27 mayo 2010

Seguridad móvil y percepciones

Hoy quiero reseñar el último de los estudios realizados por el Observatorio de Seguridad de la Información de INTECO, referente a la seguridad y privacidad en el uso de los teléfonos móviles por los menores en España. La verdad es que es uno de los estudios más interesantes que he leído en estos últimos tiempos, tanto por los temas analizados como por la diferenciación de resultados que hacen entre respuestas de padres y de hijos.

El estudio, además de analizar los hábitos de los menores en el uso de los teléfonos móviles, ha analizado la percepción de ambos colectivos frente a 7 riesgos concretos:
  1. Uso excesivo y adicción al teléfono móvil
  2. Amenazas a la privacidad del menor (como el sexting, o envío de contenidos de carácter erótico/sexual con el menor como protagonista)
  3. Acceso a contenidos inapropiados (de carácter sexual o violento)
  4. Ciberbullying o acoso entre menores
  5. Grooming o acoso de un adulto a un menor con intención sexual
  6. Riesgo económico (gasto excesivo, pérdidas económicas, fraude)
  7. Riesgos de carácter técnico (virus y spam)

En general, uno de los resultados más significativos es que en todos los casos la gravedad percibida por los padres siempre es bastante más alta que la percibida por los hijos. Tanto padres como hijos perciben como más graves más o menos los mismos tipos de amenazas(ciberbullying, grooming y acceso/uso de contenidos inapropiados), aunque los más frecuentes son, precisamente, los identificados como menos graves. Además, ocurren con más frecuencia de la que creen los padres, y normalmente los hijos no se lo cuentan, a no ser que sean incapaces de resolver la situación por su cuenta.

Viendo las diferencias entre la gravedad percibida, normalmente asociada al impacto, y la frecuencia de materialización de cada riesgo, echo de menos un análisis de riesgos un poco más formal, con el fin de obtener un valor de riesgo final que hubiera permitido compararlos. Por lo tanto, haciendo uso de la licencia con la que está publicado el informe, y utilizando los datos de las tablas 8 y 9, he decido hacer un cálculo sencillo con dichos datos, "calculando el riesgo" como el producto de la incidencia percibida y el porcentaje de personas que atribuyen a cada amenaza una gravedad alta (he tomado sólo los valores correspondientes a las valoraciones dadas por los hijos). Haciendo ese simple cálculo, el resultado sería el siguiente:

Viendo los resultados de la tabla, hay algunos resultados que llaman la atención. El primero de ellos es que el Spam y el gasto excesivo pasarían a ser las amenazas de mayor riesgo, ascendiendo desde las últimas posiciones en la tabla de "gravedad relativa", pero junto a ellas se mantendría el ciberbullying como una de las amenazas de mayor riesgo. También llama la atención el hecho de que los virus para teléfonos móviles, que es la amenaza para la que más soluciones tecnológicas existen en la actualidad, sea precisamente la amenaza de menor riesgo resultante después de este cálculo. ¿Hay algún otro resultado que os llame la atención? ¿Alguien se anima a seguir "procesando" los resultados del estudio? Seguro que todavía se pueden sacar un montón de conclusiones útiles para evaluar el "nivel de seguridad" existente en torno al uso de la telefonía móvil por parte de los menores...

20 mayo 2010

Consejos prácticos en redes sociales

Últimamente he leído varios artículos de similares características: consejos para un buen uso de las redes sociales (y en especial, de Facebook). He leído comentarios al respecto de Enrique Dans, de ConsumerReports, de Blogoff, ... Hay tanto consejos de uso como consejos de seguridad, pero yo me voy a centrar en estos últimos, ya que todos los consejos se basan, más o menos, en las mismas premisas:
  • Limitar la información publicada: Tanto la relativa a características personales como a circunstancias sociales. No dar excesivos datos íntimos, no facilitar el seguimiento de tu estado/ubicación en tiempo real, ...
  • Compartimentar: Agrupar a las personas y separarlas en grupos/listas en función del tipo de relación que tengan contigo (amigos, familia, vida profesional, ...).
  • Limitar los accesos: Tanto el acceso desde fuera de las redes sociales como el acceso de cada grupo a cada tipo de información. En definitiva, configurar adecuadamente la privacidad, la posibilidad de aparición en búsquedas, etc.
  • Limitar la actividad: Ser cauto en la utilización de funcionalidades que pueden permitir el acceso a información propia o que pueden afectar a tu presencia fuera de tu propio perfil (información "personal" en el muro, etiquetado excesivo de fotos, actividad pública "propagandística", etc.).
  • Utilizar claves de acceso robustas: Esta creo que no necesita explicación.

