13 diciembre 2011

ISO 27000, la familia crece

En este último par de meses han visto la luz algunas nuevas normas de la familia ISO 27000 (la serie de normas relacionadas con la seguridad de la información). En concreto, me parece muy destacable la publicación de:
  • ISO/IEC 27007:2011: Guía para realizar auditorías de SGSIs, publicada el mes pasado.
  • ISO/IEC TR 27008:2011: Guía técnica para auditar controles de seguridad de la información, publicada en Octubre.
En conjunto, me parecen un complemento muy interesante para realizar auditorías de sistemas de gestión basados en ISO 27001, ya que incorporan matices específicos en torno a la seguridad de la información y constituyen una guía sobre cómo realizar una auditoría de seguridad completa (sistema de gestión + controles). Eso sí, que nadie espere encontrar en ellos un checklist de verificaciones ni nada similar, ya que este tipo de estándares son metodologías, no guia-burros.

Y si crece la familia de normas de seguridad de la información, también lo hace el número de empresas certificadas en ISO 27001 a nivel mundial. Según el extracto de prensa del último ISO Survey, con datos de 2010, la certificación ISO 27001 ha crecido un 21%, alcanzándose los 15625 certificados mundiales en 117 países.

En definitiva, parece que la seguridad de la información no sufre la crisis... al menos, con datos de 2010.

29 noviembre 2011

Procesos y actividades

Con los conceptos aparentemente más sencillos suelen surgir las dudas filosóficas más profundas. Uno de estos casos, siempre recurrente, es el asociado al concepto de proceso.

En sí mismo, un proceso no es más que un conjunto de actividades realizadas de manera coordinada para conseguir un fin. En términos de organización empresarial, además, consideramos que ese conjunto de actividades se realiza para transformar una serie de entradas (inputs) en algo diferente, las salidas (outputs), aportando un valor añadido en dicha transformación (el fin buscado). Parece sencillo, verdad?

Las dudas surgen habitualmente al hablar del "tamaño" del proceso. ¿Cuál es el número mínimo de actividades que hay que "agrupar" para hablar de proceso? ¿Y qué ocurre cuando hablamos de sub-procesos? No obstante, cuando los pilares del concepto se empiezan a tambalear es cuando nos damos cuenta de las implicaciones existentes en función del "tipo de salidas" que produce, que pueden ser tanto productos como servicios. Y por si fuera poco, a alguien se le ocurre meter en este poutpurri el concepto de procedimiento, para terminar de liar las cosas...

Pero si lo pensamos bien, veremos que el tema tampoco es tan complejo:
  • Un procedimiento es la forma de hacer algo. Lo más habitual es que sea un documento donde se explica cómo se hace algo. Y ése algo puede ser tanto una única actividad (apretar una tuerca) como un proceso completo (por ejemplo, montar una mesa). Por lo tanto, es un elemento "colateral" a cualquier actividad o conjunto de actividades.
  • La diferencia entre actividad y sub-proceso y proceso es más sutil, ya que radica en el concepto de "valor añadido". Por poner un ejemplo, montar un coche puede ser un proceso, considerando que uno de sus sub-procesos puede ser montar el motor, ya que también aporta un valor añadido concreto, aunque menor. Una pista suele ser que el resultado (output) de cualquier sub-proceso es algo concreto, identificable de forma individual. Otra pista puede ser que las personas y/o los recursos que se utilizan para realizar cada sub-proceso son diferentes. Otra más sería que en el punto en el que se produce la salida de un sub-proceso se realiza una verificación de su resultado, ya que su correcta o incorrecta realización depende de ese sub-proceso en cuestión. Pero quizás la definición más elegante pueda ser que un conjunto de actividades sólo puede tener entidad de sub-proceso si la gestión requerida por el hecho de serlo genera menos carga que el valor que aporta en su conjunto. En cualquier caso, es el concepto más subjetivo de todos.
  • La relación entre procesos, servicios y productos es sencilla: la salida de cualquier proceso siempre va a ser un producto o servicio (o al menos parte de él). Por tanto, puede haber procesos "materiales" (la salida es un producto) e "inmateriales" (la salida es un servicio). Pero no los confundamos, sobre todo en este último caso: las actividades son el proceso, los resultados de esas actividades son el servicio.
  • Y por último, no olvidemos la cantidad de parámetros que podemos encontrar en un proceso:
    • Objetivos (fin del proceso)
    • Condicionantes (exigencias que afectan al proceso: propias, de clientes, legales, etc.)
    • Entradas
    • Actividades que lo componen
    • Recursos (materiales y humanos)
    • Registros (resultados parciales de las actividades)
    • Salidas (resultados del proceso completo)
    • Indicadores (parámetros que permiten medir el funcionamiento del proceso)
¿Ahora está más claro? Espero que el post haya sido de ayuda...

22 noviembre 2011

Continuidad preventiva

Es curioso ver que, en un mundo que cada vez avanza más deprisa, hay ciertos temas que parecen atemporales, como si el paso del tiempo estuviera detenido para ellos. Y lo más llamativo es que sólo la periódica aparición de deja-vus te recuerda que todo sigue igual, que el mundo parece no haber evolucionado nada en ese ámbito.

Uno de estos temas es el relacionado con la continuidad de negocio. O mejor dicho, con la forma de abordar la continuidad del negocio por parte del sector de la consultoría. Echando la vista atrás, hace más de 4 años que en este mismo blog criticaba la visión reactiva de la continuidad que tienen algunos autores. Y hoy es el día que me encuentro con un estupendo artículo titulado Gestión integral de crisis: La nueva Continuidad de Negocio que, escrito el pasado mes, viene a decir prácticamente lo mismo. ¿Qué estamos haciendo mal? ¿Por qué no hemos evolucionado nada en estos últimos 5 años?

De todos modos, este caso me parece especialmente hiriente, ya que ni siquiera hemos hecho caso a la sabiduría popular, que desde tiempos inmemoriales incluye en el refranero el máximo exponente de esta filosofía: "más vale prevenir que curar". ¿Por qué no somos capaces de incorporar el conocimiento histórico adquirido en las "nuevas" filosofías de gestión?

A partir de ahora, además, se abre un nuevo campo en el que aplicar la filosofía de la continuidad: la protección de las infraestructuras críticas. Quizás no sea nuevo en el fondo, pero sí que se ha renovado en la forma, en cómo encarar el problema, en cómo gestionarlo. ¿Seremos capaces de aplicar por fín la filosofía preventiva a la continuidad de estas infraestructuras? ¿Nos obligará su singularidad (son críticas por definición) o el coste de las medidas reactivas a cambiar la forma de afrontar este ámbito de la continuidad? ¿O no seremos capaces de aprender de nuestros errores? Espero que en esta ocasión aprendamos... por el bien de todos.

21 noviembre 2011

Seguridad multimedia

Todo evoluciona. Incluso la seguridad de la información, un tema que, seamos sinceros, no es especialmente interesante para el público en general, se puede hacer más atractivo y cercano con el correspondiente "toque multimedia". Y como a mí no se me dan demasiado bien esas herramientas, prefiero dejaros un par de referencias multimedia sobre seguridad de la información de dos reconocidos actores del sector.

La primera de ellas es un webinar sobre la implantación de un SGSI basado en ISO 27001, gratuito, impartido por Dejan Kosutic, en el que se va a profundizar en las similitudes, diferencias y convergencias entre la ISO 27001 y la ISO 9001. El único inconveniente para los hispano-hablantes es que el webinar se imparte en inglés, aunque no creo que a la mayoría les deba suponer demasiado problema en un sector en el que el spanglish es casi una obligación...

La segunda referencia es la intypedia, y en particular la última lección publicada hasta el momento, sobre el análisis y gestión de riesgos. Un complemento perfecto al webinar anterior que se centra en el núcleo del análisis de riesgos, y que cuenta con el guión de un reconocido experto en la materia como es Jose A. Mañas.

