23 diciembre 2010

Feliz Navidad y Próspero 2011!

Hoy sólo quiero desear a todos los lectores del blog una feliz navidad y un próspero (y seguro) año 2011.

ZORIONAK!!

16 diciembre 2010

Wikileaks y los orígenes de la seguridad

Sí, lo reconozco. He sucumbido a la tentación de hablar de Wikileaks y la seguridad. Supongo que era inevitable... Aunque espero que mi planteamiento sea provocador. ¿Pueden tener razón tanto defensores como detractores de Wikileaks, simultáneamente y por los mismos motivos? Yo creo que sí.

Los partidarios de Wikileaks defienden la transparencia de los gobiernos, argumentan que es beneficioso que la información que tiene Wikileaks salga a la luz, por su interés público. Defienden que la transparencia de los gobiernos tiene efectos positivos sobre la socidad. Por contra, sus detractores esgrimen que Wikileaks no es la propietaria de la información, y por tanto no tiene derecho a decidir sobre su difusión, ni por supuesto a difundirla, ya que sus propietarios no lo han hecho. Afirman que su difusión puede poner en riesgo a ciertos sectores de la sociedad.

Parece claro que el fondo de la polémica (al menos de la principal, que hay muchas otras) está en la clasificación de la información. Para unos esa información debe ser pública, para los otros debe ser confidencial. Y ambos utilizan el mismo argumento: el impacto que puede tener en la sociedad la divulgación de esa información. Para los primeros muy positivo, para los segundos muy negativo. ¿Cómo puede ser?

El factor diferencial de ambas argumentaciones va un poco más allá, y ataca directamente al origen de la seguridad: las responsabilidades. Ambas parten de la misma premisa: debería ser el "propietario real" de la información quien tuviera la responsabilidad de clasificar esa información, y de aplicar las medidas de seguridad apropiadas a dicha clasificación. No obstante, cada uno responde a esa pregunta de forma distinta. Unos argumentan que los propietarios reales de la información son los ciudadanos, otros que sus propietarios reales son los gobiernos. Los primeros defienden medidas de seguridad que garanticen la disponibilidad de la información, que catalogan como pública, y critican a los que atacan dicha disponibilidad y quieren restringir su difusión. Los otros catalogan esa misma información como confidencial, y por tanto defienden las medidas de seguridad encaminadas a garantizar su distribución limitada y critican a los que quieren difundirla públicamente. Mismos argumentos, conclusiones opuestas.

Y el problema es que, en el fondo, ambos tienen razón. Por un lado, la información es de los gobiernos, y por otro los gobiernos se deben a sus ciudadanos. El debate, en realidad, no es técnico, sino político. O mejor dicho, filosófico. Y si no me creéis, desenpolvad vuestros libros de filosofía del instituto y echadle un vistazo a la obra de Montesquieu, Hobbes y otros filósofos del pasado, y veréis cómo las noticias "de actualidad" tienen mucho más de "clásicos" de lo que nosotros pensamos...

09 diciembre 2010

Security, safety y otros matices

Más de una vez he hecho referencia a noticias que cruzaban el límite de la seguridad de la información (security) y entraban de lleno en la seguridad de las personas (safety). Sin embargo, hasta ahora no me había metido con la protección de las infraestructuras críticas, aunque es evidente que dichas infraestructuras son un puente tangible entre ambos mundos. Y la verdad es que ciertos artículos, como el referido a la continuidad de las organizaciones resilientes, invitaban a ello. Así que hoy no he podido evitar la tentación de comentar brevemente una noticia sin prácticamente repercusión en Europa que salió a la luz hace cosa de mes y medio, referida a la pérdida temporal del control de unos misiles balísticos nucleares en EEUU.

La noticia es sencilla de entender: debido a un cierto fallo tecnológico cuyo origen no está muy claro, el gobierno estadounidense perdió temporalmente el control de unos cuantos misiles nucleares intercontinentales. Parece ser que el sistema informático de la base perdió completamente el contacto con los misiles, a causa de un fallo generalizado en el interfaz de control, posiblemente por un fallo en un componente hardware.

Aunque probablemente el hecho se pueda catalogar de anecdótico, ya que aparentemente no había ningún riesgo más allá de los nervios de unos operarios que veían caído el sistema de control, creo que el hecho merece unos cuantos comentarios al respecto:
  • Es destacable que un fallo en un simple componente hardware, o en unos meros cables de comunicaciones, pueda provocar una incidencia de tanta magnitud como para que se requiera informar a la Casa Blanca. ¿No hay sistemas redundantes para controlar un material tan sensible?
  • Llama la atención que relacionen este hecho con otro de similares características ocurrido hace 12 años. ¿No llevan a cabo una gestión de problemas, en terminología ITIL, en caso de incidencias graves? Y yendo un poco más allá... ¿Cómo se gestiona la obsolescencia tecnológica del equipamiento hardware destinado al control de este tipo de material "delicado"?
  • Según se recoge en el artículo, parece que sí se llevan a cabo tareas de mantenimiento durante las cuales algunos de los misiles están off-line. Sin embargo, en términos de continuidad... ¿Se lleva a cabo un programa de pruebas de continuidad que cubra este tipo de situaciones?
  • Y una duda conceptual: ¿Serían las bases de misiles una infraestructura crítica en términos de la próxima Ley para la Protección de las Infraestructuras Críticas? ¿Deberían serlo?
Creéis que hay otros aspectos destacables en el artículo? ¿Cuál es vuestra opinión al respecto? Espero vuestros comentarios...

