30 enero 2008
Protegiendo los datos
Para aquellos en los que sí que cala el mensaje, existen multitud de noticas y reportajes, como esta, que ayudan a dar unas breves pinceladas sobre cómo conseguir mantener la confidencialidad de los datos. No descubre nada nuevo (políticas y normativas, controles internos, roles y responsabilidades, auditorías, ...), pero son un buen mecanismo para recordarnos periódicamente que eso de la protección de datos es cosa de todos, y no sólo por motivos legales, sino también por el bien del propio negocio.
De todas formas, ante un empleado (o empleada, como en este caso) descontento con suficientes privilegios la protección es complicada. Siempre habrá alguien con permisos suficientes como para editar la información, y si esa persona decide borrarla (y borrar también el backup, para lo que también tiene permiso) el problema puede ser grave. Se podría haber optado por usar permisos limitados, de forma que quien tiene privilegios para operar sobre la información no los tenga para hacer lo mismo sobre el backup. Aunque probablemente el mejor control hubiera sido una mayor transparencia en la gestión de los recursos humanos, que al fin y al cabo siempre es el eslabón más débil (también por impredecible). Si es persona no hubiera pensado que la iban a despedir (y no sabemos qué motivos tenía para pensarlo, aparte de los que cuenta la noticia) no creo que hubiera decidido borrar toda la información de la empresa.
Y por último, un breve comentario respecto al borrado de datos. Como se puede comprobar al final de la noticia, la "eliminación" que proporciona el sistema operativo no es definitiva en absoluto. Es de agradecer que el empleado descontento no haya utilizado herramientas de borrado seguro, pero también sería interesante que esa misma empresa contara con ese tipo de herramientas para aquellos casos en los que realmente se desea borrar definitivamente la información. Sobre todo, si esa información está valorada en más de 2 millones de dólares...
28 enero 2008
PYMEs y seguridad
La verdad es que, viendo los resultados del informe, el panorama no parece muy halagüeño (me niego a calificarlo como desolador). Es por todos conocido que en las microempresas (menos de 10 empleados) la introducción de la tecnología es escasa, pero ver que sólo un 60% tienen ordenador o sólo un 45% conexión a Internet (por no hablar del escaso 18% con página web) refleja claramente las dificultades que nos podemos encontrar, desde el punto de vista de la seguridad de la información, en estas empresas. Si ni siquieran tienen su información digitalizada, probablemente su preocupación por conservar la confidencialidad o la disponibilidad sea pequeña.
Desde esta situación de partida, con una evidente escasa cultura de seguridad, es desde donde es entendible que prácticamente no haya preocupaciones por los incidentes de seguridad, pese a sufrirlos con cierta frecuencia. En general sí que podríamos decir que se percibe cierta "consciencia" acerca de los riesgos de seguridad derivados de Internet, pero me temo que esa "consciencia" es más consecuencia de noticias sensacionalistas (hackers, virus, etc.) y fabricantes con agresivas campañas de marketing que de una cultura real de seguridad. Es por éso por lo que sí que se implantan algunos productos de seguridad, y sin embargo cuando nos adentramos en medidas con mayor componente procedimental (dedicación de tiempo a tareas de seguridad) la estadística cae en picado. Porque sólo con una cultura de seguridad se justifican esas dedicaciones.
A partir de esa situación , el informe que presenta INTECO aboga por un mayor enfoque de la empresa privada de servicios de seguridad hacia las PYMEs y por la constitución de la Administración Pública en motor para el avance hacia una mayor seguridad de la información. Me parecen dos vías acertadas, aunque a simple vista se me antojan insuficientes. Y no por su ámbito de actuación, sino por la escasa profundidad de su desarrollo. Nos guste o no, tanto la empresa privada de servicios como la administración pública mira antes por sí misma que por el beneficio "colateral" hacia clientes o sociedad, y para que estas propuestas tuviesen un calado suficiente sería necesario cambiar esa filosofía, lo cual me parece francamente difícil. Así que la vía alternativa sería encontrar alguna vía efectiva a través de la cual la empresa privada o la administración pública se beneficien directamente del beneficio que obtengan sus clientes o su entorno de ver mejorada su seguridad. Cómo? Me temo que a día de hoy las únicas vías efectivas son los incentivos económicos, vía subvenciones o beneficios fiscales. Y el problema es que el dinero se administra en función de las prioridades. ¿Está la seguridad de la información entre las prioridades reales de nuestra sociedad política? En tiempo de elecciones, alguien se acordará de ella? Y se cumplirán las promesas de turno, o quedará sólo en buenas intenciones? Seguro que podremos ir viendo la evolución... en la propia web del INTECO.