En definitiva, una forma más amena de acercarse al mundo de la seguridad, por si la versión "clásica" en modo texto no nos gusta demasiado...

Y ya que hablamos de contenido multimedia, no puedo dejar de referenciar las ponencias de ENISE, cuyos vídeos ya están disponibles. Espero que las disfrutéis...

08 noviembre 2011

ITIL en la vida cotidiana

Aunque a veces no nos damos cuenta, el mundo de la gestión TIC es muy pequeño. Para el común de los mortales, completamente desconocido. Pero además es un mundo muy endogámico, del que muchas veces nos cuesta trabajo salir.

Por eso, hoy quiero plantear una simple propuesta: ¿Cuántos servicios utilizáis en vuestra vida cotidiana, en vuestro día a día? ¿Os habéis planteado alguna vez cómo sería su gestión siguiendo las directrices de ITIL / ISO 20000?

Pensemos en la sanidad. Cuando nos ponemos enfermos... no tenemos, en realidad, una incidencia? ¿Qué pasaría si la atención primaria fuese nuestro CAU? Os imagináis a un médico de cabecera, al que le hayan asignado nuestra "incidencia", haciendo el seguimiento de nuestro tatamiento de principio a fin? Quizás podría mejorar el servicio prestado, aunque... qué os parece eso de no tener un médico de cabecera asignado, sino un pool de médicos atendiendo? Pero si seguimos un poco más allá... ¿Podríamos ver las operaciones de quirófano como un cambio/entrega? ¿Os gustaría que la sanidad tuviese una CMDB en la que cada uno de nosotros fuera un elemento de configuración? Y para rizar el rizo... ¿En qué consitiría el proceso de relaciones con el negocio (con los clientes)? ¿Realmente la sanidad se preocuparía por nuestra satisfacción real?

Pensemos en la administración pública. Cuando solicitamos un padrón (o una subvención), o cuando renovamos un DNI... ¿No estamos realizando, en el fondo, una petición de servicio? ¿No sería genial que existiera un punto único de interlocución con el que pudiésemos tramitar, de princpio a fin, todas nuestras necesidades? Y si hubiera que interactuar con otras administraciones públicas... ¿No debería ser el propio proceso de gestión de suministradores de nuestra administración pública quien se encargase de esos trámites? ¿Os imagináis que existiera un SLA con la administración pública contra el que pudiésemos reclamar? ¿O que pudiésemos recibir informes sobre los servicios que hemos utilizado?

Estos son sólo dos ejemplos de cómo se pueden aplicar los principios de la gestión de servicios TIC a cualquier clase de servicios. En el fondo, cualquier servicio, sea o no sea TIC, tiene una capacidad, seguridad o disponibilidad determinada, y podremos mejorarlo si gestionamos estos aspectos adecuadamente. Por suerte o por desgracia, la tecnología es compleja, y hemos tenido que desarrollar sistemáticas elaboradas para poder gestionarla mejor. ¿Por qué no hacemos uso de esas sistemáticas para gestionar servicios cuyo nivel de complejidad también sea elevado? La nueva versión de la ISO 20000 ya ha dado ese paso, librándose de la "coletilla" TIC... ¿Por qué no lo hacemos también nosotros?

03 noviembre 2011

Sensaciones de ENISE 2011

La semana pasada se celebró la 5ª edición de ENISE, en la que una vez más tuve la oportunidad de participar, representando a mi organización. En esta ocasión sólo pude estar los dos primeros días, dedicados a la seguridad en la nube y a la protección de las infraestructuras críticas respectivamente, así que son esas dos jornadas las que voy a comentar.

La sensación general que me queda es agridulce. Por un lado, creo que la organización ha sido magnífica, y la selección de los temas a debatir me ha parecido perfecta. Además, el formato de sesión plenaria seguido de talleres más específicos me parece muy acertado, y creo que la articulación de los temas y representantes en cada taller ha sido muy buena. Sin embargo, no puedo evitar un cierto regusto amargo derivado de la escasa profundidad de la mayor parte de las ponencias, así como de una cierta sensación de deja vu entre unas ponencias y otras. Tengo la sensación de que algunos de los ponentes no han (hemos) estado a la altura del congreso (o al menos, de lo que yo esperaba de él). Obviamente no estuve presente en todos los talleres, de modo que mi opinión no tiene por qué ser generalizable, pero por las impresiones que pude cruzar con otros participantes, no fui el único que salió con esa sensación.

Las principales conclusiones que extraje de la jornada dedicada al Cloud Computing se pueden resumir de forma sencilla:
  • Cloud = externalización + virtualización
  • El Cloud Computing no tiene problemas legales específicos, sólo acentúa los propios de la externalización, que en absoluto tenemos resueltos de forma satisfactoria.
  • Ni la seguridad ni la privacidad son preocupaciones primarias de los proveedores de servicios Cloud, de modo que las soluciones que ofrecen no incorporan mayores (ni menores) garantías al respecto que las ofertadas al hablar de "simple" externalización. Una vez más, la seguridad es un requisito incorporado a posteriori.
  • La virtualización es una realidad bastante más tangible que el cloud. El mercado del cloud todavía se está "autodefiniendo".
  • Las iniciativas en torno a las arquitecturas cloud de las grandes organizaciones son, por el momento, apuestas "a chica" (en términos "musísticos").
En cuanto a la jornada dedicada a las infraestructuras críticas, mis principales conclusiones son las siguientes:
  • La forma de proteger las infraestructuras críticas en los términos actuales todavía no está clara, existe una cierta indefinición en sus límites y en el encaje que tiene con otros conceptos más asentados como la seguridad patrimonial, la seguridad de la información, la continuidad de negocio, etc.
  • Derivado de esa indefinición, en muchos operadores críticos (oficiales o "futuribles") se está viviendo una cierta "lucha de poder" entre los mundos de la seguridad física y la seguridad lógica por hacerse con el control de estas "nuevas" iniciativas.
  • Es previsible que los próximos avances regulatorios en la materia ayuden a establecer estos límites y a resolver estas luchas.
  • En cualquier caso, todos los operadores críticos plantean la cuestión presupuestaria como la principal barrera para avanzar en este tema, motivo por el cual los avances reales son muy escasos.
  • Tampoco los proveedores de servicios presentan en la actualidad una oferta demasiado definida de productos o servicios específicos para la protección de las infraestructuras críticas, existiendo aproximaciones bastante diversas en función de los orígenes de cada proveedor.
En definitiva, la conclusión global que pude sacar de ambas jornadas es que, en cualquiera de los casos, el sector todavía no está maduro, y es previsible que en los próximos años veamos avances muy importantes en ambos temas.

Dicho esto... ¿Alguien que asistiera a la última jornada, dedicada a la seguridad de los dispositivos móviles, se atreve a completar el post con sus conclusiones al respecto? Dejo los comentarios a vuestra entera disposición.

22 septiembre 2011

Seguridad y sostenibilidad

El pasado lunes publiqué un post en el Blog de Seguridad de INTECO, en el que introducía brevemente un concepto que creo que en un futuro puede ser una de las estrellas del mundo de la seguridad: la sostenibilidad aplicada a la seguridad de la información. ¿Qué os parece el planteamiento? ¿Qué fallos le veis? Espero vuestros comentarios.

15 septiembre 2011

Agua y seguridad

A veces, me encuentro con personas que ponen cara de extrañeza cuando les hablas de mezclar el mundo de la seguridad informática con el de la seguridad "tradicional". Sin embargo, día tras día surgen ejemplos que ponen de manifiesto la importancia de avanzar en esa fusión.

El último caso lo encontramos en Noruega, en el sistema de suministro de agua potable de Oslo. Parece ser que se podía acceder a través de Bluetooth al sistema de control y suministro de agua, utilizando la contraseña 0-0-0-0. Esa sencilla clave, la segunda clave numérica más utilizada según algunos estudios, permitía que cualquiera, símplemente con un móvil con bluetooth, pudiera acceder al sistema, interrumpir el suministro, alterar la presión... En definitiva, tener el control del suministro de agua de la capital de Noruega.