01 diciembre 2010

ISO 27001 en España - 2009

Como todos los años, a finales de Octubre ISO publicó su informe anual sobre certificaciones a nivel mundial, su ya famoso ISO Survey of Certifications, correspondiente al año 2009. En él se analiza la evolución mundial de los principales certificados ISO, y de dicho análisis se extrae un resumen general que se puede consultar en abierto. Por su parte, también AENOR como representante español en ISO ha publicado una nota de prensa al respecto, y puede servir para complementar las principales conclusiones del estudio si no se tiene acceso a él.

Las principales conclusiones que se pueden sacar de dicho estudio en torno al estado de las certificaciones ISO 27001 en España son las siguientes:
  • De los 12934 certificados ISO 27001 que había a nivel mundial en 2009, 483 (un 3,7%) estaban emitidos en España, convirtiéndose en el 5º país del mundo y 2º en Europa (después de Reino Unido, el país en el que se gestó el estándar, con 946) con mayor número de certificados.
  • En el año 2009 se emitieron en España 280 certificados ISO 27001, lo que le convierte en el primer país europeo y tercero del mundo con mayor crecimiento en números absolutos.
  • A nivel mundial la certificación ISO 27001 creció en el año 2009 un 40%, mientras que el incremento anual que se produjo en España en el número de certificados emitidos fue del 72,5%.
En resumidas cuentas, creo que la conclusión que se puede extraer de este informe es que el negocio de la certificación ISO 27001 goza de muy buena salud en todo el mundo, y en España avanza viento en popa a toda vela. No obstante, después de ver estos números tan grandilocuentes no puedo evitar que me surja siempre la misma pregunta: ¿Cuantos de todos estos certificados han servido para que las organizaciones que los poseen hayan visto mejorada la seguridad de su información? ¿Cuántos de todos estos certificados han impactado de forma positiva en el negocio de las respectivas organizaciones? Porque no olvidemos que el objetivo último es ése...

24 noviembre 2010

Sistemas de Gestión de Organizaciones Resilientes

A veces es conveniente sacar la cabeza del entorno cercano y ver qué se mueve más allá. Sobre todo, cuando te pasas los días hablando de los mismos temas, con las mismas personas, en los mismos entornos. Por éso me gusta tener noticias de gente que se mueve en otros mundos, cercanos pero diferentes, y que siempre aportan un nuevo punto de vista a los temas de siempre. Y este es uno de esos casos.

Jose Miguel Sobrón trabaja en Naciones Unidas, en la Unidad de Apoyo a la Gestion de Crisis y Operaciones del Departamento de Seguridad. Trabaja, como digo yo, en Continuidad de Negocio "de verdad": las "típicas amenazas de libro" (pandemias, ataques terroristas, etc.) son amenazas reales a las que estas unidades tienen que enfrentarse de forma práctica y efectiva. Un entorno sin dudas interesente, y más si tenemos en cuenta que su trabajo está imbuído de la cultura americana, más pragmática que la europea, y por tanto con un acercamiento parcialmente distinto a los mismos problemas. Por éso, cuando me ofreció la posibilidad de contribuir a difundir la visión que tenía la ONU en relación a la Continuidad de Negocio, no lo dudé ni un momento.

Según era de esperar, Naciones Unidas lleva bastante tiempo trabajando en Continuidad de Negocio. No obstante, su acercamiento no es el estándar, ya que parte de un entorno multi-entidad, en el que la coordinación, cooperación, coherencia y complementación de las estrategias de cada entidad (nación, administración, empresa u otras) es clave para lograr una estrategia común de continuidad. En ese entorno, el concepto de Continuidad de Negocio fue evolucionando hasta desembocar en el de Resiliencia, entendida como la capacidad de una organización de recuperarse de cualquier situación. Y por lo tanto la sistemática de gestión para garantizar esa capacidad de recuperación de las organizaciones acabó por conformar lo que se ha venido a llamar Sistema de Gestión de Organizaciones Resilientes.

Los principios de este sistema de gestión son muy sencillos de entender:
  • Compromiso de la dirección: Los órganos directivos de cada entidad se deben comprometer activamente con el sistema de gestión (¿A alguien le suena?)
  • Transparencia: Todos los actores implicados conocen los planes de todos los demás.
  • Homogeneidad: La estructura básica de todos los planes es similar, lo que facilita su uso.
  • Sencillez: La sistemática de valoración de impactos es única, sencilla y simple, y es la referencia exclusiva para la activación de los planes.
Bajo estas premisas se desarrolla el resto de la sistemática de gestión, que ya es más similar a un sistema de gestión "clásico" de continuidad de negocio. ¿Os interesa el tema? ¿Queréis más información al respecto? Pues os invito a conocer más detalles directamente en su blog: Gestión de Riesgos, Crisis y Continuidad.

