21 mayo 2008

En quién confiar?

Poco a poco parece que se van calmando los ánimos después del bombazo informativo que supuso la noticia de que las claves criptográficas SSL de debian eran vulnerables. Después de que nos contaran la noticia y de que nos aclarasen algunas dudas al respecto, probablemente todos habremos actualizado ya nuestras claves y respiraremos tranquilos tras comprobar que nadie ha utilizado la vulnerabilidad para hacerse con nuestros sistemas.



Y ahora, cuando ya ha pasado la ola, es cuando algunos pueden empezar a notar la resaca. Debian era una distribución reconocida, de prestigio. ¿Sigue siéndolo después de este incidente? ¿Se puede seguir confiando en debian? ¿Existen alternativas más confiables? Es posible que este tipo de preguntas le hayan surgido a más de uno (de hecho, en los comentarios de esta versión de la noticia tenemos un buen ejemplo).



Mi punto de vista es que este hecho, o cualquier otro de caracter similar, no debería suponer prácticamente ningún cambio en la opinión que teníamos de un determinado producto software. Que aparezca una vulnerabilidad crítica no es algo excepcional, y que sea explotable remotamente tampoco es tan raro. Ni más ni menos de lo que lo era antes. La probabilidad de ocurrencia existe, no sólo en debian sino en cualquier producto software, y que haya ocurrido una vez no cambia nada. Cualquier código tiene fallos, independientemente de que estén o no publicados. La probabilidad de que existan fallos de esta gravedad depende principalmente del propio producto, de su complejidad, tamaño, características y proceso de "fabricación". Que se publiquen tiene tanto de negativo como de positivo, pero no afecta a la "seguridad" del propio producto, sino a la probabilidad de que se intente explotar.



¿En conclusión? Que si queremos valorar la seguridad de debian, o de cualquier otra cosa, nos olvidemos del incidente de moda. Era tan probable que se incendiase un rascacielos antes de que se quemara el Windsor como después. No debemos dejarnos llevar por nuestra percepción del riesgo. Si hasta el incidente habíamos confiado en ese producto, sería por algo, no? Habrá que pensar en ese motivo, y analizar si sigue siendo válido. Y ojo, que la estadística suele jugar malas pasadas. Que no haya salido un 6 en ninguna de las tiradas de dados que hemos hecho no quiere decir que en la siguiente no pueda salir, ni tampoco que salga una de cada seis veces...

14 mayo 2008

Riesgos del teletrabajo

Desde que leí esta noticia sobre los riesgos de seguridad del teletrabajo para las empresas he estado prestando más atención a las personas de mi entorno, con el fin de descubrir hasta qué punto eran ciertas a mi alrededor las afirmaciones que se hacen en el artículo. Y creo que puedo estar satisfecho de poder decir que mis propias conclusiones no son tan negativas como las del artículo.

Para empezar creo que existe una gran diferencia entre el teletrabajador en casa y el desplazado. El primero, el que se lleva a casa el portátil, normalmente suele limitarse a realizar el mismo uso que en la oficina. Para el resto de actividades ya tiene, en la mayoría de los casos, un equipo propio, tan personalizado y a su gusto que difícilmente prefiere seguir utilizando el equipo corporativo para otras actividades fuera de las laborales. Un caso distinto suele ser el de los teletrabajadores desplazados, que sí pueden utilizar durante dichos desplazamientos ese equipo como sustituto del personal. En esos casos el uso "no profesional" del equipo se incrementa, evidentemente, pero por lo general suele ser un uso "comedido". Vamos, que en esos casos se suele navegar mucho más por webs de noticias y viajes que por páginas pornográficas. Y en general no suele haber tráfico P2P, al menos en la mayor parte de los casos que conozco, sobre todo porque los usuarios no tienen este tipo de programas instalados ni pueden instalarlos.