Este sólo es un ejemplo más de que el mundo físico y el electrónico cada vez están más interrelacionados, y de que ya no basta con la seguridad física para proteger apropiadamente las infraestructuras críticas. No obstante, tampoco debemos caer en la tentación (propia del sector TIC, por otra parte) de pensar que ahora lo que cuenta es la seguridad informática, y olvidarnos de la seguridad física o pensar que las preocupaciones al respecto deben ser menores. La verdad es que no es una labor sencilla, por mucho que ahora contemos con una Ley y un Real Decreto que regulan estos aspectos. Y no por el hecho en sí de balancear ambos mundos, sino por tratar de hacer confluir los intereses de dos perfiles profesionales muy diferentes, que nunca se han entendido y que ahora tienen que trabajar en equipo, superando sus egos y prejuicios. ¿Seremos capaces de proteger adecuadamente nuestras infraestructuras físicas? ¿O la próxima noticia contará alguna historia sobre el riesgo que ha sufrido una capital española? Al menos, esperemos que en ese caso no haya sido por mantener las claves de acceso por defecto...

08 septiembre 2011

Certificados y confianza

La noticia de que una nueva entidad de certificación, DigiNotar, ha sido comprometida ha acrecentado las dudas acerca del sistema PKI y, por ende, acerca de los elementos sobre los que se fundamenta la seguridad hoy en día. ¿Podemos seguir confiando en el SSL, en el "candadito" del navegador? Ayer mismo Hispasec publicaba, en su una-al-dia, una breve pero clara relación de los incidentes de seguridad más importantes sufridos por el sistema PKI en los últimos tiempos, con un mensaje preocupante al final: esto sólo acaba de empezar. ¿La situación es realmente tan preocupante como parece?

En cualquier caso, creo que no estaría de más hacer un pequeño análisis de los últimos incidentes. Del correspondiente a GlobalSign todavía no se sabe mucho, ya que está bajo investigación. También lo está el de DigiCert, pero en este caso tenemos un análisis bastante interesante sobre la intrusión, muy instructivo y recomendable. Del primero de ellos no hay un análisis tan detallado, pero se puede resumir en que el atacante entró en la RA (autoridad de registro) a través de internet, y en ella estaban almacenadas las claves necesarias para emitir los certificados contra la CA (autoridad de certificación).

Viendo los hechos, a mi me parece claro un aspecto: el nivel de automatización y ejecución on-line de todo el proceso es excesivamente alto. Por un lado, porque no se requiere autenticación fuerte basada en token físico (tarjeta criptográfica) para la emisión de un certificado. Por otro, porque tampoco da la sensación de que se requiera la intervención humana expresa para proceder a dicha emisión. Y por último, porque un equipo que sólo actúa una vez al año (como mucho) como es una CA raíz jamás debería estar no ya conectado a la red, sino siquiera encendido.

Dicho esto, no creo que el sistema PKI esté en peligro... pero sí que me parece necesaria una migración rápida a soluciones SSL-EV. Para los profanos, los certificados SSL-EV son los que "colorean de verde" la barra del navegador. El EV significa "validación extendida", o dicho de otra forma, verificación rigurosa de la identidad del solicitante antes de emitir el certificado. Por tanto, no es un cambio tecnológico, sino procedimental: las RAs tienen la obligación de emitir "manualmente" los certificados, ya que se deben verificar un montón de datos para autenticar fehacientemente al solicitante del certificado antes de emitirlo.

Obviamente, siempre será imprescindible cumplir las especificaciones de seguridad que contienen las normas que regulan el mundo de las PKIs... y más si se está certificado en ellas por una tercera parte confiable. Esa tercera parte, que acredita el correcto cumplimiento, es quien garantiza la viabilidad de todo el sistema, y desde mi punto de vista debería ser a quien se exijan responsabilidades si se demuestran incumplimientos importantes no identificados. Es cierto que esto supone una gran responsabilidad para los auditores, pero... ¿Acaso no es ésa su función?

31 agosto 2011

Este blog sigue abierto

Hace más de mes y medio que no publicaba nada en el blog. Una excusa podría ser que he estado de vacaciones (ójala hubieran durado todo ese tiempo), otra la jornada intensiva (y la dedicación del tiempo libre al ámbito no-profesional), pero la verdad es que sólo serían excusas. El motivo real no tengo muy claro cuál era, salvo que me estaba replanteando el encaje del blog dentro de mi nuevo status profesional.

A partir de ahora voy a dirigir la línea de negocio de Control Corporativo y Cumplimiento Legal de Nextel en la zona Norte. Por un lado me voy a encargar del desarrollo de negocio en torno al diseño e implantación de modelos de control interno corporativo (COSO, CobiT, etc.), y por otro voy a asumir la labor de potenciar las áreas de negocio relacionadas con la legislación tecnológica (tanto las ya maduras como la LOPD o la LFE -firma electrónica-, como las más "nuevas" como ENS, ENI o Infraestructuras Críticas). Un reto profesional que asumo con mucha ilusión, pero también consciente del esfuerzo e implicaciones que puede suponer.

Y una de esas implicaciones era, precisamente, la neutralidad de este blog. Teniendo en cuenta que asumo unas funciones de mayor perfil comercial y de promoción e impulso de los servicios que ofrecemos desde Nextel, no tenía claro si iba a ser capaz de mantener un tono suficientemente neutro a la hora de posicionarme en los temas que trato en el blog. En más de una ocasión he caído en la tentación de "vender" los planteamientos de mi empresa, y no me gustaría que el blog se acabase convirtiendo en una herramienta de marketing o algo similar. Así que he estado dándole muchas vueltas, releyendo algunos post y tratando de ver cuáles pueden ser los límites que no debo cruzar.

Finalmente, he llegado a una conclusión: es posible continuar. Quizás me tenga que pensar más lo que escribo, o tenga que ser especialmente escrupuloso con el tono de ciertas críticas, pero creo que es posible mantener la neutralidad mínima requerida. Así que ya siento haber escrito tanto para acabar repitiendo el título del post, pero necesitaba explicarme:

Este blog sigue abierto.

13 julio 2011

La estrategia española de seguridad

Hace tres semanas pudimos conocer la Estrategia Española de Seguridad, el documento que recoge el planteamiento estratégico de seguridad previsto para los próximos 10 años. En él se analizan las amenazas y riesgos a nuestra seguridad, se identifican las líneas de respuesta y se definen los mecanismos de coordinación. En la práctica, se identifican las principales líneas de acción previstas para los próximos años en relación a las distintas amenazas identificadas en el documento.

Para todo aquél que no quiera analizar a fondo el documento, también existe la opción de revisar otro documento en el que se analiza dicha estrategia, comparándola además con las estrategias de seguridad de Estados Unidos, Reino Unido, la Unión Europea y la OTAN. Este documento es el Análisis comparativo de la estrategia española de seguridad, elaborado por el Instituto Español de Estudios Estratégicos.

No es mi intención hacer un análisis exhaustivo de dicho documento, pero sí destacar algunos aspectos que me parecen interesantes desde el punto de vista de la temática de este blog. El primero de ellos es que el desarrollo legislativo no es una línea de acción especialmente significativa, pero aparece citada en torno al crimen organizado y sobre todo en relación a las ciberamenazas. Parece que este sea el ámbito con mayores carencias legislativas, lo cual hace prever la futura aparición de nuevas leyes de carácter tecnológico en los próximos años.

Otro de los aspectos más destacable es la aparición de continuas referencias a las infraestructuras críticas. Se identifica la vigilancia y protección de las infraestructuras críticas por parte de los diferentes cuerpos de seguridad como una de las líneas de acción frente al terrorismo, así como la necesidad de gestionar los riesgos derivados de la participación de empresas extranjeras en la gestión de las infraestructuras críticas como una de las líneas de acción en torno a la inseguridad económica y financiera. También figura su protección como una de las líneas de acción encaminadas a proteger las líneas y redes de abastecimiento energético, pero sobre todo aparecen reseñadas en relación a la protección frente a las ciberamenazas y como uno de los elementos a proteger en sí mismos. Hace referencia al CNPIC y al Plan Nacional de Protección de las Infraestructuras Críticas, a la incidencia de los ciberataques sobre dichas infraestructuras, pero sobre todo incide en la necesidad de coordinación entre los agentes públicos y privados.

Por último, uno de los aspectos que más me han llamado la atención es la poca relevancia aparente que tiene el Esquema Nacional de Seguridad dentro de dicho documento. En torno a la ciberseguridad se identifican distintas líneas de acción de carácter público, centradas en la interconexión entre administraciones y la identidad digital (certificados electrónicos y DNIe), y se identifica el desarrollo del ENS como otra de ellas. No obstante, me parece destacable que se cite la necesidad de realizar auditorías que verifiquen la seguridad de los sistemas, ya que permite soñar con un futuro reforzamiento de este aspecto, que "anime" a las administraciones públicas a tomarse más en serio este tema.

En definitiva, un documento interesante que creo que debe ser conocido por cualquier que se mueva en este sector. Al menos, para poder anticipar por dónde pueden venir los futuros movimientos...

14 junio 2011

Ya no basta con ser como la mujer del césar

Seguro que todos hemos oído que en seguridad, como la mujer del césar, no sólo basta con ser honrado, también hay que parecerlo. Unas buenas medidas de seguridad no sólo tienen que ser eficaces, sino que tienen que parecerlo. El efecto disuasorio de la apariencia de seguridad no es en absoluto despreciable, y de hecho es una medida preventiva bastante eficiente. Y si no, que se lo pregunten a los instaladores de alarmas (que siempre colocan el cartel de "alarma conectada") o a los que colocan cámaras de seguridad "falsas".

La discusión entre cuál de los dos factores es más importante (y por tanto, cuál primar) tampoco es trivial, aunque el análisis es fácil de entender. La apariencia de seguridad es una medida de seguridad preventiva, que reduce la probabilidad de ocurrencia de un ataque (no de cualquier incidente, sólo de los malintencionados). Por contra, la seguridad eficaz pero no aparente puede ser una medida de seguridad preventiva, detectiva o reactiva, en función de lo cual va a reducir la probabilidad de ocurrencia del incidente en el primer caso o el impacto del mismo (directamente en el caso reactivo e indirectamente en el detectivo)en los restantes. Por tanto, primar uno u otro dependerá sencillamente de nuestro análisis de riesgos y de qué tipo de amenazas queramos mitigar.

Sin embargo, a día de hoy creo que no basta con tener en cuenta estos dos factores. Hay un tercer factor que cada día cobra más importancia a la hora de valorar una medida de seguridad: la fiabilidad de sus resultados. Es un factor que no es nuevo (que se lo pregunten a los fabricantes de IDS y los problemas causados por falsos positivos/negativos), pero que cada día cobra más importancia. La confiabilidad de las medidas de seguridad está relacionada con su sostenibilidad, y busca la certeza de que los resultados ofrecidos se puedan garantizar a lo largo del tiempo. De poco vale un buen control de accesos si no somos capaces de controlar los cambios que realizamos en su configuración, de forma que a la hora de la verdad no podamos asegurar si durante un ataque funcionó como queríamos que lo hubiera hecho.

El problema es que, a día de hoy, la mayor parte de los sistemas de seguridad (físicos, lógicos, o del tipo que sean) no están preparados para garantizar su fiabilidad a lo largo del tiempo. ¿Cuántos armarios son capaces de identificar unívocamente cada llave de acceso? ¿Cuántos firewalls son capaces de guardar la trazabilidad completa de los cambios de configuración sufridos? ¿Cuántos sistemas de ficheros están preparados para realizar auditorías periódicas de su contenido? Si alguien pone en duda la fiabilidad de las medidas de seguridad que tenemos dispuestas... ¿Estamos preparados para contestar?

06 junio 2011

El efecto mariposa de la seguridad

En estos últimos tiempos estamos presenciando cada vez más iniciativas legislativas en torno al sector de la seguridad. Por un lado, a principios del año pasado presenciábamos el nacimiento del ENS. Por otro lado, estas navidades veíamos cómo el nuevo Código Penal introducía el concepto de la culpa in vigilando en torno a la responsabilidad penal de las personas jurídicas, obligando a las organizaciones a garantizar el debido control corporativo. Este año hemos visto cómo, en un tiempo récord, surgía la Ley 8/2011 para la Protección de las Infraestructuras Críticas y el Real Decreto 704/2011 por el que se aprueba el Reglamento que desarrolla la LPIC. En todas ellas, la correcta aplicación y gestión de la seguridad de la información y los entornos TIC es el núcleo de su aplicación.

Después de ver este panorama, me asalta una duda existencial. Serán estas leyes las alas de la mariposa, y dentro de algún tiempo acabaremos viendo el tsunami provocado? O quizás debamos echar la vista atrás y buscar el aleteo que ha provocado este despliegue legislativo? Está sufriendo el sector su propio efecto mariposa?

26 mayo 2011

ENS practico

Hoy sólo quiero poner en común con todos vosotros un par de documentos que seguro que os sirven de ayuda si queréis acercaros a la parte práctica de una implantación de las medidas de seguridad que indica el Esquema Nacional de Seguridad:
En conjunto creo que constituyen una referencia bastante completa para "aterrizar" de forma sencilla las exigencias a veces abstractas que recoge el ENS. Es cierto que entre las dos son unas cuantas páginas a revisar, pero creo que merece la pena echarles un vistazo.

18 mayo 2011

El resumen de tu seguridad

Hace más de un mes que no publico nada. Sigo aquí, aunque por diversos motivos me he tenido que mantener off-line más tiempo del que me hubiera gustado. No obstante, espero que este alejamiento temporal pueda concluir dentro de no demasiado tiempo, y sobre todo que merezca la pena. Ya os contaré...

Hoy quiero referenciar un artículo que he leído en estos últimos tiempos, y que me ha parecido un estupendo alegato acerca de la utilidad de la declaración de aplicabilidad. No es muy extenso, y en cambio es tremendamente acertado, así que animo a todos a leerlo.

En resumidas cuentas, la declaración de aplicabilidad es el resumen de tu seguridad. Es un documento mediante el cual se puede realizar una aproximación sencilla, apta "para todos los públicos", del "tamaño" de tu seguridad. Hace ya mucho tiempo que hablé en el blog de las dimensiones de un SGSI, y sin embargo creo que a día de hoy su vigencia sigue intacta.

La ventaja que tiene este documento es que puede servir, sin comprometer demasiado la confidencialidad de la información asociada, para orientar a los clientes u otras partes interesadas sobre la "fortaleza" de tu seguridad, algo que puede ser muy útil a la hora de firmar acuerdos en los que la seguridad sea un factor importante a considerar. ¿Pediríais vosotros la declaración de aplicabilidad a un proveedor, por poner un ejemplo concreto, de servicios en la nube? ¿Qué otra documentación os parece importante solicitar (y pensáis que puede ser "conseguible"?

15 abril 2011

El futuro de los estandares de continuidad de negocio

El mundo de los estándares de continuidad de negocio está sufriendo un lento pero progresivo cambio. Por un lado, hace mes y medio que se publicó la ISO 27031, que sustituye e internacionaliza la antigua BS 25777 sobre continuidad TIC. Este hecho, además, supone reconocer la continuidad TIC como uno de los aspectos propios de la seguridad de la información, puesto que pasa a formar parte de la serie ISO 27000, pero por otro lado lo "aleja" de la continuidad de negocio, ya que el estándar que define los requisitos para el establecimiento de un sistema de gestión dentro de esta serie es la ISO 27001.

Por otro lado se va avanzando en la redacción del futuro estándar de continuidad ISO 22301, que establece los requisitos para un sistema de gestión de la continuidad. Curiosamente, el borrador actual parece que no utiliza el término "negocio", y en su lugar aparece el concepto "preparedness" (algo así como "estar listo para entrar en acción") para el que no se me ocurre un buen término en español. Esta norma sustituirá a la actual ISO 22399, y según parece también lo hará con las vigentes BS 25999 y UNE 71599. No obstante, en este caso el estándar no pertenece a la serie de seguridad de la información, sino que está desarrollado por el comité técnico ISO/TC 223 sobre "societal security" (término para el que tampoco se me ocurre una traducción apropiada, aunque el término seguridad corporativa quizás pueda valer). Por tanto, parece que la separación entre "negocio" y "tecnología" se acentúa en la evolución de estos estándares de continuidad a normas ISO, lo cual me agrada especialmente, como podréis suponer.

De todos modos, sigo viendo una importante carencia en este tipo de estándares de continuidad (al menos, a falta de una definición más exacta de su alcance). Carencia que, además, me da la sensación de que puede ser una de las causas de que su adopción no se esté extendiendo tan rápidamente como se preveía inicialmente. Y es carencia es que, en general, los riesgos que gestionan este tipo de estándares suelen ser riesgos operativos (u operacionales), mientras que cuando se habla de negocio en cualquier organización, todo el mundo suele pensar inicialmente en riesgos económico-financieros y/o como mucho en riesgos de mercado. Quizás el problema sea tan sólo el nombre (y ese pueda ser uno de los motivos por los que se ha eliminado el término "negocio" en la versión ISO), pero por otro lado estoy seguro de que si este tipo de estándares de gestión cubriesen de algún modo este tipo de riesgos más propios del "negocio" su adopción por parte de todo tipo de organizaciones sería mucho más amplia. ¿Estáis de acuerdo?

14 abril 2011

Publicada la nueva ISO/IEC 20000-1:2011

El pasado martes se publicó la nueva versión de la ISO 20000. Esta versión sustituye oficialmente a la ISO/IEC 20000-1:2005, y despeja todas las dudas acerca de su contenido. Ya está disponible! Ahora podremos verificar cuántas de las suposiciones previas y de los cambios previamente anunciados eran ciertas.... Al menos, lo que sí se puede comprobar es que efectivamente la nueva versión aumenta su tamaño en un 60%. ¿Serán también correctas el resto de las suposiciones? Seguro que tras una lectura detallada descubriremos la respuesta.

05 abril 2011

Seguridad y meta-gestión

La consultoría es un timo. Esa fue la frase que escuché hace unos días, al tiempo que la mitad de los presentes ponía (poníamos) una cara horrorizada -los "consultores"- y la otra mitad sonreía con gesto de aprobación -los "clientes". Y hablaba de consultoría de seguridad...

En el fondo, el que dijo aquella frase tenía algo de razón. Un consultor debería ser un consejero, alguien a quien le cuentas tus problemas (de seguridad, o de lo que sea) y te propone soluciones (buneas, bonitas, y baratas). Ni más, ni menos. Pero claro, piensas en la consultoría que hacen muchas organizaciones a día de hoy, y le entiendes. Documentación vendida "al peso", mínima personalización -cuando no copy-paste de algún otro cliente-, poca utilidad práctica... Es muy difícil entender que esos "entregables" son las soluciones prometidas.

Y en el mundo de la seguridad la situación todavía puede empeorar más. Normalmente los clientes tienen problemas de seguridad reales, han sufrido incidentes, sus máquinas son vulnerables, su personal "pasa" de la seguridad... y los consultores ni siquiera le ofrecen seguridad, sino gestión. Algunos, incluso meta-gestión: un consultor es la única persona capaz de darle a un cliente un procedimiento sobre cómo escribir procedimientos de seguridad sin necesidad de ayudarle a resolver los problemas (de seguridad) que deben arreglar esos procedimientos. ¿O no?

En el fondo, la situación no es tan absurda. Usando terminología "consultora", la clave es la forma de encarar el problema: top-down o botton-up. Podemos empezar por enseñar a gestionar y conseguir que esa gestión vaya consiguiendo una mejora de la seguridad aplicada, o empezar aplicando medidas de seguridad y luego enseñar cómo se deben gestionar. La aproximación "consultora", clásicamente "top-down", puede argumentar que estamos enseñando a pescar (o incluso a construir cañas, si pensamos en meta-gestión), pero se nos olvida un "detalle" fundamental: el cliente muchas veces tiene hambre. Y en función del tiempo que necesite para aprender a pescar, puede morir de hambre antes de haber aprendido...

En definitiva, creo que para perder el halo de "timo" que algunas personas asocian a la consultoría tenemos que empezar a ser más prácticos, entender más los problemas de nuestros clientes y poner los pies en la tierra a la hora de definir los "entregables". Resumiendo, enseñar a pescar está bien, pero os puedo asegurar -y más ahora que acabo de terminar de comer- que siempre se aprende más con el estómago lleno (los que no quieran perder la terminología "consultora" le pueden llamar quick-wins). 

24 marzo 2011

Se puede decidir basándose en el riesgo?

Hace unos días estuve inmerso en una interesante discusión en torno a las causas y consecuencias del incidente de la central nuclear de Fukushima. El estupendo artículo escrito por Javier Cao sobre el posible fallo en la seguridad de la central nos sirvió para aportar algo de luz a la discusión, pero la verdad es que la discusión acabó cuestionando el propio núcleo de la seguridad, la gestión de riesgos, hasta acabar preguntándonos si realmente tiene sentido hacer los análisis de riesgos como los hacemos.

El problema es fácil de explicar en términos de un simple análisis de riesgos: un activo (la central) de bastante valor, una amenaza (la catástrofe nuclear) de muy baja probabilidad de ocurrencia (tres casos a nivel mundial en la historia de la energía nuclear) y un impacto altísimo (la muerte, inmediata o aplazada, de las personas que estén a varios kilómetros a la redonda) si llega a ocurrir. Unido al análisis de ese riesgo, el beneficio asociado: la producción eficiente y barata de energía eléctrica. ¿Qué hacer?

Para simplificar el análisis, voy a hacer una rápida aproximación (trivial, lo sé): Riesgo (1-125) = Activo (1-5) x Amenaza (1-5) x Impacto (1-5). En este caso, R1 = 4 x 1 x 5 = 20/125 = 16%.

Viendo este cálculo, cualquiera podría decir que un riesgo del 16% se puede considerar bajo, y en consecuencia asumible, a priori.

Ahora, comparémoslo con otro caso, como puede ser un accidente de aviación: un avión (de no mucho valor comparado con la central), la amenaza de que se estrelle (cuya frecuencia de ocurrencia, viendo los datos estadísticos mundiales, es significativamente más alta que la anterior) y un impacto también asociado a la pérdida de vidas humanas, pero de menor incidencia que el anterior. El beneficio, en este caso, es el transporte rápido y relativamente eficiente de personas.

De nuevo voy a hacer un ejercicio de libro para simplificar este otro caso: R2 = 2 x 3 x 4 = 24/125 = 19%.

También tenemos un riesgo bajo, de un orden de magnitud comparable con el caso anterior, aunque su resultado es mayor (lo sé, ambos cálculos pueden ser discutibles, y es evidente que los números están elegidos a propósito, pero me parece un ejemplo ilustrativo).

Por último, un tercer ejemplo: un atentado terrorista con pre-aviso en la sede de una bolsa. En este caso, el valor del activo (la bolsa) probablemente será más alto que el del avión, la probabilidad de ocurrencia a nivel mundial puede ser comparable, y el impacto, aunque no provoque muertes, puede tener consecuencias económicas muy importantes para el país. En este caso, el cálculo podría ser R3 = 4 x 3 x 3 = 36/125 = 29%.

