tag:blogger.com,1999:blog-5399811056563385935.post8467334950974456932..comments2023-09-21T14:48:16.670+02:00Comments on Security By Default: Ciberseguridad, según el CCN, la mejor inversiónYago Jesushttp://www.blogger.com/profile/16830228750771246202noreply@blogger.comBlogger19125tag:blogger.com,1999:blog-5399811056563385935.post-90380597323440828492011-12-05T22:39:38.979+01:002011-12-05T22:39:38.979+01:00Toda la inversion en ciberseguridad debe ir en fun...Toda la inversion en ciberseguridad debe ir en funcion del riesgo y el impacto. 1600 ciberataques es una estadistica que no dice nada. ¿Que impacto han tenido? Con respecto al resto de comentarios, estoy con EFOJON en sus argumentos y con Rafael en que sus fuentes son la base para construir estrategias. Un dato de interes para los neofitos en estos asuntos es que el 60% del personal que interviene en un conflicto en USA es civil. La industria esta totalmente integrada en la Defensa. Es otro mundo y compararnos no tiene ningun sentido. Cada vez hay menos peso del gobierno en estos asuntos, que esta dirigido por Directivas y Regulaciones de la Union Europea que van dirigidas a dar un menor peso a los gobiernos nacionales y la industria nacional. Mas si cabe cuando nuestra velocidad actual es de 20km/hora y los paises de nuestro entorno en estos temas van a 100 km/h. Lo de USA ya ni lo menciono porque van a miles de km/h.JOTARAnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-67925315779331803232011-12-05T21:41:04.236+01:002011-12-05T21:41:04.236+01:00Hola Antonio,
En ningún momento he hablado de &q...Hola Antonio,<br /><br />En ningún momento he hablado de "subcontratación" en zona de operaciones. Lo que he expuesto es que el sector privado tiene mucho que aportar en la provisión de capacidades para que las FF.AA puedan ser desplegadas con garantías en Zona de Operaciones. <br /><br />En España hay muchas empresas que "suman" al I+D+i del sector defensa en multiples campos sin el protagonismo que puedan tener Blackwater en USA.<br /><br />Saludos@EFOJONCnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-37885088298735843852011-12-05T16:44:56.490+01:002011-12-05T16:44:56.490+01:00Hola, Enrique.
Respecto al tema del sector privad...Hola, Enrique.<br /><br />Respecto al tema del sector privado en temas de Defensa, creo que no estamos preparados para "subcontratar" esa tarea; es decir, como he comentado al respecto, no veo al Ministerio de Defensa subcontratando la misión en Afganistán... <br /><br />Aunque no todo sean BlackWater y HBGary, estoy con Román en que estas funciones son propias del Estado y no quiero estar en manos de una empresa cuyos fines son lucrativos.<br /><br />Otra cosa es que se fomente, como dice Leo en otro comentario, el I+D+i en empresas españolas con gasto y apoyo del Sector Público para convertir esta industria nacional en puntera y poder, luego, aprovechar ese potencial en el exterior (como llevan haciendo otros países como Francia o EEUU desde tiempos inmemoriales).<br /><br />Slds,Antonio Ramoshttp://twitter.com/antonio_ramosganoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-46089161126492539012011-12-03T01:02:51.752+01:002011-12-03T01:02:51.752+01:00Una cosa que no he visto que se tenga en cuenta, y...Una cosa que no he visto que se tenga en cuenta, y refiriendome al punto de visa de Lorenzo Martinez respecto al gasto, es que el implicar a empresas privadas españolas (por favor!!! Espero que quieran que sean españolas para asuntos de Seguridad Nacional) es la inversión en I+D+I. En el contexto que tenemos impulsar el avance en industria tecnologica y comunicaciones, en el campo de la seguridad por ejemplo, es un bien para el futuro. Ya sea ciberdefensa o ciberataque.Leonardo Nvenoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-49659403571820998802011-12-02T18:05:53.858+01:002011-12-02T18:05:53.858+01:00Lorenzo, aunque no pude asistir al ISMS Forum de V...Lorenzo, aunque no pude asistir al ISMS Forum de Valencia (sí al de Sevilla y a los previos de Madrid) entiendo que Javier se referiría a una idea recurrente cada vez que coincidimos en foros similares:<br />Así como el Esquema Nacional de Seguridad se orienta al Sector Público, la aplicación de la Ley de Infraestructuras Críticas implica la colaboracion de aquellas empresas privadas a quienes se ha externalizado la gestión de la seguridad.