necesaria una Estrategia Nacional de Ciberseguridad?", el cual también leí y me trajo a la mente aquel otro post también publicado en este blog acerca de los "Fundamentos para la Protección de Servicios Esenciales" allá por Abril del 2011. 

En todos estos casos, con mayor o menor detalle se establecen distintos lineamientos técnicos, socio culturales, administrativos y políticos que hacen de la Ciberseguridad algo sobre lo cual ya no se debería tener dudas o desconocimiento y cuyo tratamiento por parte de las autoridades queda sin ningún tipo de discusión. Pero bien, el objetivo de este post no es hacer foco en la necesidad, que muy bien se ve reflejada en los mencionados documentos y artículos, sino en algunas otras cuestiones que podrían dar lugar a que entendamos ¿Por qué aún no tenemos una Estrategia Nacional de Ciberseguridad?
  • El problema de la Ciberseguridad, es de Liderazgo.
Se necesitan líderes para generar los cambios que permitan tomar en serio a la ciberseguridad e impulsar todas las iniciativas macro que permitan que aquello que en la teoría es lo más lógico (aunque ha costado mucho que se interprete así), en la realidad se convierta en algo realizable. No es muy frecuente encontrarse con personas en las posiciones de mando, cuyas competencias permitan identificar a verdaderos "agentes del cambio".

  • El orden y el control, dificultan el fraude
En muchos casos la falta de control y el desorden facilitan el accionar de aquellos que están en una determinada posición simplemente para generar beneficios propios y no para cumplir un rol público y/o una determinada misión.
Si se tuviera un claro conocimiento de lo que realmente se necesita, no se verían tantos productos y proyectos que terminan juntando polvo en algún depósito o en algún cajón de aquel que se vio beneficiado con dicho proyecto.
  • No existe una cultura de la gestión del riesgo
Es más rápido copiar algún modelo de políticas y decir que ya las tenemos, a realizar un análisis real de los riesgos de los activos de información, evaluar las acciones a llevar a cabo en base a su tratamiento y a partir de allí definir el conjunto de políticas que representen los controles de seguridad a implementar. Así como definir los requerimientos de seguridad de acuerdo al tipo de información y así evitar que ante la adquisición de un determinado producto o servicio y/o el intercambio de algún tipo información se afecte a la seguridad.


  • No se incluye a la seguridad de la información en los procesos claves de la gestión nacional
Así como sucede en muchas empresas y organizaciones, en los países parece que tampoco se tienen en cuenta pilares fundamentales de la seguridad de la información, como por ej: clasificación de información, defensa en profundidad, control de cambios, gestión de incidentes, roles y responsabilidades de seguridad, homologación de herramientas informáticas, o el establecimiento de un SGSI y la gestión orientada a la mejora continua. Para qué medir si total los fondos son públicos :S

  • La Legislación todavía usa dial-up
Más allá de lo gracioso que suene, en muchos aspectos no se puede avanzar por la falta de una legislación actualizada. Si bien no es el principal problema, es parte de los desafíos a superar dado que hay que nutrir de conocimiento, tecnología y procesos más eficientes, a aquellos que tienen que definir las reglas de juego en un mundo cada vez más cambiante y dinámico. Muchos aspectos relacionados con los ciberdelitos o el cibecrimen se ven demorados y obstaculizados por la falta de legislación que garantice el correcto tratamiento de las evidencias y todo el marco procesal requerido.
  • ¿Se cumplen las reglas? ¿se hacen cumplir?
Es frecuente ver cómo se infringen las reglas en materia de seguridad tanto en empresas como en organizaciones, a su vez cuán difícil resulta la adhesión en procesos de gestión de los incidentes, en donde el reporte por parte de los usuarios es algo fundamental. 

Ahora bien, si el usuario no reporta en su ámbito laboral aquello que pudiera significar un incidente de seguridad, ¿lo haría en el ámbito cotidiano? ¿Reportaría un posible ciberataque?




  • La Ciberseguridad requiere y genera mucho trabajo
Creo que aquí pueden encontrarse quizás los motivos más fuertes, dado que tenemos que volver mucho tiempo atrás para comenzar a cubrir las fallas, incompetencias y malas decisiones que hicieron que no se logre el control de los activos de información, se malgasten los recursos sin saber muy bien los resultados obtenidos y  no se sepa bien que es lo que tenemos, cuánto vale, quién lo utiliza, para qué y qué medidas de seguridad debo adoptar. Muchas personas que están pensando más en el retiro que en cómo mejorar las cosas, son los mismos que deberían resolver años de abandono y falta de interés, sumado a un sistema que invita al cómodo y ahuyenta al comprometido y capaz.
  • Comentarios Finales
Para aquellos interesados en las Estrategias Nacionales de Ciberseguridad, existe un proyecto de ENISA orientado al establecimiento de las buenas prácticas al momento de definir estas estrategias, cuyo primer entregable se puede consultar aquí: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/cyber-security-strategies-paper | Recomiendo su lectura dado que reúne mucho de lo que se está haciendo en distintas partes del mundo.

Como siempre les digo, es sólo mi opinión.


------------------------------------------

Artículo cortesía de Mariano M. Del Río

8 comments :

Angel Alvarez Nuñez dijo...

