Blog

Continuamos hoy con la sección que hemos denominado #ratingenthusiasts en la que recogemos la opinión de personas relevantes con las que hemos hablado en relación a la calificación de seguridad.

En la entrada de hoy contamos con Eduardo di Monte. Eduardo es Director de Ciberseguridad y Continuidad de Negocio del Grupo Agbar (Suez Spain), para España y Chile. Eduardo es Ingeniero en Telecomunicaciones y MBA por el EuroMBA Consortium, es especialista en ciberseguridad industrial (IoT) y Continuidad de Negocio. Con más de 13 años de experiencia, los últimos 8 años los ha dedicado de forma intensa a los aspectos de ciberseguridad en sistemas de automatización y control industrial, en especial procesos soportados por Infraestructuras Críticas. Esta dedicación, la ha combiando con la coordinación de crisis y la implementaci ...
(Leer más)

(Entrada publicada inicialmente en el blog del CERTSI_)

Cómo veíamos en la primera entrada de esta serie dedicada al modelo C4V, el nivel de ciberseguridad de los servicios externos es fundamental para evaluar las capacidades en ciberseguridad de cualquier organización: De nada sirve incrementar los niveles de seguridad de una organización, si los niveles de sus proveedores no están a la misma altura, puesto que (no hace falta decir que) ”la seguridad es tan fuerte como el eslabón más débil”.

En este sentido, el modelo C4V sigue la misma filosofía que el resto de elementos del ENCI: proporcionar herramientas a los usuarios del CERTSI para mejorar el nivel de protección de las infraestructuras críticas.

Entonces, ¿cómo se utiliza C4V para asegurar la cadena de valor? Como el propio ...
(Leer más)

(Entrada publicada inicialmente en el blog del CERTSI_)

La externalización de procesos no es algo que podamos considerar como una novedad. Más bien todo lo contrario. Y en particular, en lo que respecta a las TIC (tecnologías de la información y las comunicaciones) es casi habitual que, al menos una parte, de nuestros sistemas sean accedidos por terceros o, directamente, sean gestionados por terceros. El abanico de opciones es tan amplio como mantenimientos de equipos, operación - administración remota, soportes in situ o remotos, mantenimiento de aplicaciones y, eso sin tener en cuenta otro tipo de terceros (que podríamos denominar no-conectados) que, sin acceso a nuestros sistemas de información, sí que almacenan y/o procesan información en sus propios sistemas (consultoras, auditoras, gestoras en general y un largo etcétera).

Y el ...
(Leer más)

Recientemente ENISA ha publicado la versión 1.0 de un documento que nos ha parecido muy interesante, titulado "Base de requerimientos mínimos de seguridad indispensables para la adquisición de productos y servicios TIC seguros" (enlace).

Se trata de un documento elaborado por un grupo de trabajo de expertos designados por distintos Estados Miembros (en particular, por Austria, Francia, Alemania, Chequia, España, Holanda y Finlandia) que aplica también, como no podía ser de otra manera, a los suministradores de los proveedores de servicios.

Antes de mapear los requerimientos de seguridad incluidos en el documento de ENISA con los de LEET Security, hemos de hacer algunas reflexiones sobre el documento:

1. Nos parece muy adecuada la existencia de unos requisitos mínimos que puedan ser contrastables para todo tipo de componente o dispositivo, puesto que, de esta ...

ENISA ha publicado con fecha diciembre de 2016 el informe titulado "Retos de la certificación de seguridad en entornos TIC emergentes" [PDF] en el que realiza un análisis del escenario de certificación en cinco sectores: energía, transporte marítimo y ferroviario, TIC y salud.

El objetivo de esta entrada es comentar algunas de las reflexiones y las conclusiones de dicho informe:

"...sin un estándar aprobado, pruebas harmonizadas y certificación correspondiente a nivel europeo..."

Es evidente que debe existir la posibilidad de que una certificación emitida en un Estado Miembro de la Unión Europea sea utilizada en otro país, pero quizás el enfoque que debamos plantearnos no sea que todos hablemos esperanto, sino que, existiendo distintas lenguas en cada territorio seamos capaces de traducir del francés al inglés, y ...
(Leer más)

La información se ha convertido en uno de los activos más importantes que posee un despacho de abogados

El pasado 26 de octubre, el Consejo General de la Abogacía Española en colaboración con el Instituto Nacional de Ciberseguridad y la Agencia Española de Protección de Datos, publicó la Guía TIC "Cómo gestionar una fuga de información en un despacho de abogados".

De lectura obligada para el sector, cuya preocupación por la seguridad de la información se incrementa cada día, y sobre todo a raiz de la filtración del los "Papeles  de Panamá", sobre la que realizamos una entrada en nuestro blog, esta guía muestra los principios básicos alrededor de los que se articula la protección de la información, y que son las ...
(Leer más)

En el pasado número 4 del ISACA Journal, se publicaba el artículo "Managing Cloud Risk. Top Considerations for Business Leaders" de Phil Zongo. Entre otras referencias, el artículo se hace eco de un documento de la Australian Prudential and Regulatory Authority (APRA) que plantea su preocupación sobre el reporting que se realiza a los Consejos de Administración sobre los riesgos de la nube en las entidades reguladas puesto que se centra en los beneficios olvidándose de dar visibilidad a los riesgos asociados. Para la APRA es fundamental que el Consejo analice si el riesgo que se asume está alineado con la estrategia de negocio y el apetito de riesgo de la Organización.

Este contraste entre nivel y apetito de riesgo requiere contar con información como:

• La proposición de valor de la ...

