Facebook for president!!!!!

Hoy hemos estado en un curso sobre RGPD, donde se indicaban algunas novedades que han cambiado y las mejoras que se aplicarán a partir del día 25 de mayo de 2018.

Pero inevitablemente hemos acabado hablando sobre Facebook, todos han empezado a comentar las posible multas o sanciones que puede sufrir esta empresa, incluso alguno ha comentado que esto podría ser la muerte de Facebook, vamos, desde mi punto de vista no creo que esto vaya a ser el final de la corporación Facebook, solo un problema en el camino.

Pero yo ha planteado algo que otros se han quedado pensando y os lo expongo aquí, una persona como Mark Zuckerberg con la cantidad de información que maneja de todos los usuarios ¿podría ser el nuevo presidente de cualquier país realizando estudios de necesidades o inquietudes de la gente?

Si algo nos ha enseñado este caso, es que hoy más que nunca los datos son la nueva fiebre del oro, que con ellos vamos a ser capaces de influir sobre la gente y que la capacidad que tienen las redes sociales para generar noticias, no voy a decir que falsas, pero si manipuladas, para que nos decantemos hacia un lado u otro es real y creíble, y esto último es lo más relevante.

Por ello, el público en general, deberíamos ser mucho más conscientes de la capacidad de procesamiento y extracción de datos que actualmente manejan las grandes corporaciones y la efectividad que se está consiguiendo.

Un saludo.

¿Cloud como solución al RGPD?

A lo largo de la semana pasada he recibido varias consultas sobre RGPD (Reglamento General de Protección de Datos), la nueva LOPD europea por si hay algún despistado, cosa curiosa porque parecía que a nadie le importaba mucho el tema, supongo que será por que llega la fecha clave, pero la más curiosa es la que me ha realizado un abogado.

Resulta que tienen un programa de gestión bastante famoso y hasta el momento lo tenían en local, pero desde hace más o menos 3 meses la empresa proveedora le está, digamos de forma suave, «presionando» para la migración a cloud.

Hablando del tema le planteaba que puede ser una buena opción de cara a descargar responsabilidades con respecto a RGPD, ya que una de las modificaciones más importantes, o por lo

menos eso creo yo, es que ahora ya tienes que ser pro-activo a la hora de implantar seguridad a tus datos.

La migración a un entorno cloud, y siempre desde mi punto de vista, te puede descargar la responsabilidad del acceso de datos, siempre y cuando no regales tu usuario y contraseña esta claro, de las medidas de seguridad que hay que implantar y por último de las copias de seguridad en caso de incidente.

Si todo esto lo acompañamos de un buen contrato en el que se descargue esta responsabilidad en el proveedor del programa, creo que tendríamos una buena escusa para migrar el entorno a cloud.

 

El mayor miedo que me expresaba el abogado, era la posibilidad cambiar de programa y poder recuperar los datos, de nuevo le comente que si queda bien reflejado en el contrato quien es el propietario de los datos, la forma de recuperación de datos y como se pueden exportar, creo que el miedo que puedes llegar a tener se disipa.

Y la pregunta que nos podemos hacer es clara, ¿es el cloud una opción para descargar responsabilidades sobre el RGPD o solo es algo para cobrar más?

Aquí os dejo mi reflexión y encantado de recibir las vuestras.

Como siempre un saludo.

Planteando teorías para bloquear una red blockchain

Estos días que he tenido libre y en otro foro, hemos hablado del tema más famoso de los últimos meses ¿qué opinas de las criptomonedas? dentro de este contesto hablamos de la seguridad de las monedas y por supuesto la mayoría se refieren al bitcoin, y hablando hablando planteamos la posibilidad de atacar las redes de criptomonedas.

En este contesto, y después de varias ideas que íbamos desechando por no ser reales, todos quedamos que a día de hoy el bloque es un sistema seguro y que no podríamos pretender atacar la base de datos por su nivel de encirptación actual y por la seguridad que implica la distribución de la base de datos.

