Wednesday, February 03, 2010

Discusion sobre requisitos para hacer un Ethical Hacking

No habia querido postear sobre este tema porque cada que posteo algo no tecnico me siento MAS viejo y porque aun no se daban analisis y conclusiones mas alla de mis (nuestras) opiones y convicciones, pero, tambien de algunos hechos reales.

Ahora que ya todo es informacion publica y esta oleado y sacramentado, si me decidi a compartir este hecho : se aperturo un concurso de contratacion para un servicio de ethical hacking en una entidad del Estado Peruano y las bases fueron observadas por un postor en 3 aspectos.

A continuacion la reproduccion de los requerimientos, las observaciones y mis opiniones :

1. Se solicitaba :

"Copias simples de las certificaciones relativas a seguridad informática (cada uno de los consultores deberá contar con un mínimo de 01 certificación), la certificación deberá tener una antigüedad no menor a seis (06) meses. No se aceptarán certificaciones emitidas por fabricantes de hardware y/o software.
La omisión de alguno de los documentos enunciados acarreará la descalificación de la propuesta.
7 PERSONAL A CARGO DEL SERVICIO
Todos los consultores deberán contar con mínimo una (01) certificación relativa a seguridad informática, las certificaciones deberán tener una antigüedad no menor a 6 meses, no se aceptarán certificaciones emitidas por fabricantes de hardware y/o software."

La observacion presentada indica :

"En estos puntos observamos que solicitar certificados con antigüedad no menor a seis meses es limitante y restrictivo, está dirigido a que exista un único postor con consultor que tiene ese tipo de certificado con ese intervalo de tiempo. Con este requisito innecesario no podré participar en este concurso público y supongo que muchos postores también, por lo expuesto solicito retirar estos requisitos innecesarios y restrictivos."

Lo curioso de esto es que hubiese sido bueno tener la fuente de tal informacion estadistica porque dentro de lo que yo conozco existen por lo menos 4 C|EH en Perú que si cumplen con tener mucho mas antiguedad con su certificacion que 6 meses.
Por ello, esa observacion, cuando menos, me parece que muestra desconocimiento del mercado local de ethical hacking.

2. Se solicitaba :

"El Consultor Principal del equipo de consultores deberá contar con una certificación correspondiente a labores de hackeo ético en modalidad de ataque, es decir, certificaciones como Certified Ethical Hacker, EcCouncil Certified Security Analyst, Licensed Penetration Tester, OSSTMM Professional Security Analyst, OSSTMM Professional Security Tester, Certified Pen Testing Specialist, Certified Pen Testing Expert, GIAC Penetration Tester y/o Offensive Security Certified Professional. No se aceptarán certificaciones relativas a seguridad de la información, forensia ni relativas a productos en defensa o análisis de intrusiones."

La observacion presentada por el mismo postor indica :

"Observamos que según la Ley de Contrataciones y Adquisiciones del Estado prohíbe la referencia a marcas o nombres comerciales, patentes, diseños o tipos particulares, por lo expuesto solicitamos retirar los nombres de estas certificaciones mencionadas por estar transgrediendo la Ley."

Esto me parece parcialmente correcto. Es decir, la Ley mencionada indica exactamente eso, pero, la referencia es para compras de activos, principalmente, ya que no se puede pedir comprar un equipo marca ACME en las primeras compras. Esto es igual absurdo porque al revisar las especificaciones tecnicas, resulta que casi siempre, solo el equipo ACME cumple.

Pero, no es correcto del todo porque al indicar "certificaciones como" se da cabida a las mencionadas y otras mas para que no ocurra que algun postor se aproveche (como ya ha ocurrido muchas veces) y presente consultores con certificaciones genericas de seguridad (como GSEC) o de analisis de intrusiones (que implica conocer como se produjo un ataque, pero, no certifica el conocer como hacerlo, esto pasa en SANS/GIAC donde hay certificaciones diferentes como GCIH y GPEN, respectivamente).
Otra cosa que ocurre es que presentan o piden certificaciones como CISSP, CISA o CISM como si estas fueran referencias a conocer como realizar un ethical hacking.

3. Se solicita :

"Para la calificación en este factor, el postor deberá presentar el plan de trabajo detallado en los términos de referencial los cuales se deben ser precisados, éste contendrá la metodología OSSTMM , el cronograma usando las herramientas gantt, el equipamiento e infraestructura que se utilizará durante todas las pruebas, la descripción de las actividades así como la lista y descripción de las herramientas.