El pasado día 17 de mayo, tuvimos la oportunidad de participar en el evento de referencia de ciberseguridad de la administración estatal de Polonia, el CyberGOV2016. El evento reunió a casi 340 participantes y contó con la apertura institucional de Vladimir Nowak, Ministro Plenipotenciario del Ministerio de Digitalización y que anticipó la creación de un CERT nacional para la coordinación de la respuesta a incidentes a nivel nacional y su coordinación con el resto de Europa (en virtud de la Directiva NIS). En relación a esta directiva, también participó en el evento, aunque en remoto desde Bruselas, Jakub Boratynski de la Comisión Europea, que realizó un repaso por el texto de la misma y sus principales implicaciones para los Estados Miembro.

Otro momento de gran interés de las jornadas fue ...
(Leer más)

Los proveedores no-conectados también suponen un riesgo

Ayer, 3 de abril de 2016, y aunque era domingo, una cadena de TV y un periódico digital, nos dieron amplia cobertura de los primeros detalles de lo que será un amplísimo reportaje de actualidad: tras casi un año de “investigación” por parte del ICIJ (Consorcio internacional de periodistas de investigación), salen a la luz los “Papeles de Panamá”, para contarnos los secretos sobre la creación de sociedades en paraísos fiscales.

Escribimos investigación entre comillas sin cuestionar para nada la labor periodística realizada, todo lo contrario, es para quitarse el sombrero leer como casi 400 periodistas de un centenar de medios diferentes han trabajado bien sincronizados para conseguir y publicar la información que según nos anticipan irán desvelando próximamente ...
(Leer más)

Aquellos que hayan analizado la ISO/IEC 27017 (o incluso los que se hayan certificado en ella) habrán visto que es una norma que, apoyándose en el repositorio de controles que supone la ISO/IEC 27002, añade otros controles que son específicos para la computación en la nube.

Además, tiene la particularidad de que las medidas que añade tienen en cuenta el rol del consumidor y del proveedor, incluyendo una guía para cada uno de ellos (que puede ser la misma o específica).

En cualquier caso, nos gustaría detenernos en el control 14.1.1 Análisis y especificación de requerimientos de seguridad. En este control, la norma recoge diferentes funciones para los roles mencionados anteriormente:

• Por un lado, el cliente debe especificar los requerimientos de seguridad y, posteriormente ...

Es indudable que la directiva NIS va a suponer un gran avance en materia de ciberseguridad en los estados miembros según se vaya trasponiendo una vez entre en vigor. Un enfoque integral en toda la UE, la obligación de informar a las autoridades nacionales (que habrán de definirse) de los incidentes de seguridad o la creación de una red de Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT) son sus aspectos más significativos.

Pero, por contra, solo exigirá que adopten medidas para mejorar su capacidad de resistencia ante ataques a empresas dedicadas a servicios básicos (operadores de servicios esenciales) -lo que incluye a los servicios digitales como buscadores, tiendas online o servicios en la nube- y, además, excluye a las micro y pequeñas empresas, según la definición incorporada ...
(Leer más)

Las certificaciones para Centros de Procesos de Datos de Uptime Institute son unas de las más reconocidas del mercado y, a menudo, son exhibidas por estos con orgullo. Quién no ha oído una afirmación del estilo: “¡Nuestro CPD es Tier III / III+ / IV! Así que es de lo más seguro…”

Y, evidentemente, ante esa afirmación, ¿cómo plantearse alguna duda? Bueno, al menos, hay que plantearse una, ¿qué tipo de certificación es la que han obtenido? Efectivamente, Uptime Institute emite cuatro tipos de certificados:

• Planificación
• Documentos de diseño
• Construcción
• Sostenibilidad Operativa

Las certificaciones de planificación tienen en cuenta los requisitos de disponibilidad, fiabilidad, capacidad y rendimiento definidos, junto con el horizonte de expansión, analizando tanto las motivaciones de negocio como parámetros funcionales, tales como selección del ...
(Leer más)

Hace algunas semanas se publicó la Guía de Seguridad CCN-STIC-809, “Declaración de conformidad y distintivo de cumplimiento con respecto al ENS” (PDF) que ha venido a desarrollar el requisito establecido por el artículo 41 de dicho esquema (Publicación de conformidad) para que los órganos y Entidades de Derecho Público puedan dar publicidad a las declaraciones de conformidad y a los distintivos de seguridad de cumplimiento articulando el Esquema de Declaración y Certificación de conformidad necesario.

Para ello, la Guía crea un distintivo que da respuesta a las exigencias legales de publicidad sobre el cumplimiento y, además incentiva a los organismos que hayan alcanzado la conformidad con la implantación del ENS.

Pero, para nosotros, lo más importante es que, en el caso de soluciones y servicios prestados por el sector ...
(Leer más)

Hace unos días, nuestro socio fundador, Antonio Ramos, pasó por IDGtv, siendo entrevistado por Marlon Molina, Director de Computerworld University.

Esta vez no vamos a contar nada, sino invitaros a que dediquéis unos minutos a ver el video con la rápida y sencilla explicación sobre LEET Security, y lo que aportamos al mercado, acercando el entendimiento de la ciberseguridad y facilitando la contratación de servicios, tanto para los clientes como a los proveedores de los mismos.

Aquí tenéis en enlace al video en IDGtv. Os invitamos a verlo y compartirlo.

Muchas gracias a Marlon y a IDG por hacerse eco de nuestra calificación de seguridad.

El Capítulo de Madrid de ISACA organiza el próximo 28 de octubre su 38ª Charla Técnica (en el Hotel EXE Puerta de Castilla de 17:30 a 19:30) que tratará sobre Cómo Reducir los Riesgos en la Relación Cliente/Proveedor que estará patrocinado por LEET Security y AUDISEC - GlobalSuite.

Antonio Ramos (@antonio_ramosga), socio fundador de LEET Security, inaugurará el evento y presentará a los asistentes en qué consiste la calificación de la seguridad de los servicios TIC. A continuación, José A. Lorenzo, Director General de IDC España, explicará la visión de mercado de Cyber Analitycs con una ponencia especializada.

