Madrid > Blog

 ‭(Hidden)‬ Admin Links

Resumen CiberTodos 2017

Cibertodos 2017, un éxito en todos los sentidos

La Agencia Europea de Seguridad de las Redes y de la Información (ENISA) celebra este mes de octubre el CyberSecMonth. Se trata de una campaña de concienciación anual, en la que ISACA Madrid ha participado con la conferencia ”Cibertodos”

En esta ocasión la temática central de la jornada ha sido "La gestión integral de crisis", inspirada por la situación vivida durante la propagación masiva en mayo del virus Wannacry, y otros ciberataques de 2017.

 

La conferencia ha resultado un éxito de asistencia ya que se han batido récords con respecto a ediciones anteriores, y también ha estado en los primeros puestos de audiencia en Twitter. Ha habido momentos en que el hashtag #CiberTodos estaba entre los puestos tercero y quinto.

 

A lo largo de la jornada se han celebrado distintas mesas de debate en las que los expertos nos han trasladado sus experiencias, y nos han ofrecido sus recomendaciones para mitigar el impacto de los incidentes de ciberseguridad.

 

Gestión de Crisis

Las ideas que se trasladan en esta mesa son la importancia de la clasificación de los incidentes, el control adecuado de su comunicación, la relevancia de la compartición de información entre los distintos actores, el valor de recoger las lecciones aprendidas, la ausencia de los fabricantes como actores en el plan de gestión de crisis, el papel fundamental que desempeña el CISO, y la falta de capacidades en la pequeña y mediana empresa.

 

Persecución del delito

En este debate compuesto por representantes de la Fiscalía, la Policía y la Judicatura se analiza la gestión de incidentes desde el punto de vista legal y operativo. La representante de la Policía expone su experiencia en el análisis forense y la preparación de informes periciales. Desde la Fiscalía se resume, de forma muy brillante, las aportaciones de la reforma legal del año 2015 sobre delitos informáticos y cómo investigarlos. Y desde la Judicatura se subraya que la ley sólo autoriza investigar con medios tecnológicos en caso de delito a los jueces, los fiscales y las fuerzas del orden. Ningún otro ciudadano, como pueden ser los periodistas, informáticos, empresarios, o detectives pueden hacerlo sin consentimiento del sujeto.

 

Seguimiento forense del incidente

El grupo de expertos de esta mesa, por una parte, examinan los conceptos de informática forense como el indicio, la prueba, la evidencia y la cadena de custodia; y por otro se pone en evidencia la necesidad de emplear testigos validados en la adquisición de evidencias cuando la tecnología u otras circunstancias no lo permiten. Además, se manifiesta la importancia de emplear métodos automatizados con herramientas adecuadas y actualizadas.

 

Comunicación y control de daños

Esta mesa redonda compuesta por representantes del periodismo y empresas de comunicación (a parte del CISO de Bankia) es quizás la que más polémica ha suscitado. Se defiende la necesidad de transparencia en la comunicación de crisis; pero al mismo tiempo se encuentran dificultades en obtener datos fiables y a tiempo.

 

Ciberseguros

A modo de colofón de la jornada, se aborda el tema de los ciberseguros como ayuda en la mitigación del impacto de los incidentes; y en este sentido se aclara que no es una solución ni una medida preventiva, sino un apoyo. Se enumeran las posibles coberturas de las pólizas, entre las que destacan: gastos de abogados, perjuicio financiero, sanciones por incumplimiento de normativa, daño de sistemas informáticos, gastos de consultores, y peritos. Por último, se insiste en el peso del análisis de riesgos, los cuestionarios de autoevaluación, y las entrevistas con los implicados en el cálculo de la póliza.

 

Ana Mª González Monzón

CISA – ISACA Madrid Chapter

 

Puedes leer la crónica completa de #CiberTodos 2017 aquí.

