15 mayo 2014

Ni Google ni AEPD: La tercera vía

Estoy seguro de que a estas alturas todo el mundo ha oído hablar del fallo del TJUE contra Google en relación al llamado "derecho al olvido". Las noticias sobre Google y el derecho al olvido han llegado prácticamente a colapsar los temas de debate de los últimos días en los foros especializados. Sin embargo, estoy bastante decepcionado con todas las aproximaciones que he leído al respecto, ya que, tanto a favor como en contra, se limitan (en los mejores casos) a cuestionar los argumentos, pero sin plantear alternativas.

Personalmente, reconozco que la sentencia me ha sorprendido. Sin entrar en términos técnicos, los buscadores son meros intermediarios, y aceptar que la defensa de la privacidad se puede dirigir contra el mensajero (en lugar de dirigirse contra quien publica realmente la información) me parece peligroso. Si el intermediario tiene que dejar de ser neutral... es cuestión de tiempo que esa falta de neutralidad de subvierta.

Sin embargo, esto no quiere decir que el buscador no tenga ninguna responsabilidad. Obviamente es él quien ordena la información antes de mostrársela al usuario, en base a sus famosos (aunque desconocidos) algoritmos, y por lo tanto quien decide la relevancia del contenido. Y en esa relevancia, en ese orden, creo que es donde puede estar la tercera vía.

En el fondo, olvidar es un proceso natural por el cual nuestros recuerdos van siendo enterrador debajo de otros más recientes, de forma que cada vez sean menos patentes. Mi propuesta sería tan simple (de entender, al menos) como exigir que los buscadores incorporasen en su algoritmo un proceso similar, por el cual el contenido "antiguo" es progresivamente relegado a un puesto inferior en la lista de resultados según va pasando el tiempo. De este modo, el contenido no desaparece, pero sólo quien esté suficientemente interesado en "recordar" va a ser capaz de llegar a la información que busca (o a encontrarse con ella).

De hecho, este planteamiento ni siquiera es nuevo para Google. En su motor de búsqueda de noticias, Google News, ya incorpora esta funcionalidad. ¿Por qué no adoptar el mismo planteamiento? No sólo estarían favoreciendo el "derecho al olvido", sino que además estarían aproximando el funcionamiento del algoritmo al funcionamiento del cerebro humano. ¿No os parece que ganamos todos?

07 abril 2014

No te defiendas. Recupérate

Reconozco que últimamente no me prodigo mucho en el blog. La verdad es que llevo una temporada bastante ocupado... pero hoy quiero compartir con todos vosotros uno de los temas que me están manteniendo ocupado estos últimos tiempos.

Los que leéis el blog habitualmente ya sabréis que llevo bastante tiempo dándole vueltas a la idea de que la seguridad, tal y como se plantea a día de hoy, está condenada al fracaso. A lo largo de la historia hemos levantado muros, portado escudos, instalado firewalls o desplegado antivirus con el fin de protegernos frente a los ataques... sabiendo que, tarde o temprano, nuestras defensas iban a ser inevitablemente vulneradas. Día tras día comprobamos eso de que la seguridad total es imposible... y pese a todo nos seguimos empeñando en tratar de alcanzarla.

Frente a este planteamiento, un poco ilógico si lo pensamos fríamente, quiero abogar por un cambio total de paradigma. Sabemos que los incidentes de seguridad son inevitables. Algunos serán leves, otros más graves, y unos pocos requerirán, por su extrema gravedad, la activación de nuestros planes de contingencias. ¿Y si tomamos esta situación como punto de partida para nuestro planteamiento frente a la seguridad?

La propuesta se resume en el título del post: dejemos de centrar nuestros esfuerzos en evitar lo inevitable, y enfoquémoslos en minimizar su impacto. Asumamos que vamos a tener incidentes de seguridad, y tratemos de garantizar que, pase lo que pase, el daño que provoquen sea mínimo. Orientemos nuestras medidas de seguridad hacia la reducción de la criticidad de los propios activos, en lugar de dedicar recursos a preservarla.