25 enero 2008
Estándares de Seguridad
http://www.itu.int/ITU-T/security/main_table.aspx
¿Qué os parece? No está mal, verdad? Unos 700 estándares de seguridad... y sólo aparecen los de 7 organizaciones (internacionales). Hay ausencias tan significativas como las publicaciones del NIST, y también se echan de menos estándares sectoriales tan en boga como PCI DSS o la inclusión de marcos de referencia como COSO. Por no entrar en regulaciones sectoriales o leyes relacionadas con la seguridad...
En definitiva, creo que deberíamos aplicar más a menudo el principio de "sólo sé que no se nada", porque... ¿Cuántas de esas 700 normas conoceis? ¿Con qué profundidad? ¿Cuántas habría que conocer para ser realmente un "experto"?
Que paseis un buen fin de semana...
23 enero 2008
Primeras impresiones
El primero de los temas comentados es el de su vigencia. Hasta el día 18 de Abril seguirá vigente el reglamento anterior, y a partir del día 19 de Abril entrará en vigor el nuevo. Esto quiere decir que, a partir de esa fecha, cualquier NUEVO fichero que se cree tendrá que incorporar TODAS las medidas que se especifican en él. Para los YA EXISTENTES, hay más margen de cumplimiento (aunque, evidentemente, para las nuevas medidas, porque las que se mantienen desde el reglamento anterior "se supone" que ya se están cumpliendo). En general, podemos decir que cualquier fichero deberá cumplir completamente con todas las medidas de seguridad que especifica el nuevo reglamento en el plazo adicional de UN AÑO (es decir, a partir del 19 de Abril de 2009), salvo estas excepciones:
- 18 MESES (a partir del 19 Octubre de 2009) para las nuevas medidas de nivel alto asociadas a ficheros automatizados (en digital) relativos a violencia de género o a datos de tráfico de operadores de telecomunicaciones.
- 18 MESES (a partir del 19 Octubre de 2009) para todas las medidas (todas son nuevas) de nivel medio asociadas a ficheros no automatizados (en papel).
- 2 AÑOS (a partir del 19 de Abril de 2010) para todas las medidas (todas son nuevas) de nivel alto asociadas a ficheros no automatizados (en papel).
Otro de los temas que ha suscitado comentarios ha sido la excepción que hace el reglamento de su aplicación a los ficheros con datos de personas físicas que prestan sus servicios para una persona jurídica (en pocas palabras, los directorios de las empresas, al menos según algunos). Parece que el objetivo era facilitar a las empresas el intercambio interno de información personal por necesidades operativas, pero al ser una excepción a la aplicación de todo el reglamento, y no sólo de las medidas de seguridad que contiene, parece que es un tema que va a provocar bastantes discusiones.
Y aparte de estos temas, seguro que el Nuevo Reglamento va a dar mucho más que hablar. Si vemos cuales eran las previsiones de los borradores previos, podemos ver cómo algunas de las exigencias más polémicas de entonces han desaparecido (informar a la AEPD de las auditorías, disponer de almacenamiento ignífugo, ...). Sin embargo, temas tan dispares como las obligaciones relativas a los operadores de telecomunicaciones o la operatividad real de un documento de seguridad muy exhaustivo seguro que tarde o temprano aparecerán en los distintos foros especializados. Y mientras tanto... cómo reaccionará todo el tejido empresarial en relación a estas nuevas obligaciones? Qué postura adoptará la Agencia Española de Protección de Datos de cara a la verificación del cumplimiento del Nuevo Reglamento? Lo iremos viendo...
21 enero 2008
Pantalla limpia
Para los más paranoicos existen tecnologías muy potentes. Por ejemplo, hay sistemas que, basados en tecnología de localización indoor mediante UWB, son capaces de identificar si alguien se acerca al perímetro de seguridad de un equipo, y bloquear automáticamente la pantalla si no es su usuario autorizado. Una solución muy efectiva, con múltiples posibilidades, y muy cara (aunque hay situaciones en que el valor de la información a proteger de dichas miradas indiscretas justifica la inversión). Si no nos queremos gastar tanto dinero, existen gadgets más baratos y menos vistosos, pero también efectivos, como este. Sencillamente, un filtro para el monitor que sólo permite ver correctamente la pantalla desde el frente, y que por tanto evita las miradas indiscretas "laterales".