15 noviembre 2010

Calidad en la gestión de servicios TI

Hoy ha dado comienzo en Madrid el congreso anual de itSMF España, cuyo lema es "Dibujando el futuro de las TIC". Lamentablemente este año tampoco voy a poder asistir, ya que otros compromisos previos me lo impiden, pero a cambio me gustaría recomendaros a todos una de las ponencias, la T2.06 sobre cómo implantar la ISO 20000 en la PYME, donde Jose Ramón Concha, gran profesional donde los haya además de compañero de aventuras y desventuras, os va a contar cómo hemos conseguido que más de 20 PYMEs implanten, certifiquen (bajo ISO 20000) y mantengan su Sistema de Gestión de Servicios TI (SGSTI) con alcances muy reducidos (en algunos casos incluso de tan sólo 5 ó 6 personas), gracias a un gran esfuerzo de "decantación" del estándar y de construir procesos eficaces y sobre todo muy eficientes.
La verdad es que a veces tengo la sensación de que el sector está olvidando la esencia de la ISO 20000, de que las organizaciones están más empeñadas en "adecuarse" a ITIL que en buscar sus ventajas. Parece como si ITIL se hubiera vuelto una religión, y empezásemos a confundir el medio (la buena gestión de los servicios TI, independientemente del modelo de referencia que utilicemos) con el fin (incrementar la eficacia y eficiencia de los servicios TI e incrementar su beneficio para el negocio). Por éso creo que este tipo de ejemplos, aplicados a entornos reducidos, pueden no sólo ser una excelente referencia para una PYME, sino que incluso las grandes organizaciones deberían tomar estos casos de éxito como ejemplos a seguir, sobre todo si tenemos en cuenta las importantes ineficiencias que en muchas ocasiones se pueden observar en grandes empresas.
Creo que a estas alturas cualquiera que lea este blog sabrá que soy un completo creyente en la ISO 20000 y en las ventajas que una buena interpretación del estándar puede aportar a cualquier organización, incluso más allá de la gestión de servicios TI. No obstante, también creo que es importante basar esta confianza en el estándar en algo más objetivo que un simple convencimiento personal, y por éso estoy trabajando en un artículo que establezca una correlación clara entre este modelo de gestión y otros modelos más generalistas y reconocidos entre la alta dirección como pueden ser los modelos de excelencia empresarial. Ya os adelanto que el artículo resultante puede exceder el tamaño aconsejable para ser publicado en el blog, y que posiblemente opte por encontrar algún medio más apropiado para su publicación inicial, pero no os preocupéis que tarde o temprano encontraréis aquí los resultados de dicho artículo. Mientras tanto, espero que los contenidos sigan siendo de vuestro interés.
Un saludo a todos

09 noviembre 2010

Publicada la UNE 71599 sobre Continuidad de Negocio

Finalmente ya tenemos una norma española sobre continuidad de negocio: la UNE 71599. Tras la autorización por parte de BSI de la publicación de la norma BS 25999 como norma UNE, AENOR ha publicado la traducción oficial de la BS 25999 al español como norma UNE 71599, en dos partes:
  • UNE 71599-1:2010: Gestión de la continuidad del negocio. Parte 1: Código de práctica
  • UNE 71599-2:2010: Gestión de la continuidad del negocio. Parte 2: Especificaciones
Eso supone que ya tenemos una norma UNE certificable sobre continuidad de negocio, la parte 2, y probablemente este hecho suponga un impulso significativo al negocio de la certificación en este ámbito. Sobre todo si pensamos que hasta ahora era un requisito necesario (al menos, de facto) que existiera una norma UNE para que la certificación de un sistema de gestión en un cierto ámbito fuese susceptible de recibir subvenciones públicas...

Aunque la noticia me parece destacable y muy positiva, la verdad es que también tengo una crítica al respecto. El trabajo de adopción de la norma BS como norma UNE ha sido llevado a cabo por el comité AEN/CTN 71, cuyo ámbito de actuación son las Tecnologías de la Información, y esto me parece un error.

Una de las mayores críticas que está recibiendo el sector de la consultoría en torno a la orientación que da a la continuidad de negocio es que la aproximación que se suele realizar es desde el mundo de las TI y no desde la visión del negocio, y tengo la sensación de que AENOR puede haber hecho lo mismo, lo cual me parece un error. Y lo que me fastidia es que la diferencia de visión entre ambos mundos está muy clara desde que BSI publicó la BS 25777:2008, que habla específicamente de continuidad TIC y su relación con la BS 25999, de modo que no termino de entender el motivo por el cual ha sido ese subcomité quien ha asumido la gestión de esta norma. ¿Será que somos los del mundo de las TIC los que más nos preocupamos por la continuidad operativa del negocio? ¿O es que tenemos demasiado interiorizada la dependencia actual del negocio con respecto de las TIC? En cualquier caso, será interesante ver cómo evoluciona el sector a partir de la publicación de esta norma, no creeis?