No obstante, creo que algunos de estos consejos chocan con el uso que muchas personas quieren para sus redes sociales: potenciar su imagen digital pública, favorecer que les conozcan, ser identificables como personas activas en la red social. En ese caso, muchos de los consejos dados en aras de la privacidad son completamente inútiles, ya que el objetivo es completamente el opuesto, la publicidad. En ese caso, de todas las premisas anteriores sólo nos podríamos quedar con dos: compartimentación (aunque quizás no sirva para nada, ya que no tiene por qué aplicarse el criterio de limitación de accesos) y uso de claves de acceso robustas. En este caso la duda que me surge es siempre la misma: ¿Es posible dar consejos válidos en el ámbito de la seguridad a este tipo de usuarios? ¿Por qué estos usuarios no "valoran" su privacidad? ¿Está la privacidad sobrevalorada por nuestro sector, o infravalorada por estos usuarios? ¿Son compatibles ambas visiones? Estaría encantado de escuchar vuestras opiniones...

17 mayo 2010

Persistencia de la información pública

Aunque la reflexión surgió en torno a la información de carácter personal que es accesible públicamente, la verdad es que la persistencia de la información o, dicho de otro modo, el carácter atemporal que en muchas ocasiones tiene la información accesible en Internet, puede ser a la larga un grave problema y uno de los talones de aquiles de la web tal y como la conocemos actualmente.

El caso es que el otro día estuve en una reunión debatiendo sobre las implicaciones y dificultades legales y técnicas que tiene la cancelación de datos personales públicos (publicados en boletines oficiales, por ejemplo), y a raíz de los comentarios que surgieron al respecto empecé a reflexionar acerca de la "calidad" de los datos a los que tenemos acceso a través de Internet, desde un punto de vista de su "veracidad temporal".

La verdad es que una gran parte de la información accesible en Internet no está fechada. Mucha de la información que existe en Internet no tiene una referencia temporal, no sabemos de cuándo data ni su grado de actualización. Además, los principales portales de acceso a la información, los buscadores, no tienen en cuenta ese factor a la hora de ordenar los resultados. De hecho, la información más reciente, y por tanto la que debería estar más actualizada, es la que menos probabilidades tiene de aparecer bien posicionada, ya que es la que menos tiempo ha tenido para ser rastreada o linkada. Por lo tanto, y salvo excepciones (medios de comunicación, informaciones oficiales, etc.), la mayor parte de la información accesible en Internet no sólo es atemporal, sino que en muchos casos puede estar desactualizada.

Teniendo en cuenta que el mundo en el que vivimos es enormemente temporal (e incluso cada vez funciona más en "tiempo real"), esta atemporalidad puede provocar divergencias bastante significativas entre el "mundo virtual" y el "mundo real". Divergencias que pueden ser más graves cuanto mayor sea la interrelación entre ambos mundos. Desde el caso en el que alguien figure en un boletín oficial como moroso cuando ya ha satisfecho sus deudas, hasta el caso en el que una empresa vea caer en picado sus acciones porque alguien ha publicado en la web su cuenta de resultados con un "simple" cero de menos, o sólo porque una noticia de hace 4 ó 5 años haya sido republicada por error y se entienda como noticia actual. Que un dato del pasado aparezca en Internet por cualquier motivo como información actualizada puede ser un grave problema para cualquiera. Como ya he dicho en alguna ocasión, la "integridad de la información" publicada en Internet, entendida como veracidad, cada vez es más crítica. Lo cual puede llevarnos a una nueva definición de "integridad de la información", en la que ya no sólo vale con que la información no haya sido modificada sin permiso, sino que además requiera su veracidad, su actualización en caso de que aquello a lo que se refiere haya sufrido algún cambio.

El problema es que la web no está concebida de manera dinámica y temporal, sino todo lo contrario. Y si tenemos en cuenta las ingentes cantidades de información que cada día se generan en la web, las probabilidades de que cada vez la información que encontramos esté menos actualizada poco a poco van a ir creciendo. ¿Existen soluciones actualmente para que esta situación no sea un problema? ¿O estamos ante uno de los puntos débiles de la web actual?

13 mayo 2010

Crítica práctica al Esquema Nacional de Seguridad

El otro día tuve la suerte de participar en un interesante debate con varias organizaciones del sector público que se están "peleando" con la implantación del ENS, y estas organizaciones estuvieron comentando comentando algunas de las dificultades que estaban teniendo a nivel práctico para lograr una implementación eficaz y sobre todo eficiente de dichas exigencias.