A continuación, como parte central del evento, un panel de expertos debatirán sobre la reducción de los riesgos entre el cliente y proveedor. Una oportunidad para conocer de ...
(Leer más)

La calificación de seguridad como herramienta indispensable para la “transformación digital”

Duncan Brown (@duncanwbrown), Director de Análisis de Ciberseguridad para Europa de IDC, ha realizado un informe sobre el papel que juegan los servicios de calificación de la seguridad en la generación de confianza dentro de la transformación digital que estamos viviendo.

El informe tiene un significado y un mensaje muy claros: la seguridad de la información es un aspecto cada vez más preocupante en nuestra economía, y las empresas se están viendo obligadas a acometer toda una serie de procesos y actividades, que hasta ahora estaban en segundo plano (o no se llevaban a cabo), de cara a controlar los riesgos inherentes a la contratación de todo tipo de servicios con proveedores externos.

Los analistas de IDC ya ...
(Leer más)

IDC e IDG nos traen de nuevo el evento CIO Directions 2015, que tendrá lugar el próximo 29 de septiembre, este año bajo el título: ”El Nuevo Rol del CIO y la Organización de TI”.

Según IDC, este nuevo rol viene originado por una creciente participación en las decisiones sobre soluciones tecnológicas inducidas directamente desde las líneas de negocio. Según el estudio realizado por IDC, se manifiesta que un 43% de los directivos de negocio encuestados indicaron que están llevando a cabo sus proyectos de TI porque se sienten cómodos con el entorno tecnológico. En línea con ello, Negocio está financiando el 61% de los proyectos tecnológicos (dentro de la muestra del estudio) - con o sin la participación de TI.

Desde LEET Security tendremos una ...
(Leer más)

Iniciamos hoy una sección que hemos denominado #ratingenthusiasts en la que vamos a recoger la opinión de personas relevantes con las que hemos hablado en relación a la calificación de seguridad.

Nuestro primer invitado es Llorenç Vives Ramis. Lorenç es Ingeniero Técnico en Informática de Gestión por la Universidad de las Islas Baleares, certificado CISA, CISM y CGEIT por ISACA y CCS-G por la Agencia de Certificaciones de Ciberseguridad. Actualmente desempeña las funciones de dirección del área de Planificación y Control de IT en Meliá Hotels International siendo responsable de la gestión y contratación de servicios IT a nivel global, así como del control y desempeño económico de los servicios IT recibidos y prestados a las unidades de negocio a nivel global. Además ha desarrollado ...
(Leer más)

Derecho al pataleo es lo que en realidad  queda después de un ciberataque con éxito (por supuesto, me refiero al éxito desde el punto de vista del hacker que lo ha llevado a cabo).

Y es lo que hacen los directivos de Ashley Madison con su nota de prensa de1 18 de Agosto, en la que dicen que no ha sido “hacktivismo” sino un ataque criminal. Efectivamente, nadie duda de que sea un delito, pero el resultado, mal que les pese, son 10 GB con información de 8 años con datos de clientes, teléfonos, domicilios, transacciones realizadas…incluso los ya dados de baja (y ya no entramos a valorar las secuelas, ciertas o falsas, que multiplican esta cantidad).

Ahora claman que seguro que hay gente que conoce a los autores y los invitan a denunciarlos. Pero ...
(Leer más)

Que el sector financiero es uno de los que más invierte en ciberseguridad es una realidad que a nadie se le escapa. Y que, esto se produce porque es uno de los sectores más afectados por el ciberfraude, es igualmente conocido. Pero que el Banco Central Europeo, con Mario Draghi a la cabeza, estuviera especialmente preocupado por el nivel de preparación de las entidades financieras europeas para hacer frente a las amenazas de ciberseguridad quizás ya no fuera vox populi.

Sin embargo, así es. Durante los últimos meses, las entidades financieras europeas han tenido que dar respuesta a un cuestionario (extensísimo) enviado por el BCE en el que se interesaba por cuestiones como qué mecanismos tienen las entidades para prevenir que un usuario interno o externo malintencionado pueda robar datos de clientes o qué medidas ...
(Leer más)

Según reza la nota publicada por la propia Adif, a las 06:00 horas de ayer se detectaron “fallos intermitentes en los procesos de operaciones de gestión de tráfico” que provocaron “retrasos en el tráfico ferroviario […] de las provincias de Barcelona y Girona y parte de las de Tarragona y Lleida. La incidencia ha afectado tanto al sistema principal como a los dos redundantes que se activan en caso de incidencia en el primario. Ello ha provocado detenciones momentáneas de las circulación, la supresión selectiva de trenes y demoras en los servicios”. Esta incidencia ha provocado que Adif haya abierto un expediente a la empresa que suministra la tecnología del Control de Tráfico Centralizado de Barcelona, Schneider-Telvent.

Nos parece relevante analizar esta noticia puesto que pone de manifiesto un aspecto esencial ...
(Leer más)

Hace unos días se publicaba una columna en Cinco Días con el título 'Confianza en la nube'. En ella se destaca algo con lo que no podíamos estar más de acuerdo: "La selección del sitio y del proveedor de la nube es una opción estratégica que impacta directamente en el negocio de estas empresas".

