14 mayo 2008

Riesgos del teletrabajo

Desde que leí esta noticia sobre los riesgos de seguridad del teletrabajo para las empresas he estado prestando más atención a las personas de mi entorno, con el fin de descubrir hasta qué punto eran ciertas a mi alrededor las afirmaciones que se hacen en el artículo. Y creo que puedo estar satisfecho de poder decir que mis propias conclusiones no son tan negativas como las del artículo.

Para empezar creo que existe una gran diferencia entre el teletrabajador en casa y el desplazado. El primero, el que se lleva a casa el portátil, normalmente suele limitarse a realizar el mismo uso que en la oficina. Para el resto de actividades ya tiene, en la mayoría de los casos, un equipo propio, tan personalizado y a su gusto que difícilmente prefiere seguir utilizando el equipo corporativo para otras actividades fuera de las laborales. Un caso distinto suele ser el de los teletrabajadores desplazados, que sí pueden utilizar durante dichos desplazamientos ese equipo como sustituto del personal. En esos casos el uso "no profesional" del equipo se incrementa, evidentemente, pero por lo general suele ser un uso "comedido". Vamos, que en esos casos se suele navegar mucho más por webs de noticias y viajes que por páginas pornográficas. Y en general no suele haber tráfico P2P, al menos en la mayor parte de los casos que conozco, sobre todo porque los usuarios no tienen este tipo de programas instalados ni pueden instalarlos.

Otro de los casos que mi pequeño "estudio" tampoco ha corroborado es el relativo al uso de esos equipos por parte de otras personas. Sobre todo por el principio anterior: los que se lo llevan a casa ya suelen tener un equipo propio de uso familiar, y los desplazados suelen tener cada uno su propio equipo y generalmente pocas ocasiones para estar con alguien que no tenga y quiera usarlo libremente.

Lo que sí se suele dar más a menudo es la utilización de redes de acceso a Internet cuyas garantías de seguridad generalmente no se conocen o se pasan por alto. Es más habitual de lo que a mí me gustaría las conexiones a redes inalámbricas sin cifrar o el acceso a internet a través de redes que no cuentan con un simple firewall. Y la verdad es que, frente a esto, poco se puede hacer cuando la frase más habitual es que era "la única red disponible" para acceder a Internet. Probablemente la solución pase por que la propia organización proporcione una vía segura de acceso móvil a Internet, vía modem 3G, por ejemplo, pero si la propia organización no pone medios alternativos, la posibilidad de que estos hechos se repitan parece bastante alta...

Y por último, tampoco he detectado una mayor tasa de apertura de correos electrónicos desconocidos o sospechosos en el caso del teletrabajo que en la propia oficina. La política de seguridad que tenga establecida la compañía de turno, y sobre todo el grado de formación y concienciación de los usuarios al respecto son claves para que esto se produzca, pero en general no he identificado diferencias en estos aspectos entre los teletrabajadores y el resto.

En conclusión, sí que es cierto que el teletrabajo introduce nuevos riesgos en las compañías, pero también es evidente que introduce importantes beneficios si se articula de manera adecuada. Y con unos buenos programas de formación y el establecimiento de las medidas técnicas apropiadas creo que es posible conseguir un entorno de trabajo en el que los niveles de seguridad que se establezcan puedan ser totalmente equivalentes a los dispuestos en las sedes de la organización. Eso siempre que no dejemos de gestionar dicha seguridad. ¿Qué tal un SGSI para tenerlo bien atado? ;-)

Publicado por Joseba Enjuto en 2:54 PM 1 comentarios Vínculos a esta entrada
Etiquetas: ,

12 mayo 2008

A vueltas con los términos

Cuanto más te vas adentrando en el mundo de la gestión (en general) y más fuentes diversas de información vas consultando, más problemático se vuelve eso de definir correctamente aquello de lo que estamos hablando. Sobre todo, si son términos que no sólo no se aclaran suficientemente, sino que mismos términos en entornos distintos pueden significar cosas distintas y, lo que es peor, distintos términos en entornos diferentes pueden tener el mismo significado. Y claro, cuando lo que importa son los detalles el trabajo se puede complicar...