La teoría dice que los incidentes de seguridad pueden afectar a la disponibilidad, a la integridad o a la confidencialidad de nuestros activos. Pero en la práctica esto se reduce a una casuística muy sencilla: podemos perder (porque se paran) nuestros servicios, podemos perder (porque desaparece o porque se corrompe o modifica incorrectamente) la información o se puede difundir (de forma no autorizada) esa información. Si el objetivo es minimizar la gravedad de que eso ocurra, el planteamiento pasaría por:

  • Tener servicios replicados, de forma que la caída de uno no suponga un problema ya que hay un servicio idéntico funcionando. Esto no sería estrictamente tener servicios en alta disponibilidad, sino tener múltiples servicios idénticos. 
  • Que la información sea lo más volátil posible, que tenga "fecha de caducidad". 
  • Que la información sea lo más abierta y pública posible.
No obstante, mi propuesta es ir un paso más allá. No propongo que dejemos de protegernos de los incidentes, sino que los provoquemos intencionadamente. Frecuentemente. Qué pasaría si todas las semanas tiramos nuestros servicios? Si todas las semanas eliminamos nuestra información? Si todas las semanas divulgamos en Internet nuestra información? Cómo actuaríamos? Qué cambiaríamos en nuestra seguridad para lidiar con estas situaciones?

Si nos acostumbramos a gestionar incidentes graves de manera habitual nuestras medidas de seguridad nos garantizarán no sólo que nuestros servicios (y por tanto nuestro negocio) son resilientes, sino que acabaremos centrando nuestros recursos en aquello que realmente es lo importante, y seremos capaz de lidiar de manera tan habitual con este tipo de incidentes que dejarán de ser graves. Siendo menos seguros habremos conseguido ser más seguros. Contrasentido? Un poco. Arriesgado? Por supuesto. Utópico? Puede ser. Pero... Y si funciona?

18 febrero 2014

Esteganografía informativa: defendiendo la privacidad ante el Big Data

Reconozco que el título del post no es "apto para todos los públicos", pero creo que resume bastante bien el planteamiento que quiero recoger en este post.

Cada vez es más complejo mantener unos niveles de privacidad elevados en el mundo digital. Bien sea porque nosotros mismos no nos preocupamos por nuestra privacidad, porque la "vendemos" a cambio de servicios o porque directamente hay empresas y/o gobiernos que se encargan de limitarla, la privacidad en el mundo digital es cada vez más ilusoria. Nuestro rastro digital, queramos o no, cada vez es más nítido. Y por si fuera poco, cada vez surgen tecnologías más capaces de rebuscar en ese confuso mar de datos inconexos para extraer información útil que, generalmente, suele estar ligada a nuestra identidad digital. El Big Data no sé si es el presente, pero claramente es el futuro.

El objetivo de la privacidad es, precisamente, el contrario: evitar que la información sobre nuestra identidad digital salga a la luz. Pero como en cualquier otro caso, la defensa siempre va por detrás del ataque. Ocultar nuestros datos mientras otros intentan descubrirlos es una batalla asimétrica en la que siempre vamos a ir varios pasos por detrás.

Frente a este planteamiento, basado en el principio clásico de seguridad por oscuridad, mi propuesta es buscar una alternativa diferente, más en línea con los planteamientos de la seguridad abierta. No obstante, la idea no es nueva. Hay mucha gente que no se preocupa por su privacidad digital porque se considera "una gota en el océano". ¿Y si pudiéramos utilizar ese planteamiento para asegurarnos, de algún modo, que el océano es tan grande que nadie va a poder identificar nuestra gota? Es más... ¿Y si generásemos datos ficticios en forma de progresión geométrica cada vez que se intenta acceder a un dato ligado a nuestra identidad digital?

La idea de ocultar una serie de datos válidos rodeándolos de datos no válidos es precisamente lo que se conoce como esteganografía. La única diferencia sería que en este caso no nos limitaríamos a rodear los datos válidos de datos falsos, sino que dispondríamos de algún sistema capaz de incrementar exponencialmente la cantidad de datos falsos, de modo que se pudiera limitar en gran medida la eficacia de los sistemas de Big Data a la hora de analizar nuestra información personal.

Por supuesto, como todas las buenas ideas, esta no es mía. Simplemente he tratado de extrapolar los principios de un nuevo sistema de "cifrado", Honey Encryption, que descubrí hace unos días, pero cuyos principios no sólo me parecen enormemente innovadores, sino que creo que tienen un prometedor futuro por delante. Ójala veamos en un futuro avances en este tipo de planteamientos... porque creo que por ahí puede venir el futuro de una parte de la seguridad.

