martes, 20 de octubre de 2020

Nace nuestro repositorio público de documentación

Carecer de libros propios es el colmo de la miseria" decía Benjamin Franklin. No es que Benjamin haya sido nuestra principal motivación, pero una comunidad como es ProtAAPP, tan llena de valor y conocimiento, con grandes personas y ganas de compartir información y experiencias, necesitaba una herramienta con la que poder ofrecer al mundo esa sabiduría.

Hoy estamos de fiesta, pues lanzamos el nuevo repositorio de documentación de ProtAAPP:

https://wikiprot.protaapp.com


Pretendemos que se convierta en un referente al que acudir para documentarse sobre cualquier aspecto relativo a la ciberseguridad en las Administraciones Públicas. Un sitio donde uno pueda consultar la normativa, los organismos públicos involucrados, todo lo relativo a la gestión de la ciberseguridad, documentación sobre las arquitecturas, tecnologías y bastionado, la seguridad en el desarrollo, gestión de vulnerabilidades, detección y respuesta, amenazas, tácticas y técnicas de ataque, auditorías, formación, concienciación, eventos y difusión de la ciberseguridad.

La cuenta de twitter de @ProtAAPP ha sido y sigue siendo de enorme valor como vehículo de difusión de la ciberseguridad, pero desde hoy este nuevo repositorio, WikiProt, se une para presentar un lugar donde el conocimiento quede accesible para el futuro, organizado, y con un buen buscador que permita encontrar rápidamente los conceptos y referencias que uno necesita.

Creemos que es una herramienta básica para que no se pierda el conocimiento que esta comunidad sigue acumulando día tras día, cada vez la ciberseguridad es más importante en un mundo donde todos los servicios comienzan a depender, de forma crítica, de las tecnologías de la información.

... y entonces los tipukis atacaron por tierra, mar y aire...

- espera Papá, ¿y no atacaron por internet? Pues vaya tipukis más tontos.

Os animamos encarecidamente, os pedimos por favor, que os unáis a esta iniciativa aportando aquel conocimiento que pueda servir a hacer mejores nuestras Administraciones y a nuestros compañeros. El repositorio está construido sobre texto markdown, y en este enlace podéis encontrar las instrucciones para contribuir. Aunque sea poco, con un párrafo, con una herramienta, con una pequeña guía, muchas gotas llenan el pozo de la sapiencia.

El repositorio es público, pero las propuestas de contribución serán controladas a través de los mecanismos de git en la plataforma Github (pull request), por un núcleo de personas del equipo de ProtAAPP. De esta forma pretendemos mantener el repositorio con una buena estructura y organización, de forma que sea comprensible y sencilla la navegación por el mismo.

El equipo de ProtAAPP.


sábado, 16 de noviembre de 2019

Quedada de ProtAAPP

El pasado 22 de febrero de 2019, la comunidad ProtAAPP celebró su primera quedada presencial en Madrid. Nos juntamos unas 15 personas en un local del centro de Madrid, donde pasamos un rato divertido charlando sobre nuestra pasión, la ciberseguridad.
Creemos que ha llegado el momento de volver a encontrarnos, esperando contar tanto con los miembros más veteranos de esta comunidad, como con las nuevas incorporaciones con la idea de compartir conocimientos, experiencias y diversión.
Queremos celebrar el próximo evento de ProtAAPP el viernes 13 de diciembre, entre las 18 y las 22h en un espacio diferente, donde podremos realizar diversas actividades especiales ;)
Este evento está dirigido exclusivamente a empleados públicos de las AAPP con interés en Ciberseguridad. Si todavía no os habeis dado de alta en la comunidad, debéis escribir a info@protaapp.com para registraros, antes del evento.
La agenda "provisional" del evento es la siguiente:

  • 18:00: Bienvenida y conversación informal (45min). 
  • 18:45: Punto de situación ProtAAPP: número de miembros, canales de comunicación, actividades realizadas, actividades futuras (15min).
  • 19:00 Presentaciones/Charlas: realizaremos varias presentaciones/charlas de 15-20min sobre temas variados +10min de debate tras presentación (por ejemplo 3 presentaciones a 30min cada una, 1h:30min). 
  • 20:30: Concurso: "El trivial de la ciberseguridad" (30 min). 
  • 21:00: Cervezas y networking final (1h).
  • 22:00 FIN (tiempo total estimado 4 horas). 