Hoy símplemente quiero aclarar cuatro términos (auditoría, control, gestión y gobierno) que suelo utilizar y que para mí significan cosas distintas. Seguro que todos tienen matizaciones, y si alguien tiene distintos puntos de vista desde ahora le animo a que los critique libremente.

  • Auditoría: Para mí es el de "menor nivel" de los cuatro, el más cercano a los niveles operativos. Lo entiendo como una labor de revisión sistemática y exhaustiva, en la que lo que se busca son las "pruebas", las trazas concretas y específicas de las actividades desarrolladas. Si la actividad consiste en repetir 20 veces una misma tarea, la labor de auditoría trataría de verificar que efectivamente se ha repetido esa tarea 20 veces una por una, examinando todos los registros que ha dejado dicha actividad y verificando, además, que su resultado ha sido el correcto. No creo que esta definición sea incompatible con el concepto de auditoría de un sistema de gestión, ya que considero que la coletilla añade todas las matizaciones correspondientes: la selección (y no revisión completa) de trazas, la aleatoriedad de dicha selección, ... De todos modos, no olvidemos que en la auditoría de un sistema de gestión lo que verificamos exhaustivamente es el sistema de gestión, y ahí nunca se permitirá que algún apartado de dicho sistema de gestión queden sin examinar. Lo que sí será permisible es no verificar todos los controles que forman parte de ese sistema de gestión, pero el sistema de gestión en sí mismo deberá ser completamente auditado.
  • Control: Yo entiendo este concepto en un nivel superior al de auditoría. Si el anterior era una revisión exhaustiva, este supone la comprobación a modo de check-point de la actividad anterior. Para mí, el control no persigue verificar todos y cada uno de los resultados, sino establecer una tarea de revisión periódica de cierta actividad, con el fin de detectar desviaciones. En un caso ideal esta tarea de control iría ligado a una gestión por procesos, en la que dicho control constituye el parámetro que realimenta al proceso. Podríamos entender el control, visto de otro modo, como la tarea encargada de conseguir una determinada métrica asociada a la actividad en cuestión, y por tanto se podría entender este concepto como la base para el desarrollo de indicadores asociados a la actividad. Y, por supuesto, el caracter táctico u operativo del control iría ligado al caracter de la propia actividad controlada. Creo que es necesario señalar que el concepto de control visto como actividad no cubre completamente la definición que la serie 27000 ofrece en torno a dicho término, ya que en este caso no sólo lo contempla como actividad sino también como medida de caracter técnico, organizativo u operativo.
  • Gestión: Este quizás sea el concepto más complejo de definir. No por el término en sí, sino por la dificultad que supone acotarlo y separarlo del control y del gobierno. Yo entiendo la gestión como el conjunto de tareas encaminadas a definir las propias actividades a desarrollar, administrar los recursos asociados a dichas actividades y articular las medidas necesarias para que dichas actividades alcancen los objetivos designados. El control sería una de las partes de la gestión, la de chequeo, y tendría por encima el concepto de gobierno. Considero que el carácter de la gestión es eminentemente táctico, y desde el punto de vista de una gestión por procesos se podría identificar fácilmente asociado a la articulación práctica de un proceso dado.
  • Gobierno: Bajo este término yo suelo englobar las actividades de dirección asociadas a un nivel estratégico. Palabras como guiar y dirigir las entiendo íntimamente ligadas a este concepto. Si la gestión articula actividades, administra recursos y trata de conseguir los resultados definidos, el gobierno es quien define el marco de dichas actividades, proporciona o designa dichos recursos y establece los resultados a conseguir. En definitiva, el gobierno sería la dirección estratégica, el componente de planificación de alto nivel en un sistema de gestión. En resumidas cuentas, los aspectos que podríamos encontrar dentro del apartado de compromiso de la dirección de cualquier norma ISO de gestión.