30 enero 2014

ENS: El día D ha llegado

El Esquema Nacional de Seguridad se publicó en el BOE el 29 de Enero de 2010, por lo que entró en vigor el 30/01/2010, tal y como establece su disposición final tercera. No obstante, en su disposición transitoria establecía que los sistemas de información existentes en ese momento tenían un plazo de 12 meses para adecuarse a sus exigencias, que podía ser ampliado hasta los 48 meses si existían circunstancias que impidiesen su plena aplicación y se dispusiera de un plan de adecuación aprobado.

Hoy es 30 de Enero de 2014, de modo que se acaban de cumplir los 48 meses del plazo máximo admitido para que las Administraciones Públicas cumplan con el ENS. ¿Cuál es la situación actual?

La mejor forma de analizar el cumplimiento del ENS es acudir al Artículo 41 del Real Decreto, que establece que los organismos públicos tienen que publicar en sus respectivas sedes electrónicas las correspondientes declaraciones de conformidad, diciendo que cumplen con todas las exigencias del ENS (y esta es una de ellas). De hecho, incluso existe una guía específica (CCN-STIC-809) que establece cuál debe ser el contenido de dicha declaración de conformidad.

Dicho esto... cuál es la situación? Pues bien, después de recurrir a la clásica búsqueda y de analizar la información de la web www.cumplimientoens.es, el resultado es:


Vaya por delante mi más sincera enhorabuena a la Diputación de Badajoz, aparentemente único organismo público de los más de 8.000 en todo el estado que ha cumplido con su obligación legal en materia de seguridad de la información, y al que todos deberíamos agradecer el habernos salvado del bochornoso 0. Ahora bien... Un 0,01% debería ser aceptable?

No quiero meter el dedo en la llaga, puesto que los datos (incluso aunque no haya sido capaz de localizar unos cuantos casos más) son bastante elocuentes. Sin embargo, sí que creo que los datos deberían servir para reflexionar acerca del motivo por el cual hemos llegado a esta situación. Y se me ocurren varias alternativas:

  • Plazo insuficiente: El punto de partida era tan malo que no ha dado tiempo a cumplir con todas las exigencias. 
  • Exigencia excesiva: Había que llegar a un nivel de seguridad tan alto que no somos capaces de alcanzarlo. 
  • Presupuesto insuficiente: Requiere tal cantidad de productos de seguridad que el presupuesto no ha sido suficiente para adquirirlos e integrarlos a tiempo. 
  • Medios propios insuficientes: Requiere tal cantidad de dedicación de personal interno para conseguir la adecuación que no se ha podido sacar el tiempo suficiente para realizar la adecuación. 
  • Concienciación insuficiente: La seguridad preocupa tan poco que no se ha sido capaz de priorizarlo lo suficiente como para conseguir los recursos necesarios para la adecuación.
A mi se me ocurren estos como los motivos principales para que un organismo público no haya concluido su adecuación al ENS. ¿Cuáles pensáis vosotros que son los más importantes? ¿Cuál ha sido vuestro caso?

13 enero 2014

Mi pronóstico: Inseguridad

No, no voy a escribir un post de pronósticos de seguridad para el año 2013. Hoy sólo quiero plantear cuál es mi visión del futuro que nos espera, aprovechando que esta mañana he leído un par de artículos muy interesantes y que, en conjunto, me temo que plantean una visión bastante pesimista del futuro que nos espera en términos de seguridad.

El primero es un post en el que Enrique Dans afirma que, nos guste o no, los avances tecnológicos van más rápido que la seguridad, y que la inseguridad asociada a esta situación no va a detener su evolución. El segundo es un post de David Maeztu en el que, pronosticando un futuro en el que nuestro coche será capaz de denunciarnos automáticamente por exceso de velocidad, plantea un panorama en el que la legislación no sólo no nos va a proteger de esa inseguridad asociada a los avances tecnológicos, sino que probablemente la acabe amparando (al menos, en términos de privacidad).

