Todas las entradas de Eduardo de Miguel Cuevas

03Mar/15

Aspectos Jurídicos del Cloud Computing

Aspectos Jurídicos del Cloud Computing

El Cloud Computing es una nueva realidad de modelo de prestación de servicios, que está evolucionando a una velocidad vertiginosa. Aunque muchos autores de blog no coinciden con el origen de la palabra Cloud Computing, nace del científico John MacCarthy, que comenzó a realizar en sus diagramas de flujo de redes una «nube» al referirse a Internet, rodeada de dispositivos de transferencia y obtención de información que se encuentra en la misma.

Finalmente se ha terminado definiendo Cloud Computing como aquella tecnología que permite de manera virtual y escalada, que un proveedor, suministre a través de Internet a clientes recursos como datos y/o aplicaciones mediante servicios o tecnologías diversas tales como «Infraestructuras como servicios (laaS)», Plataformas como Servicios (PaaS)» y/o el «Software como Servicio (SaaS)»

Es decir, es una plataforma a la carta que permite ofrecer servicios a sus usuarios en cualquier momento y lugar, y en cuestión de minutos según sus necesidades y sin necesidad de acudir a un establecimiento de manera física.

La dificultad jurídica para regular los conflictos ante estos prestadores de servicios, representa determinar los tribunales competentes y regulación aplicable. Esto es complicado debido a los servicios de Cloud Computing podrán estar en servidores localizados en España, Estados Unidos, México o en cualquier otra parte del mundo.

Quizá el problema más inquietante al que se enfrenta un prestador de Cloud Computing es como proteger la privacidad de los usuarios o clientes, entendiendo como usuario aquel definido en los términos del Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios, define usuario como «Persona física o jurídica que actúan en un ámbito ajeno a una actividad empresarial o profesional».

Sin duda, el Cloud Computing contribuye a mejorar la conexión y rentabilidad de servicios entre empresa y usuario, sin embargo, al usuario no le pasa desapercibido, que sus datos no se procesan en su ordenador sino en varios en cualquier lugar del mundo.

En este sentido, cuando el prestador de Cloud Computing contrate un servicio que comporta el tratamiento de datos personales de usuarios de su responsabilidad, como puede ser el almacenamiento, velará porque este prestador de Data Center, como Encargado del Tratamiento dará cumplimiento de las obligaciones del título VIII del RLOPD.

Otro de los puntos de análisis de los servicios de Cloud es donde se encuentran situados los servidores. En caso de que éstos se encuentren físicamente localizado en el extranjero, nos encontraríamos ante una transferencia internacional de datos que se llevaría a cabo sin la pertinente autorización.

El Artículo 33 de la LOPD establece que: » No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia Española de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas «.

Si los datos recabados son destinados a ser tratados en terceros países donde no exista un nivel de protección equiparable al de España, será necesaria una autorización por parte del Director de la Agencia Española de Protección de Datos (Plazo de 1 mes) o un consentimiento inequívoco por parte del afectado (Art. 34 LOPD).

No obstante, los prestadores de servicio de Cloud Computing tienen en sus manos la responsabilidad no solo jurídica en el ámbito de la LOPD, sino la responsabilidad también de crear confianza en el consumidor para que solicite servicios a través de esta gran plataforma, de modo que la permita hacer crecer y madurar, y aunque inicialmente suponga un esfuerzo, es necesario y es el futuro.

20Feb/15

IDS: La Seguridad Perimetral más allá del Firewall

IDS: La Seguridad Perimetral más allá del Firewall

En la actualidad la herramienta por excelencia de protección contra intrusiones en el perímetro de la red de nuestra empresa, está basada en la utilización de Firewall o cortafuegos.

Sin embargo, aunque es una medida necesaria, no podemos afirmar que la seguridad de la nuestra información está verdaderamente protegida, simplemente con la instalación de un Firewall. Sería (salvando las distancias) casi como asegurar que nuestra casa está protegida por tener puertas.