Por dicho motivo, el autor de la columna recomienda considerar:

• la disponibilidad,
• la seguridad y los niveles de certificación y pone, como ejemplo, la ISO 27.001
• la conectividad
• el rendimiento
• el estado de madurez de los servicios prestados
• la estabilidad financiera
• la ubicación física, y
• el cumplimiento de la legislación

De todos ellos, la mitad (disponibilidad, seguridad, estabilidad financiera y cumplimiento de legislación) son elementos considerados por la calificación de leet ...
(Leer más)

Decepción. Esa sería la palabra que resumiría nuestras sensaciones tras haber participado en el grupo de trabajo Cloud Standards Coordination (CSC) de ETSI (European Telecommunications Standards Institute) que se lanzó allá por diciembre del año pasado en una reunión en Cannes con el objetivo de ayudar a la Comisión Europea a "esclarecer la jungla de estándares" e "identificar un mapa detallado de los estándares necesarios".

¿Y por qué decepción?

Básicamente por dos razones:

• En primer lugar, porque a pesar de tener el mandato de hacer una foto de la situación actual, el informe que se publicará en unos días solo contemplará los documentos publicados por Organizaciones Desarrolladoras de Estándares (SDOs), dejando fuera a organizaciones como la nuestra por ser una organización privada. Al margen de otras ...

Ha pasado ya algún tiempo desde la última entrada y ya tocaba volver a publicar. No penséis que no hemos estado trabajando duro. Todo lo contrario. Por eso nos ha costado, buscar el tiempo necesario para volver a publicar. De hecho, las últimas semanas hemos estado participando en varias iniciativas muy interesantes que nos han ocupado todo el tiempo:

• ETSI Cloud Standards Coordination, que está trabajando para ayudar a la UE a identificar las futuras áreas de normalización y que está finalizando ya su informe.
• SC38 Study Group on Future Work, que se ha creado en el seno del SubComité 38 de ISO en la misma línea.
• ISACA. En concreto, en un trabajo relacionado con la definición de controles y el establecimiento de garantías en entornos de computación en la nube que ser ...

Siguiendo con la tradición de analizar esquemas de seguridad que puedan aplicar a la nube, en esta entrada es el turno del "Esquema de Auto-Evaluación" del Jericho Forum(R) (PDF en inglés) cuyo interés para nosotros radica en el hecho de que aplicar un sistema de calificación, en este caso, con dos niveles.

El sistema se aplica para evaluar el grado en el que se cumplen los once mandamientos del Jericho Forum, y como su propio nombre indica, mediante una auto-evaluación por el propio proveedor del sistema, sin ningún tipo de validación por un tercero (a diferencia del esquema propuesto por leet security, en el que la propia agencia realiza dicha validación).

Pero, conceptualmente, la idea es la misma:

• Los proveedores pueden utilizarlo para responder a RFPs e indicar el nivel ...

Como continuación a la entrada sobre la "Estrategia de Ciberseguridad de la UE", hemos analizado detalladamente la propuesta de Directiva sobre la seguridad de las redes y los sistemas de información que también vio la luz en aquel momento.

La conclusión general sería que, si sale adelante en los términos en que está propuesta, estaremos ante un paso adelante cualitativo en la manera de entender la seguridad de la información en la Unión Europea que consideramos nos posicionará a la cabeza en esta materia.

No obstante, a nuestro juicio, existen algunas opciones de mejora sobre la misma (aunque quizás se deba a que antes de correr, haya que aprender a andar) que nos gustaría reflejar en esta entrada.

Alcance

El texto propuesto deja fuera todo lo que no sean "operadores ...
(Leer más)

El pasado día 26 de abril tuvo lugar la 5ª Sesión abierta de la Agencia Española de Protección de Datos en la que se presentaron dos trabajos, uno sobre la computación en la nube y otro sobre la regulación de las cookies.

Concretamente, en relación con el primero de ellos, se anunció la publicación de dos documentos que nos gustaría comentar porque, al analizarlos, hemos comprobado cómo el uso de un sistema de etiquetado de la seguridad  ayuda a cumplir con la legislación en materia de protección de datos. En concreto, los dos documentos presentados fueron los siguientes:

• La "Guía para clientes que contraten servicios de Cloud Computing" (pdf), y
• Las "Orientaciones para prestadores de servicios de Cloud Computing" (pdf)

Nos ha parecido interesante comentarlos puesto que ...
(Leer más)

Algunas veces nos preguntan sobre los fallos de las agencias de calificación y sobre si la calificación sigue siendo un buen acercamiento para la evaluación de la seguridad. Hemos publicado sobre ello hace ya algún tiempo, pero creemos que es interesante comentar el artículo titulado "How Certification Systems Fail: Lessons from the Ware Report - Cómo Fallan los Sistemas de Certificación: Lecciones del Informe Ware" (pdf en inglés), en el que Steven H. Murdoch, Mike Bond y Ross Anderson nos dan una visión fantástica de las razones que hacen fallar los sistemas de certificación. Este artículo está basado en el informe, "Security Controls for Computer Systems - Controles de Seguridad para los Sistemas de Computación" (pdf en inglés) (conocido comúnmente como el informe Ware Report, por el ...
(Leer más)

DG Connect lanzó hace algunas semanas una Consulta Pública basada en web relativa a la definición de las prioridades de investigación futuras en Computación en la Nube, Software y Servicios, de cara al Programa de Trabajo TIC del H2020. Desde leet security, como creadores de un sistema de etiquetado de seguridad basado en la calificación, hemos enviado nuestro comentario que adjuntamos a continuación:

Además de los mecanismos técnicos que contribuyan a reducir el bloqueo y a mejorar la interoperabilidad, los servicios en la nube necesitan de una manera eficiente de negociar las condiciones de seguridad de los servicios entre los usuarios y los proveedores. Las formas tradicionales de auditar y certificar han demostrado ser necesarias pero no suficientes para construir relaciones de confianza (son caras, complicadas o no compatibles entre diferentes usuarios ...

El objetivo de esta entrada es reflexionar sobre cómo la guía publicada por el PCI Security Standards Council para clarificar el cumplimiento con PCI-DSS en el caso de utilizar servicios de computación en la nube (pdf) afecta a la calificación de seguridad de servicios TIC.