25 octubre 2010

El mercado de los certificados ISO 20000

Hace unos días saltó la noticia: APMG compra a itSMF UK el esquema de acreditación para ISO 20000. La verdad es que la noticia probablemente no haya tenido demasiada repercusión, ya que el mercado de las certificaciones tampoco es demasiado conocido por el público en general, pero la verdad es que la noticia es jugosa.

Para tratar de entenderla primero hay que conocer cómo funciona el mercado de las certificaciones y las acreditaciones. Por no repetirme, la casuística que hay en torno a la ISO 20000 es parecida a la que había en su día alrededor de la ISO 27001, así que me remitiré a un antiguo post en el que en su día describí el estado de los certificados ISO 27001 en España. En resumen, podría decir que un esquema de acreditación es para una entidad certificadora lo mismo que una norma certificable para una empresa normal, de modo que las certificadoras se "certifican" (acreditan) contra una norma (esquema de acreditación) que puede ser nacional o internacional.

A día de hoy, que yo sepa, sólo existe un esquema de acreditación "oficial" y reconocido, que es el que elaboró en su día el itSMF UK y que acaba de ser comprado. Sin embargo, no está muy claro hasta qué punto tiene validez en la actualidad dicho esquema de acreditación, ya que itSMF UK firmó con UKAS, la entidad de acreditación británica, un acuerdo por el cual sería UKAS quien operase dicho esquema (en UK, y la entidad de acreditación nacional correspondienteen el resto de los países). Sin embargo, para añadir más confusión al asunto, parece que el esquema de acreditación que tiene UKAS, basado en ISO 17021, es propio, o al menos no aparece ninguna referencia al esquema de itSMF UK.

También tenemos que tener en cuenta que el esquema de acreditación de UKAS sólo debería ser tenido en cuenta allí donde ha sido reconocido oficialmente, y esto es en UK, ya que (al menos, que yo sepa) no hay ningún acuerdo multilateral firmado en torno a este esquema. Por tanto, en España a día de hoy no hay ningún esquema de acreditación válido, ya que ENAC no lo tiene (aunque parece que están en ello) y el de UKAS no es válido (por el momento).

En este entorno entra en juego APMG, una organización privada con proyección internacional que hasta el momento no se había movido en el terreno de la acreditación de entidades certificadoras. Aparentemente no pertenece a ese mundo, y desde mi punto de vista su entrada es compleja, ya que tampoco pertenece a EA, IAF o asociaciones similares. ¿Respetará APMG el acuerdo con UKAS? ¿Seguirá su propio rumbo? La verdad es que no está nada claro, pero el mercado de la certificación no se va a detener a esperar a que este embrollo se aclare...

Para terminar de embarullar el panorama, AENOR-normalización y ENAC están trabajando en el desarrollo de un esquema de acreditación específico para España. El problema de fondo es que la norma en la que se basa el esquema de acreditación de UKAS es genérica para sistemas de gestión, y el sector echa de menos una norma específica para los SGSTIs. Sin embargo, crear una norma lleva tiempo, y si queremos un esquema de acreditación basado en ella todos los certificados en España deberían esperar a que ambos estuvieran listos. Además, el resultado sería una norma UNE, sin validez internacional a no ser que desde ISO se decidiera adoptar dicha norma como norma ISO. Pero claro, mientras tanto el resto de países también podrían desarrollar sus propias normas, y para crear a partir de ellas una norma internacional habría que "pelearse" (llegar a un acuerdo) y por tanto esperar todavía más, cosa que también habría que hacer si se quisiera crear una norma ISO desde el principio... En definitiva, la regulación completa de los certificados ISO 20000 en España llevará tiempo. No obstante, no creo que eso vaya a frenar su evolución. ¿Será este barullo un freno para la misma, o dinamizará su adopción? No creo que tardemos mucho en ver las primeras consecuencias...

18 octubre 2010

El coche de Google

La semana pasada saltaba la noticia de que se había "descubierto" el último "juguete" de Google, el coche autónomo. Un coche comercial capaz de conducir solo, sin conductor, y que habría recorrido ya más de 200000 kilómetros con un único percance del que aparentemente no era culpable.

Después de oir la noticia seguro que a todos se nos vienen a la cabeza escenas de películas futuristas de ciencia-ficción en las que aparecen coches que no necesitan conductor. ¿Estaremos cerca de poder vivir en primera persona las escenas de yo robot o minotiry report?

Más allá del nivel real de evolución tecnológica en el que nos encontremos (no es lo mismo desarrollar un prototipo funcional que producir en serie coches autónomos), y donde no me voy a meter por desconocerlo totalmente, creo que hay algunas dificultades no tecnológicas que habría que superar antes de poder ver estos coches circulando por nuestras carreteras. Y la que más me preocupa es la relativa a la responsabilidad. ¿Estaría dispuesto el fabricante del software a hacerse responsable de los errores de conducción que pudiera tener su software, o a responder de los accidentes que pudiera provocar un fallo de programación?