¿Por qué?

Los cortafuegos proporcionan una primera barrera de defensa frente a amenazas externas. Sin embargo, bien una mala configuración del Firewall, (por ejemplo reglas de filtrado mal parametrizadas), bien un error en su software o harware, puede volver completamente inútil su eficacia. Por ello, se vuelve necesaria la utilización de un IDS o sistema de detección de intrusos, que vigila la red en busca de comportamientos sospechosos. Asimilándolo al ejemplo anterior referente a la protección de nuestra casa, si un ladrón consigue atravesar la puerta (FireWall), por no ser suficientemente «robusta» (mala configuración), por estar estropeada (error de sw o hw), o porque ha sido forzada, tendríamos a un vigilante dentro que lo detectaría.

Ahora bien, ¿qué actividades anómalas considera un IDS como intrusión?

En general, las siguientes actividades:

  • Reconocimiento: Los intrusos suelen hacer un reconocimiento previo de la red antes de intentar atacarla, utilizando técnicas francamente sencillas pero efectivas, como barridos ping, que permite realizar una exploración de puertos (por ej: TCP o UDP), identificar sistema operativo de una máquina, etc. Siguiendo con las diferencias antes comentadas, un Firewall se limitaría a bloquear esos «sondeos», el IDS hace saltar la alarma!
  • Exploración y ataque: Una vez los intrusos realizan el reconocimiento de la red, ya saben qué objetivo atacar, intentando utilizar brechas del sistema, y pudiendo dejar sin servicio una determinada máquina, haciendo por ejemplo un ataque de denegación de servicio. Una vez más, estos ataques pasarían completamente desapercibidos por el Firewall, el IDS haría saltas la alarma!

Pongamos un ejemplo. Un Firewall bien configurado bloquearía el acceso por puertos y protocolos de comunicaciones, excepto aquellos en los que se desea ofrecer ciertos servicios. Imaginemos que tenemos una empresa y vende sus productos a través de la Web, para lo que necesitamos nuestro servidor Web. Para dar el servicio, sería necesario que el puerto TCP 80 estuviera abierto.

¿Primera limitación del Firewall?

Un hacker tendría la posibilidad de atacar nuestro servidor Web a través de éste puerto permitido.

¿Segunda limitación del Firewall?

Normalmente las reglas, si no se ha configurado por personal experto en seguridad, bloquea el tráfico de entrada, no de salida.

Como siempre en Audea pensamos que la mejor defensa es la prevención, y aprovechamos para recomendar nuestra solución Firewall UTM Netasq indispensable para restringir el acceso a nuestra red, y protegerla de las amenazas internas, y la dilatada experiencia de nuestros expertos técnicos que ajustan la herramienta a las necesidades de tráfico y seguridad su empresa!

20Feb/15

Ataques de fuerza bruta

Ataques de fuerza bruta

Lo cierto es que acceder a las contraseñas de los usuarios no es fácil, puesto que se guardan de forma encriptada, y la única forma «manual» es adivinándolo. Una técnica para obtener contraseñas es mediante el uso de «sniffers» es decir programas que interceptan nuestras comunicaciones y registran las contraseñas. Hay maneras de agilizar este proceso, mediante un keylogger. Sin embargo, cuando estas herramientas del hacker fallan, puede recurrir a la fuerza bruta.

WIKIPEDIA define fuerza bruta como: «La forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.»

A pesar de lo que pudiera parecer, es uno de los métodos más empleados por los hackers, que explota la vulnerabilidad más recurrente en la seguridad de la información: el factor humano. Los usuarios no disponen de contraseñas lo suficientemente robustas, como distintos tipos de caracteres y de números que impliquen una cierta complejidad. Por el contrario, para evitar olvidarse de su clave de acceso, prefieren contraseñas fáciles de recordar, pero al mismo tiempo de adivinar.

Con este fin, los hacker, utilizan herramientas que disponen de diccionarios de contraseñas, cuya función es ir probando contraseñas una por una.