Como veis en la propuesta de agenda, vamos a intentar hacer un evento que mezcle el networking entre empleados públicos, el conocimiento en la materia y, muy importante, mucha, mucha diversión.
En cuanto a las presentaciones, serán muy informales, aunque contaremos con un portátil y un proyector por si alguien quiere ir en plan profesional ;) Os animamos a todos a que nos mandéis propuestas de temas que queráis contar a la comunidad. Sería una exposición de entre 10 y 20 minutos, con un turno de 10 min. de preguntas.
En cuanto al concurso, hemos preparado un montón de preguntas sobre ciberseguridad para ver quién es el que más sabe!! Ya os adelantamos que nos vamos a divertir mucho ;)... Todos los asistentes podréis participar en directo en "El Trivial de la Ciberseguridad" utilizando vuestro teléfono móvil y, el ganador se llevará un trofeo de verdad con del que podrá presumir entre sus compañeros ;)
Para poder asistir, es imprescindible confirmar la asistencia al evento antes del 26 de noviembre, escribiendo en la lista de correo de la comunidad.
Esperamos que nos acompañéis en este evento siguiendo nuestro lema: Aprende, Conoce y Comparte.
El equipo de ProtAAPP.

sábado, 16 de febrero de 2019

Menos ciber, más negocio

Interesante expresión utilizada por Miguel Ángel Rodríguez en su artículo sobre la creación del Centro de Operaciones de Seguridad de la Administración General del Estado en el Consejo de Ministros celebrado el 15 de febrero de 2019.

La Ciberseguridad es uno de los medios para proteger los riesgos del negocio, de ahí su importancia, la necesidad de impulsarla, mejorarla y no considerarla una flor de otoño. Permítanme la licencia de sustituir negocio por Administraciones Públicas (en adelante, AA.PP.) que es el sector en el que trabajo.

Aunque existen varias definiciones de Ciberseguridad he seleccionado la elaborada por Information System Audit and Control Association (ISACA): “protección de activos de información a través del tratamiento de amenazas que ponen en riesgo la información procesada, almacenada, transportada por los sistemas de información que se encuentran interconectados”. He subrayado los aspectos que considero claves en la definición.

Ahora bien, ¿sólo con la Ciberseguridad se protege la información que sustenta la misión de las AA.PP.? En parte sí pues protege una de las formas en las que se presenta la información: digital tratada por sistemas de información interconectados.

Las AA.PP. ¿sólo disponen de información digital y de sistemas interconectados? Evidentemente, NO.

Figura 1. En las A.A.P.P. todavía hay papel.

Cuando se protege la información digital tratada por sistemas de información que no están interconectados considero necesario rescatar un concepto más viejo que la Ciberseguridad: la Seguridad Informática. El fin de ambas es proteger la información digital pero el alcance es menor pues la Seguridad Informática está conformada por un conjunto de métodos, procesos, técnicas para el tratamiento de la información en formato digital, así como para la protección de las redes e infraestructura tecnológica.

¿Cuáles son los otros formatos de la información que deben proteger las AA.PP.? Físico (papel) e Inmaterial (conocimiento). Los tres formatos (digital, físico e inmaterial) se han de proteger en distintos estados: almacenada (armarios, cajones, discos duros, nube, memorias), procesada, en tránsito, verbal, impresa.

Llegados a este punto introduzco un tercer y último concepto: Seguridad de la Información. La Seguridad de la Información tiene por objeto proteger la información de los riesgos que puedan afectarla en sus diferentes formas o estados.

Por consiguiente, la Seguridad de la Información protege los activos de información sin importar su forma o estado utilizando metodologías, normas, tecnología y estructuras organizacionales orientadas a la aplicación y gestión de las medidas de seguridad apropiadas según la importancia y criticidad de los activos de información.