En primer lugar, nos gustaría recordar que la metodología actual de calificación de seguridad actual incluye niveles especiales para la dimensión de confidencialidad que indican que el servicio calificado cumple con el estándar PCI DSS. Dichos niveles se distinguen por incluir un asterisco (*), es decir, los servicios con un nivel C*-- o superior, serían aptos para almacenar, procesar o transmitir datos de titulares de tarjeta de acuerdo a PCI DSS.

Una vez aclarado esto, destacamos las aportaciones que la calificación hace a aquellos que ...
(Leer más)

Recientemente la Comisión Europea ha publicado la Estrategia de la Unión Europea de Ciberseguridad (pdf) en la que Catherine Ashton, Alto Representante de la Unión Europea para Asuntos Externos y Política de Seguridad reconoce la importancia de esta materia

Traemos este documento a nuestra bitácora porque recoge una figura que consideramos de gran importancia para el modelo de seguridad que impulsamos desde leet security como agencia de calificación. Nos referimos al etiquetado de servicios.

En particular la Estrategia de la Unión Europea de Ciberseguridad recoge una actividad a desarrollar por los grupos de interés públicos y privados en relación a la prioridad denominada "Desarrollar recursos industriales y tecnológicos para la ciberseguridad" y más concretamente en el capítulo dedicado a "Promocionar un Mercado Único para los productos de ...
(Leer más)

Hoy es el Día Europeo de la Protección de Datos y, como no podía ser de otra forma, como agencia de calificación de seguridad nos queremos sumar a los actos organizados en Europa y, en particular, en España.

Es evidente que la protección de la privacidad y las dudas que surgen en relación al grado de cumplimiento de los proveedores de servicios en la nube están actuando, lamentablemente, como un freno a la adopción de este tipo de servicios. Por ese motivo, hemos pensado que nuestra contribución a este día debía ser recordar cómo la utilización de una calificación de la seguridad del servicio nos puede ayudar a solventar estas dudas.

 Como ya os hemos comentado en alguna ocasión (enlace), para ayudar a los ...
(Leer más)

En algunas ocasiones, sobre todo cuando nos enfrentamos a analizar o estudiar cuestiones complejas o muy novedosas, la utilización de analogías pueden sernos de gran utilidad. Decimos esto porque, para explicar la aplicación del modelo de calificación de la seguridad que proponemos nos gusta recurrir a una analogía muy cotidiana: Comparamos un servicio en la nube con una habitación de hotel.

Podríais decirnos que estamos un poco locos y que no tiene nada que ver, pero si lo pensamos bien, en ambos casos:

• Estamos hablando de una infraestructura compartida
• Se trata de un servicio con una oferta muy variada y con gran variedad de precios
• A priori, es muy difícil conocer (hasta que no llegas a la habitación) las verdaderas calidades y el entorno (sobre todo si hablamos de ciudades que ...

Este análisis está basado en la "Guía de Usuario" (en inglés) publicada por ISACA y AICPA para este tipo de informes.

Para aquellos que no lo sepan, comenzaremos explicando qué son los informes SOC 2 (sucesores de los famosos informes SAS 70). Para empezar SOC significa Controles de Organizaciones de Servicio (Service Organization Controls) y existen tres tipos de estos informes:

• SOC 1 - Informe sobre Controles de una Organización de Servicios Relevantes para el Control Interno sobre la Información Financiera de las Entidades Usuarias.
• SOC 2 y SOC 3 - Informe sobre Controles de una Organización de Servicios Relevantes para la Seguridad, Disponibilidad, Integridad de Procesamiento, Confidencialidad o Privacidad conforme a los Criterios y Principios de los Servicios de Confianza de AICPA.

La diferencia entre los informes SOC 2 y SOC 3 es que, mientras ...
(Leer más)

Formando parte de la serie de ISACA sobre computación en la nube, encontramos el documento "Consideraciones de Seguridad para Computación en la Nube" (enlace) cuyo objetivo es proporcionar una guía práctica y facilitar el proceso de decisión para los profesionales de negocio y de TI a la hora de tomar la decisión de moverse a la nube.

Nos ha parecido interesante analizarlo puesto que una de las principales ventajas de los sistemas de calificación como el propuesto por leet es, precisamente, facilitar esta toma de decisiones.

El documento de ISACA está organizado en cuatro grandes capítulos que recogen, además de la presentación del propio documento, un breve resumen conceptual de lo que consiste la computación en la nube, una visión general de los riesgos y amenazas relacionadas de ...
(Leer más)

Se acaban de publicar los resultados del estudio sobre la madurez del mercado de servicios basados en la nube fruto de la colaboración entre CSA e ISACA (pdf) en el que se ponen de manifiesto los 10 factores principales que erosionan la confianza en la nube.

El estudio recoge las opiniones de 252 organizaciones de todo tipo (usuarios, proveedores de servicio, integradores y consultores) en 48 países (principalmente de Norteamérica y Europa), siendo la principal conclusión que, por un lado, los servicios Iaas y PaaS se encuentran en su infancia y tardarán tres años en llegar a estar en crecimiento mientras que los SaaS están casi en su etapa de crecimiento, a la que llegará en un plazo de dos años.

Pero, como bien se recoge en el estudio, los "usuarios necesitan ...
(Leer más)

Siguiendo con nuestra tradición de analizar esquemas similares a la calificación de seguridad para ayudar a ponerla en contexto, vamos a analizar el mencionado esquema de certificación llevado a cabo por EuroCloud Alemania (EuroCloud Deutschland_eco e.V.).