Así que nos centramos en este último concepto, la distribución de la base de datos, una de las fortalezas es la gran cantidad de bases de datos distribuidas en el mundo pero a la vez podríamos plantearnos atacarlas a todas a la vez, ¿cómo? planteamos la posibilidad de crear un virus que lo único que tendría que hacer es bloquear un puerto de comunicaciones en el ordenador donde se ejecuta, esto podría llegar a bloquear la replicación de las bases de datos y tendríamos un colapso en la red, o no, no teníamos demasiado claro si podríamos dejar paradas las replicaciones, si  se reactivaría una vez solucionado el problema o que pasaría, por la documentación que leímos sería así, aunque al no ser expertos nos molo mucho la idea de generar un VIERNES 13, un virus que en nuestros años jovenes acojonaba cuando llegaba el día, uff cuantos años ha pasado de eso 😉

Otra solución más sofisticada, sería el ataque al protocolo BGP de internet, se sabe que más o menos el 30% del tráfico de las bases de datos de Bitcoin se concentra en 13 ISPs, y que el 60 % del tráfico se concentra en 3, así que en vez deatacar el bloque atacaríamos a los ISPs y secuestraríamos el tráfico, está idea también vimos que podría ser factible ya que no sería la primera vez que sucede.

 

Por supuesto, también se planteo el robo de las las wallet, pero esto ya sería atacar a los usuarios y no a la red global, así que lo descartamos totalmente.

Así que os dejo estas propuestas, por si alguien las quiere discutir y determinar si podrías ser factibles o no, como he dicho, no soy experto en blockchain así que todo lo que hemos escrito puede que no sea factible y no se pueda realizar, o si, quien sabe …..

Así que ya solo me queda dar las gracias a las nuevas tecnologías por crear discusiones tan interesante que nos ayudan a esforzarnos a pensar, aunque solo sea por un momento, en como plantear nuevos escenarios.

FELIZ NAVIDAD A TOD@S

La nueva normativa de protección de datos, ¿una mini ISO 27001?

Durante mucho tiempo, todas aquellas personas que nos gustaría que los datos estén seguros, vamos predicando y diciendo que es necesario implementar medidas de seguridad en todos los entornos.

No solo en las grandes empresas, sino en cualquier tipo de empresas, ya que es necesario proteger los datos que «cedemos» en una pequeña empresa que realiza el mantenimiento de la caldera de nuestra casa, por poner un ejemplo.

La nueva normativa europea indica que hay que realizar un análisis de riegos y que ya no es valido aplicarlas después de que haya sucedido un incidente, sino que hay que tener medidas de seguridad en las empresas, así dice:

  1. Protección de datos desde el comienzo
  2. Protección de datos por regla general
  3. Medidas de seguridad
  4. Establecer un registro de tratamientos
  5. Realización de análisis de impacto en la protección de datos
  6. Nombramiento de un Delegado de Protección de Datos
  7. Comunicación de infracciones de la seguridad de los datos
  8. Promoción de códigos de conducta y esquemas de certificación

Viendo todo esto, y solo desde mi punto de vista, es como tener una míni ISO 27001 en la empresa, así que solo me queda decir que es una oportunidad para todos, el poder aplicar la nueva normativa que entrará en funcionamiento en mayo de 2018 y será de obligatoria aplicación dos años después.

Ya estoy oyendo a las empresas diciendo «esto es para sacar dinero a las empresas» , espero que no se tengan que ver una gran sanción a las empresas para que se den cuenta que los datos van a ser la nueva «fiebre del oro» para las empresas.

A ver si por una vez no esperamos al último día y a última hora para cumplir una normativa y avanzamos hacia una mejora en la seguridad de los datos.

Un saludo a tod@s.

Me atacan con KRACK!!!! sin problema yo me conecto de forma segura

Hoy ha sido uno de los temas más leídos, hasta en la presa general lo ha publicado, no ha echo falta buscarlo en publicaciones especializadas.

Así que nos hemos puesto a lees que la conexión WIFI con encriptación WPA2 ya no es segura y que los datos son vulnerables, nos pueden capturar toda la información mediante un sniffer como se puede ver en el video publicado

La verdad es que después de ver como lo realizaban me he quedad pensando ¿cual es la solución? Bueno la respuesta lógica sería esperar a que saquen parches y actualizar mi sistema operativo, como ya ha publicado Microsoft

https://www.cnet.com/es/noticias/krack-windows-microsoft-usuarios-seguridad-fallo/

Pero después he pensado que tendríamos que tener más soluciones, y volviendo a ver el vídeo explicativo la solución vuelve a ser un clásico, usar VPN.

