24 marzo 2009

Seguridad y redes sociales: el tema de moda

Pues sí, hay que reconocer que la seguridad en las redes sociales es un tema que está de moda dentro del sector. Y no es para menos.


Hace un par de meses, INTECO publicaba un estudio sobre la privacidad de los datos personales y la seguridad de la información en las redes sociales online, en el que se analiza con rigor y bastante profundidad la problemática asociada a este entorno.


La semana que viene, la cátedra UPM APPLUS+ de seguridad y desarrollo de la sociedad de la información, CAPSDESI, organiza un seminario gratuito sobre el tema, que también podrá ser seguido por Internet tanto en directo como en diferido (módulos I, II, III, IV, V, VI y VII disponibles a partir del día 7).

No hay más que hacer una búsqueda de noticias sobre estos temas para darse cuenta de que no sólo hay cientos de noticias en el último mes al respecto, sino que prácticamente a diario aparecen noticias al respecto en algún medio digital de habla hispana. Y eso por no hablar de los miles de blogs con comentarios al respecto que nos podemos encontrar...

¿Realmente es tan importante el tema? ¿Hasta qué punto estamos ante una "moda" o frente a "algo más"? Y lo que es más importante ¿Sirve de algo esta "explosión" de referencias al respecto?

La verdad es que me resulta difícil realizar una valoración objetiva. Creo que sí es importante abordar el tema, que realmente el debate debería llegar a ser un tema de "actualidad", aunque es obvio que, dada la temática del blog, tengo predisposición a ello. Pero por otra parte también tengo la incómoda sensación de que a veces hay más de oportunismo y de comentario fácil al respecto de lo que me gustaría reconocer. Sobre todo a la hora de escuchar o leer ciertos análisis, en muchas ocasiones clones unos de otros que sólo tratan de "llenar un espacio" sin tratar de profundizar en la compleja casuística que hay por debajo.

Y el problema, en el fondo, creo que radica en que muchos de nosotros no terminamos de entender las redes sociales. Sobre todo si pensamos en jóvenes, adolescentes y niños que hacen un uso despreocupado de ellas. Analizamos el problema de la seguridad y de la privacidad desde fuera, desde nuestro propio punto de vista, y creo que eso es un error. Tengo la sensación de que la clave no está en descubrir la nota exacta que tiene y/o tiene que tener la seguridad en las redes sociales, sino en analizar por qué muchos usuarios están dispuestos a "sacrificar" dicha seguridad a cambio de los beneficios que obtienen de su uso. Porque mientras no hagamos el esfuerzo de tratar de entender a los usuarios de estas redes, a esos que desde nuestro punto de vista tienen un nivel de riesgo que "no deberían estar dispuestos a asumir", nunca conseguiremos el que creo que debe ser el objetivo de todas estas referencias: que los usuarios "normales", los de a pie de calle, sean capaces de valorar esos riesgos y puedan decidir con todas las consecuencias si están dispuestos o no a asumirlos. Y a partir de ahí, a ver cuáles son los resultados...

16 marzo 2009

Outsourcing y riesgos

La semana pasada leía un artículo sobre cómo mitigar los riesgos en la seguridad de los datos al hacer outsourcing global (I y II) del que, más allá del propio contenido del artículo, se puede sacar una interesante lista de elementos de seguridad a contemplar a la hora de externalizar servicios:
  • Cumplimiento legal, en general y específicamente en materia de seguridad
  • "Políticas" implementadas en los dispositivos de seguridad
  • Arquitecturas de red seguras
  • Seguridad en las comunicaciones (cifrado, control de acceso, ...).
  • Seguridad en la gestión interna del proveedor de servicios (ISO 27001 / ISO 20000 / ITIL)
  • Controles de seguridad del personal
  • Controles de seguridad física y ambiental
  • Seguridad en el desarrollo y mantenimiento de sistemas
  • Clasificación de la información en base a su criticidad y tratamiento de acuerdo a dicha clasificación
  • Definición de roles y funciones asociados al acceso a la información
  • Medidas de seguridad técnica mínimas a cumplir por el proveedor de servicios
  • Evaluar específicamente los riesgos de seguridad asociados a cada proveedor
  • Verificar el cumplimiento, por parte del proveedor de servicios, de alguna certificación de seguridad asociada al servicio que nos presta
  • Auditar al proveedor (auditorías de segunda parte)
  • Especificar contractualmente las condiciones de seguridad que debe cumplir el proveedor
  • Existencia de una cultura de seguridad en el proveedor, verificable por la existencia de funciones y roles asociados específicamente con la seguridad

Es evidente que esta lista no es exhaustiva, y que seguro que se os ocurren multitud de detalles a incluir a la hora de verificar que las condiciones de seguridad que ofrece un proveedor son las necesarias. No obstante... ¿cuántos de estos apartados figuran expresamente en vuestros contratos de prestación de servicios? ¿Conocéis proveedores de servicios de outsourcing que ofrezcan este tipo de garantías de seguridad? Echáis en falta alguna en concreto? Espero vuestros comentarios.

10 marzo 2009

Autogestión de la seguridad basada en el comportamiento del usuario

Reconozco que, cuando el día a día profesional aprieta, las prioridades mandan, y ciertos temas deben quedar relegados a un segundo término hasta encontrar un momento más apropiado para retomarlos. Y la lectura de artículos y publicaciones del sector es uno de estos temas, así que esa es mi "excusa" para no haber publicado antes este post.

