SecurityInside Live: CyberCamp 2017

CyberCamp es el gran evento de ciberseguridad que INCIBE organiza anualmente con el objetivo de identificar, atraer, gestionar y en definitiva, ayudar a la generación de talento en ciberseguridad que sea trasladable al sector privado, en sintonía con sus demandas. Esta iniciativa es uno de los cometidos que el Plan de Confianza en el ámbito Digital, englobado dentro de la Agenda Digital de España, encomienda a INCIBE.

CyberCamp 2017 se celebra en el Palacio de Exposiciones y Congresos de Santander, del 30 de noviembre al 3 de diciembre de 2017. El principal objetivo de CyberCamp es identificar, atraer e impulsar a todos aquellos que tengan talento en materia de ciberseguridad:

  • Identificar trayectorias profesionales de los jóvenes talentos.
  • Llegar a las familias, a través de actividades técnicas, de concienciación y difusión de la ciberseguridad para todos.
  • Despertar e impulsar el talento en ciberseguridad mediante talleres y retos técnicos.

Si no puedes asistir, no te preocupes ya que emiten los Talleres y Conferencias en directo a través de videostreaming:

 

Leer más

Sueño cumplido, profesor en Máster de Seguridad

Corría el año 2.007 cuando participé como ponente en el evento CodeCamp de Microsoft como reciente ganador del premio Imagine Cup (también de la compañía de Bill Gates). Allí tuve el placer de asistir a una charla de un chaval con gorro a rayas que salió disfrazado de rock star (con la guitarra de Guitar Hero) y que encendió mi curiosidad por la Seguridad de la Información.

Sí, era Chema Alonso antes de ser estrella del rock

Desde ese momento empecé a leer blogs, a practicar cosillas por mi cuenta y a buscar la forma en la que poder formarme o incluso orientar mi vida laboral hacia ese mundo tan interesante que me habían mostrado.

Finalmente me decidí por realizar un Máster de Seguridad con el que me metí de lleno en ese campo, lo que me abrió las puertas a poder trabajar en el sector para ir creciendo y aprendiendo hasta llegar a ser el Responsable de Seguridad de una startup que será bombazo a corto/medio plazo.

Sin embargo, la lista de deseos para una vida no se queda sólo en trabajar en aquello que realmente te apasiona. Tambien fui tachando los deseos cumplidos relaticos a escribir un libro, grabar un disco, tener hijas, ver en directo «The Wall» de Pink Floyd, tener una banda de R&R, … pero faltaba algo importante para mi: Ser profesor de un Máster. Y ahora lo he conseguido, ¿te lo vendo? A ver qué tal se me da…

¿Eres un apasionado de la seguridad? ¿Trabajas en el sector tecnológico? ¿Quieres seguir formándote? Es probable que, en algún momento, te hagas una pregunta importante…

¿Debería hacer un Máster en Seguridad de la Información?

En este campo, toda la formación que recibas es una inversión de futuro. El sector IT forma parte cada vez más de nuestras vidas y su avance nos obliga a mantener un estado de formación continua si no queremos quedarnos obsoletos en unos meses.

Por suerte o desgracia, la seguridad toma un papel vital en todo esto y tener una formación especializada es un elemento diferenciador ahora, pero puede que obligatorio en un futuro cercano.

Hacer un Máster en Seguridad de la Información es un paso muy importante en tu carrera profesional, deja que te de tres motivos que influyeron positivamente en mi decisión para hacerlo:

  • Obtendrás conocimientos de primera mano gracias a los profesionales que lo imparten: los profesores suelen ser personas destacadas del sector, con amplia experiencia en aquello que te van a contar. No sólo aprenderás la teoría, también recibirás un valioso conocimiento de su experiencia práctica que te servirá para estar preparado para lo que te puedes encontrar.
  • Te centrarás en aquello que realmente te interesa: en la Universidad estudiamos un abanico de opciones relacionadas con nuestra carrera, algunas de ellas nos gustan y otras nos resultan irrelevantes. En un Máster, todo lo que ves está relacionado con tu pasión.
  • Forjarás nuevos y duraderos contactos: las personas que te encontrarás en el camino tienen tus mismos intereses y es muy habitual que surjan grandes amistades y hasta proyectos profesionales.

Como te digo, en mi caso particular, la elección fue afirmativa. No hay un día en el que no me alegre de aquella decisión. Desde entonces, he orientado mi vida laboral y continúo formándome para estar preparado ante los nuevos retos de seguridad que aparecen casi a diario.