Qué otras opciones hay? Aparte de un "dispositivo" que no he sido capaz de encontrar, y que consistía en un pasamontañas cosido a un tubo de tela que se enganchaba al perímetro de la pantalla, para que sólo el que lo llevara puesto pudiera verla (os prometo que había una foto muy divertida), existe también la posibilidad de no usar nada. Sencillamente, organizando los puestos de trabajo de forma que no sea necesario protegerse de miradas indiscretas porque cualquier posible mirada nunca lo será. Es decir: separando al personal en salas de modo que todos los de la misma sala tengan acceso a la misma información (por ejemplo, por áreas). ¿Parece una medida excesiva? Despachos para ciertas cargos dentro de la empresa ha habido toda la vida, y uno de los motivos esgrimidos para su utilización ha sido precisamente la necesidad de confidencialidad (aparte de los motivos de status u otros que no vienen al caso). ¿Y cuántas empresas conoceis que estén departamentalizadas físicamente (al menos, en parte)?
En resumen, existen muchas formas de "implementar" los controles de pantalla limpia, y en función de la solución que adoptemos, y de la casuística de nuestra organización (quizás es más interesante para nuestro negocio fomentar el trabajo inter-disciplinar que evitar que el personal comercial vea información del departamento técnico, por ejemplo), dependerá que nuestro responsable de seguridad se tenga que preocupar o pueda no hacer caso al cumplimiento de las políticas corporativas de pantalla limpia. Y menos mal que es así, porque... ¿cuantos escritorios plagados de montañas de papeles de toda índole conoceis?
ACTUALIZACIÓN: Al final me han pasado (gracias, Carlos) la referencia al "dispositivo" físico del que os hablaba: la capucha de privacidad , o algo así (imágenes 5/6 y 6/6). Alguno lo compraría?
18 enero 2008
Usuarios despreocupados
La primera noticia que quiero enlazar desde aquí es ésta. Una foto y los datos reales de una chica que acaban en una web de citas sexuales sin que ella participe, porque alguien ha copiado la foto de un blog personal y ha sido capaz de conseguir los datos de la víctima. Primera pregunta: ¿A cuanta gente vamos dando en la vida real datos como nuestros gustos, nuestras fotos, nuestro nombre, ...? ¿Y por qué en las redes sociales dejamos esos mismos datos al alcance de cualquiera? ¿Por qué valoramos menos la privacidad en el "mundo" en el que es más fácil perderla?
El segundo artículo que me ha llamado la atención es éste. Una de cada cuatro personas no hacen copias de seguridad de sus datos digitales, pese a que conservemos digitalmente los "recuerdos" de más de 5 años de nuestras vidas. ¿Haríamos lo mismo si alguien nos dijera que el 40% de todos nosotros iba a perder la memoria de los últimos 5 años de su vida?
Creo que el gran problema es que, en general, no se concibe Internet como lo que es. En lugar de una vía de interconexión, de ida y vuelta, se entiende como una "ventana", desde la que se mira pero sin perder la comodidad (y la seguridad) de tu hogar. Como si fuera una televisión. En general, tengo la sensación de que el mundo digital se entiende más a nivel físico que a nivel lógico. Todo el mundo ve el ordenador, la "caja", pero pocos perciben realmente su interior. Pocos ven un inmenso armario en el que cabe cualquier cosa, muerta o "viva", y donde no sólo tú puedes guardar cosas. Muchos ven la "ventana" al mundo, pero pocos se dan cuenta de que es una ventana de un bajo en un barrio en el que hay gente de todo tipo. ¿Tendrán las nuevas generaciones, que nacieron "conectadas" a Internet, esta percepción? ¿O será precisamente al revés, y las futuras generaciones serán cada vez más despreocupadas? Con el tiempo lo veremos...
11 enero 2008
Seguridad? O mejor no?
El artículo es ingenioso, e invita a repensar ciertos principios que habitualmente todos, en el mundo de la seguridad, damos por ciertos. Seguridad = restricciones de acceso. Seguro? La seguridad es confidencialidad, pero también es disponibilidad. Y la disponibilidad no tiene por qué medirse sólo en tiempo, también se puede medir en número de clientes que pueden usar el servicio. Qué primamos? Tanta seguridad puede haber en un servicio super-restringido como en un servicio super-accesible. O no? Por otra parte, es sencillo encontrar analogías entre los principios de seguridad de esta wifi y los de cualquier código open-source. O es mejor la seguridad por ocultación?