Estas cuatro definiciones, no obstante, no son la panacea. Existen conceptos asociados, mezclas entre ellos, y la posibilidad de encontrárselos articulados en distintos niveles o repetidos en distintos grados de zoom dentro de cada organización. Será labor de cada uno utilizarlos de forma adecuada, y sobre todo requisito imprescindible tener claro qué uso hace nuestro interlocutor de estos cuatro términos si queremos mantener una conversación útil en relación a ellos. Aunque, pensándolo bien... ¿Quién iba a querer hablar de estos temas con otra persona? :-)

Publicado por Joseba Enjuto en 2:46 PM 2 comentarios Vínculos a esta entrada
Etiquetas: , , ,

09 mayo 2008

Confidencialidad química

El otro día leí una noticia que me llamó la atención: han descubierto una sustancia inyectable capaz de eliminar los recuerdos. Y rápidamente me vino a la memoria una película de hace un par de años, paycheck, en la que la cláusula de confidencialidad del protagonista consistía precisamente en eso, en que le borrasen la memoria mediante mecanismos electroquímicos. ¿Se podría convertir la ficción en realidad en un futuro? ¿Podrían llegar las cláusulas de confidencialidad a ser "técnicamente" tan radicales? ¿Qué implicaciones éticas y médicas tendrían? Porque en la película vemos cómo el protagonista "olvida" no sólo el trabajo realizado, sino toda su vida (incluído algún que otro escarceo sexual) durante ese periodo de tiempo. ¿Alguien estaría dispuesto a firmar una cláusula de confidencialidad de ese tipo? ¿Renunciaríais a parte de vuestro pasado por una elevada cantidad de dinero? Y ojo, que muchas "fantasías" literarias del pasado ya las hemos visto en la realidad...

Publicado por Joseba Enjuto en 2:56 PM 0 comentarios Vínculos a esta entrada
Etiquetas:

30 abril 2008

Privacidad en la web 2.0

La semana pasada participé en una interesante discusión acerca del uso y difusión de la web 2.0, con una visión orientada a analizar las consideraciones de seguridad y privacidad en la nueva Internet (blogs, nanoblogs, redes sociales, etc). La postura predominante era, en resumidas cuentas, ser cauto con la información personal que se suministra vía web, y tratar de reducir los riesgos de exposición pública de dicha información.



En relación a ese tema hoy he leído un interesante artículo acerca de los riesgos de participar en redes sociales. Un artículo que alerta sobre la necesidad de leer con atención la "letra pequeña" de las cláusulas que aceptamos cada vez que accedemos a sitios web, a ciertas funcionalidades avanzadas o a cualquier tipo de ventaja adicional cuyo uso tenemos que aceptar explícitamente. Porque el riesgo no es ya que ciertos plugins o aplicaciones adicionales puedan saltarse las restricciones que creemos tener, sino que nosotros hemos aceptado explícitamente esa posible vulneración de nuestra privacidad. Y todo por no pararnos a leer con detenimiento las cláusulas antes de hacer clic sobre el "acepto" de turno.



Y es que de fondo el problema que se plantea no es nuevo. Se trata, sencillamente, de confiar o no confiar en la empresa que provee el servicio que queremos utilizar. ¿Por qué la gente confía en eBay para proporcionarle los datos de su tarjeta de crédito, pero no lo hace cuando accede a estafas-on-line.com, si ambas webs funcionan bajo https con certificado reconocido? Sencillamente, porque de la primera se fían y de la segunda no. ¿Han leído las cláusulas de ambas webs antes de decidirse? Probablemente no. Pero como la empresa que hay detrás de dicha web está catalogada socialmente de "confiable", nadie teme por el uso que se vaya a hacer de los datos cedidos. Incluso aunque las cláusulas puedieran (no sé si es el caso) alertar de una cesión de datos a una empresa de desarrollo de perfiles de consumo, por ejemplo.



Un caso que va más allá de la confianza en el depositario de los datos personales es el uso que, de forma automática, puedan hacer terceras partes de los datos "públicamente" accesibles en la web. Ese es otro de los motivos aparentemente esgrimidos para que 8 de cada 10 europeos desconfíe de Internet. En este caso se desconfía de las empresas que disponen de medios para "rastrear" y consolidar los datos de individuos particulares. Ahora bien, ¿Cuántos de esos datos han sido obtenidos directamente por esa empresa, y cuántos "cedidos" por otras? ¿Cuántos de ellos deberían ser privados? Si presuponemos que la "cesión" de esos datos es correcta (el buscador de turno ha obtenido exclusivamente datos públicos, ya que en caso contrario la responsabilidad estaría en manos de la empresa que los ha dejado "accesibles" incumpliendo su política de privacidad), el problema ya no es la privacidad de esos datos, presuntamente públicos, sino de las consecuencias que puede tener su consolidación. Si una determinada persona publica en twitter que está visitando el evento euskalsex, y existe información pública de que dicha persona pertenece a una red social relacionada con la moda, y en concreto con ropa interior infantil... ¿Es posible que alguien pueda relacionar ambas fuentes y deducir algún tipo de asociación con pornografía infantil? ¿Debe el buscador "registrar" estas asociaciones? ¿Qué tipo de confianza debe depositarse en empresas cuyo negocio sea la consolidación de información personal? ¿La característica de pública de cierta información personal debe estar ligada exclusivamente a la finalidad para la que se ha hecho pública?