Excelente artículo, coincido en muchas de tus conclusiones pero yo creo que todavia hay mucho desconocimiento en general de los riesgos, si los politicos o los jueces supieran que cualquier chiquillo de 16 años puede interceptar sus comunicaciones quizas cambiaria algo, o quizas se necesite presion social pero la mayor parte de los usuarios estan desinformados (muchas veces debido a su propio desinteres).

Pedro Martinez dijo...

Bravo ! una radiografía del problema concisa y clara, post de manual !

Sancho dijo...

Se me saltan las lagrimas. conozco a "alguien" que trabaja para la administracion como sysadmin y que,tras muchos años de clamar al desierto a sus responsables e implantar medidas de seguridad por su cuenta (que solo controlaba él) al final ha desistido del rollo "Don Quijote", con mucha pena ha eliminado sus IDS, ha borrado sus ACLs y se la suda ya todo. me ha comentado que se quiere dejar el tema de las IT y dedicarse a la agricultura...

Filter dijo...

Mal asunto....no hay ayudas europeas para la Agricultura...mejor que se dedique a la banca...que para ellos siempre hay pasta

Román Ramírez dijo...

A mí este me tema me parece indignante. No solamente por el hecho de cómo se están llenando los bolsillos las ratas de siempre con los nuevos "términos de moda" (en su momento fueron PKI, LORTAD, LOPD, Cloud, seguridad en profundidad...), es que. precisamente, en esta cuestión estamos hablando de riesgos muy graves para la seguridad de los ciudadanos.


Y... ¿qué se está haciendo realmente con todo este asunto? NADA. Porque a todo el mundo se le llena la boca, todo el mundo quiere estar en el Comité A o Comité B, pero a la hora de la verdad... es todo papel mojado, buenas intenciones (de unos pocos) y ojo avizor (de los comerciales de las de siempre).


Insisto, hará falta que algún imbécil arme una buena con una central eléctrica, nuclear, agua o aviones para que aquí alguien se lo tome un poco en serio, porque les resulta muy sencillo ignorar los problemas (o incluso acusar y amenazar al que los expone).


Total, como no hay sanciones ni nadie paga las consecuencias, ¿para qué preocuparme de que haya un backdoor terrorífico en un elemento que controla la temperatura de un reactor?


Ya hablaremos cuando se concrete (si alguna vez pasa) (si existe realmente) alguna de esas temibles amenazas terroristas internacionales...

Filter dijo...

EN mi opinión, el problema reside en que no se ha sabido ´hacer ver´ a los gobernantes la importancia, el calado y las consecuencias que un ciberataque a gran escala puede tener. Esto creo que es culpa un poco de todos desde los profesionales a la propia clase dirigente.
Sin ir más lejos, esta misma semana, más de 600 millones de indios (de la India) se han quedado sin luz, aparentemente todo era achacable a la precaria infraestructura eléctrica india, pero en ciertos foros internacionales ya se empieza a barajar la hipotesis de un ciberataque patrocinado por Pakistán. ¿ Qué pasaria si media España se quedase sin luz 2 días? Espero que se genere conciencia y se reconozca la importancia de una manera proactiva.

Anónimo dijo...

Hola. Estáis dando por hecho algo que yo no doy por hecho: que se tienen los conocimientos.

Según mi modesta experiencia, en las empresas y la admón. se da a entender - con frecuencia - un grave desconocimiento de conceptos técnicos básicos. Por Parte de supuestos técnicos, ingenieros y jefes.

¿Cuántos desarrolladores o jefes de proyecto entienden el camino completo que sigue un bit, desde que se pulsa una tecla hasta que sale un carácter en la pantalla? ¿Y qué es un bit realmente, o si existe o es una idea en nuestro cerebro?

Si no se domina la tecnología al dedillo no puede haber seguridad. Cuando se domina, la seguridad se vuelve algo intrínseco. Los mejores expertos en seguridad son expertos en la tecnología que aseguran.

En España no puede haber estos planes tan rimbombantes porque nos sobra soberbia y nos falta ser punteros tecnológicamente. En USA existen estas cosas porque tienen gente que en proporción da mil vueltas a la que tenemos aquí.

Pulp and Paul dijo...

Hasta qué punto empresas dedicadas a la explotación que se rigen dentro de su estructura de objetivos y resultades, para su beneficio privado, con capacidad de orientar los servicios, es cierto, però la reflexion primera és que deben estar preparados para adaptarse con facilidad pero són los gobiernos a quien les concierne decidir sobre las medidas, no és tarea del sector privado definir que és lícito y que no, mediante la información. Es una frivolidad... No sé si es una opinión que surge de la malinformación pero, desde luego sus decisiones van a marcar la linea de explotación de los servicios cosa que debe ir ligado a sus posibilidades puesto que al gobierno/ciudadanos no nos interesa su beneficio sinó el debido desarrollo y prestaciones necesarias sin retroceder en cuanto a privacidad.
Aceptaré una respuesta, pero sus credenciales repito hasta la fecha se rigen por modelos empresariales que nunca han estado al servicio del ciudadano, es mas, dudo que la banda ancha actual fuera la que és sinó a raiz de la decisión de garantizar los minimos desde el Parlamento Europeo... "Saludos por defecto :)"