La asignación de puntaje será de acuerdo al siguiente criterio:

Presenta Plan de Trabajo detallado completo 25 puntos
No presenta plan de Trabajo completo 00 puntos"

El mismo postor plantea la siguiente observacion :

"Observamos que la solicitud de la presentación de un plan de trabajo para la calificación es muy ambigua, solicitamos eliminar este requisito por ser ambiguo en su calificación y se presta a favorecer a un determinado portor con una calificación subjetiva y no cuantitativa o en tal caso solicitamos nos alcancen el detalle completo del contenido del Plan de Trabajo indicando cuanto vale cada parte del plan de trabajo para que llegue a sumar los 25 puntos. Tenemos derecho a conocer a que las calificaciones sean precisas y no ambiguas por ser un Concurso Público."

Esto si es sumamente preocupamente porque el postor indica que la calificacion es ambigua. El tema es bien simple : te dicen que debe contener el plan de trabajo, preparalo, presentalo y listo, tienes el puntaje. Ahi no dice que se daran mas o menos puntos por el mejor o peor plan de trabajo y encima solicitan mas detalle.

Dado que no quedaron conformes con la respuesta de la entidad, pidieron que el titular de la misma se manifieste al respecto (el Ministro) y recibieron tambien el rechazo a las mismas aunque incluyeron una precision respecto a que las certificaciones mencionadas son solo un ejemplo y que de presentar otras similares, pero, no mencionadas, seran aceptadas.

Luego de conocer las observaciones planteadas me anime a participar dado que cumplimos perfectamente con los requisitos y, obviamente, el postor que interpuso las observaciones desistio de participar. Corrimos solos y ganamos porque cumplimos con los requerimientos e incluso otros mas complejos.

El parrafo anterior es unicamente una muestra de la transparencia de este hecho, al menos de mi parte, ya que me llamo mucho la atencion encontrar un proceso similar en el cual este postor gano con unos requerimientos mas particulares aun (el jefe de equipo tenia que tener las certificaciones de CISM, CISSP y GCIH para obtener el maximo puntaje en un factor especifico) y donde tambien se calificaba el plan de trabajo (se indicaba puntaje por cada punto del mismo, pero, igual, no habia calificacion por mejor o peor plan que es lo que si haria que sea ambigua).

Como dato anecdotico, la seccion donde se describen los alcances, la descripcion y entregables del servicio fueron tomadas de documentos creados por nosotros y que siempre los hemos compartido de forma abierta, asi que probablemente llegaron a manos de la entidad que convoco y los uso.

- Nuestro mercado peruano carece de una gran cantidad de profesionales certificados en seguridad como encontramos en otros paises cercanos y, mas aun, en temas de ethical hacking.

Incluso certificaciones base como GSEC son presentadas como demostracion del conocimiento y experiencia en ethical hacking cuando solo certifican conocimientos basicos de seguridad.

El hecho concreto es que en nuestro pais contamos con por lo menos 6 C|EH y 2 GPEN, casi todos trabajan en proveedores y por ello, si se deben exigir certificaciones similares. No menciono otras como OCSP, OSCE, OPST, OPSA, CPTS, etc. porque hasta donde he visto y conozco, solo Andres Morales las tiene aca.

- Es valido encontrar empresas que empiezan a ganar experiencia en consultorias de seguridad de la informacion, auditorias, etc., pero, no es valido permitir que se conviertan en buscadores de oportunidades sin considerar que podrian hacer que nuestro mercado no suba de nivel.

Si subcontratan consultores o realizan alianzas para obtener negocios y aun asi no cumplen con los requerimientos, ya lo haran en tiempos posteriores.

El siguiente nivel de exigencia deberia ser demostrar que las certificaciones aun estan vigentes. Vemos constantemente que hay personas que se presentan con certificaciones que ya las perdieron por no renovarlas y certificaciones que ya no existen. Incluso, si recuerdan, impugnamos un concurso donde gano una empresa con base en el extranjero que presento un consultor con un certificado adulterado.

Las certificaciones de seguridad requieren ser revalidadas continuamente mediante la obtencion de creditos por actividades o retomando los examenes.

- La respuesta del titular de la entidad sento precendete administrativo porque hubiese sido bien grave que las observaciones sean admitidas ya que se habria generado una especie de jurisprudencia para que no se exija antiguedad en las certificaciones, certificaciones acordes al objeto de la convocatoria y que los planes de trabajo no sean calificados.

- Los que se dedican a consultoria de seguridad deben invertir en su mejor herramienta : los consultores. Es decir, deberian invertir en certificarlos.

Hace unas semanas publicaron un articulo mio en America Sistemas donde planteaba la idea de tener una suerte de cyberteam en Perú y, claro, convocado por el Estado. En esta oportunidad, planteo que el Estado deberia definir unos terminos de referencia base para contrataciones de servicios de ethical hacking o similares y que sean desarrollados despues de sostener reuniones con los proveedores locales para que guarde coherencia y vigencia.

Saludos!

No comments: