Despacio Cerebrito (2da parte)

La charla con Alan Porcel se extendió por una hora a pesar de haber planeado todo para no mas de veinte minutos. Ergo, Alan tuvo que editar y producir esta segunda parte donde hablamos un poco sobre el valor que puede tener el aprender a programar en estas primeras décadas del siglo XXI. Que lo disfruten..!!

Despacio Cerebrito

Una de las buenas cosas que trajo el encierro impuesto por la pandemia covid-19 fue un par de podcast producidos por Alan Porcel en Despacio Cerebrito. Les comparto la primera parte, donde hablo sobre el "Efecto Pandora", una idea absolutamente mía y de la cual me hago cargo. Se me ocurre que publicaré algo sobre el asunto en este 2022. Veremos... 

 

Hola mundo 2022.!!

He vuelto a ponerle atención y orden a mi actividad relacionada con este espacio. Primero, definitivamente será un espacio para hablar de Ciberseguridad. Y una de las cosas importantes que han ocurrido desde que comencé a escribir es que ha madurado un cuerpo de conocimiento de la ciberseguridad. Hoy si hablamos del asunto, tenemos que mencionar a CyBOK. Un conjunto de conocimientos para informarse sobre la formación profesional y educación sobre Ciberseguridad. Los invito a visitarlo y prestar atención a que tiene mucho que ver con dos áreas muy consolidadas como el cuerpo de conocimiento de la Ingeniería de Software ( SWEBOK ) y Ciencias de la Computación ( ACM Computer Science Curriculum ). Yo lo complementaría con el área de Networking y no se me viene a la cabeza mas que mencionarles el link de NetAcad de Cisco para que sepan de qué se trata el tema.

 

Bueno, vuelvo a escribir, ¿ motivo ?, lo que parecía que iba a suceder, sucedió. Las infraestructuras críticas en Latinoamérica están siendo atacadas desde hace algunos años. Sabiamos que internet es absolutamente insegura. Sabiamos que había redes industriales que poco a poco miraban las bondades de internet como una posibilidad que se podía aprovechar. El tema es que ahora se han integrado y no se han percatado que están expuestos a los riesgos de cualquier sitio en internet.

Escribo desde La Plata, participando en el Cyber drill organizado por ITU, Ministerio de Modernización y Universidad Nacional de La Plata. Felicitaciones por organizar este evento.

Diseño arquitectónico

El proceso de construcción de un sistema compuesto por hardware, software y comunicaciones de una infraestructura crítica comienza por la selección de un modelo de proceso de diseño. Decidido el modelo de proceso, nos enfrentamos en una etapa temprana, con la elicitación de requerimientos y una etapa de diseño inicial. Esta etapa de diseño inicial debería mirar al sistema con el objetivo de identificar subsistemas y establecer un marco de control y comunicación entre los subsistemas identificados. A esto se denomina DISEÑO ARQUITECTÓNICO.

Autores como Bass y otros señalan al menos tres ventajas de diseñar y documentar explícitamente la arquitectura de un sistema. En realidad ellos hablan de "software" y no de sistema, pero se puede extender esta propuesta y reafirmar estas ventajas, con algunas observaciones:

• Facilitación de la comunicación con los stakeholders;
• Falicitar el análisis del sistema para cumplir con requerimientos críticos como pueden ser el rendimiento, confiabilidad, mantenibilidad y SEGURIDAD.
• Reutilización a gran escala.

Esto último en particular, lleva a que sistemas diferentes para el mismo dominio presenten estilos arquitectónicos semejantes. Digo, aparecen patrones de organización ya reconocidos como una organización cliente-servidor o un arquitectura por capas. Lo cual es una referencia al momento de tomar decisiones de diseño de la arquitectura de la solución.En definitiva, hay que elegir la estructura mas adecuada que permita satisfacer los requerimientos funcionales y no funcionales del sistema.

Resultante de esta etapa del proceso de diseño es un documento que contendrá a nivel sistema, modelos estructurales o estáticos, modelos de procesos o dinámicos, modelos de interfaces, relaciones, etc. Para todos ellos, SysML es el lenguaje a utilizar.