Opinión de ISACA Madrid acerca del Esquema de Certificación AEPD-DPD
El pasado 13 de julio, la Agencia Española de Protección de Datos (AEPD), junto a Entidad Nacional de Acreditación (ENAC) presentó el Esquema de Certificación de Delegados de Protección de Datos (AEPD-DPD). En el desarrollo de este esquema, se han tenido muy en cuenta varios aspectos de las certificaciones de ISACA, en especial CISA, CISM y CRISC, y  también en la operativa de su mantenimiento.
 
No obstante, consideramos que existe espacio para mejoras.
 
La evaluacion de las candidaturas debe seguir un criterio pre-establecido para que todas entidades de certificacion produzcan resultados homogeneos. Este aspecto puede requerir algún avance de detalle definiendo un protocolo preciso. Sin embargo, el asunto de los exámenes esta inmaduro. ¿Quien define el examen - preguntas y respuestas, y respuesta válida? ¿Cómo se garantiza una cierta razonable equiparacion de "dureza" de cada examen entre diversas entidades de certificacion? ¿se va a emplear el mismo examen convocatoria tras convocatoria? ¿como se "curan" las preguntas - por ajuste estadístico? Este sentido, parece que debiera haber una "autoridad central" que se ocupara de la creación de un pool de preguntas y respuestas, y de su mantenimiento (curación de preguntas, actualización, creación de nuevas, bajas), preparación de material de entrenamiento (examenes simulados pero de contenido aprobado no inventado por las entidades de certificación). Una vez resuelto este asunto, las entidades de certificación se limitarían a aplicar el examen y verificar (automáticamente) los resultados junto con la
revisión del material de solicitud, así como el mantenimiento de la certificación  (fundamentalmente, formación continua).
En conclusión, se sugiere que la gestión del material de examen sea efectuada por la AEPD, tal vez subcontratando los servicios de una
organización competente. Y que los exámenes no sean repetitivos.

El esquema V1.0 identifica Entidades de Formación AUTORIZADAS (página 6) como Entidades (de formación) RECONOCIDAS (pagina 13 por ejemplo). Es poco claro si unas y otras son lo mismo, pero parece no serlo. A tenor de lo indicado por el esquema, las primeras (de las que solo se habla en la página 6) requerirían una autorización por la AEPD, mientras que las segundas serían universidades, colegios profesionales, asociaciones profesionales o instituciones equivalentes, reguladas por una administración pública. Es poco clara dicha sentencia, ya que ¿podría ser ISACA Madrid una Entidad Reconocida o solo aquellas reguladas por una administración publica?
Por otra parte, ¿Cómo se alcanza el estatus de Entidad Reconocida?
Finalmente, no queda claro si las entidades de certificación pueden ser entidades de formación. Esto conllevaría una clara confusión y conflictos de interés, debiéndose indicar que las entidades de certificación no pueden ser entidades de formación (ni pueden ser del mismo grupo empresarial).

En conclusión, se sugiere a) si son lo mismo, emplear la misma designación, y trasladar el
párrafo de la página 13 sobre entidades reconocidas a la página 6, y ajustar la misma designación en todo el esquema b) clarificar si solo entidades reguladas por administración publica pueden ser entidades de formación o no
c) delimitar que las entidades de certificación no pueden ser entidades de formación