Ojo, no lo hagas si …

Si tu única motivación es encontrar trabajo porque has leído que se necesitan cientos de miles de millones de especialistas por todo el mundo, no lo hagas. Si, he dicho no lo hagas. Un Máster es una especialización que necesita pasión, si no te resulta atractivo lo que vas a aprender, te aburrirás, nuncas serás un buen profesional y terminarás cambiando de campo habiendo tirado tu tiempo y dinero a la basura.

Echa un ojo a los perfiles más demandados

Dentro del mundo de la seguridad, hay diferentes caminos que puedes seguir:

  • Operación.
  • Hacking ético.
  • Arquitectura de seguridad.
  • Desarrollo de seguridad.
  • Auditor 27.001, LOPD, …
  • Continuidad de negocio.
  • Gestión de incidentes.

De todos estos campos, tienes formación dentro del Máster de Seguridad de la Información y Continuidad de Negocio de Eadic, título propio de la Universidad Rey Juan Carlos.

Partiendo de esta base, he tratado de reunir todo mi conocimiento y experiencia en los dos temas relativos a la auditoría de la norma ISO 27.001 de la que espero ser tu profesor si te animas a participar.

Durante dos semanas, te contaré todo lo que necesitas saber para afrontar como auditor un proceso completo de auditoría. Recuerda que estoy cumpliendo un sueño, así que te aseguro que voy a dar lo mejor de mi para que te resulte interesante y útil todo lo que te cuente.

¿He conseguido llamar tu atención?

Si es así, no dudes en ampliar información en la web de Eadic. ¡Espero verte pronto!

¿Para qué sirve un CISO (aka responsable de seguridad)?

Cuando me preguntan en qué trabajo y contesto que soy responsable de seguridad, lo habitual es que me imaginen organizando a personas que controlan puertas y pasean por pasillos en busca de ladronzuelos.

Cuando digo que soy responsable de seguridad en una empresa de tecnología, lo habitual es que me imaginen evitando que nos roben los móviles, los portátiles o las teles.

Cuando digo que soy responsable de seguridad de la información, lo habitual es que no tengan ni idea de qué les hablo. Entonces les explico que mi tarea es proteger la información valiosa de la compañía contra ataques informáticos de gente mala, fugas de información, malware, … Es entonces cuando me miran con cara de asombro y me dicen «ah, que eres un hacker!!».

Pues no, no me considero un hacker y hago un inciso para explicar lo que yo entiendo por hacker. Me basaré en la definición dada por «The Internet Engineering Task Force (IETF®, muy del gusto de la comunidad de seguridad:

hacker –  A person who delights in having an intimate understanding of the  internal workings of a system, computers and computer networks in particular. The term is often misused in a pejorative context, where «cracker» would be the correct term.

Partiendo de la base de que considero un hacker a una persona apasionada de la tecnología que aprende constantemente con el objetivo de llevarla hasta el límite para poder mejorarla, no me considero hacker ya que no entro en la parte final de la definición. Quizás si un half-hacker, pero para mí los hackers de verdad son gente tan top como los ponentes habituales de los congresos de seguridad, los creadores de tecnología, los que sin formación académica terminan siendo muy importantes dentro de grandes empresas, …

Pero volviendo a lo del principio, al final siempre surgen dudas sobre las tareas que realiza un CISO o responsable de seguridad así que te voy a hacer un pequeño resumen.

El CISO o responsable de seguridad en la norma ISO 27.001

Ahora que estoy trabajando en el contenido del Máster de seguridad y continuidad de negocio del que voy a ser docente, concretamente en la parte relacionada con auditoría 27.001, estoy describiendo cómo no se da como obligatorio el nombramiento de un responsable de seguridad. El motivo es sencillo, la norma se puede ajustar a compañías de cualquier tamaño y las pequeñas normalmente no tendrán recursos para mantener una persona que se encargue únicamente de esas tareas.