<br /><br />Por otra parte, las recientes Estrategias de Ciberfedensa de UK de Noviembre 2001 (http://www.cabinetoffice.gov.uk/resource-library/cyber-security-strategy) y USA de Mayo 2011 (http://www.whitehouse.gov/cyberreview/documents) incluyen por primera vez medidas de contraataque ante ciberataques; lo cual implicará actualizar nuestra próxima Directiva de Defensa Nacional 1/2012 (http://www.defensa.gob.es/Galerias/ooee/fichero/EMD_directiva_nacional.pdf) en base a nuestros compromisos con el Artículo 5 de la OTAN (https://boe.gob.es/aeboe/consultas/bases_datos/doc.php?id=BOE-A-1982-12535).Rafael Ausejo Prietonoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-2632076141730738752011-12-02T13:24:35.973+01:002011-12-02T13:24:35.973+01:00Inevitablemente el sector privado esta presente en...Inevitablemente el sector privado esta presente en el mundo de la defensa e inteligencia. No todo es BlackWater y HBGary. Siento tu disgusto!@EFOJONCnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-34479527940305660572011-12-02T12:28:01.682+01:002011-12-02T12:28:01.682+01:00Muchas gracias a Lourdes y a EFOJONC por las aport...Muchas gracias a Lourdes y a EFOJONC por las aportaciones con las notas tomadas en la charla que dio Javier Candau. Creo que he dejado claro desde un primer momento que yo no asistí a la misma y que lo que leo lo he extraido de Nacionred (leido por cierto a través de un RT que hizo mi compañero Yago). Es decir, que las declaraciones, sacadas de contexto, puede dar lugar a equívocos. Sin embargo, tengan o no el sentido expuesto, creo que es una buena oportunidad para debatir sobre Ciberseguridad en el blog. La prueba de ello es que los lectores estáis dejando comentarios y opiniones al respecto, más que interesantes.<br />Lo dicho a Lourdes y EFOJONC, muchísimas gracias por vuestras aportaciones.Lorenzo_Martineznoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-22870789366511094882011-12-02T12:05:41.281+01:002011-12-02T12:05:41.281+01:00No puedo evitar el escalofrío cuando leo "sec...No puedo evitar el escalofrío cuando leo "sector privado" asociado con contextos de defensa o inteligencia.<br /><br />Solamente puedo ver la imagen del mercenario y empresas tales como Blackwater/Xe o HBGary, y me disgusta, MUCHO.Román Ramíreznoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-56336289177785997262011-12-02T12:02:16.136+01:002011-12-02T12:02:16.136+01:00Muchas veces el debate se suscita desde los medios...Muchas veces el debate se suscita desde los medios de comunicación a través de sus crónicas. <br /> <br />Yo, también, asistí a la X Jornada del ISMS Forum Spain en Valencia y estuve en la conferencia de Javier Candau. Bajo mi punto de vista lo que expuso fue la necesidad de disponer de una estrategia de ciberseguridad que no se quedase en un mero papel sino que viniese apoyada con una dotación económica, además de medios técnicos y humanos y que fuese en línea con las estrategias de nuestros aliados. Además, hablo de la evolución desde el enfoque de Information Security (reactivo) al Information Assurance (proactiva) sin dejar de lado el derecho de cualquier nación a defenderse en caso de una acción beligerante en el ciberespacio, pero claro para defenderse hay que disponer de ciertas capacidades. <br /> <br />Resulta evidente que para ejecutar las acciones que emanen de la estrategia se requerirá el concurso de todos los sectores de la sociedad española y por supuesto supondrá una oportunidad de negocio para el sector privado. @EFOJONCnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-46145564347984142592011-12-02T10:49:32.254+01:002011-12-02T10:49:32.254+01:00Aunque el debate que se ha suscitado