Otro de los casos que mi pequeño "estudio" tampoco ha corroborado es el relativo al uso de esos equipos por parte de otras personas. Sobre todo por el principio anterior: los que se lo llevan a casa ya suelen tener un equipo propio de uso familiar, y los desplazados suelen tener cada uno su propio equipo y generalmente pocas ocasiones para estar con alguien que no tenga y quiera usarlo libremente.

Lo que sí se suele dar más a menudo es la utilización de redes de acceso a Internet cuyas garantías de seguridad generalmente no se conocen o se pasan por alto. Es más habitual de lo que a mí me gustaría las conexiones a redes inalámbricas sin cifrar o el acceso a internet a través de redes que no cuentan con un simple firewall. Y la verdad es que, frente a esto, poco se puede hacer cuando la frase más habitual es que era "la única red disponible" para acceder a Internet. Probablemente la solución pase por que la propia organización proporcione una vía segura de acceso móvil a Internet, vía modem 3G, por ejemplo, pero si la propia organización no pone medios alternativos, la posibilidad de que estos hechos se repitan parece bastante alta...

Y por último, tampoco he detectado una mayor tasa de apertura de correos electrónicos desconocidos o sospechosos en el caso del teletrabajo que en la propia oficina. La política de seguridad que tenga establecida la compañía de turno, y sobre todo el grado de formación y concienciación de los usuarios al respecto son claves para que esto se produzca, pero en general no he identificado diferencias en estos aspectos entre los teletrabajadores y el resto.

En conclusión, sí que es cierto que el teletrabajo introduce nuevos riesgos en las compañías, pero también es evidente que introduce importantes beneficios si se articula de manera adecuada. Y con unos buenos programas de formación y el establecimiento de las medidas técnicas apropiadas creo que es posible conseguir un entorno de trabajo en el que los niveles de seguridad que se establezcan puedan ser totalmente equivalentes a los dispuestos en las sedes de la organización. Eso siempre que no dejemos de gestionar dicha seguridad. ¿Qué tal un SGSI para tenerlo bien atado? ;-)

12 mayo 2008

A vueltas con los términos

Cuanto más te vas adentrando en el mundo de la gestión (en general) y más fuentes diversas de información vas consultando, más problemático se vuelve eso de definir correctamente aquello de lo que estamos hablando. Sobre todo, si son términos que no sólo no se aclaran suficientemente, sino que mismos términos en entornos distintos pueden significar cosas distintas y, lo que es peor, distintos términos en entornos diferentes pueden tener el mismo significado. Y claro, cuando lo que importa son los detalles el trabajo se puede complicar...