- El porcentaje de valoración en examen y temario del Dominio 1 parece sobrevalorado. Se puede argumentar si un DPD tiene mayores desafíos en a parte formal/legal o en la práctica/seguridad, pero el Dominio 2 cuanto menos debiera tener al menos la misma ponderación que el Dominio 1. De hecho, el Dominio 1 forma un corpus esencial antes de la
puesta en marcha de un tratamiento, siendo más secundario durante el mismo, mientras que la duración del primero puede ser unos meses la
del segundo es típicamente unos años. ISACA considera que un balance adecuado es Dominio 1 35%, Dominio 2 45%. Este es un aspecto
delicadísimo, ya que el actual Esquema da primacía al conocimiento base de colectivos determinados por encima de otros colectivos, que, a juicio de ISACA, están más preparados para afrontar esta responsabilidad pluridisciplinar. En caso de tener que llegar a una solución salomónica, habría que considerar en dar un 40% al Dominio 1 y otro tanto al Dominio 2, pero un 50% al Dominio 1 parece una decisión arbitraria y lesiva para un numeroso colectivo.
Opinión de ISACA Madrid acerca del ataque "WannaCry"
Se ha escrito mucho [y mucho más se va a escribir] sobre el incidente del pasado 12 de mayo, más conocido por WannaCry (ya sabéis, Quiero-Llorar). En este caso desde ISACA Madrid no querríamos “aburrir” a nadie con un montón de lugares comunes y de reflexiones rápidas y sin mucho fundamento [llevamos ADN de auditores y eso no se nos está permitido], pero es nuestra responsabilidad no dejar pasar este incidente para resaltar aquellos aspectos que nos parecen más relevantes, como lecciones que debemos aprender, en lugar de seguir llorando:
  • Toda organización (si habéis leído bien, toda) debe hacerse una pregunta: ¿Qué voy a hacer cuándo sea atacada o sufra un incidente de ciberseguridad? Esta pregunta, a su vez, tiene varios componentes: ¿Qué capacidad de resistencia al ataque tengo? ¿Con qué rapidez podré detectar que estoy siendo atacada? ¿Dispongo de mecanismos para dar una respuesta rápida? ¿He establecido mecanismos para aprender de los incidentes que sufra?
  • El hecho de sufrir un incidente no debería ser noticia (hasta el más maniático con sus hábitos de limpieza puede sufrir una infección). Ya sabemos que, desde el punto de vista de los medios de comunicación, puede ser relevante, pero desde luego, nosotras, como profesionales no podemos caer en la tentación y asumir que todo el mundo puede “infectarse”. Lo que, a cambio, sí debería ser noticia sería nuestra incapacidad para responder [ojo, el intercambio no es trivial]
  • La implementación de medidas adecuadas de protección y recuperación no es responsabilidad de ningún área técnica, es responsabilidad de los propietarios/accionistas y de los órganos de dirección… igual que se involucran en la toma de decisiones sobre la tesorería, la gestión de stocks, o la estrategia comercial, deben [repito, deben] implicarse en la toma de decisiones en esta materia… y si no se encuentran preparados, aquí les dejamos un documento muy sencillo para empezar…”Ciberseguridad: Lo que el Consejo de Administración Necesita Preguntar” <https://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Cybersecurity-What-the-Board-of-Directors-Needs-to-Ask.aspx>
  • Los controles diseñados son para ser implantados y debe vigilarse su efectividad. Tener controles y procedimientos y no aplicarlos sistemáticamente es inaceptable para un auditor de sistemas. Esa debilidad trae estas consecuencias.
  • Y por último, y no por ello menos importante, este incidente debe hacernos reflexionar sobre nuestro grado de dependencia y vulnerabilidad de las tecnologías de la información. Para lograr el objetivo que llevamos en el lema de ISACA: “Sistemas valiosos y fiables”, hace falta que las organizaciones presten atención, se ocupen y dediquen recursos a contar con los medios necesarios para asegurar la continuidad de sus operaciones y el alineamiento de los sistemas con los objetivos corporativos y para ello, es fundamental e imprescindible, contar con profesionales cualificados que sean capaces de identificar las medidas y operar los sistemas de manera fiable… ¿sería lógico pensar que una organización que depende de sus sistemas de información para funcionar no haya puesto a sus mandos a profesionales cualificados para esa función?

ISACA Madrid
mayo de 2017

Integridad de Datos en la Industria Farmacéutica
Escrito por: Susana Quiroga (CISA)*
Fecha: Octubre 2016
 