Y ahora empiezan los cuestionamientos a este planteamiento. Para empezar, uno sencillo, matemático: ¿Si hablamos de vidas humanas comparadas con pérdidas económicas, realmente deberíamos valorar el impacto con la misma escala? ¿La escala de impactos debería ser lineal o exponencial? ¿No estaremos simplificando mucho la fórmula de cálculo del riesgo? Porque una excesiva simplificación nos podría llevar a trivializar ciertos riesgos...

En segundo lugar, un cuestionamiento más filosófico, de fondo. En los casos en los que el impacto es tan brutal... ¿Es conveniente tener en cuenta la probabilidad de ocurrencia de las amenazas? ¿O quizás no se debería valorar el riesgo, sino sólo el impacto ponderado? De esa forma nos estaríamos cubriendo frente a cisnes negros, cuya probabilidad de ocurrencia, por definición, es incalculable. ¿Deberíamos hacer sustituir los análisis de riesgos por los análisis de impactos, como se hace al valorar la continuidad? En ese caso, el resultado cambiaría mucho:

I1(desastre nuclear) = 20/25 = 80%  >>  I3(atentado bolsa) = 12/25 = 48%  >>  I2(accidente aéreo) = 12/25 = 32%

Ahora otra duda filosófica. ¿Cómo entra en la ecuación el beneficio (en este caso, beneficio obtenido de la asunción del riesgo)? En el ejemplo no me he atrevido a cuantificar el beneficio de cada uno de los tres casos, pero... ¿Es la ecuación coste/beneficio (riesgo/beneficio en nuestro caso) una ecuación válida? Y lo que es más importante (sin entrar en el cuestionamiento matemático): ¿Podrían existir casos en los que un riesgo (o un impacto) fuese tan alto que no se debiera considerar la posibilidad de aceptarlo, independientemente del beneficio asociado? (y ojo, que esta duda filosófica no es una cuestión trivial, ya que subyace tanto en el debate nuclear como en la crisis de las sub-prime).

Por último, otro cuestionamiento más clásico. ¿Debe cambiar nuestra decisión, o nuestra valoración, en función de la cercanía temporal con un incidente en el que se haya materializado la amenaza cuyo riesgo estamos evaluando? ¿Y si el incidente es un cisne negro?

En definitiva, con este post (ya siento que me haya quedado un poco largo) quería poner de manifiesto un problema del que, de una forma u otra, se está hablando mucho últimamente: es posible que los gobiernos tomen decisiones sin haber hecho un análisis excesivamente profundo sobre los riesgos asociados a esas decisiones, y probablemente un análisis más detallado les permitiría tomar decisiones más razonadas. Pero tampoco caigamos en la tentación de pensar que un análisis correcto va a llevar automáticamente a una decisión acertada, porque... realmente la herramienta de análisis y decisión es correcta? ¿Es realmente el análisis de riesgos una herramienta válida para la toma de este tipo de decisiones? Si has leído hasta aquí seguro que tienes tu propia opinión al respecto... ¿La compartes?

15 marzo 2011

Límites legales a la seguridad

Como todos sabréis, no soy abogado. Muchas veces me cuesta bastante entender la forma de pensar de los licenciados en derecho, tan enrevesada para un ingeniero. Y más cuando se ponen a hablar de cosas tan "simples" como la tecnología o la gestión. Sin embargo, no puedo evitar que la legislación tecnológica me parezca un tema apasionante, y más cuando se entremezclan aspectos "importantes de verdad" como los derechos y deberes de las personas o de las empresas. Así que muchas veces caigo en la tentación de abordar temas en los que realmente no soy experto, pero sobre los que no puedo evitar mojarme. Sólo espero que nadie considere que mis posturas están más autorizadas que otras por el mero hecho de decidirme a plasmarlas en un blog...

Dicho esto, algo que me satisface enormemente suele ser encontrarme con textos en los que personas realmente autorizadas, como creo que son los juristas especializados en nuevas tecnologías, escriben sobre estos temas en lenguaje apto para el común de los mortales. Y hoy quiero referenciar dos de ellos que han caído recientemente en mis manos:
Si a vosotros también os interesan estos temas, seguro que los encontráis muy apetecibles.

08 marzo 2011

ISO 20000, servicios y subcontrataciones

Poco a poco vamos descubriendo los cambios que se han introducido en la nueva versión de la ISO 20000, cuya publicación se espera para Mayo de este año. De acuerdo a las explicaciones de la editora de la nueva parte 1 de la norma, parece que algunos son más bien "cosméticos" (actualizaciones y aclaraciones, principalmente, pero sin modificar el núcleo del contenido), pero hay dos cambios que creo que son especialmente destacables: los relativos a los servicios y a las subcontrataciones.

El primero de ellos es un cambio que puede parecer simple pero que a mí me parece fundamental: se introduce la definición de servicio. Ahora ya no habrá que elucubrar sobre qué es un servicio (¿TI?) desde el punto de vista del estándar, puesto que ya se define. Además, el nuevo enunciado del estándar introduce varias referencias en torno al establecimiento del alcance, incluyendo el requisito de identificar en él los servicios cubiertos por el Sistema de Gestión de Servicios (SGS). Con todo ello, es probable que la acotación de los servicios susceptibles de ser certificables bajo ISO 20000 sea más sencilla, aunque parece ser que en este punto no ha habido cambios respecto a la filosofía vigente en la versión actual.

El segundo de los cambios, que me parece MUY importante conociendo la casuística del sector TIC actual, pasa por aclarar una situación cada vez más demandada: qué ocurre en los casos en los que la prestación de servicios TI está subcontratada. Y la moraleja es muy sencilla: es posible certificar un SGS siempre que TODOS los requisitos propios del Sistema de Gestión los cumpla directamente la propia organización que se certifica, mientras que el resto de las exigencias (tanto la planificación de los servicios como los 13 procesos "clásicos") pueden estar subcontratadas y gobernadas mediante el ejercicio del "control de gestión".  Este cambio, desde mi punto de vista fundamental, facilita la certificación de grandes organizaciones que habitualmente tienen los servicios TIC subcontratados, ya que este "nuevo" modelo de alcance certificable encaja a la perfección con su filosofía habitual... ¿Servirá este cambio para provocar un incremento en la tasa de nuevas certificaciones en ISO 20000? Yo apostaría a que sí...

28 febrero 2011

Conclusiones del CNIS

Después de haber asistido al CNIS, y en paralelo a las conclusiones oficiales publicadas por la organización, aquí tenéis mis impresiones del congreso: 
  • Una gran cantidad de administraciones públicas todavía no se ha enfrentado a la adecuación al ENS. Según se podría esperar, los ministerios son los que demuestran una mayor iniciativa, mientras que los ayuntamientos son, en general, los menos activos.
  • Todas las administraciones públicas que han iniciado el proceso de adecuación al ENS se han acogido a la prórroga de 3 años que permite el haber desarrollado el Plan de Adecuación correspondiente. A día de hoy ninguna administración parece haber superado ese hito, y aunque algunos titulares puedan sugerir lo contrario, nadie ha completado el proceso.
  • La mayor parte de las administraciones que concretaron la categorización de sus sistemas indicaron que éstos eran de nivel alto de seguridad, sólo una comentó que sus sistemas eran de nivel medio. Este hecho, unido a la afirmación del CCN de que el nivel alto iba a requerir bastante más trabajo, hace prever periodos de adecuación efectiva bastante prolongados, de modo que difícilmente veremos declaraciones reales de cumplimiento antes de 2014.
  • La mayor parte de las administraciones públicas, al hablar del ENI, se limitan a detallar los distintos componentes técnicos en los que basan su arquitectura de e-administración. La mayor parte de los avances realizados en torno a la interoperabilidad se concentran en la formalización de protocolos y formatos que previamente ya estaban estandarizados o constituían estándares de facto.
  • Uno de los ámbitos del ENI en los que más avances ha habido, sorprendentemente (al menos, para mi), es en la creación de nodos de interoperabilidad. Me ha llamado mucho la atención que uno de los aspectos más vagos y ambiguos del ENI sea precisamente en el que más avances concretos ha habido.
Por último, uno de los aspectos más destacables del congreso me temo que sigue siendo una de las principales lacras de la administración pública: la política pesa más que la técnica. Administraciones públicas que no hablan entre ellas, proyectos idénticos en parelelo, nodos de interoperabilidad que no interoperan entre sí. En definitiva, mucho dinero público mal invertido por cuestiones que nada tienen que ver con la técnica. Creo que sería muy importante que todas las administraciones públicas tuvieran mucho más presente el espíritu del ENI, y que tuvieran la mente más abierta cuando leen eso de la "reutilización", máxime en tiempos de recortes presupuestarios. ¿No creéis?