me parece muy...Aunque el debate que se ha suscitado<br />me parece muy interesante, quisiera matizar alguna afirmación que he leído en<br />el post de hoy. Concretamente me estoy refiriendo a la afirmación que se hace<br />de que en las Jornadas del ISMS forum del Martes pasado Javier Candau hablara<br />de provisionar recursos para el ciberataque. <br /><br /><br />Asistí con interés a la ponencia<br />de Javier, con quien tengo cierto contacto profesional, y de hecho, tomé notas<br />que os transcribo por si pueden aclarar un poco el debate: <br /><br /><br />Afirmó que ya no basta con<br />defenderse de amenazas materializadas, sino que hay que activar monitorización<br />y alerta temprana y reconoció que nuestra actual capacidad defensiva no era<br />suficiente.<br /><br /><br />Cuando mencionó la publicación en<br />2011 de la<br /> Estrategia Española de Seguridad, citó como líneas<br />estratégicas nacionales, el plan nacional de P.I.C., la necesidad de potenciar<br />el ENS y de una mayor inversión en tecnología de seguridad, así como el apoyo al<br />desarrollo de empresas de seguridad TIC nacionales (para evitar dependencia de<br />extranjeras), la formación y sensibilización y el uso de estándares. <br /><br /><br />Hizo hincapié mejorar capacidad<br />de detección y la coordinación entre los distintos gobiernos (AGE, autonómicos<br />y locales) e insistió en que el servicio que el CCN-CERT debe prestar a las<br />AAPP no es posible sin la existencia de CERTS autonómicos (como el CSIRT-cv.,<br />centro al que citó como ejemplo coordinación con el CCN-CERT ).<br /><br /><br />Y en cuanto a las líneas<br />estratégicas de acción internacional habló de cooperación y acuerdos de control<br />sobre ciberarmas, mencionó la colaboración con ENISA, reclamó una homogeneización de la legislación<br />penal, la ampliación de la lucha contra el delito cibernético más allá de la UE y la mejora de la<br />cooperación con la OTAN.<br /><br /><br /> <br /><br /><br />Eso fue a grandes rasgos lo que yo<br />recogí en mis notas. Evidentemente puedo haber omitido cosas, pero ni a mi, ni<br />a uno de mis compañeros al que acabo de consultarle, nos llamó la atención<br />especialmente el tema de provisionar recursos para el ciberataque.<br /><br /><br /> <br /><br /><br />Un saludoLourdesnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-91168103216780840672011-12-02T09:49:00.729+01:002011-12-02T09:49:00.729+01:00Es evidente que España debe disponer de capacidade...Es evidente que España debe disponer de capacidades para securizar y defender su ciberespacio, máxime tras saber que solo hemos detectado 1.600 ataques durante 2011. (un mínimo porcentaje de los ataques que debemos haber sufrido en realidad)<br /> <br />El ciberespacio es considerado ya, por algunas naciones, como una dimensión más del campo de batalla y, por ello, están desarrollando y adquiriendo ciber-capacidades no solo defensivas sino también ofensivas. <br /> <br />De todos modos no podemos empezar la casa por la ventana. Debemos disponer YA de una Estrategia Nacional de Ciberseguridad y, a partir de esta, articular como securizamos nuestro ciberespacio. <br /> <br />De todos modos, la seguridad y defensa de nuestro ciberespacio nunca debería verse como un ‘gasto inaceptable en tiempos de crisis’ ya que, más allá del propio concepto asociado a la defensa nacional, puede y debe ser un motor de dinamización de nuestra economía.@EFOJONCnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-92128429783910063412011-12-02T09:46:37.017+01:002011-12-02T09:46:37.017+01:00:DDDDDDDDDDD
Con este comentario ya sabes que nos...:DDDDDDDDDDD<br /><br />Con este comentario ya sabes que nos van a "dosear", ¿verdad maldito?Román Ramíreznoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-66230223424508974512011-12-02T09:44:34.935+01:002011-12-02T09:44:34.935+01:00Vaya, justo estaba pensando en empezar a hacerte u...Vaya, justo estaba pensando en empezar a hacerte un inofensivo nmap -F,... pero visto lo visto, el efecto multiplicador que me voy a llevar, casi que me corto un poco eh? xDDDLorenzo_Martineznoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-4044825734982054192011-12-02T09:36:54.473+01:002011-12-02T09:36:54.473+01:00Hombre Lorenzo, entiendo que porque un Hooligan bo...Hombre Lorenzo, entiendo que porque un Hooligan borracho le pegue cuatro tiros a alguien en un estadio de futbol, el gobierno español no va a bombardear Oxford.