La industria farmacéutica es un sector ampliamente regulado desde hace muchos años. Entre los años 1957 y 1963, hubo un gran escándalo con un medicamento recetado a mujeres embarazadas (Talidomida) que ocasionaba que los niños nacieran sin extremidades o extremidades más cortas. A raíz de este escándalo, los responsables de Sanidad tomaron medidas más estrictas y empezaron a realizar controles más exhaustivos en las empresas comercializadores de medicamentos.
Las normas que regulan la fabricación de medicamentos son conocidas como “Normas de Correcta Fabricación” (NCF) o “Good Manufacturing Practices” (GMP en inglés). Casi todos los países desarrollados cuentan con Agencias Reguladoras que describen de similar manera estas normas de correcta fabricación. Son ampliamente conocidas y aceptadas las NCF de los Estados Unidos cuya Agencia Reguladora es la FDA (Food and Drug Administration) así como las de la Unión Europea que en España se regula a través de la Agencia Española del Medicamento y Productos Sanitarios (AEMPS). Estas normas no son simplemente guías de fabricación, si no que están consideradas como una obligación legal para el sector y su incumplimiento puede suponer la no comercialización de productos sanitarios en un determinado mercado.
 
 
*)  Artículo escrito a título personal. ISACA Madrid únicamente facilita este blog como plataforma para que nuestros asociad@s puedan publicar artículos.
Opinión de ISACA Madrid acerca del incidente con el Servicio DNS de DYN

El incidente de estos días con el servicio DNS de DYN ha puesto de manifiesto algunos aspectos relacionados con la ciberseguridad que deberían hacernos reflexionar sobre cómo la tecnología evoluciona y las garantías que incorpora. En esta ocasión lo “único” que ha pasado es que no se ha podido acceder a algunos servicios que, al fin y al cabo, no eran esenciales (redes sociales, periódicos online, servicios de streaming, etc.) pero podría haber sido diferente, qué duda cabe.

Pero, como decíamos, al margen de los detalles del incidente, lo que ha pasado y cómo ha pasado, hay algunos elementos de fondo sobre los que es necesario reflexionar:

Se lleva mucho tiempo hablando de la seguridad en entornos industriales y, por extensión, sobre los dispositivos del denominado “Internet de las Cosas” (o IoT por sus siglas en inglés, Internet of Things). Pero parece ser que, inútilmente, porque este incidente ha puesto de manifiesto que siguen siendo dispositivos que cuentan con medidas de seguridad muy básicas y que, desde luego, no se han diseñado teniendo en cuenta la seguridad como uno de sus elementos fundamentales. Es contradictorio observar como los equipos industriales, en general, son diseñados, fabricados e instalados observando altísimas medidas de seguridad (resistencia a presiones, temperaturas, etc., funcionamiento en modo de fallo, apagado seguro…) pero el software de estos mismos equipos no pasa por un proceso equivalente de securización (recomendamos la lectura del documento publicado por ISACA hace unos meses titulado: Sistemas de Control Industrial: Un Manual Básico para el Resto de Nosotros).

Evidentemente, se impone la evolución tecnológica y probar todos los avances con la mayor rapidez posible, pero este incidente debería enseñarnos que estos dispositivos pueden llegar a ser tremendamente peligrosos: (i) porque interactúan con los elementos físicos de nuestro alrededor pudiendo llegar a causar daños físicos; o (ii) su elevado volumen hace que puedan llegar a ser utilizados, como ha sido el caso, como canal para lanzar ataques a terceros objetivos. Por este motivo, tanto usuarios como Administraciones deberían ser consciente de estos riesgos para utilizar / permitir solo aquellos dispositivos que les ofrezcan garantías de seguridad suficientes. De lo contrario, estaremos contribuyendo a crear una sociedad tecnológicamente insegura que puede afectar al deseo de la sociedad de utilizar dicha tecnología.

Por otra parte, la utilización masiva de dispositivos incluye aquellos que están instalados en grandes corporaciones, pero también en pequeñas empresas e incluso en los hogares. Queremos resaltar este aspecto, puesto que, en muchas ocasiones, cuando las Administraciones piensan en establecer medidas de ciberseguridad existe la tendencia a dirigirlas únicamente a grandes corporaciones (véase sino la recién aprobada Directiva NIS que excluye explícitamente a las PYME) cuando éstas pueden ser utilizadas, tanto como un fin en sí mismo (puesto que por ser pequeñas no significa que no gestionen recursos importantes) como un medio para acceder a terceros (ya que pueden estar prestando servicios a grandes compañías o incluso a la Administración).