En definitiva, la privacidad se está viendo expuesta a nuevos riesgos cuya origen está, fundamentalmente, en la des-perimetrización (de-perimeterisation en inglés), o eliminación progresiva de las barreras para el flujo de información, independientemente de que dichas barreras sean necesarias o establecidas a propósito. ¿Nos llevará el futuro de la web 2.0 a un nuevo concepto de privacidad? ¿Seremos capaces de desarrollar soluciones que permitan su pervivencia tal y como hoy la conocemos en un mundo cada vez más interrelacionado? Ya lo iremos viendo...

Publicado por Joseba Enjuto en 2:49 PM 2 comentarios Vínculos a esta entrada
Etiquetas: ,

16 abril 2008

Phishing y responsabilidades

Que los casos de phishing bancario están creciendo no es ninguna novedad. El problema es que sus dimensiones y sus consecuencias están alcanzando tales niveles que hemos llegado a un punto en el que desde distintos ámbitos parece que se considera necesario delimitar las responsabilidades asociadas. Y claro, aquí es donde los distintos interesados no se ponen de acuerdo.

Por una parte, tenemos el caso de los bancos británicos, que quieren que los usuarios de sistemas inseguros asuman su responsabilidad. De acuerdo con el código que han publicado, parece ser que los bancos no asumirán aquellas pérdidas en las que se pueda alegar incumplimiento, por parte de los usuarios, de medidas como tener un antivirus y antispyware actualizado.

Por otra parte, tenemos la postura que expone Julián Inza, que refleja que desde distintos ámbitos se acusa a las entidades financieras de lavarse las manos ante los casos de fraudes electrónicos. Este post afirma que la principal responsabilidad en relación al phishing bancario (y otros delitos electrónicos parecidos) debería quedar en manos de las entidades financieras por no utilizar sistemas de autenticación suficientemente fiables (no sólo técnicamente sino también en relación a su utilización práctica).

Desde mi punto de vista ambas posturas tienen su parte de razón. Es cierto que los bancos deberían desarrollar mejores soluciones de seguridad, y sobre todo hacer un especial esfuerzo en desplegar soluciones utilizables por clientes con muy poco conocimiento informático (y previsiblemente nulo en materia de seguridad informática), pero también es cierto que si no se hace nada por evitar que los equipos de este tipo de clientes se expongan a los principales riesgos automatizados que pululan hoy en día por Internet es casi seguro que tarde o temprano esos equipos acabarán bajo el control absoluto de los "malos" de Internet, y por consiguiente también sus cuentas bancarias. Es por eso que en distintos post he abogado tanto por un mayor esfuerzo en la concienciación pública en torno a la seguridad informática como por el desarrollo de soluciones de seguridad centradas en extremo del usuario, con el fin de potenciar el ya conocido eslabón más débil de la cadena.

Y en relación a estas reflexiones siempre se me plantea una duda. ¿Sería posible aunar una solución para el usuario final proporcionada por la propia entidad bancaria? ¿Sería posible desarrollar un "entorno de trabajo" tipo sandbox, por ejemplo, que se tuviera que descargar el usuario para poder acceder a la banca electrónica, y dentro del cual se pudiera certificar la seguridad de todas las operaciones desarrolladas? Sería una forma de que los bancos no sólo fueran capaces de garantizar la seguridad de las operaciones, sino de que también pudieran asumir las responsabilidades asociadas, ya que el entorno de operación de los clientes sería seguro y más allá sólo quedaría el propio usuario, de cuyas acciones siempre sería responsable. ¿Existen soluciones de este tipo? ¿Hay alguna en desarrollo? Si alguien tiene alguna respuesta para mis preguntas, tiene a su disposición los comentarios.