Las responsabilidades derivadas de fallos en los productos fabricados es algo que ha sido abordado de forma completamente opuesta por los fabricantes de automóviles y por los fabricantes de software. Los primeros siempre se han considerado responsables, y periódicamente alguna noticia asociada con la revisión preventiva de miles de vehículos por posibles errores en la fabricación nos lo recuerda, mientras que los fabricantes de software nunca han querido responsabilizarse de bugs ni de fallos de seguridad. ¿Qué mentalidad ganará la partida en esta extraña fusión?

Ligado al tema de la responsabilidad también tenemos un aspecto crucial como es la seguridad de ese software. Teniendo en cuenta que los coches se deberán comunicar entre sí para reaccionar de forma coordinada... ¿Cómo se va a securizar ese software? Lo que es evidente es que en este caso pueden estar en juego vidas humanas, y cualquier virus que modifique, por ejemplo, la distancia de seguridad o la función de frenado del coche puede provocar consecuencias catastróficas. ¿Qué garantías de seguridad debería incorporar ese coche para asegurar que eso no va a ocurrir? El reto al que se puede enfrentar el sector puede ser enorme si queremos ver en nuestras calles coches autónomos y confiables... ¿Algún día lo veremos?

13 octubre 2010

ENISE 2010

Estos días estoy ultimando la presentación que voy a realizar en ENISE el día 26, creo que en la sesión de la tarde, titulada ENS, de la teoría a la práctica, en la que voy a contar algunos de los problemas prácticos que nos hemos ido encontrando hasta ahora en los proyectos de adecuación al ENS que estamos realizando y cómo los hemos ido resolviendo. La verdad es que me parece un foro estupendo para hablar sobre estos temas, tanto por el nivel que ha demostrado el evento en ediciones pasadas como por el perfil de los asistentes, así que espero que sea un foro del que todos podamos sacar provecho...

Por mi parte tengo que felicitar a la organización del evento por haber decidido abordar los Esquemas Nacionales de Seguridad dentro de la temática del encuentro, porque creo que es un tema que realmente requiere un debate abierto en un foro de este tipo, en el que coincidan administraciones públicas, prestadores de servicios y fabricantes de soluciones de seguridad. La verdad es que la adecuación al ENS se está convirtiendo en algunos ámbitos en poco menos que un mito (todos conocen a alguien que lo está implantando, pero nadie lo ha visto), y creo que ya es hora de que el sector y sobre todo las administraciones públicas cuenten y vean qué hay de realidad en este tipo de proyectos, a pocos meses de que concluya el plazo oficial (inicial) de adecuación. Así que sólo espero encontraros a todos allí, y que todos disfrutemos del evento...

Nos vemos

Actualización 24/11: Por si a alguien le interesa, ya están disponibles tanto la presentación que utilicé en el congreso como el vídeo de la ponencia (en mi caso, el capítulo 2).

07 octubre 2010

Es licito el DoS?

Supongo que a estas alturas todo el mundo (al menos, dentro del sector) se habrá enterado ya del ataque DDoS (ataque distribuido de denegación de servicio) que han sufrido (y que no tengo muy claro que no sigan sufriendo, ya que a estas horas sus webs están inaccesibles) la SGAE, Promusicae y el Ministerio de Cultura. La noticia sobre el ataque se podría resumir en que un grupo de ciber-activistas denominado Anonymous ha organizado ese ataque dentro de la campaña "operation payback", cuyo objetivo es hostigar a los organismos que a nivel internacional encabezan los movimientos anti-P2P, consiguiendo saturar sus páginas web y que no sean accesibles para los internautas.

El ataque ha suscitado opiniones para todos los gustos, que van desde el respaldo a la iniciativa hasta su rechazo. No obstante, creo que uno de los aspectos más importantes para poder valorar el hecho es conocer sus implicaciones: con la legislación actual no es un delito, aunque sí lo será a partir del 23 de Diciembre, cuando entre en vigor la reforma del código penal. Quizás podría provocar sanciones económicas si los afectados denunciaran por vía civil a los atacantes, a los que previamente tendrían que haber identificado, y un juez aceptara la denuncia. Aunque la verdad es que tengo la sensación de que es poco probable que este hecho acabe teniendo consecuencias específicas para personas individuales.

Personalmente no estoy de acuerdo con esta forma de actuar. La verdad es que coincido bastante con la opinión de Carlos Sánchez Almeida, no creo que una demostración de fuerza que se acerca al límite de lo legal sea la mejor forma de protestar frente a unas organizaciones que han ido de verdugos hasta que se les acaba de dar la excusa perfecta para ir de víctimas. En definitiva, estamos ante una manifestación no autorizada que ha bloqueado la carretera de acceso a estos 3 organismos durante las últimas 24 horas. ¿Es esa conducta sancionable? ¿Hasta qué punto? La verdad es que no lo sé, pero siempre viene bien trasladar el caso al mundo físico, donde todo es más entendible... ¿Qué pensais vosotros? ¿Respaldais el ataque? En el fondo es más una cuestión filosófica que otra cosa... Para enfrentarnos a la SGAE... ¿Todo vale?