Desde un punto de vista de gestión del riesgo, es evidente que el impacto de las PYME puede que sea indirecto pero, desde luego, no es despreciable y su impacto puede llegar a ser muy significativo, por lo que no parece un criterio relevante para decidir si una empresa tiene que tomar medidas de ciberseguridad o no. Por ejemplo, en el ámbito de la seguridad vial, el elemento discriminador es la posesión de vehículos industriales: Aquellas empresas que utilicen vehículos industriales han de someterlos a las verificaciones de seguridad oportunas cada 6 meses, ¿por qué no un enfoque parecido en el ámbito de la ciberseguridad? (recomendamos la lectura del documento de ISACA, “Transformando la Ciberseguridad con COBIT5” para un análisis más detallado de estos temas).

Y, abundando en algo que introducíamos en el punto anterior, este incidente también debería hacernos pensar con mucho más detalle sobre la dependencia que tienen los servicios con terceros (en este caso del proveedor del servicio de DNS). A estas alturas de la evolución de Internet, todo está conectado. Nuestras comunicaciones dependen de una compañía de telecomunicaciones, posiblemente un tercero nos ayuda a mantener y administrar nuestros sistemas, los desarrollos son ejecutados por terceros, incluso puedo que algún proceso corporativo sea ejecutado por un experto externo, etc… en definitiva, nuestra seguridad es tan fuerte como el más débil de todos ellos, o dicho de otra forma, no sirve de nada que nuestra parte sea más robusta si no lo son el resto de piezas del engranaje. Por este motivo, es necesario trabajar sobre la ciberseguridad en la cadena de suministro como una de las piezas clave en los próximos años para asegurar la ciberresiliencia de nuestra organización (para una mayor información, de nuevo recomendamos la lectura de un documento de ISACA, “La Empresa Ciberresiliente: Lo que el Consejo de Administración Tiene que Preguntar”).

Finalmente, algo que ya sabíamos, pero que vuelve a ponerse de manifiesto es que no hay enemigo pequeño. La asimetría de los ataques de ciberseguridad es más que evidente y el enemigo, por muy pequeño que sea, puede infligir un daño de dimensiones incalculables… por este motivo, cuando en los análisis de riesgos tratamos de estimar las probabilidades de los escenarios no debemos perder de vista que hay impactos que por muy improbables que nos parezcan no podemos obviarlos simplemente por su baja probabilidad, porque los cisnes negros existen, así que, trabajemos todos los escenarios y en ciberseguridad, sobre todo, los de baja probabilidad y alto impacto porque nadie quiere que su sistema desaparezca porque no consideró que algo altamente improbable acabe sucediendo. Quizás en nuestro mapa de riesgos pueda aparecer como ‘despreciable’ pero debemos tener un plan B por si acaba sucediendo… la continuidad de la organización nos lo acabará agradeciendo; máxime cuando muchos de estos ataques no responden, en absoluto, a hechos aleatorios, sino a ataques intencionados y completamente dirigidos. Esto hace que debamos replantearnos esa “baja” probabilidad, con el tiempo la persistencia, malicia y complejidad de los ataques terminan elevando notablemente su probabilidad (también para saber más sobre este tema, recomendamos la lectura de un par de documentos de ISACA: “Advanced Persistent Threats: How to Manage the Risk to your Business” y “Responding to Targeted Cyberattacks”)

En definitiva, veamos el lado positivo de las cosas y pensemos que este incidente servirá para mejorar nuestra preparación y capacidad de respuesta a este tipo de ataques en el futuro.

Opinión de ISACA Madrid sobre la nota informativa de la AEPD sobre auditorías telefónicas de medidas de seguridad
 
En relación a la nota publicada por la Agencia Española de Protección de Datos (ver enlace) sobre el ofrecimiento que están recibiendo entidades obligadas a acometer auditorías de medidas de seguridad para realizar auditorías de seguridad por vía telefónica, ISACA Madrid querría transmitir su enhorabuena y dar una calurosa bienvenida a dicho pronunciamiento por parte de la Agencia.
 