No obstante, como usuarios, sabemos que únicamente con la contraseña, no es posible acceder a un puesto, puesto que es necesario contar con un código de usuario.

Para conseguir tanto el código de usuario como la contraseña, a través de este tipo de ataque, existe diferente herramientas como BrutusAET 2 para fuerza bruta a contraseñas de FTP, Essential Net Tools para fuerza bruta a contraseñas de servicio de red (NetBIOS), o John the Ripper – Windows, Linux para fuerza bruta a contraseñas «hasheadas» de Windows.

Una forma sencilla de proteger un sistema contra los ataques de fuerza bruta o los ataques de diccionario es establecer un número máximo de tentativas. De esta forma se bloquea el sistema automáticamente después de un número de intentos fallidos predeterminados. Sin embargo, aún cuando exista un Directiva de bloqueo de cuenta, o de complejidad de las contraseñas que obligue a cambiarla cada cierto tiempo, también son fácilmente predecibles porque a menudo consisten en agregarle cortas secuencias de números a una misma raíz original. Por tanto, lo más recomendable sería establecer Directivas de contraseñas lo suficientemente robustas, por una empresa especializada.

Desde Áudea queremos recordamos que la mejor forma de prevenir una sanción o un daño a nuestro sistemas de información, es cumplir con todas las exigencias técnicas y legales de la seguridad de la información

01Ene/15

Prevención ante fallos y alta disponibilidad

Prevención ante fallos y alta disponibilidad

Cuando hablamos de contingencia, es inevitable referirnos al concepto de alta disponibilidad. Actualmente, las empresas requieren que tanto sus aplicaciones, como sus datos se encuentren operativos para clientes como empleados. No debemos olvidar, que en mayor o menor medida deben ser capaces de proporcionar un nivel de servicio adecuado. Por tanto, los sistemas de alta disponibilidad en los activos tecnológicos, permiten que funcione el engranaje empresarial, en caso de que fallen, por ejemplo:

Comunicaciones

Sin las redes de comunicaciones, como empleados no podríamos realizar operaciones cotidianas y necesarias, como acceder a: Internet, a las aplicaciones, en caso que requieran validación remota, o poder mandar un correo electrónico. Por otro lado nuestros clientes no podrían acceder a los servicios on line. Además, normalmente las empresas, disponen de una red de oficinas conectadas entre sí. Como solución, las empresas, para el caso de fallo de alguna red, disponen de:

  • Redes redundadas e independientes. En este sentido, también suele recomendarse contratar la red redundada con otro CSP. (Proveedor de servicio de comunicaciones.)
  • Balanceadores de carga. Es la manera en que las peticiones de Internet son distribuidas sobre una fila de servidores, de manera que se gestionan y reparte las solicitudes de un gran número de usuarios, de manera que no se sobrecargue los recursos de la empresa.

Almacenamiento de la información

Las empresas también deben procurar que la información pueda ser recuperada en el momento en que se necesite, para evitar su pérdida o bloqueo, bien sea por un ataque, error humano, o situación fortuitas o de fuerza mayor. Algunas de las soluciones para el almacenamiento de la información pueden ser :

  • Sistemas de almacenamiento RAID: conjunto redundante de discos duros independientes que viene a ser como una matriz de discos duros interconectados entre sí y cuya peculiaridad es que se comportan como un único disco.
  • Centro de procesamiento de datos alternativo: El almacenamiento es dedicado y la replicación de datos en tiempo real se utiliza para pasar datos del sitio de producción al sitio de recuperación ante una contingencia.