Lo primero que hemos de decir es que el análisis lo hemos realizado basándonos en los documentos publicados en la web de la iniciativa, en concreto, el de "Información general del producto y precios" (pdf en inglés) y la "Referencia rápida" (pdf en inglés) porque las guías de auditoría no son públicas, existiendo un compromiso de confidencialidad de los clientes en cuanto a la propia guía y el alcance de la auditoría [lo que nos ha sorprendido un poco] y que se da a conocer en workshops realizados por ...
(Leer más)

Hoy hemos publicado en el blog de INTECO, un análisis de la certificación propuesta por la Cloud Security Alliance (CSA) junto con la British Standard Institution (BSI) para la seguridad de los servicios en la nube basado en el Open Certification Program de la primera. El objetivo de esta entrada es analizar este marco desde nuestra perspectiva como agencia de calificación de seguridad.

Utilización de niveles

Vemos que el uso de niveles como mecanismo para aportar información va calando en el mundo de la seguridad de la información. Decimos esto porque el esquema de certificación propuesto por CSA-BSI también utiliza tres niveles (auto-evaluación, auditoría por tercero y auditoría continua), aunque en este caso los niveles definidos hacen referencia a la rigurosidad conque se ha realizado la validación de ...
(Leer más)

Siguiendo nuestra línea, vamos a comentar la declaración pública realizada por la FFIEC (Federal Financial Institutions Examination Council) sobre la computación en la nube del pasado 10 de julio (pdf). En primer lugar, destacar algunas reflexiones con las que estamos plenamente de acuerdo:

• La FFIEC considera la computación en la nube como un caso particular de outsourcing.
• El hecho de que su utilicen terceros, no disminuye la responsabilidad de la Dirección en cuanto a que la actividad de ese tercero se realice de manera segura y cumpliendo con las leyes en vigor.
• Es necesario mirar más allá de los potenciales beneficios y realizar un análisis de riesgos completo específico del servicio (ver entrada previa sobre el ROI de la nube).

Y, a partir de aquí, lo que hemos realizado ha sido ...
(Leer más)

Algunas personas nos han preguntado por las similitudes del esquema de calificación con la Iniciativa de Evaluación Consensuada (CAI, en inglés) lanzada por la Cloud Security Alliance, así que hemos decidido escribir esta entrada para explicarlo detalladamente.

Lo primero que hay que decir es que la iniciativa forma parte del denominado GRC stack que incluye otra serie de "piezas" como la archifamosa Matriz de Controles de la Nube (CCM) o el proyecto de Auditoría de la Nube.

Una vez dicho esto, hay que explicar que la iniciativa ha consistido en el desarrollo de un cuestionario (que es utilizado como base para el STAR - Registro de Seguridad, Confianza y Garantía) que no explicaremos ahora porque será objeto de otra entrada posterior.

El cuestionario que deben cumplimentar los proveedores está dividido en 11 áreas que, a su ...
(Leer más)

Este es el título del nuevo documento de ISACA relacionado con la computación en la nube publicado el pasado mes de julio. En el se aborda la problemática de calcular el retorno de la inversión (ROI) de manera adecuada para una inversión en este tipo de servicios, de forma que se pueda tomar una decisión adecuada considerando todos los costes y las ganancias derivadas de dicha inversión.

Nos gustaría resaltar algunos aspectos desde nuestra perspectiva como agencia de calificación de seguridad que contribuye a simplificar los procesos de contratación de servicios TIC, en general, y de servicios cloud, en particular.

• Se debe respetar el umbral de tolerancia al riesgo de la organización. Es decir, como se establece en la metodología propuesta por ISACA, es necesario partir de un ...

El pasado 1 de julio se publicaba la opinión 05/2012 del grupo de trabajo del artículo 29 relativo a la informática en la nube (pdf). Nos ha parecido interesante analizarla en detalle desde nuestra perspectiva de agencia de calificacion dada la importancia de estas opiniones y la relevancia de sus conclusiones, sobre todo, el respaldo indudable que supone para servicios de confianza de terceros, como es la calificación de seguridad que ofrecemos desde leet security.

Hemos dividido en cinco el contenido del documento de opinión:

1. Riesgos de protección de datos

Se consideran dos tipos de riesgos principalmente: la falta de control sobre los datos personales y la insuficiente información sobre el procesamiento de los datos.

Aportación de la calificación: Como ya hemos comentado anteriormente, al tratarse, básicamente de ...
(Leer más)

Este es el título de un Documento de Opinión (PDF) recientemente publicado por el Instituto Español de Estudios Estratégicos (ieee) realizado por Gregorio Pablo Álvarez Rubial.

Se trata de un documento que recoge de manera bastante sucinta la historia y las particularidades de las agencias de calificación (prefiero esta denominación a la de rating para evitar términos ingleses siempre que sea posible) o ECAI (por su denominación técnica en inglés, External Credit Assessment Institutions).

Como bien recoge el documento, la importancia de estas agencias nace con el requerimiento de la SEC a los bancos en 1936 de invertir en bonos que no sean especulativos según estas agencias y de la utilización de dichas calificaciones a partir de 1975 para calcular los recursos propios de la banca, o que ...
(Leer más)

Gracias al CERT de INTECO, hemos analizado el documento publicado por el Fraunhofer Institute for Secure Information Technology relativo a la seguridad de los servicios de almacenamiento en la nube (enlace).

Básicamente, se trata de un análisis básico de la seguridad que presentan una muestra de este tipo de servicios (concretamente, CloudMe, CrashPlan, Dropbox, Mozy, TeamDrive, Ubuntu One y Wuala). Decimos que se trata de un análisis básico porque solo se han analizado los aspectos relacionados con el proceso de registro, el transporte y el cifrado de la información, los mecanismos para compartir y la deduplicación, además de las consideraciones legales oportunas, y sólo desde la perspectiva de cliente sin entrar en análisis de seguridad de los servidores.