Sin embargo, en empresas de más tamaño, es importante que exista esa figura para que pueda realizar las siguientes tareas:

  • Conformidad:
    • Desarrollar la lista de partes interesadas relacionadas con la seguridad de la información.
    • Desarrollar la lista de requisitos de las partes interesadas.
    • Permanecer en contacto continuo con autoridades y grupos de intereses especiales.
    • Coordinar todos los esfuerzos relacionados con la protección de datos personales.
  •  Documentación:
    • Proponer el borrador de los principales documentos de seguridad de la información, por ejemplo, Política de seguridad de la información, Política de clasificación, Política de control de acceso, Uso aceptable de activos, Evaluación del riesgo y metodología de tratamiento de riesgos, Declaración de aplicabilidad, Plan de tratamiento de riesgos, etc.
    • Ser responsable de revisar y actualizar los documentos principales.
  • Gestión de riesgos:
    • Enseñar a los empleados cómo realizar la evaluación de riesgos.
    • Coordinar todo el proceso de evaluación de riesgos.
    • Proponer la selección de salvaguardas.
    • Proponer los plazos para la implementación de salvaguardas.
  • Administración de recursos humanos:
    • Realizar comprobaciones de verificación de antecedentes de candidatos de trabajo.
    • Preparar el plan de capacitación y concientización para la seguridad de la información.
    • Realizar actividades continuas relacionadas con la sensibilización.
    • Realización de capacitación de inducción sobre temas de seguridad para nuevos empleados.
    • Proponer acciones disciplinarias contra empleados que realizaron la infracción de seguridad.
  • Relación con la alta dirección:
    • Comunicar los beneficios de la seguridad de la información.
    • Proponer objetivos de seguridad de información.
    • Informar sobre los resultados de la medición.
    • Proponer mejoras de seguridad y acciones correctivas.
    • Proponer presupuesto y otros recursos requeridos para proteger la información.
    • Informar requisitos importantes de las partes interesadas.
    • Notificar a la alta dirección sobre los principales riesgos.
    • Informar sobre la implementación de salvaguardas.
    • Asesorar a los principales ejecutivos en todos los asuntos de seguridad.
  • Mejoras:
    • Asegurarse de que se realizan todas las acciones correctivas.
    • Verificar si las acciones correctivas han eliminado la causa de las no conformidades.
  • Gestión de activos:
    • Mantener un inventario de todos los activos de información importantes.
    • Eliminar los registros que ya no se necesitan.
    • Desechar los medios y equipos que ya no se usan de forma segura.
  • Terceros:
    • Realizar la evaluación de riesgos para las actividades a subcontratar.
    • Realizar verificación de antecedentes para los candidatos de outsourcing.
    • Definir cláusulas de seguridad que deben formar parte de un acuerdo.
  • Comunicación:
    • Definir qué tipo de canales de comunicación son aceptables y cuáles no.
    • Preparar el equipo de comunicación para ser utilizado en caso de una emergencia o desastre.
  • Gestión de incidentes:
    • Recibir información sobre incidentes de seguridad.
    • Coordinar la respuesta a incidentes de seguridad.
    • Preparar evidencia para la acción legal después de un incidente.
    • Analizar incidentes para evitar su recurrencia.
  • Continuidad del negocio:
    • Coordinar el proceso de análisis del impacto comercial y la creación de planes de respuesta.
    • Coordinar el ejercicio y la prueba.
    • Realizar una revisión posterior al incidente de los planes de recuperación.
  • Técnico:
    • Aprobar los métodos apropiados para la protección de dispositivos móviles, redes de computadoras y otros canales de comunicación.
    • Proponer métodos de autenticación, política de contraseñas, métodos de cifrado, etc.
    • Proponer reglas para el teletrabajo seguro.
    • Definir las características de seguridad requeridas de los servicios de Internet.
    • Definir principios para el desarrollo seguro de los sistemas de información.
    • Revisar los registros de las actividades del usuario para reconocer el comportamiento sospechoso.

Básicamente, en esto consiste mi día a día. Pero no te voy a engañar, también me preocupa la gente que entra por la puerta o anda por los pasillos, sobre todo cuando vienen de visita…

Cuando tomas la decisión de convertirte en un profesional de la seguridad, como es mi caso, te das cuenta de que tienes que vivir en continua semi-paranoia para que no se te escape nada. Aunque mi visión de todo esto es siempre intentar que la seguridad sea lo primero, pero seguido muy de cerca por la usabilidad, ya que si les hago a mis compañeros el trabajo imposible, entonces mal vamos. En este sentido te recomiendo que le eches un vistazo a la entrada en la que cuento cómo ofrezco la seguridad a los departamentos vía API.

Espero haberte ayudado a comprender un poco mejor lo que hace un responsable de seguridad.

¡Hasta la próxima!