En el párrafo anterior he subrayado “estructuras organizacionales” ¿significa que en las AA.PP. se han de crear nuevas estructuras al margen de las estructuras orgánicas existentes? NO.

Las primeras han de estar imbricadas en las segundas para conseguir la implicación de los Centros Gestores responsables de la información que conocen su criticidad, sus formatos y sus estados.
Las estructuras organizacionales a las que he hecho mención tienen que estar conformadas, entre otros, por los Responsables de la Información y de los Servicios (el negocio), los Departamentos de Tecnología y un nexo de unión entre ambos “el Responsable de Seguridad de Seguridad de la Información”. Seguridad de la información conformada por la Seguridad Informática y la Ciberseguridad.

Muy acertadamente en el artículo que he tomado como punto de partida se indica “menos Ciber más negocio”, aunque yo he tratado escribir sobre la piedra angular a proteger en las AA.PP.: la información.

Autora: María Jesús Casado Robledo, Responsable de Seguridad de la Información en el Sector Público, y miembro de ProtAAPP

viernes, 15 de febrero de 2019

El SOC de la AGE, el principio de un largo camino

La ciberseguridad escaló posiciones en la lista de prioridades políticas durante el año 2017, en gran medida, gracias a WannaCry y a la amenaza de las noticias falsas que empezaba a estar en el discurso político de aquella época. En diciembre de 2017, en la inauguración de las XI Jornadas del CCN-CERT, se avanzó la creación de un Centro de Operaciones de Seguridad de la Administración General del Estado (SOC-AGE) para el año 2018.

Ha llovido mucho desde entonces, hasta ha habido un cambio de gobierno, y justo el día en el que se anuncian elecciones generales se aprueba en el Consejo de Ministros la creación del Centro de Operaciones de Ciberseguridad AGE para la prestación de servicios horizontales de ciberseguridad que aumenten la capacidad de vigilancia y detección de amenazas en las operaciones diarias de los sistemas de información y comunicaciones de la AGE, así como la mejora de su capacidad de respuesta ante cualquier ataque. La responsabilidad de la dirección estratégica del SOC será de la Secretaría General de Administración Digital (SGAD) mientras que la operación del servicio recae en el CCN-CERT del Ministerio de la Defensa.

Aunque sea una creación tardía desde su anuncio a finales de 2017, hoy es un día para celebrar la noticia de la creación del centro pero con la mesura que requiere ya que la creación del SOC de la AGE debe ser el principio de un largo camino en la mejora de la ciberseguridad en la AGE y no el final. Espero que no veamos noticias falsas que indiquen que con ésto ya se ha solucionado la problemática de la ciberseguridad en la AGE o que la SGAD y el CCN-CERT son los responsables de toda la ciberseguridad en la AGE porque no es así.
  • Según la Web del CCN-CERT, el SOC de la AGE viene a aportar capacidades complementarias a las existentes (no a reemplazarlas), desempeñando las siguientes funciones:
  • Operación, monitorización y actualización de dispositivos de defensa perimetrales.
  • Detección, respuesta coordinada, investigación de ciberataques y ciberamenazas y resolución de incidentes de seguridad.
  • Servicio de Alerta Temprana (SAT) en las conexiones a Internet, a redes interadministrativas comunes y, bajo petición, a redes corporativas de las entidades.
  • Análisis de vulnerabilidades de aplicaciones y servicios.
  • Servicios anti-abuso de identidad digital.
Figura 1. Centro de operaciones de seguridad de la NSA.

Parece un buen comienzo y profundizando sobre el camino a seguir con los futuros pasos que debería dar el SOC o los Organismos Públicos para mejorar sus capacidades de ciberseguridad, ¿Qué nos quedaría pendiente?

Servicios de vigilancia digital ampliada:

  • Gestión de vulnerabilidades continua en entornos internos, red SARA e Internet.
  • Establecer líneas base de configuración segura o de actualización de parches mínima para las diversas arquitecturas de producción de los organismos.
  • Auditoría automatizada continua o pentesting continuo de aplicaciones.
  • Servicio de auditoría de código fuente o de security testing para los desarrollos seguros de aplicaciones Web.
  • Vigilancia digital con capacidad de análisis de webs, foros y redes sociales y correlación con fuentes de inteligencia para la detección previa de las posibles campañas o ataques dirigidos a la AGE.