Las conclusiones principales del informe son que:

1. La utilización de mecanismos ...

La pasada semana tuvimos la oportunidad de participar en el II Encuentro del CSA-ES, en concreto, en la mesa redonda que cerraba el encuentro.

Como nos quedamos sin tiempo para clarificar algunos puntos, me gustaría hacer aquí los comentarios que se me quedaron en el tintero:

• Resaltar que el tema de conversación durante todo el encuentro fue la necesaria generación de confianza y el papel que la transparencia tiene en ese proceso.
• Preocupa el hecho de que las PYMEs no tengan los conocimientos y el asesoramiento necesario para hacer un traspaso al cloud computing adecuado (tanto en relación a los procesos que más le convengan, como en la forma más adecuada) como ya han comentado algunos.
• También preocupa que esas PYMEs tienen una capacidad de negociación muy reducida, lo cual, puede hacer ...

La pasada semana se publicó el informe "Cloud Computing. Retos y oportunidades" (enlace) realizado por el Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información - ontsi. Es un estudio tremendamente interesante que analiza, por primera vez en España, el impacto de la informática en la nube en las PYMEs.

El objetivo de esta entrada es analizar dicho estudio desde la perspectiva de una agencia de calificación que trabaja en facilitar la contratación de servicios TIC mediante la generación de confianza a través de la transparencia.

Antes de nada, algunas citas del informe:

"La mayoría de las empresas consultadas que son usuarias de cloud (55%) se encuentran preocupadas por la confidencialidad y la seguridad de los datos corporativos gestionados. Este problema es el principal factor que hace que las PYMEs ...

Ayer publicamos en el blog de INTECO una entrada titulada "Gestión de riesgos en la cadena de suministro TIC". En dicha entrada, comentábamos un informe de auditoría del GAO estadounidense sobre los riesgos existentes en la cadena de suministros TIC (tanto software como hardware, como servicios).

Dicho informe pone de relevancia que, si consideramos la provisión de servicios de cualquier organismo como una cadena de valor, existen eslabones que son provistos por empresas TIC externas (proveedores / suministradores) y que, evidentemente, un error o fallo o una actuación malintencionada de éstos puede acabar afectando al outcome del proceso. Es decir, que los riesgos de esos proveedores, pueden llegar a ser nuestros riesgos, si no prevemos esta situación y creamos los cortafuegos adecuados o, si esto no fuera posible, establecemos los mecanismos alternativos necesarios. Estos conceptos ...
(Leer más)

Definitivamente, no.

Elegir el servicio con el nivel de calificación más elevado (AAA) es una tentación, sobre todo para los profesionales de la seguridad, que siempre buscan (instintivamente) asumir el menor riesgo posible. Sin embargo, no es, en absoluto, la decisión óptima.

¿Y cuál es entonces la mejor decisión? Pues algo que nos posibilita la calificación: elegir el servicio con las medidas de seguridad (o en otras palabras, con la calificación) que mejor se adecuen a nuestras necesidades. Es decir, deberemos entender para qué queremos usar el servicio TIC que vamos a subcontratar para identificar qué requerimientos de seguridad le son exigibles (en función de las normativas o las políticas internas que le sean de aplicación) y, en consecuencia, qué calificación es la más acorde a nuestras ...
(Leer más)

FedRAMP (Federal Risk and Authorization Management Program) es el instrumento creado por el gobierno americano para facilitar la contratación de servicios en la nube por la administración americana. Este programa ha sido promovido por los departamentos con responsabilidad en esta materia: DOD (Defensa), DHS (Interior) y GSA (Administración de Servicios Generales) mediante la creación de un órgano conjunto denominado JAB (Joint Administration Board) que vendría a ser algo similar al Payment Card Industry Security Standard Council ya que ejerce funciones semejantes, es decir, fundamentalmente:

• Estandarizar los requisitos de seguridad (partiendo de la publicación 800-53 del NIST, "Security and Privacy Controls for Federal Information Systems and Organizations")
• Homologar asesores (3PAOs - Third-party assessment organizations)
• Llevar registro de proveedores y asesores homologados (en el caso de PCI SSC solo son los asesores)
• Adicionalmente, FedRAMP incluye modelos de ...

Antonio nos proponía en su blog hace un par de días un ejercicio para definir lo que hacemos de una manera curiosa... mediante un pseudo-haiku con la estructura: ¿A quién ayudamos? / ¿qué hacemos por ellos? / ¿por qué nos necesitan? que proponían originalmente en the [non]billable hour. Nosotros también nos hemos atrevido y aquí va nuestra propuesta:

Ayudamos al mercado de TI a simplificar procesos de contratación de servicios mediante la transparencia que aportamos

¿Qué les parece? ¿Lo hemos conseguido?

La pasada semana, la Agencia Europea para la Seguridad de la Información y las Redes (ENISA) ha publicado este documento que lleva por subtitulo "Una guía para la monitorización de los niveles de seguridad de servicio para contratos en la nube" [pdf] y que, como su propio nombre indica, recoge las pautas para ayudar a los que quieran contratar este tipo de servicios a definir la forma en la que se realizará esta supervisión.

El documento identifica ocho grandes capítulos:

1. Disponibilidad del servicio
2. Respuesta a incidentes
3. Elasticidad del servicio y tolerancias de carga
4. Gestión del ciclo de vida de los datos
5. Cumplimiento técnico y gestión de las vulnerabilidades
6. Gestión de cambios
7. Aislamiento de los datos
8. Gestión de logs y forense

El documento nos ha servido para varias cosas. En primer ...
(Leer más)

Junto con excitantes nuevas oportunidades, la computación en la nube presenta nuevos retos tanto para los profesionales de TI como para los responsables de negocio. Los primeros tienen que cambiar su mentalidad de proveedor de servicios internos a uno externos y los últimos tienen que considerar los aspectos de seguridad en su decisión de moverse a la nube.