Sería deseable que también la seguridad sea abordada en esta etapa temprana de diseño, para lo cual deberíamos evaluar modelos de amenazas que permitan mapear sobre patrones de seguridad que luego se incorporarán en las decisiones posteriores de diseño de componentes.

Cuando hablamos de todas estas cuestiones aparece como interesante pensar en disponer primero de una arquitectura de referencia (AR), en particular para los Cyber Physical Systems. Y luego en una AR segura. Esto permitiría abordar desde una etapa muy temprana, el problema de diseño seguro de un CPS. Luego esto permitiría escalar al sistema crítico las deciciones de diseño a fin de garantizarle seguridad.

Bass, L., Clements P. (2003). Software Architecture in Practice, 2nd edn. Boston: Addison-Wesley. (Ch 11).-

Veo que no estamos solos

El tema de la ciberseguridad de infraestructuras críticas es también una preocupación de la OEA y entre las noticias que publica su sitio, está un evento que se nos pasó... Un congreso sobre Ciberseguridad en Infraestructuras Críticas celebrado en Buenos Aires, este pasado mes de Octubre, organizado por el Centro de Ciberseguridad Industrial. 

Volviendo al sitio de Seguridad Cibernética de la OEA, en la pestaña de "Documentos", podrán encontrar varios PDF que les ayudarán a gestionar la ciberseguridad en sus lugares de trabajo. Que los disfruten..!!

Guías de NIST y DHS

La Casa Blanca y el "Department of Homeland Security" (DHS) difundieron dos publicaciones independientes sobre ciberseguridad en IoT. Cubren directrices y principios para crear dispositivos IoT con medidas de seguridad incorporadas, así como protocolos recomendados para implementar tales medidas.

La administración de Obama "apresuró" la publicación del NIST, debido a la urgente escalada alrededor de la ciberseguridad de los dispositivos IoT después del mayor ataque de DDoS a infraestructuras de Internet de USA, ocurrido el mes pasado.

 

La ciberseguridad comenzó a ser una preocupación desde los 90 cuando se masificó la conectividad a Internet. Cuando la conectividad llegó a los dispositivos móviles en la década de 2000, se convirtió en un problema aún más grande. Hoy, IoT es el siguiente paso de preocupación, ya que implica un gran número de dispositivos interconectados que están perpetuamente en línea. Esto aumenta significativamente la magnitud del riesgo.

Ambas publicaciones tienen como objetivo guiar las medidas de seguridad en la etapa de diseño y fabricación en lugar de en el nivel de usuario. Lo cual contrasta con las decisiones que suelen tomarse al intentar mejorar la seguridad cuando ya se tiene un producto terminado, lo cual desde el punto de vista conceptual es un error muy caro. 

De todos modos garantizar la seguridad en etapas de diseño y fabricación trae consigo el factor costo, la pregunta más importante es: ¿ pueden los fabricantes de dispositivos estar lo suficientemente incentivados como para que valga la pena gastar tiempo, dinero y esfuerzo en incorporar hardware y software de seguridad en sus dispositivos ? Ver para creer.

Ambas guías <NIST> <DHS> se enfocan en los fundamentos y procesos del ciclo de vida del sistema para la fabricación de dispositivos y proporcionan pautas para incorporar protocolos y mecanismos de seguridad como parte del propio ciclo de vida del producto. La publicación de Homeland Security va un paso más allá y aborda las cuestiones desde el punto de vista del consumidor industrial. 

El objetivo de estas publicaciones es el de iniciar la discusión sobre un conocimiento de alto nivel y evocar un sentido de urgencia en la aplicación de las directrices y principios descritos en ellas. 

La FCC ha dicho que no es probable que promulgue normas obligatorias para la ciberseguridad de IOT, pero con IOT impregnando las áreas críticas de la industra como la producción de energía, la tecnología médica y la infraestructura de transporte, se incrementa el riesgo de que tales sistemas sean comprometidos. Lo sabremos pronto...