Publicado por Joseba Enjuto en 2:42 PM 7 comentarios Vínculos a esta entrada
Etiquetas: ,

14 abril 2008

Certificarse en ISO 20000

La verdad es que, desde que se publicó oficialmente la convocatoria para el plan Avanza, el sector no para de moverse. Quien más quien menos ya se ha buscado sus compañeros de viaje, y todo el mundo vislumbra en un futuro más o menos próximo una importante oleada de nuevas certificaciones en CMMI, ISO 27001... e incluso en ISO 20000.

La verdad es que la certificación en ISO 20000 parece la más complicada. Sencillamente, por lo exigente que es su cumplimiento: un completo sistema de gestión, 13 procesos a cumplir, incertidumbre en relación a las herramientas de soporte, muchas trazas que generar... y un máximo de 20000 euros de subvención. No parece un panorama muy halagüeño para que las pequeñas empresas se animen. Y no quedan demasiadas variables con las que jugar.

El principal parámetro para reducir el esfuerzo de implantación de cualquier sistema de gestión certificable es el alcance. En el caso que nos ocupa, su amplitud vendrá marcada por la cantidad de servicios IT (aunque el estándar no defina qué es un servicio IT) que queramos incorporar a nuestro ITSMS. El problema es que la variable principal que condiciona el esfuerzo no suele ser la cantidad de ámbitos sobre los que aplicas la gestión, sino el desarrollo de los procesos de gestión propiamente dichos. En definitiva, que lo costoso es desarrollar correctamente el proceso de gestión de incidencias, y que ese proceso lo apliques sólo a las incidencias del correo electrónico o a las de todos tus servicios IT no supone tanta diferencia.

El segundo problema es que la certificación no nos permite implementar sólo alguno de los procesos. El estándar no ha contemplado que se pueda prescindir de alguno de ellos (lo cual es bastante lógico, ya que difícilmente encontraremos una justificación para no gestionar los cambios o los niveles de servicio, por poner un par de ejemplos), y por lo tanto si queremos certificar que cumplimos una norma tendremos que cumplirla enterita (que yo sepa no hay medias certificaciones para medio estándar, y la norma no define niveles). En este caso los procesos son parte del cuerpo de la norma, y no podemos entenderlos como un catálogo de procesos para seleccionar los que más nos interesen (al estilo controles de seguridad de la ISO 27001). Y son requisitos mínimos, así que no nos vale el recurso de ITIL de implementar sólo las partes que más nos interesan. O cumples la norma, o no la cumples.

¿Cuál es el resultado final? Mucho esfuerzo necesario para cumplir con todos los requisitos. ¿El problema? Que una pyme difícilmente va a ver justificado todo el esfuerzo necesario como para cumplir con una norma tan completa. Y la cuantía de la subvención tampoco es que anime demasiado, ya que aparentemente no responde (al menos, comparativamente) a las exigencias que supone su implementación.

¿Existe alguna solución para "facilitar" y generalizar la adopción de esta norma? Podría ser, aunque en este caso no es inmediata, ya que quedaría en manos de las autoridades de normalización, certificación y/o acreditación y podría no ser del gusto de todos. Como opciones, se me ocurren las de "aligerar" la norma, ser más "permisivos" en su certificación, desarrollar nuevos esquemas de certificación (por ejemplo, por niveles), crear normas derivadas más adaptadas a las características de una pyme... Quizás cualquiera de ellas pueda parecer viable a priori, pero en cualquier caso siempre hay muchos intereses en juego y demasiados protocolos a respetar como para que cualquiera de esas opciones sea factible a corto plazo. Y es una pena, porque creo que si se facilitase de algún modo la certificación de los ITSMS todo el sector saldría beneficiado. ¿Será ese el argumento capaz de acelerar la adopción de alguna solución válida? Espero que sí.

Publicado por Joseba Enjuto en 2:58 PM 0 comentarios Vínculos a esta entrada
Etiquetas: ,
Suscribirse a: Entradas (Atom)