18 febrero 2011

Congreso Nacional de Interoperabilidad y Seguridad

Hay que reconocer que los eventos en torno al Esquema Nacional de Seguridad despiertan cada día más interés, por mucho que su cumplimiento sea hoy por hoy prácticamente una utopía. Parece que, si te pierdes uno, quedas desactualizado. Y como no quiero correr el riesgo, el martes y miércoles de la semana que viene estaré por Madrid en el CNIS, con la intención de palpar de primera mano la situación real del sector. Ya os contaré cuál es mi percepción. Nos vemos...

17 febrero 2011

Responsabilizarse de los incidentes

Si tienes un incidente de seguridad, lo pagas. Aunque tengas medidas de seguridad, aunque se demuestre que son efectivas, aunque quede demostrado que el incidente se debe a que una persona concreta ha incumplido la normativa de seguridad establecida... la organización es la culpable. Al menos, en lo referente a la LOPD, según se deduce de una sentencia de la AEPD que he conocido a través de uno de los últimos post de Samuel Parra.

La clave, según parece, es que la vulneración del deber de secreto es una infracción de resultado, es decir, que lo relevante es el resultado del incidente, la vulneración de la confidencialidad, independientemente de los medios dispuestos por la organización para evitar que se produzcan los incidentes. Estos medios permitirán "modular" la sanción, pero siempre dentro del rango que le corresponde, que en este caso es el de "muy grave". Si estuviesemos ante una empresa privada, por mucho SGSI que pudiera tener la empresa, o por muy eficaces que pudieran ser las medidas de seguridad existentes, esa fuga de información llevada a cabo por un empleado concreto le hubiera supuesto pagar como mínimo 300 000 €. Y la verdad es que no me parece justo. Si queda probado que el incidente de seguridad se debe a la responsabilidad personal de un usuario que ha violado, intencionada y conscientemente, las medidas de seguridad dispuestas por la organización, creo que la sanción no es justa. Desde mi punto de vista, esa situación debería poder permitir que la sanción asociada tuviese distinta graduación. De acuerdo con estas consideraciones, la verdad es que la reforma de la LOPD que proponía CiU como enmienda a la famosa Ley Sinde tenía buena pinta. Al menos, tenía en consideración estos aspectos...

Con este artículo tampoco quiero dar la impresión de que las organizaciones no se deben responsabilizar de sus incidentes de seguridad. De hecho, creo que debería ser todo lo contrario, y que deberíamos fijarnos un poco más en nuestros "vecinos" estadounidenses a la hora de asumir responsabilidades por las consecuencias de los incidentes de seguridad sufridos. Pero también creo que esa asunción de responsabilidades debe tener un límite, que debería ser precisamente esa frontera entre la responsabilidad de la organización y la responsabilidad personal de cada uno de sus miembros.

ACTUALIZACIÓN: Por lo que he podido saber, parece que la reforma de la LOPD de la que hablaba ha sido aprobada como la disposición adicional quincuagésimo octava de la Ley de Economía Sostenible.

10 febrero 2011

Cambios en la nueva ISO 20000

Por lo que tengo entendido, se aproximan importantes cambios en la nueva ISO 20000. La nueva versión de la norma ISO 20000, que pasará a ser ISO/IEC 20000-1:2011, ya está cerrada, y la fase de votaciones ya ha concluido, así que, salvo sorpresas, en las próximas fechas podremos ver la nueva edición del estándar.

Una nueva versión del estándar que introduce, por lo que me he podido enterar, cambios destacables. El más evidente es su "crecimiento", ya que pasa de 16 a 26 páginas (aunque no tengo muy claro si en estas 26 páginas incluyen el control de cambios, en cuyo caso dicho crecimiento sería significativamente menor). Además, esta nueva versión ya indica claramente en su título que su contenido contempla los requisitos para un sistema de gestión de servicios. Pero quizás el cambio más significativo es precisamente ése, que se limita a hablar de sistema de gestión de servicios, sin incluir el apellido TI. Cambio que en principio podría ser símplemente consmético, ya que la primera parte del título es precisamente esa ("Information Technology"), pero que en realidad introduce una modificación sustancial en el ámbito del estándar, ya que su contenido pasaría a ser válido para certificar, potencialmente, el sistema de gestión de cualquier tipo de servicios. Sin conocer el texto de esta nueva versión, la interpretación que yo hago de este cambio es que podría servir para poder certificar bajo este estándar servicios que, relacionados con las TIC, antes no se consideraban certificables, por ser principalmente servicios "profesionales" (en contraposición con los servicios TI "puros", como ya he comentado en alguna otra ocasión). ¿Será una interpretación válida? ¿Tenéis alguna información más al respecto de los cambios de esta nueva versión? ¿Estáis de acuerdo con esta interpretación? Seguro que todos los lectores del blog estamos encantados de conocer otras opiniones al respecto.

ACTUALIZACIÓN: Parece que ya tenemos algo más de información sobre los cambios de la nueva versión de la ISO 20000 (Joserra, gracias por el link). En general, cambios que aportan mayor consistencia al modelo, pero sin afectar significativamente a su implementación. ¿Habrá realmente un cambio en el espíritu de la norma? Posiblemente lo descubriremos en el próximo Forum ISO 20000.

02 febrero 2011

Y ahora que?

Reconozco que llevo unos cuantos días sin postear nada. La verdad es que el trabajo de estos últimos días ha sido constante. Proyectos que tienen que acabar, proyectos que ya deberían haber empezado... Como cualquier otro Enero, salvo porque este año el ENS (Esquema Nacional de Seguridad) ya está aquí.

Por si alguien no era consciente, ya se ha cumplido un año desde la publicación del Real Decreto 3/2010 por el que se regula el Esquema Nacional de Seguridad. Según su disposición transitoria, a los doce meses de su entrada en vigor (que se produjo el día 30 de Enero de 2010, ya que fue publicado el día 29) todas las administraciones públicas deberían haber adecuado sus sistemas de información, o al menos deberían contar con un plan de adecuación aprobado. Es decir, que desde el pasado domingo todas las administraciones públicas de este país deberían contar con un plan de adecuación al ENS o con una declaración de conformidad publicada en su sede electrónica indicando su cumplimiento.

Sin embargo, el panorama real dista bastante del deseado. A día de hoy sólo algunos ministerios tienen una declaración de conformidad publicada, que en muchos casos no supone un cumplimiento real sino un "disfraz" del plan de adecuación, y una búsqueda de planes de adecuación tampoco ofrece resultados muy diferentes. La mayor parte de las administraciones públicas no cumplen lo exigido por el Real Decreto.