27.001, un vistazo a la terminología antes de empezar

En los próximos meses voy a ir publicando diferentes entradas sobre la norma 27.001 y cómo aplicarla con ejemplos prácticos. Espero que sea un viaje productivo para mí y para vosotros, pero antes quiero sentar unas bases para que estemos todos alineados con lo que iré contando. En esta primera entrada hablaremos de…

Terminología de Seguridad

terminologia-2

27.001 – Seguridad de la información

Es un concepto abstracto, se trata de ofrecer una sensación de protección sobre la información, uno de los activos principales de las organizaciones.

 

terminologia-3

27.001 – Amenaza

Es una acción o evento que puede comprometer la seguridad de la información. Las consideramos como potenciales y su efecto dependerá del entorno en el que puedan convertirse en realidad.

 

terminologia-4

27.001 – Vulnerabilidad

Existencia de una debilidad en un diseño o implementación que puede derivar en un compromiso de seguridad en los sistemas.

 

terminologia-5

27.001 – Exploit

Una forma definida de burlar la seguridad de un sistema a través de una vulnerabilidad.

 

terminologia-6

27.001 – Evaluación del objetivo

Acción de identificar y evaluar un sistema, producto o componente en busca de vulnerabilidades que puedan ser explotadas.

 

terminologia-7

27.001 – Ataque

Un asalto a un sistema. Un ataque es una acción que viola la seguridad de la información.

 

Dominios de seguridad

Para gestionar la seguridad de la información, vamos a trabajar en cuatro pilares básicos que serán el objetivo a mantener:

dominio-2

27.001 – Confidencialidad

Es la propiedad que indica que la información sólo deber ser accedida por personal autorizado.

 

dominio-3

27.001 – Autenticidad

Es la propiedad que permite asegurar el origen de la información, validando al emisor de la misma.

 

dominio-4

27.001 – Integridad

Es la característica que hace que el contenido de la información permanezca inalterado, a menos que sea modificado por personal autorizado.

 

dominio-5

27.001 – Disponibilidad

Es la capacidad de la información de estar siempre disponible para ser procesada por las personas autorizadas.

 

Es muy importante estar familiarizado con estos conceptos para poder abordar las tareas que iré comentando relativas a la ISO 27.001. Si quieres conocer muchos más, no dudes en echar un vistazo a la entrada de «Seguridad de la información» en wikipedia.

En próximas semanas arrancamos, que ahora mismo estoy a punto de ser padre y no dispongo del tiempo suficiente para poder contaros en profundidad. ¡Pero en unas semanas estoy de nuevo con las pilas cargadas!

Como siempre digo, si ves algún error, no estás de acuerdo con lo que cuento o quieres hacer alguna aportación, no dudes en pasarte por los comentarios.

cybercamp-visitante

Cybercamp 2015 – Mi experiencia como visitante

Hace unas semanas se celebró la segunda edición de Cybercamp, un congreso de seguridad organizado por INCIBE en el que se ofrecen charlas, talleres y otras actividades para profesionales y familias con un objetivo común: concienciar sobre la importancia de la seguridad de la información.

Los editores de SecurityInside no podíamos faltar, por la proximidad del evento (en mi caso personal) y porque varios de los nuestros son parte de INCIBE. Es por eso que os ofreceremos tres posts desde tres puntos de vista diferente: como visitante (este es el primero de ellos), como participante (nuestro compañero Pedro estuvo trabajando sin descanso en el hackatón) y como staff (el compañero Antonio formó parte de la plantilla que ayudó a que todo saliera redondo).

En este caso me toca contaros lo que vi en esas tres intensas jornadas de aprendizaje y diversión…

 

Día 1: Llegando a Cybercamp

Tras llegar y pasar por los controles y el mostrador de acreditación, pude comenzar a estudiar el plano. Debo decir que la localización de este año me ha parecido más confusa que la de la primera edición. Tuve algún que otro problema para poder acceder a las zonas, pero poco a poco me pude ir haciendo con el entorno.

 

The need of multi-tasking teams within cybersecurity departments

Aurélie Pols nos contó su experiencia profesional y personal en la que ve cómo la seguridad abarca cada vez más factores y ámbitos. La necesidad de estar al día de legislaciones (nacionales e internacionales), tecnología y cyberseguridad es ya algo que no se puede obviar y que nos exige más preparación a los profesionales del sector.

Puedes descargar la presentación aquí.

 

¿Cómo conseguir financiación para fundar mi startup de seguridad?