Hoy símplemente quiero aclarar cuatro términos (auditoría, control, gestión y gobierno) que suelo utilizar y que para mí significan cosas distintas. Seguro que todos tienen matizaciones, y si alguien tiene distintos puntos de vista desde ahora le animo a que los critique libremente.
  • Auditoría: Para mí es el de "menor nivel" de los cuatro, el más cercano a los niveles operativos. Lo entiendo como una labor de revisión sistemática y exhaustiva, en la que lo que se busca son las "pruebas", las trazas concretas y específicas de las actividades desarrolladas. Si la actividad consiste en repetir 20 veces una misma tarea, la labor de auditoría trataría de verificar que efectivamente se ha repetido esa tarea 20 veces una por una, examinando todos los registros que ha dejado dicha actividad y verificando, además, que su resultado ha sido el correcto. No creo que esta definición sea incompatible con el concepto de auditoría de un sistema de gestión, ya que considero que la coletilla añade todas las matizaciones correspondientes: la selección (y no revisión completa) de trazas, la aleatoriedad de dicha selección, ... De todos modos, no olvidemos que en la auditoría de un sistema de gestión lo que verificamos exhaustivamente es el sistema de gestión, y ahí nunca se permitirá que algún apartado de dicho sistema de gestión queden sin examinar. Lo que sí será permisible es no verificar todos los controles que forman parte de ese sistema de gestión, pero el sistema de gestión en sí mismo deberá ser completamente auditado.
  • Control: Yo entiendo este concepto en un nivel superior al de auditoría. Si el anterior era una revisión exhaustiva, este supone la comprobación a modo de check-point de la actividad anterior. Para mí, el control no persigue verificar todos y cada uno de los resultados, sino establecer una tarea de revisión periódica de cierta actividad, con el fin de detectar desviaciones. En un caso ideal esta tarea de control iría ligado a una gestión por procesos, en la que dicho control constituye el parámetro que realimenta al proceso. Podríamos entender el control, visto de otro modo, como la tarea encargada de conseguir una determinada métrica asociada a la actividad en cuestión, y por tanto se podría entender este concepto como la base para el desarrollo de indicadores asociados a la actividad. Y, por supuesto, el caracter táctico u operativo del control iría ligado al caracter de la propia actividad controlada. Creo que es necesario señalar que el concepto de control visto como actividad no cubre completamente la definición que la serie 27000 ofrece en torno a dicho término, ya que en este caso no sólo lo contempla como actividad sino también como medida de caracter técnico, organizativo u operativo.
  • Gestión: Este quizás sea el concepto más complejo de definir. No por el término en sí, sino por la dificultad que supone acotarlo y separarlo del control y del gobierno. Yo entiendo la gestión como el conjunto de tareas encaminadas a definir las propias actividades a desarrollar, administrar los recursos asociados a dichas actividades y articular las medidas necesarias para que dichas actividades alcancen los objetivos designados. El control sería una de las partes de la gestión, la de chequeo, y tendría por encima el concepto de gobierno. Considero que el carácter de la gestión es eminentemente táctico, y desde el punto de vista de una gestión por procesos se podría identificar fácilmente asociado a la articulación práctica de un proceso dado.
  • Gobierno: Bajo este término yo suelo englobar las actividades de dirección asociadas a un nivel estratégico. Palabras como guiar y dirigir las entiendo íntimamente ligadas a este concepto. Si la gestión articula actividades, administra recursos y trata de conseguir los resultados definidos, el gobierno es quien define el marco de dichas actividades, proporciona o designa dichos recursos y establece los resultados a conseguir. En definitiva, el gobierno sería la dirección estratégica, el componente de planificación de alto nivel en un sistema de gestión. En resumidas cuentas, los aspectos que podríamos encontrar dentro del apartado de compromiso de la dirección de cualquier norma ISO de gestión.

Estas cuatro definiciones, no obstante, no son la panacea. Existen conceptos asociados, mezclas entre ellos, y la posibilidad de encontrárselos articulados en distintos niveles o repetidos en distintos grados de zoom dentro de cada organización. Será labor de cada uno utilizarlos de forma adecuada, y sobre todo requisito imprescindible tener claro qué uso hace nuestro interlocutor de estos cuatro términos si queremos mantener una conversación útil en relación a ellos. Aunque, pensándolo bien... ¿Quién iba a querer hablar de estos temas con otra persona? :-)

09 mayo 2008

Confidencialidad química

El otro día leí una noticia que me llamó la atención: han descubierto una sustancia inyectable capaz de eliminar los recuerdos. Y rápidamente me vino a la memoria una película de hace un par de años, paycheck, en la que la cláusula de confidencialidad del protagonista consistía precisamente en eso, en que le borrasen la memoria mediante mecanismos electroquímicos. ¿Se podría convertir la ficción en realidad en un futuro? ¿Podrían llegar las cláusulas de confidencialidad a ser "técnicamente" tan radicales? ¿Qué implicaciones éticas y médicas tendrían? Porque en la película vemos cómo el protagonista "olvida" no sólo el trabajo realizado, sino toda su vida (incluído algún que otro escarceo sexual) durante ese periodo de tiempo. ¿Alguien estaría dispuesto a firmar una cláusula de confidencialidad de ese tipo? ¿Renunciaríais a parte de vuestro pasado por una elevada cantidad de dinero? Y ojo, que muchas "fantasías" literarias del pasado ya las hemos visto en la realidad...