Pero ambas partes comparten algo: una debida diligencia (due diligence) en la selección del servicio.

La debida diligencia ayudará a las organizaciones al clarificar su perfil de riesgo y elegir el servicio en la nube que mejor cumpla sus necesidades evitando sorpresas más adelante.

Sin embargo, el proceso de debida diligencia no es fácil. Debemos considerar las medidas de seguridad implantadas por el proveedor, pero también los acuerdos de nivel de servicio, el cumplimiento con diferentes ...
(Leer más)

En el pasado volumen 6 de 2011 del ISACA Journal aparecía un artículo titulado "Developing a Unified Approach to Information Security in Business Associate relationships" (solo para asociados de ISACA) que nos parece interesante comentar, puesto que analiza en detalle la contratación de servicios TIC.

Sus autores Michael R. Overly, Chanley T. Howell y R. Michael Scarano de la firma Foley & Lardner LLP, proponen tres herramientas para reducir las amenazas que pueden suponer los nuevos socios, asegurar una adecuada diligencia (documentada) y proporcionar remedios en caso de compromiso:

1. Un cuestionario de 'due diligence'
2. Protecciones contractuales básicas
3. Un documento de requerimientos de seguridad de la información

Lo que nos gustaría resaltar es que los autores incluyen, entre la información a obtener en el proceso de selección, datos como responsabilidades corporativas, cobertura de seguros ...
(Leer más)

Hace unos días, en Seguridad y Gestión, el blog de Joseba Enjuto, compartía una entrada titulada "Ceder la seguridad a la nube" que nos ha parecido muy interesante. En dicha entrada, Joseba plantea las dudas que existen habitualmente en cuanto a la contratación de servicios en la nube y lo que va a pasar con la seguridad de esos servicios.

En nuestra opinión, la opinión de Joseba refleja de manera clara la situación con la que se enfrentan ahora mismo los proveedores de servicios en la nube cuando se acercan a sus clientes. Además, como muy bien dice Joseba (opinión autorizada como experto en seguridad que es), se produce una situación de desconfianza. Desde nuestro punto de vista, esta situación de desconfianza no implica que la seguridad de los ...
(Leer más)

Gracias al blog de Infosec Island hemos llegado al "Informe sobre el estado de seguridad en la nube" (pdf) que, recientemente ha publicado Alert Logic y que, según los autores, tendrán un carácter semestral.

En dicho informe, se analizan los datos relativos a 2,200 millones de eventos y más de 62.000 incidentes gestionados por Alert Logic en sus clientes para comparar la situación entre los proveedores de servicios y las instalaciones in-house, todo ello con el objetivo de responder a la pregunta típica de, ¿qué es más seguro, llevar la gestión de los sistemas internamente o en la nube?

Pues bien, las conclusiones de este primer informe son claras: "Los entornos en proveedores de servicios muestran menores tasas de ocurrencia para todas las clases de incidentes analizadas" y eso que ...
(Leer más)

Todos aquellos familiarizados con la protección de datos personales, saben que la subcontratación de servicios no es algo trivial. Y es que las tareas se pueden delegar, pero no así la responsabilidad: La responsabilidad no se puede delegar. Y para los que tuvieran alguna duda, el artículo 20.2 del Reglamento de desarrollo de la LOPD (pdf) no deja lugar a dudas:

"Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento"

De esta forma, no queda lugar a dudas de que, en caso de subcontratar, el responsable del tratamiento debe realizar una adecuada selección del proveedor ...
(Leer más)

Last week, Amazon announced the Amazon Web Services GovCloud, a new cloud service that steps up "the security and access features of its cloud services in an effort to attract more government agencies as customers". This is a clear example of a tendency that, in our opinion, is going to be the normal evolution of cloud services.

At this moment, clients face a very standard set of cloud services and very few options to adapt the service to their needs (image yourself entering into your car dealership and not having the ability to choose different colors, tires, engines...). In particular, this is very important related to security issues, so we think that rating could be a very useful option for providers willing to segment their offer.

Thanks to rating, a provider could arrange basically the same service but with different ...
(Leer más)

ISACA acaba de publicar el libro "IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud" (pdf solo para socios, el resto tendrá que comprarlo) en el que analiza como utilizar los materiales ya publicados previamente (COBIT, RiskIT, ValIT y BMIS) de modo específico a la problemática de la computación en la nube.

Nos gustaría resaltar algunos aspectos del documento que tienen relación con nuestra actividad como agencia de calificación de servicios.

En primer lugar, al analizar los retos de la computación en la nube, se mencionan algunos en los que la utilización de la calificación de los servicios podría tener un efecto muy positivo. Nos referimos concretamente a:

• La transparencia de los procedimientos / políticas de seguridad - La utilización de la calificación es, sobre todo ...

En estos tiempos que corren y después del protagonismo que han tenido las agencias de calificación de riesgo de crédito en la situación financiera actual, muchos se preguntan si la calificación continúa siendo un método adecuado para introducir transparencia en los mercados.

La opinión de leet es que no debemos confundir los errores que se hayan podido producir en la implantación del mecanismo con la validez del propio mecanismo. Digamos que sería como decir que los bancos ya no son una forma adecuada de canalizar las inversiones en el sistema financiero, más bien, habría que decir que hay que cambiar los mecanismos de incentivos y las reglas de los mercados.

En este sentido nos ha parecido interesante recuperar el paper elaborado por los profesores Zach Z. Zhou y ...
(Leer más)

Vídeo de la charla en la pasada rooted con en la que se explica en qué consiste el sistema de calificación aplicado a la contratación de servicios TIC: Antonio Ramos - La asimetría en el mercado de la seguridad (Rooted CON 2011)