Mi pronóstico es pesimista porque, sintiéndolo mucho, comparto gran parte de las visiones anteriores. No creo que la seguridad sea una prioridad en la sociedad moderna, y por lo tanto ni tecnólogos ni legisladores creo que le vayan a dar una importancia que la sociedad no le da. La pirámide de Maslow de nuestra sociedad ha cambiado, y la seguridad/privacidad ha perdido peso. Nuestra sociedad está dispuesta a sacrificar parte de los niveles de la base a cambio de conseguir un poco más de aquello que está en la cúspide de la pirámide.

Ante este panorama no creo que se pueda hacer mucho. La respuesta de libro serían programas de formación, trabajos de concienciación, pero... Acaso sirve de algo nadar contra corriente? A veces pienso si no sería mejor dejarse llevar, y simplemente tratar de minimizar los daños. Si en la eterna lucha contra el riesgo vemos que no podemos ganar, no deberíamos cambiar nuestra estrategia y tratar de aprovecharnos de él?

Será que hoy me he levantado pesimista...

16 diciembre 2013

Seguridad Vs Privacidad. O estamos equivocados?

Es muy habitual pensar en la privacidad y en la seguridad como dos aspectos prácticamente antagónicos. No hay más que buscar noticias sobre privacidad y seguro que nos encontramos con alguna en la que ambos conceptos estén enfrentados. Sin embargo, cuando participas en congresos sobre alguna de las dos temáticas, te das cuenta de que los profesionales que se dedican a ambas disciplinas trabajan de la misma manera, persiguen objetivos similares y tratan asuntos prácticamente idénticos. Cómo puede ser posible que una misma cosa y su contraria puedan ser tan similares?

La realidad es que seguridad y privacidad son prácticamente lo mismo. La única (aunque gran) diferencia entre ambos conceptos está en el foco: la privacidad se preocupa por las personas, la seguridad se preocupa por las organizaciones (empresas o incluso estados). O dicho de otro modo: si aplicásemos todos los conceptos que maneja una de las disciplinas al foco de la otra, estaríamos hablando de lo mismo.

Siendo conscientes de la gran proximidad entre ambas disciplinas todavía puede sorprender más ese antagonismo percibido. Si la privacidad consiste en levantar los muros de mi casa y la seguridad supone añadir una valla exterior, no deberían ser dos planteamientos convergentes en lugar de divergentes?

Por añadir otro argumento más a esta visión, no deberíamos olvidarnos del hecho (trivial, pero importante) de que las organizaciones están compuestas por personas. Por lo tanto, si protegemos la seguridad de las personas, no estaríamos protegiendo también la seguridad de la organización? Por qué en la ilustración montan la seguridad de la organización destruyendo la privacidad de los individuos?

Vistos los argumentos anteriores, el planteamiento clásico de seguridad Vs privacidad no tendría ningún sentido si no fuera por un aspecto importante, y es que la seguridad trata de proteger a la organización INCLUSO de sus propios miembros. La valla de la ilustración no está completa, ya que en realidad debería ser una valla doble con otro frente hacia el interior. Y es precisamente bajo ese planteamiento, consistente en que los propios miembros de la organización también pueden ser una amenaza, cuando tiene sentido que uno de los objetivos de la seguridad sea conocer lo mejor posible a estas potenciales amenazas, tratando de limitar por tanto la seguridad de las personas en favor de la seguridad de la organización.

Y precisamente es en este punto en el que quería plantear un par de reflexiones que me parecen importantes, aunque no sé si fáciles de responder. La primera es en torno al debate sobre las organizaciones y las personas que las componen. ¿Qué es lo que hay exactamente entre esas dos vallas, para que tengamos que protegerlo "contra" (y a costa de la privacidad de) los miembros de la organización? Y la segunda es sobre la forma de aplicar la seguridad. ¿Nos estamos planteando estrategias complementarias o alternativas de tipo "zanahoria" (recompensas, incentivos, etc.) en relación al personal de la organización, o sólo estamos planteando estrategias de tipo "palo" a la hora de aplicar la seguridad?

En definitiva, creo que el debate de seguridad contra privacidad no hace sino ocultar otros debates más profundos, como es el de la definición de las estrategias en las que basamos la aplicación de la seguridad, y en última instancia el eterno debate entre personas físicas y jurídicas y las consecuencias sociales de su disociación. No os parecen estos debates mucho más apasionantes?