Habitualmente en los entornos empresariales estamos acostumbrados a conectarnos a la VPN de la empresa, porque nos dicen que es obligatorio para darnos salida a internet a través del proxy de la empresa y claro, conectarnos a los servicios de la propia empresa, pero no nos damos cuenta que la VPN la podemos utilizar en nuestro día a día para securizar nuestras comunicaciones.

Todos los días oímos que es peligroso conectarnos en las WIFI de los bares o zonas con WIFI abierta, pero si utilizamos una VPN ya dejan de ser inseguras y podemos utilizarlas con tranquilidad.

Así que os invito a buscaros un servidor de VPN gratis como puede ser spotflux, instalaros la aplicación y conectaros siempre a través de este tipo de conexiones.

Si os preguntáis si penaliza la velocidad os diré que no, os dejo unos pantallazos de conexión con VPN y sin VPN

Sin VPN
Con VPN

 

 

 

 

Aunque en esta ocasión me ha dado un poco más de velocidad con VPN son muy similares, así que diremos que no penaliza a la conexión ni la velocidad.

Bueno, ya os lo dejo en vuestras manos el poner medidas para vuestra propia seguridad y si utilizáis VPN estáis a salvo de KRACK 😉

Un saludo a todos.

Y mis datos ¿qué pasa si están en Cataluña?

Todos los españoles estamos viendo y sufriendo por la situación actual que hay en España, vemos todos los titulares de las empresas que mueven sus sedes sociales desde Cataluña a España, esto implica seguir ante el paraguas de la UE de cara a que sean tratadas con todas las garantías legales, pero sus centros de datos siguen en Cataluña.

Entiendo que mover sus centros de datos es un proceso complejo, pero mi pregunta viene aquí ¿si Cataluña se va de la UE que pasa con los datos que se utilizan desde las empresas que no se han trasladado? ¿y las que se han trasladado y sus centros de datos no? ¿nos encontraríamos con una ilegalidad según la LOPD?

Buenos pues yo creo que si, y esto ¿qué implicaría?, pues mucho, quizás no nos demos cuenta pero es un peligro.

Hoy hemos visto como se ha publicado el erro de seguridad en el tratamiento de datos de lo era el censo del supuesto referendum y ahora miles de ciudadanos tienen sus datos a disposición de cualquiera.

https://www.xataka.com/seguridad/los-datos-de-los-votantes-en-el-referendum-catalan-en-riesgo-cualquiera-puede-hackearlos

https://elpais.com/tecnologia/2017/10/05/actualidad/1507196018_140173.html

Pero, y si las empresas que estén fuera de la UE venden tus datos ¿qué pasaría? Púes nada, ya que no se encuentran dentro del ordenamiento jurídico de la UE.

Por ello creo muy importante sopesar las consecuencias de que los datos estén fuera de un ordenamiento jurídico reglado y controlado y no solo preocuparnos por el traslado de las sedes sociales.

Espero que al final todo llegue a ser solo una incertidumbre y se soluciones como siempre se ha tenido que solucionar, HABLAR, COMUNICARSE Y ACORDAR.

Un saludo a todos.

El engaño de cloud o el error de cálculo del cliente

Desde ya hace mucho tiempo llevamos predicando todos las virtudes de cloud, seguridad, movilidad, escalabilidad y todo lo que termine en «lidad»

La verdad es que siempre suena muy bien, luego vamos al análisis de los costes y preguntas a la fuente, ya sea Microsoft, Google, etc y te marcan unos números que en principio son incontestables, pero luego la realidad cambia drásticamente por varios factores.

El fundamental error es que no medimos lo que utilizamos y así es difícil saber lo que nos van a facturar, ¿cuanta capacidad de proceso estas utilizando actualmente? en muchos casos esto es imposible de medir ya que te planteas implantar un servicio nuevo, con lo que solo puedes suponer, en otros casos te olvidad de medirlo y llegan más tarde las sorpresas.

Pero no solo hay que medir la capacidad de proceso, ¿cuanto tráfico generamos? uff, estamos en el mismo caso de antes, si es nuevo el sistema no podemos medir, pero si ya lo tenemos y nos podemos a analizar el tráfico que generamos nos podemos llevar una gran sorpresa del tráfico generado, porque, al estar en una red local casi pasa desapercibido al no haber congestión en la red ni en el servidor, que aunque viejo, nos sigue dando un buen servicio.