La primera dificultad común, ya prevista, venía dada por la necesidad de establecer nuevas funciones y responsabilidades en torno a la seguridad. Las figuras del responsable de la información, del servicio y de la seguridad son fáciles de entender, pero estaban teniendo dificultades a la hora de designar estos responsables en un organigrama en el que no es tan sencillo como parece identificar dichas responsabilidades de manera unipersonal.

No obstante, el debate se centró principalmente en la aplicación práctica de las medidas de seguridad recogidas en el Anexo II del ENS, y en la dificultad para poder aplicarlas de manera eficiente, dada la metodología de aplicación que define.

El problema radica en que, según el ENS, la aplicación de las medidas de seguridad se determina en función de la categoría de los sistemas, es decir, en función del valor de los activos, de su importancia. Esta es una filosofía garantista, ya que asegura la aplicación de mayores medidas de seguridad a los sistemas más valiosos, pero tiene el problema de que no utiliza, para discriminar la aplicación de dichas medidas, los valores de riesgo resultantes en torno a dichos activos. Un análisis de riesgos permite modular las medidas de seguridad a aplicar en función no sólo del valor del activo sino también de la probabilidad de ocurrencia de las amenazas y de la vulnerabilidad que presente el activo a dichas amenazas, de modo que si el primer factor tiene un valor elevado pero los restantes tienen un valor bajo, el riesgo resultante no será excesivamente alto, de modo que las medidas de seguridad a aplicar no tendrán que ser tan férreas como si sólo hubiéramos tenido en cuenta el primero de los factores, ya que los restantes "tiran hacia abajo" del resultado. En el caso del ENS, según la lectura que se hacía en aquella reunión, este efecto modulador del análisis de riesgos sólo es aplicable "hacia arriba", ya que su aplicación "hacia abajo" nos podría llevar a decidir no aplicar, en función del riesgo resultante, algunas medidas de seguridad que según el valor del activo sí que serían aplicables, lo que limita enormemente la capacidad de las organizaciones de poder realizar una gestión de riesgos eficiente, ya que no estaría permitido la no aplicación de ciertas medidas de seguridad.

Dándole vueltas al motivo por el cual las medidas de seguridad no se aplican en función del riesgo resultante sino del valor del activo, llegamos a la conclusión de que parte de la "culpa" probablemente viniese dada por la no determinación de una metodología concreta de análisis de riesgos. Esto supone, en la práctica, que una misma valoración de activos a la que se aplican dos metodologías de análisis de riesgos distintas pueden llegar a resultados de riesgo diferentes (presuponiendo mismos factores y mismos valores), lo que supondría la aplicación de distintas medidas de seguridad, echando por tierra de este modo la filosofía garantista del ENS. No obstante, estoy seguro de que puede haber más motivos a considerar a la hora de explicar esta situación, y puede que incluso la lectura que se haga en otros foros de la metodología de aplicación de medidas de seguridad del ENS difiera de la que se hizo en aquella reunión. ¿Qué pensáis vosotros? ¿Estáis de acuerdo con la interpretación de la metodología de aplicación de medidas de seguridad? ¿Pensáis que es una metodología que permite poca eficiencia? ¿Estáis de acuerdo con las causas que se identificaron en aquella reunión? ¿Se os ocurren otras? Estaría encantado de escuchar vuestras opiniones...

05 mayo 2010

Cosa de SLAs

Aunque todo el mundo hable de utilizar SLAs (o ANSs, si preferís en español) en sus servicios, a la hora de la verdad cuesta encontrar una organización que realmente los utilice en toda su dimensión. En muchas ocasiones, sencillamente, por no haberse parado a pensar en las consecuencias de utilizarlos, y en muchas otras porque, a la hora de la verdad, son tan pocas las empresas que los tienen en cuenta tanto en el lado del proveedor como en el lado del cliente.