¿Y ahora, qué va a pasar? Una de las principales críticas que se le hacía al ENS era que no iba acompañado de un régimen sancionador específico, de modo que su incumplimiento no supone una sanción específica, más allá de las que se puedan derivar de que una administración pública incumpla un Real Decreto. ¿Hay alguna forma práctica de "impulsar" la acometida de este tipo de proyectos? ¿O seguirá la seguridad de estos servicios a merced de iniciativas políticas que poco tienen que ver con una preocupación real por los ciudadanos? ¿Quizás los acontecimientos recientes relacionados con la seguridad de la información hayan podido influir en la percepción que las administraciones públicas tienen de la seguridad de sus servicios electrónicos? ¿O sus dirigentes seguirán pensando eso de "a mí no me pueden pasar esas cosas? Quizás es que hoy me he levantado pesimista, pero un panorama tan lleno de dudas me parece desalentador.

11 enero 2011

Hacking legal

Hoy sencillamente quiero referenciar un artículo de Jorge Bermúdez, un fiscal especialista en delitos informáticos, en el que nos explica un "hack legal" (no recuerdo dónde ví este término, pero la verdad es que me gustó) que permite la realización de hacking ético de manera legal dentro del nuevo código penal, en vigor desde finales del año pasado y que considera el hacking como un comportamiento delicitivo (simplificando).

Por tratar de explicarlo, el artículo 197, apartado 3º viene a decir que cualquiera que vulnere las medidas de seguridad de un sistema informático y acceda a sus datos o programas sin el permiso de sus dueños puede acabar en la cárcel. La clave parece estar en el concepto de sistema informático, válida tanto para servidores u ordenadores personales como para software, aplicaciones o incluso servicios tipo SaaS, y en el permiso de los dueños, que muchas veces no queda claro quiénes son. Normalmente los pen-test se suelen llevar a cabo con el permiso (y normalmente petición expresa) de los dueños, pero la labor de investigación y búsqueda de vulnerabilidades en general suele ser más proactiva, normalmente llevada a cabo por los usuarios "afectados" sin informar de ella al responsable de la aplicación o servicio salvo en caso de que el resultado sea fructífero. Y es aquí donde pueden surgir los problemas.

En el artículo se plantea como solución al problema la invocación de una norma legal presente en el Código Civil denominada "cuasicontrato de gestión de negocios ajenos" (vaya nombrecito, eh?), que podría amparar este tipo de actividades. ¿Que en qué consiste? Os animo a leer la explicación en el artículo original, que yo no soy jurista y prefiero no equivocarme al tratar de explicarlo...

10 enero 2011

Trabajar con personas

Un artículo publicado por Javier Cao relativo a las fugas de información en Renault me ha llevado a retomar una reflexión que planteé hace ya unos meses: para gestionar adecuadamente su seguridad, las organizaciones deben gestionar la "inteligencia emocional corporativa". O dicho de otra forma: los modernos departamentos de Recursos Humanos tienen mucho que decir en ésto de la seguridad.

Me explico. No hace falta decir que la seguridad depende de las personas. Depende de ellas, entre otras cosas, como origen de ciertas amenazas: las derivadas de sus acciones involuntarias (errores) y las derivadas de sus acciones voluntarias malintencionadas (ataques). Evidentemente estas últimas sean probablemente las más peligrosas de todas las amenazas posibles, ya que su impacto será el más elevado posible para cada atacante, pero es que además estos riesgos tienen realimentación positiva: su probabilidad de ocurrencia crece con el nivel de motivación contra la empresa, y esa misma motivación hace que el impacto crezca, ya que se buscará el mayor éxito posible en el ataque. Por tanto, las organizaciones que quieran minimizar estos riesgos tendrán que aplicar políticas activas de Recursos Humanos encaminadas a mantener contento al personal de la organización, con el fin de que los niveles de motivación contra la empresa sean bajos. Aplicando buenos salarios, motivando, estableciendo buenos mecanismos de recompensa y reconocimiento... En definitiva, haciendo todo lo que se espera de un moderno departamento de Recursos Humanos.

Sin embargo, el diálogo con RR.HH. suele ser una de las áreas más retadoras para un buen responsable de seguridad: clásicamente suelen ser tecnólogos, más acostumbrados a hablar de políticas de contraseñas que de motivación a los usuarios, y que normalmente se entienden mejor con las áreas técnicas (o en estos últimos tiempos incluso con la dirección) que con los psicólogos, sociólogos y gestores que suele haber en los departamentos de RR.HH. De hecho, ni siquiera a nosotros mismos nos suena convincente cuando vamos a pedirle a Recursos Humanos que tenga en cuenta la seguridad a la hora de establecer sus políticas. Habrá llegado el momento del reciclaje? Tendremos que aprender a hablar de premios y motivaciones? O quizás está llegando el momento de que el perfil del responsable de seguridad cambie? Espero vuestras opiniones al respecto.

04 enero 2011

Un año más

Como siempre que comienza un año, es tiempo de pronósticos, deseos y buenas intenciones, aunque muchas veces corramos el riesgo de equivocarnos o incumplir esos ambiciosos objetivos de año nuevo. La verdad es que no creo ser un buen futurólogo, pero aquí os dejo algunas reflexiones de por dónde creo que puede ir el año en nuestro sector, por si suena la flauta:
  • Aunque para estas fechas todas las Administraciones Públicas ya deberían tener finalizado su Plan de Adecuación al Esquema Nacional de Seguridad (con margen para aprobarlo formalmente antes de fin de mes), probablemente este sea el año en que empecemos a ver los primeros planes, y no necesariamente a principios. Los recortes presupuestarios van a hacer mella en las Administraciones Públicas, y sólo los alumnos más aventajados podrán alardear del cumplimiento del ENS allá por finales de año (y con suerte). Éso sí, probablemente este sea el año de la explosión de las sedes electrónicas de la administración autonómica, provincial y local, y las veremos ir surgiendo como setas a lo largo de todo el año. 
  • Seguro que este año se va a hablar mucho de la protección de las infraestructuras críticas, tanto por la aprobación de la correspondiente Ley como a causa de algún destacable incidente que lamentablemente acabe sucediendo, y que seguro que se utiliza para dar relevancia a la cuestión. Sin embargo, tengo la sensación de que este no va a ser el año de las grandes inversiones en este tema.
  • Acabaremos el año diciendo del Cloud Computing exactamente lo mismo que se dice ahora. Algunas empresas se subirán a la nube, y seguro que siguen apareciendo argumentos a favor de ello, pero probablemente la mayoría se quede más o menos como está.
  • No creo que vayamos a ver una explosión en el mundo de las certificaciones de sistemas de gestión "tecnófilos". Tengo la sensación de que el ritmo de crecimiento de las certificaciones ISO 27001 se va a reducir, aunque seguirá siendo importante, y el de las ISO 20000 se va a mantener, con un crecimiento no tan importante como el de las primeras pero destacable en cualquier caso. Y probablemente veamos aparecer las primeras certificaciones en UNE 71599, aunque no creo que este vaya a ser el año de la continuidad de negocio.
  • En el mundo de la seguridad TIC no creo que vaya a haber cambios significativos. Las empresas seguirán ampliando poco a poco sus soluciones de seguridad para ir orientándolas hacia el mundo móvil, aunque muy por detrás de la adopción de tecnologías móviles por parte de los usuarios y casi siempre de forma reactiva. No obstante, tengo la esperanza de que este no sea el año del boom del malware móvil, y por tanto no creo que la vulnerabilidad de las organizaciones en su parque TIC móvil vaya a crecer a mayor ritmo que en el 2010.
En resumen, no creo que vaya a haber muchos cambios en el sector a lo largo de este año. Me parece que va a ser un año de transición, de "quiero pero voy a esperar un poco más", y que probablemente el año 2012 sea un año mucho más ajetreado en este sector. Pero como he dicho al principio, las predicciones están para no ser cumplidas, así que ya veremos cómo va el año y cuánto he acertado a la hora de hacerlas. Mientras tanto...

Feliz año 2011 a todos los lectores del blog