De hecho, esta nota se incardina en una vieja aspiración de la Asociación de que alguna entidad u organismo oficial se implique en la definición de lo que debe y no deber ser cualquier tipo de auditoría informática y, en particular, las auditorías de medidas de seguridad para dar cumplimiento a la legislación en materia de protección de datos.
 
Obviamente, no podemos estar más de acuerdo en que una auditoría telefónica no satisfaría muchos de los principios de los que los auditores informáticos que formamos parte de ISACA nos hemos dotado y que se recogen en el Marco de Aseguramiento de TI (IT Assurance Framework) y que, junto al Código Ético que asumimos, forman nuestro esquema de auto-regulación para esta profesión y que sirve de base para la certificación de auditor(a) de sistemas de información (CISA) que muchos de nuestras/os asociadas/os ostentan y mantienen a lo largo del tiempo. De hecho, los capítulos de ISACA en España, aglutinan el mayor colectivo de auditores de sistemas con más de un millar de auditoras/es asociadas/os.
 
Sin embargo, no podemos dejar de señalar que quedan muchos otros aspectos por determinar sobre lo que es o no una auditoría de medidas de seguridad y que, el hecho de no abordarlas supone, de facto, eliminar el requisito de dichas auditorías, puesto que no se puede asegurar que cumplan su función sin unos mínimos requisitos, entre los que podríamos destacar:
  • Qué perfil debe reunir el auditor informático que realiza la auditoría;
  • Qué nivel de independencia se debe observar para evitar los conflictos de intereses;
  • Qué responsabilidad asume el auditor por errores en sus procedimientos;
  • Cómo se dirimen diferencias en los resultados de las auditorías; o
  • Qué tipo de evidencias se deben recabar y cuánto tiempo se han de conservar, por mencionar un aspecto técnico.

En definitiva, damos la bienvenida a esta nota y esperamos y confiamos en que sea solo la primera de muchas que estén por venir para contribuir a la mejora de las auditorías como mecanismo de assurance de las medidas de protección de datos de carácter personal.

Junta Directiva ISACA Madrid Chapter

¡Somos el mejor Capítulo Muy Grande de Europa!
Me siento un orgulloso miembro de la comunidad de ISACA Madrid y he tenido la suerte de haber sido elegido como miembro de la Junta Directiva durante los últimos 5 años; 4 como presidente y ahora como vicepresidente.
 
Hace unos días recibimos una muy buena noticia de ISACA, y es que nos han otorgado el K. Wayne Snipes Award como mejor capítulo muy grande de Europa (Madrid es el 5º capítulo en número de asociados). Como no nos lo esperábamos, hemos recibido la noticia con enorme alegría.
 
Sentimos que reconoce los grandes esfuerzos realizados el año pasado en temas como la renovación de las membresías, pero también el trabajo bien hecho en general.
 
En el caso del Capítulo de Madrid, hemos trabajo duro durante todo este tiempo, para dar un mejor servicio a nuestros asociados, buscando maneras de ayudarles a ser mejores profesionales, a mejorar la profesión en si, e intentar que la Asociación se convierta en la voz de los auditores de sistemas, directores de seguridad, directores de riesgo y profesionales de gobierno de TI.
 
Estaremos todavía más contentos si somos capaces de repetir este premio en el futuro :-) pero sentimos que el verdadero éxito es el hecho de que cada vez más profesionales quieren formar parte del Capítulo (y colaborar como voluntarios)... de hecho, el año pasado hubo más candidatos que plazas para la Junta Directiva.
 
En resumen, y para terminar, una gran alegría para la Junta Directiva del Capítulo que nos gustaría compartir con todos nuestros asociados que al final son los verdaderos protagonistas de este premio.
 
¡Enhorabuena a todos nuestros miembros! ¡Vosotr@s hacéis esto posible!
 
En nombre de toda la Junta Directiva de ISACA Madrid y el resto del equipo.
 
Antonio Ramos