En torno a los SLAs hay una serie de conceptos que creo que puede ser necesario aclarar:
  • Servicio: Es el concepto fundamental, aquello sobre lo que vamos a establecer unas condiciones de prestación determinadas. Pero no olvidemos que prácticamente se puede vender "cualquier cosa" en forma de servicio, de modo que definir adecuadamente el servicio, identificando todas sus características, es un factor clave al hablar de SLAs.
  • Parámetros: Son aquellas características medibles del servicio sobre las que se van a fijar las condiciones de prestación. Deben servir para caracterizar el servicio a partir de ellas, y habrá que pensar si nos conviene que sean características diferenciadoras del servicio, de modo que destaquemos su exclusividad, o características generalistas, de modo que sirvan para comparar los niveles que ofrecemos en nuestros servicios con los que ofrece nuestra competencia. Además, no podemos olvidar que estos parámetros son los que deben definir la calidad de nuestros servicios.
  • Niveles de servicio: Este es el valor que alcanza nuestro servicio en cada uno de los parámetros. Son valores variables, y tendremos que conocer dicha variabilidad a la hora de ofrecer nuestros servicios, ya que probablemente estos interesarán más o menos a nuestros clientes en función de los valores que seamos capaces de conseguir.
  • Acuerdo: Para un SLA es un factor clave, y no sólo por ser la tercera palabra. Implica que debería existir una negociación entre el cliente y el proveedor en la que ambos acuerden unos niveles de servicio determinados a un coste concreto, de modo que dicha negociación permita que los niveles de servicio prestados sean beneficiosos para ambas partes (satisfagan las expectativas del cliente y sean realizables y rentables para el prestador del servicio).
  • Objetivos (de nivel de servicio), o SLO: Son aquellos valores a cuyo cumplimiento nos comprometemos en un SLA, de modo que tendremos que tener un grado de certeza lo suficientemente alto de que nuestros niveles de servicio van a alcanzar dicho valor si queremos ofrecer servicios de calidad. En este punto el factor clave es tratar de conocer el % de certeza (valor numérico) con el que podemos garantizar el cumplimiento de dicho objetivo, y este es el punto en el que los expertos en estadística más nos pueden ayudar, ya que es una de las tareas más complejas, sobre todo si no tenemos datos históricos sobre los que basarnos.
  • Límites: Son aquellos valores mínimo y máximo entre los que se puede mover el nivel de servicio, y entre los cuales debe fijarse el SLO. Parece una obviedad, pero seguro que todos conocéis más de una organización que trata de vender imposibles...
  • Capacidad: Hasta ahora hemos estado pensando en un único cliente, pero un proveedor de servicios normalmente aspira a vender sus servicios a más de un cliente simultáneamente. Por tanto, no podemos olvidar la capacidad máxima de nuestros recursos, que por una parte condicionan los límites de nuestros servicios pero por otra parte también condicionan el número de clientes a los que podemos prestar servicios simultáneamente, y que en el caso de recursos compartidos puede venir también condicionado por los niveles de servicio que estemos ofreciendo a cada uno de ellos concurrentemente.
  • Valores agregados: Una vez que comenzamos a pensar en la prestación de un servicio a varios clientes de manera concurrente, también tendremos que plantearnos todos los conceptos anteriores de forma agregada, analizando los niveles de servicio, objetivos y límites que tiene el servicio prestado de manera global.

Por tanto, sólo cuando hayamos resuelto todos estos factores estaremos en condiciones de poder ofrecer SLAs a nuestros clientes con las suficientes garantías, ya que si no hemos hecho el ejercicio previo no seremos capaces de responder por nuestros servicios en función de los acuerdos alcanzados. Ese es el motivo por el que a la hora de la verdad no suelen existir demasiados servicios que se gestionen en base a SLAs, y es que pocas organizaciones suelen estar dispuestas a realizar el esfuerzo de llevar a cabo este análisis...

03 mayo 2010

El PC seguro

Muchas veces solemos pasar de puntillas por aquellos temas que nos parecen obvios, y al final podemos acabar quitando importancia a aspectos que, por básicos, creemos que ya están superados. Por eso me suele gustar encontrarme con estudios y análisis que nos suelen recordar que precisamente en lo más básico suelen aparecer los mayores errores, cumpliendo a la perfección la regla de Pareto.

Hoy me he encontrado con un artículo que, pese a tener casi 3 años, creo que sigue siendo completamente válido a día de hoy. El artículo en cuestión habla de una recomendación de Gartner sobre los PCs corporativos y las características que deberían cumplir. La interpretación que yo hago de esas premisas para que los PCs sean "seguros" son:
  • Plataformas estables y lo más homogéneas posible
  • Pocos cambios, y bien controlados
  • Limitación a la capacidad de los usuarios de alterar configuraciones y características de los sistemas
  • Uso de productos consolidados en el mercado y de calidad contrastada
  • Aplicación de programas de control de calidad a las aplicaciones desarrolladas a medida
  • Búsqueda de la sencillez y la facilidad de uso
  • Existencia de soporte técnico para la plataforma y las aplicaciones
  • Aplicación de programas de mantenimiento y revisión periódica de los equipos

Pueden parecer obviedades, pero son unas pocas premisas simples y muy útiles para construir una referencia básica utilizable. ¿Alguien me ayuda a transformar estos 8 puntos en un "decálogo para la seguridad microinformática"?