Sistemas/Aplicaciones

La administración y configuración de aplicaciones/sistemas, requiere a las empresas una gran labor de configuración y administración. En caso de contingencia de un sistema, esta labor de administración y configuración, se hace realmente tediosa, si cada sistema o aplicación debe administrase «independientemente» la gestión de los recursos que requiere (CPU, RAM, Almacenamiento, etc.), así como el servidor que lo aloje. Algunos de los mecanismos que facilitan éste trabajo:

  • Virtualización: Ofrece la posibilidad de disponer de varios «servidores» o máquinas virtuales con características muy distintas pero instalando físicamente una sola máquina o servidor, cuyos recursos son compartidos por las máquinas virtuales que se comportarán a su vez como servidores reales.
  • Snapshot: Es una instantánea del estado de un sistema en un momento determinado. El término fue acuñado como una analogía a la de la «fotografía».

Servidores.

Las empresas, van incrementando exponencialmente el uso de recursos, por lo que frecuentemente, los servidores que hay no son suficientes como para poder atender las peticiones. Además, en caso de que solamente exista un servidor que atienda las peticiones de un servicio crítico, implicaría que si el servidor dejara de funcionar, es servicio quedaría interrumpido. Para combatir esta dificultad, se han incorporado sistemas de clustering, o agrupamiento de sistemas de servidores que permiten escalar la capacidad de procesamiento. Entre las distintas modalidades se pueden distinguir los siguientes tipos:

  • Activo-Pasivo: Un nodo Activo estaría funcionando, procesamiento las peticiones de servicio , y el otro nodo Pasivo en el que se encuentran duplicados todos estos servicios, pero detenidos a espera de que se produzca un fallo.
  • Activo-Activo: los dos nodos comparten los servicios de una manera activa, normalmente balanceados con el sistema anteriormente expuesto, consiguiendo una disponibilidad mayor.
  • Granja de servidores: Orientado no solo a la fiabilidad, sino a la capacidad de procesamiento.

Estos son algunos de los numerosos ejemplos que permiten alta disponibilidad, frente a fallos o contingencias. Desde Áudea queremos recordamos que la mejor forma de prevenir una sanción o un daño a nuestro sistemas de información, es cumplir con todas las exigencias técnicas y legales de la seguridad de la información.

01Ene/15

V Conferencia Internacional de Continuidad de Negocio

V Conferencia Internacional de Continuidad de Negocio
El camino hacia la continuidad de negocio

Coincidiendo con el lanzamiento del nuevo estándar ISO 22301, Audea ha tenido el privilegio de asistir, en el Hotel Ritz de Madrid, a la 5ª Conferencia Internacional de Continuidad de Negocio, y segundo evento a nivel mundial de difusión de la ISO 22301.

Abrió la Conferencia Marcio Viegas, Director de BSI, quien hizo una precisa introducción sobre las novedades de la norma, haciendo énfasis, en el término «Resiliencia» que aunque venía empleándose en la semántica del sector, con la 22301 cobrará formalidad y peso. Remitiéndonos a la RAE, tiene dos acepciones, desde el campo de física y la psicológica. Aplicado a la continuidad de negocio, las organizaciones resilientes, serán aquellas capaces de absorber cambios y rupturas, tanto internos como externos, sin que por ello se vea afectada la continuidad de sus procesos críticos, ni su rentabilidad y que incluso desarrollan una flexibilidad ante contingencias. Seguramente, se dará color y matices interesantes a este concepto, a medida que comience a «rodar» la norma.

Con la intervención de Agustín Lerma, Auditor de BSI, los asistentes pudimos conocer con mayor detalle, el contenido de la norma. Un aspecto a destacar en su discurso, es el alineamiento de la ISO 22301 con la ISO 83, que permite a la norma, compartir este estándar común de terminologías y conceptos del clclo deming. Además, puso especial hincapié en el compromiso, que de conformidad con la norma, debe alcanzar la alta dirección en la gestión de la continuidad del negocio. Concretamente, el clausulado 5, referido al «Liderazgo», refuerza la necesidad de compromiso de la Alta Dirección para establecer, controlar y revisar el sistema de gestión de continuidad de negocio. Por su parte, Dave Austin, miembro del Comité de ISO para el desarrollo de la ISO 22301, abundó en el contenido del clausulado. Ambos ponentes explicaron el clausulado:

  • Cláusula 1 que describe el alcance. Se exige menor desarrollo de cuerpo documental, teniendo en cuenta que el nivel de documentación debe estar en función de la dimensión de la empresa. Por tanto, como comentó Dave Austín, el cuerpo documental, pierde fuerza, en pro de un fuerte sentido práctico.
  • Cláusula 3 establece términos y definiciones: Como curiosidad, Dave Austin, comentó, como durante el desarrollo de norma, se convino incluir dos definiciones de un mismo concepto que se refiere al Umbral de Recuperación Máximo que puede permitirse una Organización.
  • Cláusula 4 recoge los requisitos legales y reguladores. Agustín Lerma, puso de manifiesto, como el cumplimiento normativo, es uno de los principales motores que llevan a una empresa a adecuarse a los diferentes sistemas de gestión, poniendo como ejemplo la Ley de Infraestructuras Críticas.
  • Cláusula 5 desarrolla el Liderazgo. Como precisó Agustín Lerma, se potencia el compromiso de la Dirección en el sistema de gestión de continuidad de negocio.
  • Cláusula 6 «Planificación de la gestión de riesgos».
  • En la Cláusula 7, Cobra relevancia la comunicación hacia los medios o prensa, autoridades competentes, terceras partes interesadas, etc. La ISO 22301 aporta este aspecto que la 25.999 contemplaba someramente.
  • La Cláusula 8, quizá sea la de mayor «miga», desde el punto de vista de un sistema de gestión propio de continuidad de negocio. Destaca la regulación tanto el Análisis de Impacto, como las estrategias de recuperación, así como el plan de continuidad, y pruebas del mismo. Lo más reseñable, es la utilización un lenguaje bastante asequible, en comparación con el empleado por la BS 25999. No obstante, al margen de la forma, el contenido es similar al de la 25999.
  • La Cláusula 9 incorpora otra de las interesantes novedades de la ISO 22301, la evaluación del desempeño, como requisito de Continuidad de Negocio. Es decir, se mide que las personas y los equipos sean competentes y estén listos para operar cuando se les necesite. En este sentido, Agustín Lerma puso en valor, como los procedimientos, deben ser ejecutados por personas, y por consiguiente, el papel fundamental que desempeñan los equipos de respuesta y recuperación ante una contingencia.
  • Por último, la Cláusula 10, desarrolla como último punto de ciclo deming, la mejora continua, al que todo sistema de gestión debe aspirar.

Después de «bucear» en el clausulado de la ISO 22301, intervino Deloitte de la mano de Fernando Picatoste, Socio del Área de Riesgos Tecnológicos. Su discurso reveló la importancia que cumple la parte organizativa dentro de un Plan de Continuidad de Negocio, explicando que cuando hablamos de continuidad de negocio, no debemos detenernos exclusivamente en el área tecnológica, es decir, en la contingencia TI, sino también y fundamentalmente en los aspectos organizativos. Como ejemplo, expuso como las huelgas o pandemias, no implican contingencia tecnológica, o como un Plan de Continuidad, no implica exclusivamente «levantar» sistemas de información, sino reubicar personal, realizar comunicados ante los medios, asistencia logística, etc, Todos ellos, aspectos relevantes, que si no se atienden correctamente, pueden dañar severamente la imagen y marca de la organización.

Andrés González, Consultor de Near Technologies, realizó un análisis pormenorizado de dos contingencias mediáticas; la del Tsunami que azotó Japón, y el accidente del vuelo 5022 Madrid- Canarias. Realmente, su relato de los acontecimiento, las causas, y las medidas reactivas frentes a ambos sucesos, hizo comprender la verdadera necesidad que tienen los sistemas de gestión de continuidad de negocio. Hizo valer, como la evaluación, formación, dimensionamiento y las pruebas en materia de continuidad de negocio, hubiesen sido factores imprescindibles en una mejor gestión de dichas crisis.