Javier Martín nos contó los secretos de la financiación y la forma en la que constituir tu empresa si eres, como yo, de los que quieren dar ese paso en un futuro.

Puedes descargar la presentación aquí.

 

Día 2: Mejora tu seguridad con herramientas Microsoft gratis

Simón Roses presentó un taller en el que habló de las herramientas que Microsoft pone a nuestra disposición de forma gratuíta y que pueden ayudarnos en la complicada tarea de la gestión de seguridad.

Puedes ver el vídeo del taller aquí.

 

How can (bad guys or even u) can rule the world?

Pablo González contó de primera mano la investigación que ha realizado en este año sobre la posibilidad de obtener una botnet con relativa facilidad, haciendo uso de información pública y servidores vulnerables.

Puedes descargar la presentación aquí.

 

Seguridad web: Ataques a la lógica de negocio

Miguel Ángel Hernandez dió un repaso a los problemas habituales en tecnologías web y cómo afectan a la lógica de negocio. Hizo una demostración en la que podía comprar tallas no disponibles o comprar en modo 2×1 basándose en errores no controlados de diferentes webs.

Puedes descargar la presentación aquí.

 

Low-Hanging Fruit

Chema Alonso hizo una de sus presentaciones cargadas de humor en las que nos alertó de los peligros de centrarse en tecnologías de seguridad, dejando de lado lo básico como una buena política de actualizaciones, de contraseñas o de metadatos.

Puedes ver la presentación aquí.

 

21 días

Rubén Santamarta subió al escenario para dar una charla diferente. Nada de demostraciones técnicas y mucho de experiencia personal, algo que también ayuda a los que tenemos en mente salir del país y vivir alguna que otra aventura.

Puedes ver la presentación aquí.

 

¿Cómo se hizo «El bueno, el feo y el malo”?

Raúl Siles puso atención sobre los dispositivos móviles y los peligros que les acechan. Estamos conectados y no somos conscientes de lo sencillo que es tomar el control de determinada información.

Puedes descargar la presentación aquí.

 

HoneyStation, Detección, Análisis y visualización de Ciberataques en tiempo real

Francisco J. Rodríguez nos dejó a todos impresionados con una prueba de concepto de increíble calidad. Un trabajo personal que pone sobre la mesa información en tiempo real de los ataques que se están produciendo con todo tipo de detalle.

Puedes descargar la presentación aquí.

 

¿Qué hace un técnico de ciberseguridad en una empresa?

Gonzalo Sánchez realizó una presentación en la que nos contó los elementos básicos de un SGSI y la forma en la que aplicar la ISO 27.001 en un entorno corporativo.

Puedes descargar la presentación aquí.

 

Día 3: Python, hacking y sec-tools

Daniel García nos puso las pilas por la mañana temprano con un taller de Python orientado al desarrollo de herramientas de ayuda en auditoría.

Puedes ver el vídeo del taller aquí.

 

Cookies y privacidad

Alejandro Ramos nos contó lo descubierto en su investigación sobre el uso de cookies y la relación entre su uso y la privacidad de usuarios.

Puedes ver el vídeo del taller aquí.

 

Necesitamos OPSEC

David Barroso nos mostró cantidad de ejemplos reales en los que se hace necesaria una operativa de seguridad, tanto en entornos corporativos como a nivel de familia.

Puedes ver la presentación aquí.

 

Riesgos de seguridad en el siglo XXI: familias y profesionales

Román Ramírez nos dió un golpe de realidad poniendo sobre la mesa la exposición que tenemos, en un mundo interconectado, sobre nuestros datos personales. Quizá la charla más dura para un público familiar, pero llena de ejemplos totalmente necesarios.

Puedes ver la presentación aquí.

 

Mis conclusiones…

Estas son las charlas y talleres a los que pude asistir, pero quedaron muchas opciones en el tintero debido al solapamiento. Por suerte, todo el material está disponible tanto en la web de Cybercamp (sección de materiales) como en su canal de YouTube.

Además de todo esto, pude darme una vuelta por los stands de patrocinadores, los de ayuda a emprendimiento o a búsqueda de empleo, el hackatón, los retos de seguridad, las actividades para familias, los talleres de robótica… mil cosas que hacer y que aprender en tres días intensos pero divertidos.

Además, con el extra añadido de encontrar por allí a grandes amigos y conocidos. Detalles y discusiones aparte, un evento interesante en conjunto que aporta mucho a la concienciación, a la formación y al empleo.

El año que viene, más. ¡Allí nos veremos!