Consultoría y apoyo técnico:
  • Consultoría de gestión para tener un sistema de gestión mínimo que permita a pequeños organismos que tienen carencias en seguridad disponer de un plan mínimo de adecuación al ENS.
  • Servicios técnicos de bastionado de equipos o adecuación a las guías CCN-STIC.
  • Respuesta a incidentes in-situ para apoyar la mitigación del impacto de incidentes críticos que puedan expandirse a otros Organismos.
Formación y concienciación:
  • Formación técnica dirigida a los equipos de respuesta a incidentes de los organismos para disponer de unas capacidades de interlocución mínimas y entender el enfoque y procedimientos de escalado del servicio.
  • Concienciación a usuarios finales con material para uso extensivo en toda la AGE, con formatos “píldora”, en tono formal e informal, etc.
  • Concienciación específica dirigida a los altos cargos mediante sesiones breves para que conozcan el escenario de ciberseguridad en el que nos encontramos y puedan comprender las medidas de seguridad que se implantan que van orientadas a proteger su información y minimizar riesgos. En este caso es fundamental contar con los empleados públicos de cada Orgsanismo y, a ser posible, utilizar las estructuras de los Comités definidos en las políticas de seguridad.
Seguridad vertical / Seguridad de negocio:
  • Orientación a la seguridad de la información (Menos ciber y más negocio). En la medida en la que se desarrollen las capadidades de los servicios compartidos de ciberseguridad que se prestan a los Organismos, tendrán que crecer las capacidades sectoriales para orientar la seguridad al negocio, las aplicaciones y los datos.
  • Integración en el ciclo de vida de desarrollo y creación de servicios. Pasar de modelos DevOps a DevSecOps
  • Seguridad desde el diseño / Privacidad desde el diseño.
  • Plan de continuidad de negocio.
  • Medidas de protección específicas para aplicaciones y tratamientos (Apps y Datos).
A la vista del estado de la seguridad en el que se encuentran los sistemas de acuerdo a los resultados que muestra el informe INES, y del panorama de riesgo creciente que reflejan los informes anuales de ciberamenazas y tendencias del CCN-CERT, celebremos la noticia de la creación del SOC con moderación y pongámonos a trabajar en lo que nos queda por hacer.

Autor: Miguel Ángel Rodríguez Ramos, experto en ciberseguridad en el sector público y fundador de la comunidad ProtAAPP: Protege las Administraciones Públicas

domingo, 10 de febrero de 2019

ProtAAPP sale a la luz

La comunidad ProtAAPP surge como respuesta a la necesidad de los empleados públicos de compartir experiencias en ciberseguridad y de colaborar para mejorar la seguridad de los servicios públicos más allá de los canales oficiales que existen en las Administraciones Públicas. En marzo de 2018 comenzamos nuestro camino y después de casi un año operando en las sombras en foros privados, decidimos salir a la luz con la página Web y las cuentas de Twitter y LinkedIn.

Los inicios de la comunidad han servido para constituir un grupo de empleados públicos con interés en la ciberseguridad y con orígenes diversos en las Administraciones Públicas locales, autonómicas y la estatal. Los casi cien miembros de la comunidad, a fecha de redacción de esta entrada, hemos generado una actividad notable en nuestro foro privado, hemos organizado quedadas y esperamos poder seguir avanzando como comunidad.

Dentro de nuestros objetivos más próximos, intentaremos generar algunos contenidos de interés para publicar en la Web y participaremos en eventos y congresos con la intención de dar visibilidad a la actividad que llevan a cabo los miembros de la comunidad a título individual o profesional.

Os adelantamos los próximos eventos en los que participaremos:

19 de febrero en el seminario de ciberseguridad en el sector público que organiza la Fundación SocInfo - https://www.socinfo.es/seminarios/3123-seguridad-14.


Guillermo Obispo - Accesos corporativos. Instrucciones de montaje (DIY).

28 - 30 de marzo en la RootedCON que celebra su décima edición.