30 septiembre 2010

Seguridad en las nubes

Después de algún tiempo inactivo vuelvo a la carga, con la esperanza de poder mantener un ritmo de publicación más normal. Y qué mejor que retomar la actividad del blog reseñando un estupendo artículo de Juan Cobo, publicado en la Revista SiC nº 91, titulado Seguridad en "la nube": ¿Cómo controlar lo que no controlas? acerca de qué medidas mínimas se deberían adoptar para mantener bajo control los servicios externalizados en la nube.

Como el artículo está a disposición de todo el que lo quiera leer, me voy a limitar a resumir los aspectos a mi juicio más destacables a la hora de poder gestionar la seguridad de unos servicios externalizados, de acuerdo con dicho artículo:
  • Tendremos que extender nuestros procedimientos y normas de gestión de la seguridad al prestador de servicios, "obligándole" a que las adopte como mínimos exigibles.
  • Deberíamos conseguir que el prestador de servicios se comprometa a aplicar internamente unas medidas de seguridad técnicas, organizativas y operativas mínimas (dicho de otra forma, exigirle que gestione su seguridad).
  • El proveedor deberá comprometerse a ser auditado periódicamente y a corregir las desviaciones que se detecten en las auditorías, poniendo a nuestra disposición los informes de auditoría.
  • Deberemos reservarnos el derecho de ser nosotros mismos quienes auditemos al proveedor, tanto a nivel técnico como a nivel de gestión.
  • El proveedor deberá comprometerse a gestionar formalmente sus incidentes de seguridad, y a informarnos acerca de ellos y de las acciones adoptadas para su corrección.
  • Tendríamos que conseguir que el proveedor de servicios designe un responsable de seguridad que centralice su interlocución con nosotros en dicha materia, manteniéndonos informados periódicamente.
  • Tendremos que reservarnos el derecho de cancelar el contrato a causa de una seguridad deficiente.
  • Deberíamos establecer SLAs sobre los aspectos de seguridad organizativa y técnica más relevantes para el servicio subcontratado: bastionado, gestión de cambios y parches, gestión de incidentes de seguridad, resultados de las auditorías, etc.
  • Por último, también sería conveniente que estableciésemos penalizaciones económicas, aparte de los SLAs, en caso de que se produzca algún incidente grave de seguridad que nos perjudique (sobre todo los relacionados con divulgación de nuestra información).
En resumidas cuentas, un estupendo compendio de condiciones que deberíamos incluir en nuestros contratos a la hora de subcontratar servicios, y más en aquellos casos en los que la nube no nos deja ver el funcionamiento real de los prestadores de servicios. ¿Cuántos de estos condicionantes incluís en vuestros contratos?

13 septiembre 2010

Cuestion de confianza

A estas alturas seguro que nadie se sorprenderá de oir decir que un análisis de riesgos es subjetivo. Sin embargo, a veces pienso que somos demasiado superficiales al dejar la reflexión en ese punto. ¿Cuáles son las causas de esa subjetividad? ¿Podemos hacer algo para combatirla? Y si no es así... ¿Tenemos capacidad, al menos, para concretar esa subjetividad y "asumir los riesgos" derivados de ella?

Uno de los factores de esa subjetividad es, sencillamente, la necesidad de hacer estimaciones. Normalmente carecemos de datos estadísticos que nos permitan cuantificar objetivamente la probabilidad de ocurrencia de las amenazas, así que acabamos estimando su valor. ¿Y de qué depende esa estimación? En general suele depender del optimismo o pesimismo de quien valora, pero también (y en gran medida) de sus experiencias pasadas. Todos aquellos que hayan tenido que desinfectar su parque informático o que hayan sufrido en carne propia la inundación del CPD seguro que son más propensos a "sobrevalorar" estasa amenazas que quienes no hayan tenido que afrontarlas nunca...

No obstante, en el factor en el que me quería centrar hoy es en el referente a los riesgos derivados de los administradores de sistemas. Muchas veces suele ser un tema tabú, sobre todo dentro del sector, pero la realidad es que hay más de un responsable de negocio que está preocupado por la "omnipotencia" de sus administradores de sistemas. Y la realidad, al menos la de hace un año, nos dice que los riesgos de los usuarios privilegiados no se gestionan bien, incluso en organizaciones que cuentan con un SGSI, de modo que los miedos de los responsables de negocio parecen estar justificados, al menos en parte...