En definitiva, recomiento a todo el mundo que lea el artículo, que es corto y fácil de entender, y que reflexione sobre los principios que subyacen en él. Que a veces, al mirar hacia atrás y ver el camino recorrido, se descubren nuevos puntos de vista...
09 enero 2008
Clasificación de la información
Lo primero que tenemos que pensar es én base a qué dimensiones queremos clasificar la información. Es habitual una clasificación basada en la confidencialidad, pero quizás puede ser conveniente tener en cuenta también la disponibilidad, la integridad o su trazabilidad (de los accesos a ella o de su tratamiento). El objetivo es tener las mínimas dimensiones posibles pero sin que la reducción nos obligue a perder criterios. ¿Es importante para mi negocio saber quién ha accedido a un campo de una base de datos (tanto desde el punto de vista de "negocio" puro como desde el punto de vista de exigencias legales, contractuales o de imagen)? ¿Tenemos con cierta información necesidades específicas de integridad de datos (por ejemplo, en máquinas de control numérico o en una casa de subastas on-line)? ¿Es clave que la información de nuestra web esté disponible, siendo una empresa de venta por internet?
Una vez que tenemos claras las dimensiones que tenemos que tener en cuenta, tenemos que ver el rango que queremos usar. El mínimo en cada dimensión es 2 (podríamos denominarlos como necesidad "normal" y necesidad "especial"), y el máximo el que queramos, pero lo mejor es ir al mínimo (quizás ampliar el rango en la dimensión de confidencialidad a 3 niveles puede ser aceptable), porque luego tendremos que parametrizar cada umbral.
Y a partir de ahí, establecer los criterios para cada umbral. Aquí viene lo difícil, porque deben ser criterios "a priori". No me vale decir que toda la información que está en la web debe ser pública (mínima confidencialidad), porque... ¿Cuál es la información que puedo colgar en la web? ¿Cuál es la que debe recibir esa categoría de pública? Lo que necesito saber es, precisamente, cuál es la información que debo colgar en la web porque es pública... Un criterio podría ser, por ejemplo, que lo sea toda la información comercial que genera la empresa (datasheets, marketing, etc.). A partir de ahí, cuál es la información privada (confidencialidad media)? Por ejemplo, toda aquella que no sea ni pública ni confidencial. Y entonces, qué información debe ser confidencial (confidencialidad máxima)? Pongamos que toda aquella información que sólo debe ser conocida por la persona que la genera u obtiene (por ejemplo, claves de acceso). Ya tendríamos el criterio para clasificar toda la información de la empresa en la dimensión de confidencialidad. Y deberíamos hacer lo mismo con el resto de las dimensiones que hayamos elegido.
Y para qué sirve esto? Sencillamente, para habilitar con lógica los controles de seguridad. La "intensidad" de un control, o el número de controles a aplicar sobre cada activo, dependerá de la clasificación de la información asociada a él (por éso hablamos de SGSI y no de SGS). No vamos a establecer controles de cifrado para información pública, pero sin embargo sí que podría ser conveniente usarlos para información confidencial. Y si tenemos información con especiales necesidades de disponibilidad nos tendremos que plantear la posibilidad de que esté redundada y en alta disponibilidad, por ejemplo.
En definitiva, la clasificación de la información debe ser el criterio de base que guíe nuestra aplicación de controles de seguridad de esa información, y tendremos que aplicar mayores controles cuanto mayor sea la necesidad de seguridad. Sin embargo, con un análisis de riesgos bien hecho puede que no haya mayores problemas en este apartado, ya que si hemos hecho los deberes correctamente no sólo tendremos ya esos niveles establecidos numéricamente, sino que los criterios de clasificación ya los habremos tenido en cuenta para asignar la numeración, y la única tarea será pulir esos criterios para que queden redondos.
07 enero 2008
Que medimos?
Muchas veces la gente se olvida del objetivo de la medida. Se intenta medir símplemente porque alguien (un jefe, un cliente) o algo (un sistema de gestión, por ejemplo) nos dice que tenemos que medir. Y claro, cuando las cosas se han "por hacer"... los resultados no siempre son los ideales. Tan difícil es medir "con sentido"? No lo creo. Basta con saber qué resultados queremos obtener de la actividad.
Pensemos en cualquier actividad. ¿Cuáles son los parámetros generales? Primero, obvio pero útil, es si realizamos o no dicha actividad. Una vez que la realicemos, 3 serán los principales parámetros a evaluar: tiempo empleado, recursos dedicados y resultados obtenidos. Fácil, no? Pues a partir de ahí podemos sacar los parámetros básicos a medir.