<br /><br />Para mí es evidente que detrás de los esfuerzos de hacking que salen de algún país concreto y que pueden parecer acciones "individuales" hay dinero de esa propia nación.<br /><br />Vamos, no sé si te suena Stuxnet o Nightdragon...<br /><br />En esas condiciones y viendo cómo se está poniendo el mundo, deseo, quiero, demando que el gobierno de mi país tome las medidas necesarias.<br /><br />Y no basta con fabricar muros o implantar cortafuegos de capa 7, también hay que entrenar francotiradores, expertos en inteligencia, expertos en infiltración, expertos en jamming,...<br /><br />También quiero dejar clara una cosa, estoy absolutamente en contra de agredir a nadie, pero estoy completamente a favor de la reciprocidad estricta.Román Ramíreznoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-34097437750917900252011-12-02T09:29:55.389+01:002011-12-02T09:29:55.389+01:00Román, desde un punto de vista de guerra física, e...Román, desde un punto de vista de guerra física, está claro que has de tener recursos humanos, armamento moderno para poder repeler a un posible ataque de una potencia extranjera ante una invasión injustificada. Y por eso, todas las citas a libros de guerra están excelentemente argumentadas al 100%.<br />Sin embargo, desde un punto de vista virtual o digital, en el que el origen es una dirección IP, que sabes perfectamente que puede ser fruto de uno o varios bouncings, el tener claro quién te está atacando y no equivocarte de país sobre el que "ejercer la venganza" que propones, es más complicado. <br /><br />Yo creo que en el mundo digital, merece más la pena priorizar buenos mecanismos de defensa y securización de infrastructuras, que de ataque por varios motivos: A no ser que sea una guerra abierta y declarada, la identificación del "enemigo" es más compleja. Además, no es lo mismo que el gobierno de un país, pongamos por ejemplo China, ataque España,... a que un grupo reducido de hackers chinos, le de por atacar España de forma autónoma. En ambos casos, tú partirías en dos infraestructuras digitales de China, siendo completamente injustificado en el segundo caso.<br /><br />Son sólo opiniones...Lorenzo_Martineznoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-83844674697501317522011-12-02T09:06:08.688+01:002011-12-02T09:06:08.688+01:00Y sigo respondiendo, que me parecía un poco largo....Y sigo respondiendo, que me parecía un poco largo.<br /><br />Decidir si se gasta o no en defensa, es una decisión estratégica. Como asumir si tienes confianza en la WAN-LAN o sigues una política de confianza cero.<br /><br />A estas alturas, la parte de defensa, en general está más o menos superada por las instituciones y organizaciones.<br /><br />Pero lo que es la parte de ataque, salvo algunas que han tenido que recurrir a ello por necesidades de su propio negocio (y no hablo solamente de pentesters) es una asignatura pendiente.<br /><br />No me parece para nada descabellado afirmar que hay que gastar menos en defensa y que hay que invertir en ataque, si el sentido de la frase es que, manteniendo la calidad de nuestras defensas vamos a aprender a atacar mejor.<br /><br />Y ya, en plan pedante, te cito una frase de Von Clausewitz, militar alemán al que le tengo verdadera admiración:<br /><br />"El ataque envolvente, o desde varios lados, sólo es posible como norma para el bando que mantiene la iniciativa, o sea, la ofensiva, y que el defensor, en el curso de la acción, no está en condiciones, como no lo está en la táctica, de devolver el golpe al enemigo cercándolo a su vez."<br /><br />Iniciativa, ofensiva.<br /><br />P.D: Vauban (todo sobre ingeniería militar, asedio y defensa sin recursos) y Von Clausewitz ("En la guerra") son lecturas obligadas, desde mi punto de vista.Román Ramíreznoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-13103353960668791552011-12-02T08:51:58.002+01:002011-12-02T08:51:58.002+01:00Si veo el fondo de la cuestión, ¿es razonable inve...Si veo el fondo de la cuestión, ¿es razonable invertir dinero en actividades ofensivas?<br /><br />SÍ.<br /><br />¿Es que nuestro trabajo como profesionales de la seguridad no tiene un componente enorme de "ataque"? ¿pentest? ¿poisoning? ¿cracking? ...