Valorar la probabilidad de materialización de un abuso de privilegios por parte de los administradores de sistemas no es nada gratificante. En resumidas cuentas estás valorando cómo de malas son las intenciones de un compañero de trabajo, que en función del tamaño de la empresa puede tener cara, nombre y hasta familia, y la verdad es que dejar a un lado las relaciones personales puede ser una tarea imposible. Pero por otro lado, es realmente necesario hacerlo?

Visto desde otro punto de vista, lo que estamos valorando es el nivel de confianza que la organización puede depositar en los administradores de sistemas. Desde un punto de vista "práctico", cuanto más confiemos en ellos menores serán las precauciones a adoptar, lo que es lo mismo que aplicar menos controles debido a que el resultado del análisis de riesgos ha dado valores bajos porque la probabilidad de ocurrencia de esta amenaza es baja. Obviamente la confianza es subjetiva, pero... de qué depende? Aunque en esta valoración intervienen muchos factores, podemos pensar que ese nivel depende tanto del grado de competencia de la persona en cuestión como, sobre todo, del nivel de satisfacción que ese administrador de sistemas tiene en relación a su trabajo. Traduciendo a términos corporativos ambos factores, en el primer caso tendríamos la política de formación y capacitación de la compañía y en el segundo un compendio de política retributiva, conciliación, gestión de expectativas... En resumidas cuentas, todas las actividades que se suelen asociar a una moderna gestión de personas (o departamento de RR.HH. en los casos más habituales, me temo). A la hora de la verdad, los mecanismos "clásicos" de gestión empresarial siempre están ahí...

En definitiva, no sólo estamos ante un factor subjetivo, sino que en este caso dicha subjetividad es necesaria, ya que en función de las personas implicadas y de su situación "personal" concreta la valoración de los riesgos asociados a ellas debería cambiar. El nivel de confianza que la organización deposita en las personas es variable, y lo más importante es que la propia organización dispone de las herramientas necesarias para modificar los principales parámetros que condicionan dicha confianza. Dicho de otro modo, la gestión del riesgo asociado a las personas no sólo depende de la aplicación de los controles "formales" que define la ISO 27001, sino que la primera medida de gestión del riesgo que deberíamos aplicar es, sencillamente, la "inteligencia emocional" corporativa (concepto que, si no existe, me acabo de inventar con gran satisfacción). Ahora bien... esto, que parece una perogrullada, cuántas empresas lo aplican?

31 agosto 2010

El riesgo de los PenDrives

Ya hace más de 2 años que se publicaba un estudio alertando sobre la peligrosidad de los PenDrives (memorias USB, memory sticks, unidades flash USB o como se quieran llamar). En él, se ponían de manifiesto la gran cantidad de datos "sensibles" que se almacenaban en pendrives, así como la gran predisposición de las personas a "curiosear" el contenido de cualquier pen-drive que se encontrasen. En definitiva, ya en 2008 eran uno de los principales focos de riesgo en las organizaciones.

A día de hoy creo que la situación ha cambiado más bien poco. Las memorias USB son uno de los principales focos de infección de los PCs, y aunque no he sido capaz de encontrar estudios actuales al respecto, estoy prácticamente seguro de que el uso de memory sticks cada día es más habitual, y no creo que la sensibilidad de los datos almacenados en ellos haya disminuido (de hecho, lo más probable es que haya aumentado). Tanto la capacidad de almacenamiento como la fiabilidad de estos dispositivos ha crecido, a la vez que su precio ha disminuido enormemente, de forma que cada vez es más habitual encontrarse con este tipo de dispositivos. Y la verdad es que no es de extrañar, ya que su utilidad es enorme, dado que son ultraportables y accesibles de forma prácticamente universal.

Desde el punto de vista de la seguridad tampoco tiene que ser mala esta proliferación. Estamos maximizando la disponibilidad de la información almacenada en ellos, lo cual es positivo. El mayor problema es que su uso puede provocar una disminución de la confidencialidad (que suele ir asociado habitualmente al aumento de disponibilidad, pero que en este caso supone una disminución adicional por el importante potencial de pérdida que tienen estos dispositivos) y también una diminución de la integridad (como siempre que se generan copias de una información y no la "sincronizamos" apropiadamente). Algo habitual en esto de la seguridad (sería genial que se inventaran soluciones capaces de maximizar los 3 factores simultáneamente, verdad?), pero que en general no se suele gestionar de manera eficiente.

Es cierto que en el mercado existen productos que tratan de solucionar el tema de la confidencialidad mediante la introducción de cifrado nativo, con control de acceso autenticado bien mediante password o bien mediante autenticación biométrica. Pero también es cierto que el uso de este tipo de soluciones es bastante residual, y normalmente limitada a entornos corporativos. ¿Está justificado el elevado precio de este tipo de soluciones, normalmente muy superior al de los dispositivos sin ellas? Si los precios de ambos productos fueses equivalentes seguramente se conseguiría mejorar enormemente la seguridad de la información en toda la sociedad... ¿Merecería la pena subvencionarlos?

