11 enero 2011

Hacking legal

Hoy sencillamente quiero referenciar un artículo de Jorge Bermúdez, un fiscal especialista en delitos informáticos, en el que nos explica un "hack legal" (no recuerdo dónde ví este término, pero la verdad es que me gustó) que permite la realización de hacking ético de manera legal dentro del nuevo código penal, en vigor desde finales del año pasado y que considera el hacking como un comportamiento delicitivo (simplificando).

Por tratar de explicarlo, el artículo 197, apartado 3º viene a decir que cualquiera que vulnere las medidas de seguridad de un sistema informático y acceda a sus datos o programas sin el permiso de sus dueños puede acabar en la cárcel. La clave parece estar en el concepto de sistema informático, válida tanto para servidores u ordenadores personales como para software, aplicaciones o incluso servicios tipo SaaS, y en el permiso de los dueños, que muchas veces no queda claro quiénes son. Normalmente los pen-test se suelen llevar a cabo con el permiso (y normalmente petición expresa) de los dueños, pero la labor de investigación y búsqueda de vulnerabilidades en general suele ser más proactiva, normalmente llevada a cabo por los usuarios "afectados" sin informar de ella al responsable de la aplicación o servicio salvo en caso de que el resultado sea fructífero. Y es aquí donde pueden surgir los problemas.

En el artículo se plantea como solución al problema la invocación de una norma legal presente en el Código Civil denominada "cuasicontrato de gestión de negocios ajenos" (vaya nombrecito, eh?), que podría amparar este tipo de actividades. ¿Que en qué consiste? Os animo a leer la explicación en el artículo original, que yo no soy jurista y prefiero no equivocarme al tratar de explicarlo...

10 enero 2011

Trabajar con personas

Un artículo publicado por Javier Cao relativo a las fugas de información en Renault me ha llevado a retomar una reflexión que planteé hace ya unos meses: para gestionar adecuadamente su seguridad, las organizaciones deben gestionar la "inteligencia emocional corporativa". O dicho de otra forma: los modernos departamentos de Recursos Humanos tienen mucho que decir en ésto de la seguridad.

Me explico. No hace falta decir que la seguridad depende de las personas. Depende de ellas, entre otras cosas, como origen de ciertas amenazas: las derivadas de sus acciones involuntarias (errores) y las derivadas de sus acciones voluntarias malintencionadas (ataques). Evidentemente estas últimas sean probablemente las más peligrosas de todas las amenazas posibles, ya que su impacto será el más elevado posible para cada atacante, pero es que además estos riesgos tienen realimentación positiva: su probabilidad de ocurrencia crece con el nivel de motivación contra la empresa, y esa misma motivación hace que el impacto crezca, ya que se buscará el mayor éxito posible en el ataque. Por tanto, las organizaciones que quieran minimizar estos riesgos tendrán que aplicar políticas activas de Recursos Humanos encaminadas a mantener contento al personal de la organización, con el fin de que los niveles de motivación contra la empresa sean bajos. Aplicando buenos salarios, motivando, estableciendo buenos mecanismos de recompensa y reconocimiento... En definitiva, haciendo todo lo que se espera de un moderno departamento de Recursos Humanos.

Sin embargo, el diálogo con RR.HH. suele ser una de las áreas más retadoras para un buen responsable de seguridad: clásicamente suelen ser tecnólogos, más acostumbrados a hablar de políticas de contraseñas que de motivación a los usuarios, y que normalmente se entienden mejor con las áreas técnicas (o en estos últimos tiempos incluso con la dirección) que con los psicólogos, sociólogos y gestores que suele haber en los departamentos de RR.HH. De hecho, ni siquiera a nosotros mismos nos suena convincente cuando vamos a pedirle a Recursos Humanos que tenga en cuenta la seguridad a la hora de establecer sus políticas. Habrá llegado el momento del reciclaje? Tendremos que aprender a hablar de premios y motivaciones? O quizás está llegando el momento de que el perfil del responsable de seguridad cambie? Espero vuestras opiniones al respecto.

04 enero 2011

Un año más

Como siempre que comienza un año, es tiempo de pronósticos, deseos y buenas intenciones, aunque muchas veces corramos el riesgo de equivocarnos o incumplir esos ambiciosos objetivos de año nuevo. La verdad es que no creo ser un buen futurólogo, pero aquí os dejo algunas reflexiones de por dónde creo que puede ir el año en nuestro sector, por si suena la flauta:
  • Aunque para estas fechas todas las Administraciones Públicas ya deberían tener finalizado su Plan de Adecuación al Esquema Nacional de Seguridad (con margen para aprobarlo formalmente antes de fin de mes), probablemente este sea el año en que empecemos a ver los primeros planes, y no necesariamente a principios. Los recortes presupuestarios van a hacer mella en las Administraciones Públicas, y sólo los alumnos más aventajados podrán alardear del cumplimiento del ENS allá por finales de año (y con suerte). Éso sí, probablemente este sea el año de la explosión de las sedes electrónicas de la administración autonómica, provincial y local, y las veremos ir surgiendo como setas a lo largo de todo el año. 
  • Seguro que este año se va a hablar mucho de la protección de las infraestructuras críticas, tanto por la aprobación de la correspondiente Ley como a causa de algún destacable incidente que lamentablemente acabe sucediendo, y que seguro que se utiliza para dar relevancia a la cuestión. Sin embargo, tengo la sensación de que este no va a ser el año de las grandes inversiones en este tema.
  • Acabaremos el año diciendo del Cloud Computing exactamente lo mismo que se dice ahora. Algunas empresas se subirán a la nube, y seguro que siguen apareciendo argumentos a favor de ello, pero probablemente la mayoría se quede más o menos como está.
  • No creo que vayamos a ver una explosión en el mundo de las certificaciones de sistemas de gestión "tecnófilos". Tengo la sensación de que el ritmo de crecimiento de las certificaciones ISO 27001 se va a reducir, aunque seguirá siendo importante, y el de las ISO 20000 se va a mantener, con un crecimiento no tan importante como el de las primeras pero destacable en cualquier caso. Y probablemente veamos aparecer las primeras certificaciones en UNE 71599, aunque no creo que este vaya a ser el año de la continuidad de negocio.
  • En el mundo de la seguridad TIC no creo que vaya a haber cambios significativos. Las empresas seguirán ampliando poco a poco sus soluciones de seguridad para ir orientándolas hacia el mundo móvil, aunque muy por detrás de la adopción de tecnologías móviles por parte de los usuarios y casi siempre de forma reactiva. No obstante, tengo la esperanza de que este no sea el año del boom del malware móvil, y por tanto no creo que la vulnerabilidad de las organizaciones en su parque TIC móvil vaya a crecer a mayor ritmo que en el 2010.
En resumen, no creo que vaya a haber muchos cambios en el sector a lo largo de este año. Me parece que va a ser un año de transición, de "quiero pero voy a esperar un poco más", y que probablemente el año 2012 sea un año mucho más ajetreado en este sector. Pero como he dicho al principio, las predicciones están para no ser cumplidas, así que ya veremos cómo va el año y cuánto he acertado a la hora de hacerlas. Mientras tanto...

Feliz año 2011 a todos los lectores del blog