Primero, si hacemos o no algo, es un parámetro fundamental. Quizás no tanto si es para una sola tarea, pero sí para un conjunto de tareas. ¿Cuántas de las tareas que deberíamos hacer llevamos a la práctica? La implantación es un parámetro básico, pero importante en la realidad. Al menos, si no siempre hacemos todo lo que la teoría dice...
El segundo parámetro es el tiempo. Muy fácil de medir, quizás demasiado fácil. Es un buen parámetro a utilizar, pero a veces se abusa de él. ¿Para qué nos sirve saber cuánto tiempo se tarda en hacer algo? Evidentemente, para compararlo con el tiempo teórico, con lo tardado previamente en hacer la misma tarea y ver la evolución... Útil, sí, pero insuficiente por sí solo. Usemos este parámetro con cuidado.
Los recursos utilizados es un factor clave. La eficiencia es un indicador muy útil, sobre todo si lo usamos combinado con el tiempo (que lo podríamos considerar otro recurso más). Útil pero también insuficiente: necesitamos conocer el resultado de las tareas.
La eficacia es el factor clave a medir. Por sí solo tampoco es suficiente, ya que necesitamos conocer los anteriores, pero es el aspecto diferencial. Conocer el resultado de nuestras tareas contrastado con los objetivos que se deben obtener. ¿Cuáles son estos objetivos? Pueden ser muy variados, pero seguro que hay alguno en cada uno de estos ámbitos: calidad, seguridad, ...
Qué quiere decir esto? Sencillamente, que lo que hay que medir es lo que hacemos. Si queremos conocer la calidad de nuestras actividades, nuestros procesos tendrán que tener indicadores de la calidad de esas actividades. Si queremos conocer la seguridad de nuestras actividades, nuestros procesos tendrán que tener indicadores de la seguridad de esas actividades. Si tenemos un proceso de gestión de riesgos y uno de producción... de cuál de los dos me interesa conocer su seguridad? De ambos. De cuál obtiene beneficio directo mi negocio? Del segundo. ¿De cuál se suelen obtener indicadores de seguridad? Del primero. Y es que a veces la lógica funciona de forma tan ilógica...
En definitiva, si medimos es porque queremos conocer. Y la necesidad de conocer es debida al negocio. Así que no permitamos que nadie convierta esa necesidad de conocer en su propio "negocio" particular...
02 enero 2008
Y para terminar el año… se arma la marimorena
Y al volver me encuentro con bastantes novedades de ámbito legal. Pese a las fechas que son, parece que los políticos se ha puesto las pilas en el último tramo del año. Si el día de los inocentes se aprobaba (de verdad) la controvertida LISI (Ley de medidas de Impulso a la Sociedad de la Información), una semana antes se aprobaba el quizás no tan controvertido pero probablemente más esperado (son más de 2 años cocinándose) Nuevo Reglamento de la LOPD. El propio consejo de ministros publica un resumen del Real Decreto, que será publicado en próximas fechas en el BOE (aquí sí que hay gente de vacaciones). También se aprobaba el día de los inocentes el Plan de Actuación para el desarrollo de la ley para el acceso electrónico a los servicios públicos. Alguien da más? Un fin de año realmente movido...
Todas estas noticias, y las que se vayan derivando de ellas, darán en próximas fechas bastante que hablar. De la LISI ya se ha hablado mucho, y yo no quiero añadir nuevos comentarios a un tema tan explotado, pero sí recomendar la lectura de este análisis de la ley, bastante instructivo desde mi punto de vista. El nuevo reglamento seguro que también generará mucho revuelo, sobre todo a partir de su entrada en vigor, así que prefiero dejar el tema para más adelante. Por tanto, para hoy sólo dejo un comentario en relación al Plan de Actuación para la Ley de Acceso Electrónico a los Servicios Públicos. En el Plan de Actuación aparece la seguridad dentro de la medida que contempla la creación del Esquema Nacional de Interoperabilidad, pero entre la serie de actuaciones horizontales (cuarta línea de actuación) no aparece reflejada la creación del Esquema Nacional de Seguridad. ¿Qué quiere decir? Interpretaciones puede haber varias, desde que el término seguridad ya lo contempla hasta que su creación se esté despriorizando, al no tener una medida específica que lo desarrolle. ¿La publicación completa del Plan de Actuación en el BOE permitirá aclarar estos términos? Esperemos que sí, porque la nota publicada puede dar lugar a una cierta preocupación…