Hace unos días leí un artículo de Edgard Ansola en la revista SIC, cuyo título he querido replicar en el del post, que realmente me encantó. Hacía mucho tiempo que no veía aparecer ideas realmente frescas en el ámbito de la gestión de la seguridad, y la verdad es que encontrarse con planteamientos tan sencillos e innovadores al mismo tiempo es un verdadero placer. Me encanta esa sensación de que todavía no está todo inventado y de que aún queda mucho camino por recorrer...

El artículo en cuestión propone una idea sencilla pero efectiva: conseguir que el propio usuario sea consciente del nivel de riesgo asociado a su comportamiento, para que de ese modo pueda corregirlo de forma autónoma. ¿Ingenioso, verdad? Pues si te ha picado el gusanillo y quieres conocer más detalles sobre la idea, te animo a que leas tú mismo el artículo y nos cuentes qué te parece la solución propuesta. Ánimo!

09 marzo 2009

SLA en la nube

Últimamente cada vez está más de moda eso de hablar del SaaS y del "cloud computing". Con la excusa de la crisis y los recortes presupuestarios, algunas avispadas organizaciones que venden servicios de "datacenter" están aprovechando la ola y están utilizando todas las noticias que se generan alrededor de "la nube" como una verdadera campaña de marketing viral.

¿Es realmente tan beneficioso como parece eso de confiar tus servicios TI a la nube? Algunos opinan que sí, otros piensan que no, y existe un tercer grupo que trata de mediar entre ambas posturas. No obstante, tengo la sensación de que todas las posturas tratan la discusión desde un punto de vista excesivamente parcial, y dejan de lado el planteamiento clave: el valor (que no coste) de los servicios.

Valorar el TCO (Total Cost of Ownership) de un servicio es un análisis necesario, pero no suficiente. Cualquier servicio debería ser analizado tanto desde la perspectiva coste/beneficio como desde la perspectiva complementaria (ingresos/perjuicios) para poder llevar a cabo una valoración completa. Y es precisamente en este punto donde creo que fallan la mayor parte de los artículos que he leído, ya que se olvidan en gran medida del resto de los factores.

Cualquier servicio tiene un coste económico, tanto si se presta internamente como si se externaliza en la nube. Pero es posible que ese mismo servicio también pueda generar una serie de beneficios económicos que hay que tener en cuenta, y que pueden depender de si ciertas funcionalidades forman parte o no del servicio en cuestión. También es imprescindible tener en cuenta el beneficio que dicho servicio, con sus características concretas, aporta a la organización (a nivel operativo, de imagen, etc.), y tampoco nos podemos olvidar de los perjuicios que la utilización de un determinado servicio puede ocasionar, de los riesgos que implica su uso.

Desde ese punto de vista, la ecuación se vuelve más compleja. Ya no importa sólo si externalizar un servicio me sale más barato, sino que hay que tener en cuenta qué implicaciones tiene esa externalización. Calidad de servicio, funcionalidades integradas, características de seguridad que ofrece... son multitud de aspectos los que hay que tener en cuenta a la hora de valorar la conveniencia o no de esa externalización, ya que no siempre el TCO y la disponibilidad son los parámetros más importantes.

La clave, en el fondo, está en ser capaces de identificar los SLAs que nos ofrece cada una de las opciones valoradas. Los servicios en la nube normalmente ofrecen buenos niveles de disponibilidad, pero... ¿Qué necesidades de servicio tenemos nosotros? ¿El cumplimiento de los requisitos de la LOPD debe ser una exigencia para los servicios en la nube? ¿La capacidad de personalización debe ser una funcionalidad exigible al servicio? ¿Es importante el tiempo de respuesta ante incidencias relacionadas con el servicio? Son muchos los parámetros que cualquier organización puede querer exigir a sus prestadores de servicios, y debe ser una valoración conjunta la que nos ayude a elegir entre el servicio "en casa" o "en la nube". ¿Autobús o taxi? Son muchos los factores que entran en juego, y para cada caso seguro que la respuesta varía bastante.

El problema es que, a día de hoy, los SLAs que son capaces de ofrecernos la mayor parte de los prestadores de servicios son sin duda insuficientes. Ni los proveedores de servicios en la nube ni las personas que nos ofrecen esos servicios "en casa" suelen identificar muchas de las características del servicio que realmente importan a la parte contratante, y todavía es menos habitual encontrarse con una definición de niveles de servicio basada en parámetros medibles. Los pocos SLAs que nos encontramos generalmente suelen ser bastante básicos (dos o tres parámetros sencillos), y de "Agreement" tampoco tienen demasiado (valores fijos sobre esos parámetros que el cliente debe acatar). Y en esas condiciones es difícil llevar a cabo valoraciones objetivas sobre cuál es la mejor solución.

En definitiva, no creo que la discusión a la hora de decidir si externalizamos o no un servicio deba ser el coste, sino el resultado final de la valoración completa del servicio. Y ya que la oferta de SLAs es ampliamente mejorable, creo que debe ser trabajo de todos tratar de conseguir una mayor sensibilización en este sentido. Seguro que el mercado nos lo agradecerá...