Lo que casi todos saben o miden es el espacio necesario o que están utilizando, curiosamente suele ser lo que menor coste tiene, pero también hay que tenerlo en cuenta claro.

Con estos parámetros podríamos elegir una mejor opción o al menos saber unos costes mucho más cercanos a lo que nos van a facturar, pero aún queda una pequeña «cosilla» más a evaluar.

Las licencias, la mayoría de los servicios en cloud te ofrecen la licencia, te la cobran poco a poco claro, pero ¿qué pasa con la licencia que has ido pagando cuando dejas de usar el servicio cloud por algún motivo? Pues nada, simplemente no tienes nada.

Cuando instalas algo en local, pagas tu licencia y luego decides si pagas los mantenimientos correspondientes o no, pero siempre tienes tu licencia, o al menos en una gran variedad de productos, así que puedes asumir problemas de seguridad porque no tienes soporte, pero puede ser que sea una aplicación «no crítica» y por ello lo decidas.

Con estos factores, ya que seguro que se os ocurren algunos más, podrás tomar la decisión de si un sistema en cloud, con capacidad para ser escalable en todos los aspectos, con las actualizaciones última versión del sistema o producto es lo que tu empresa necesita.

Lo que cada día me queda más claro, es que los beneficios de las grandes corporaciones vienen cada vez más por la parte de los servicios cloud y este modelo de negocio y menos por el licenciamiento de productos, así que seamos conscientes de los costes y necesidades.

Un saludo a todos

PD: El tema de seguridad si queréis lo abordamos otro día, hoy no tocaba 😉 y si, me esta tocando evaluar un proyecto para instalarlo en cloud o no

Explotación en una auditoría

Después de una larga temporada sin poder escribir por motivos laborales y de formación, volvemos a la carga.

Una de las partes más delicadas siempre en una auditoria es la parte de explotación, y no digo que sea más importante que el resto, solo digo que es delicada, por tema de datos o accesos claro está.

En la parte de explotación tenemos que comprobar que todos los procedimientos que tenga la empresa establecido para los pase de otros entornos (pre-producción generalmente) a producción se cumplan.

Por ello es muy importante comprobar las aprobaciones de los pases, si se cumplen y quien las autoriza, la procesa y las comprueba.

Del mismo modo hay que volver a comprobar los accesos, por ejemplo a los logs de una base de datos, ¿quién tiene acceso? ¿se pueden modificar? ¿quién puede modificar los logs?

También se debería comprobar que los procesos hagan lo que dicen que hacen, bien siguiendo la pista de principio a fin, o a la inversa.

Si existe una normativa en la empresa de programación, hay que comprobar que todo lo que se suba a producción este normalizado (nunca he conseguido revisar esta parte y encontrarla bien, los programadores, y me incluyo, nos saltamos todo de todo, y eso que programo muy poco jajajaja)

A mí, me vuelve a gustar el tema de copias de seguridad y si existen pruebas de restauración , ya que sigue siendo algo delicado, al igual que los procedimientos de las copias y donde se guardan.

Accesos a servidores, datos, etc, todo lo suelo repasar, en gran parte como si sería de sistemas.

No quiero terminar sin lanzar una pregunta, en unaempresa que se dedica al desarrollo para terceros ¿que consideramos producción? He discutido con algunos compañeros del tema y cada uno tiene una opinión.

Desde mi punto de vista, su entorno de producción es la pre-producción del cliente, pero claro, es solo una apreciación y que me gustaría que quizás auditores más avanzados nos lo puedan aclarar.

Espero que nos vemos pronto por estas líneas de nuevo.

Un saludo.

Empleados, compañeros o errores de empresa

Siguiendo la parte de auditoria de sistemas, vamos a desgranar la última parte que a medias deje en el último post.

Dentro de la auditoria de sistemas esta el factor humano, ese factor tan especial y a la vez tan crítico que no se debe olvidar.

En la evaluación de sistemas hay que comprobar las responsabilidades del personal encargado de mantener el sistema, sus competencias, si están definidas y lo más importante si son compartidas o bien son exclusivas.

Si hay alguno en el último caso, hay que determinar la criticidad de su trabajo y que pasaría en caso de que esta persona decida irse de la empresa o tenga algún incidente que no le permita ir al trabajo por una temporada larga.