<br /><br />Y que el estado contrate empresas privadas para estas cosas a mí suena como que EEUU le da carta blanca a Blackwater en Irak. NO ME GUSTA. No solamente no me gusta, me parece antipatriótico y pernicioso para la democracia.<br /><br />Nunca en la historia de la humanidad los mercenarios (y leed la definición en el diccionario) han sido de fiar para un estado, de hecho, el dinero que les pagabas para que lucharan por ti, era el dinero multitiplicado por tres que les pagabas para que, luego, no te atacaran conociendo todo lo que conocían de tus infraestructuras y organizaciones.<br /><br />De hecho, como ciudadano demócrata convencido, no quiero ver ni de lejos a una empresa privada haciéndose cargo de "armas", "defensa" o "ataque" en mi nombre. Para ello el estado debe capacitar especialistas que estén dentro de los parámetros morales de mi nación, que estén vigilados por los mecanismos que articula la democracia y que, además, no estén dentro del juego maniqueo del capital.<br /><br />Sobre si deben o no las naciones declarar abiertamente que tienen hackers, la respuesta es muy obvia, ¿ha reconocido Israel tener la bomba atómica? ¿tiene Israel la bomba atómica? ¿hay sanciones para Israel o las tendría por tener o si tuviera la bomba atómica? ¿debería España ser sancionada por gestionar o por querer gestionar botnets para atacar a países enemigos?<br /><br />La guerra de medios, la negación sistemática de hechos, la ocultación del número de víctimas propio, declarar que tal o cual es "El Eje del Mal"... todo eso forma parte también de la defensa de tu país ;)Román Ramíreznoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-79893000571235366612011-12-02T08:32:33.866+01:002011-12-02T08:32:33.866+01:00A ver Román, esto mismo lo discutía ayer con un co...A ver Román, esto mismo lo discutía ayer con un compañero de trabajo (al que conoces BTW), mientras volvíamos de Francia en el avión. Él también estaba de acuerdo en que se tiene que poder devolver un ataque llegado el momento, comparando el ejército físico, con el digital. <br />Yo lo que intento argumentar es que tal cual está el tema, no veo una prioridad el GASTAR recursos públicos en ataque. Nunca he estado de acuerdo en que las administraciones tengan que GASTARSE sí o sí todo el presupuesto asignado con nuestros impuestos (sé lo que pasa el año siguiente si no lo hacen). <br />Yo veo viable que España pueda tener la posibilidad de contratar empresas privadas o utilizar sus propios recursos para solucionar un problema puntual. <br /><br />Sin embargo, según el enlace de Nacionred, lo que debió decir Javier Candau en el evento del ISMS es que había que pasar de la defensa al ataque. Es decir, que vas a dejar de invertir en defensa para invertir en ataque (los presupuestos son finitos y máxime tal cual están las economías). Por otra parte habrá que ver también si las palabras del alto cargo del CCN, están o no sacadas de contexto. En cualquier caso, creo que es un interesante debate... ¿deberían los países declarar públicamente la existencia de cuerpos especializados en ciberguerra?Lorenzo_Martineznoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-15940565352115361952011-12-02T07:02:45.540+01:002011-12-02T07:02:45.540+01:00Yo sí lo entiendo, ¿de verdad, de verdad, de verda...Yo sí lo entiendo, ¿de verdad, de verdad, de verdad, de verdad no conoces ninguna empresa que no haya podido cerrar un C&C de una botnet y no haya recurrido a un DDoS para que el C&C estuviera inaccesible? ¿ninguna, ninguna, ninguna?<br /><br />Pues visto cómo está el tema tecnológico y vistos los pocos escrúpulos que tienen naciones como EEUU, China, Rusia (famoso caso Ucrania)... ¿tiene España que vivir "disminuida" en el mundo digital?<br /><br />Yo sí tengo claro que es necesario poder devolver un ataque o ser capaz de inutilizar las comunicaciones de un enemigo.<br /><br />La parte moralista es, ¿debe España atacar a alguien? Personalmente creo que no, pero, ¿debe España estar preparada para hacerlo? POR SUPUESTO.<br /><br />Y si es necesario tener una bomba termonuclear virtual, pues que España sea del club del átomo 2.0.Román Ramíreznoreply@blogger.com