Posteriormente Ángel Escorial, expuso la relación entre la Gestión de Riesgos ISO 31000 y su integración en la nueva ISO 22301, haciendo una comparativa realmente clarificadora entre un Análisis de Impacto y un Análisis de Riesgos. Particularmente, no perder la oportunidad de reclamar, que la 31000 sea certificable.

Finalmente, David Clarke, Business Continuity Manager de Telefónica UK, presentó un caso de éxito de la Certificación que lideró de Telefónica UK en la BS 25.999. Expuso cómo implantaron el sistema de gestión de continuidad de negocio, así como los resultados del mismo.

En la ronda de preguntas, se volvieron a hacer patentes, las mejoras de la ISO 22301 frente a la BS 2599. Por otro lado los requisitos de esta norma internacional son muy parecidos a los de la BS 25999, por lo que aquellas organizaciones certificadas según la BS 25999, deberían estar tranquilas.

Finalmente, se hizo un alegato común, al papel que debería cobrar la continuidad de negocio, como asignatura obligatoria de todo empresario, como reivindicó Julio San José, Director de Continuidad de Negocio del Banco Santander.

Si bien, por los tiempos que corren, pudiera entenderse como un gasto prescindible, la experiencia de muchas empresas, demuestra que los sucesos no deseados, (ataques cibernéticos del exterior, huelgas o sabotajes, errores humanos, actos intencionados, etc.) pueden ocurrir y ocurren todos los días. Como comentaba Fernando Picatoste, no tenemos más que leer los periódicos o ver las noticias y comprobaremos como cada día suceden.

01Ene/14

Cluster Geográfico Automático: Recuperación inmediata

Cluster Geográfico Automático: Recuperación inmediata

Las empresa, cada día tienen más en consideración soluciones de contingencia que puedan permitir la recuperación de un servidor que falle. El cluster geográfico automático, es una solución integra el entorno de cluster con la copia remota por hardware de manera que el proceso de failover en caso de desastre sea totalmente automático.

En este caso, se trataría de una solución pensada para un servicio de alta criticidad sería necesaria la implantación de una Red SAN extendida, así como los mecanismos de terceras copias necesarios para la restauración de datos en caso de desastre lógico en tiempos tendientes a cero.

El cluster se distribuiría entre un centro principal y otro alternativo, con un nodo accediendo a cada sistema de almacenamiento. Un nodo accede a los discos principales y el otro tiene la posibilidad de acceder a la copia remota. En caso de desastre se preparan los discos remotos en el segundo nodo del cluster de forma automática durante el proceso de failover y se levanta el servicio desde éste.

Dado que el proceso es automático y no requiere intervención manual, el tiempo de conmutación es bastante reducido, de unos 5 ó 10 minutos dependiendo de las aplicaciones que se estén ejecutando.

Con esta solución y en situación de pérdida total de las comunicaciones entre los dos centros existe el riesgo de «Split Brain», es decir, que los dos nodos del cluster sigan operando de manera independiente y se corrompa la información. Para evitar esta posibilidad, se puede considerar dejar el failover en modo manual en caso de que se pierdan todas las comunicaciones, las de los servidores y las de los sistemas de almacenamiento.

Mediante esta solución se consigue ser tolerantes en caso de desastre físico, en aquellas aplicaciones que disponen de datos, con umbrales de respuesta próximos a cero.

En caso de desastre lógico, la copia remota no se puede utilizar, ya que al ser ésta de tipo síncrono, todas las modificaciones se replican al centro remoto, incluyendo las corrupciones de bases de datos o el borrado de información.

Estos una de las distintas alternativas de las numerosos estrategias de recuperación. Desde Áudea queremos recordamos que la mejor forma de prevenir una sanción o un daño a nuestro sistemas de información, es cumplir con todas las exigencias técnicas y legales de la seguridad de la información.

Áudea Seguridad de la Información
Eduardo de Miguel Cuevas
Departamento de Gestión
www.audea.com