El mayor problema que te encuentras con un perfil de este tipo es «LA NEGACIÓN», no te va a ayudar y normalmente no te cuenta lo que hace, lo intenta ocultar para evitar perder su reinado deje de existir, y de nuevo, intentar ocultar su trabajo.

Un práctica muy recomendable es mandar es este trabajador un mes de vacaciones de forma obligatoria y auditar todo lo que hace, comprobar si su trabajo se realiza de forma acorde a lo estipulado por la empresa y sobre todo, ver que no comenta ningún tipo de fraude.

Os imagináis que fuera capaz de mover un céntimo por cada 100 transacciones bancarias de su empresa a una cuenta? Bueno púes no os imaginéis nada ya que esto sucedió en  una de las extintas caja de ahorros, y le pillaron por que se puso enfermo y un compañero tuvo que sustituir su trabajo durante 3 meses. Tenía ya más de 4 millones de euros defraudados.

El tener doblados los puestos en una empresa, es fundamental, por ello es muy recomendable rotar a los trabajadores y que desempeñen las labores de su compañero, evitaremos fraudes y tener un «IMPRESCINDIBLE» en tu empresa, salvo el jefe claro (jajajaja que me parto yo solo)

La separación de roles es algo igual de importante, por ejemplo que el personal que programa no pueda subir algo a producción, pero esto depende mucho del tamaño de la empres, la definición de roles y como siempre el número de personas destinadas en su departamento.

Nos veremos en el siguiente post que me auto-auditare 😉

y a empezar por sistemas!!!!!

Bueno después de unas semanas trabajando a tope y de descanso vamos a seguir con las auditorias.

Yo siempre recomiendo empezar de dentro hacia fuera, así que vamos a empezar por sistemas, que es la parte más interna que tenemos.

En la parte de sistemas se engloban varias cosas, la mayoría de las personas cuando leen la palabra sistemas piensan que solo engloban la parte de sistemas operativos y lo programas que tenemos instalados sobre ellos, pero es más amplio que solo esto.

Por supuesto, conlleva saber que sistemas hay instalados, así como sus versiones y parches de seguridad aplicados, así como el software instalado y sus correspondientes parches de seguridad.

Una parte que mucha gente olvida, o por lo menos eso he detectado en varios casos, es el hardware. Por ejemplo, ¿está bien refrigerado? ¿tenemos piezas o podemos mover máquinas?, si ya se lo que vais a decir, que lo virtualice y listo 😉

¿Pero y si no existe la virtualización de un servicio? Bueno, al menos tener en cuenta que el hardware que soporta el software, tambien debe ser auditado y catalogado.

Los datos, quien, como y cuando acceden a los datos es algo muy importante, si existen controles, políticas o logs que controlen es algo en caso de tener que determinar quien ha modificado algo o simplemente si se ha accedido sin autorización a un dato, así como las copias de seguridad de estos datos, con que frecuencia se realizan y donde se guardan.

Pero no menos importante es saber que usuarios están dados de alta en el sistema, si hay una política de alta, baja o modificación de los usuarios y que dispositivos tienen autorización para usar.

Más adelante hablaremos de si hay documentos/políticas aprobadas por el comité de dirección sobre seguridad, se puede englobar sobre la auditoria de sistemas o bien sobre la de seguridad, dependiendo de la empresa y la criticidad de sus datos yo lo suelo revisar en la parte de sistema y de seguridad ya que me parece que esta compratido y me parece importante tener este conocimiento.

Algo fundamental es saber si esas copias de seguridad, de las que hemos hablado antes, se han probado, si se realizan pruebas de recuperación de datos o sistemas, y con que frecuencia, ya que en las empresas se dedican a programar las copias de seguridad y luego se olvidan de ellas, PROBAR Y COMPROBAR su funcionamiento el algo indispensable. De que sirve tener algo que cuando lo queramos usar no funcione, púes es como tener un ramsonware pero sin rescate 😉

Por último, y no menos importante, es evaluar la criticidad de los trabajadores, que labores desempeñan, si tienen o no definido su puesto de trabajo, si hay «respaldo» para el trabajo que desempeña y si existe documentación de las instalaciones y mantenimientos que realizan.

Esta última parte lo dejo para la próxima entrada, ya que creo que es muy interesante el factor humano y que factor desempeñan en la auditorias, así que hasta la próxima.

 

Buen fin de semana.