A diferencia que para el caso de la confidencialidad, el mercado no ha buscado soluciones específicas para solucionar los problemas de integridad asociados al uso de los PenDrives. Es cierto que existen multitud de herramientas que pueden resolver estos problemas, pero curiosamente no suelen ser funcionalidades que se integren de manera nativa en los productos de gestión de memorias USB. Parece como si, por una vez, la integridad de la información fuese un problema secundario, cuando "de siempre" ha sido el parámetro más cuidado (y quizás por ello también el que menos nos preocupa, ya que suele ser el más transparente).

En definitiva, desde 2008 se han incrementado bastante las soluciones disponibles para los problemas ocasionados por las memorias flash USB, pero ni su evolución ha sido todo lo buena que se podría haber esperado ni sobre todo su adopción se ha extendido tanto como hubiera sido deseable. En la actualidad nos encontramos con un panorama en el que los riesgos derivados del uso de las memorias USB, cuya expansión continúa siendo imparable, aumenta lenta pero progresivamente. ¿Responderá finalmente la industria de la seguridad con soluciones apropiadas para los riesgos a los que nos enfrentamos? ¿Será capaz la sociedad de madurar en la adopción de soluciones de seguridad apropiadas? Me temo que a los profesionales del sector todavía nos queda mucho trabajo por hacer...

23 agosto 2010

Spanair, malware y gestión del servicio

Aunque a estas alturas seguro que ya habéis oido hablar del tema, parece ser que ha saltado la noticia sobre un troyano que pudo intervenir en el accidente aéreo de Spanair, infectando el sistema que gestionaba los registros sobre incidencias técnicas en los aviones e impidiendo a los técnicos de mantenimiento percatarse de que existían incidencias repetitivas asociadas a uno de los dispositivos que, según parece, intervino en la causa del accidente.

Más allá de los titulares sensacionalistas que hemos podido ver en algunos medios, que poco menos que afirman que el virus fue el causante del accidente, es evidente que cuanto mayor es la dependencia que tiene la actividad humana diaria de los sistemas de información más probabilidades habrá de que un virus informático acabe afectando a dicha actividad, con consecuencias cada vez más imprevisibles. No es la primera vez que en este blog hablo del tema, y de hecho hay una etiqueta específica, seguridad y salud, bajo la que se agrupan esos post. Sin embargo, hoy no tengo intención de profundizar en este caso en cuestión, ya que creo que el nivel de incidencia que pudo tener es bastante relativo (puede contribuir al desastre, por supuesto, pero no creo que sea uno de los factores más importantes, al menos por la información a la que he podido acceder).

Lo que sí que quiero destacar es el concepto ITILero que subyace en el funcionamiento del sistema de gestión de incidencias técnicas de Spanair, y que según parece computa automáticamente una incidencia repetitiva de manera especial (mediante una "alarma"). El funcionamiento es bastante similar a la gestión de incidentes (o alguien prefiere hablar de incidencias?) y su escalado a "problemas" que se utiliza en el mundo de la gestión de servicios TI. También parece que la práctica habitual a la hora de registrar los incidentes permitía demorar dicho registro durante 24 horas, lo que implica que la catalogación como problema puede retrasarse 24 horas. ¿Son esas 24 horas un tiempo aceptable para la detección de problemas originados por incidentes repetitivos? O dicho de otro modo... ¿Debería haberse fijado un SLA asociado al tiempo de generación de una alarma provocada por un incidente repetitivo? Y si Spanair considerase que el tiempo es insuficiente, y que los incidentes deberían registrarse en tiempo real... ¿Cuál sería el coste de la infraestructura necesaria para que los técnicos pudieran registrar los incidentes de forma inmediata?

Con estas dos preguntas lo que quiero destacar es el hecho de que muchas veces, cuando pensamos en gestión de servicios TI, nos limitamos a seguir las prácticas comúnmente aceptadas, sobre todo a la hora de fijar indicadores y SLAs, sin pararnos a reflexionar en las necesidades específicas que puede tener nuestra organización a causa de la actividad que realiza. Sencillamente, el indicador que le conveniene a nuestro negocio no tiene por qué ser un indicador "clásico". Pero tampoco podemos "perder el norte" y subir los niveles de exigencia de los SLAs a valores hiper-exigentes, a riesgo de que el coste asociado a su consecución sea inasumible. Lo que sí debería ser exigible es que las organizaciones estuvieran obligadas a hacer esa reflexión, y que en este caso Spanair pudiera justificar el motivo por el cual sus protocolos de actuación funcionaban de ese modo. ¿Habrá hecho la compañía este ejercicio? Seguiremos atentos a la evolución de los acontecimientos...

17 agosto 2010

Ley de Acceso a la Informacion Publica

Ayer saltaba la noticia de que se está ultimando el anteproyecto de Ley de Transparencia y Acceso de los Ciudadanos a la Información Pública, cuyo objetivo es que los ciudadanos tengan acceso a la información que manejan las administraciones públicas. Según parece, esta ley pretende regular la capacidad de los ciudadanos de acceder a la información generada o gestionada por las administraciones públicas, estableciendo periodos máximos de tiempo de respuesta y la aceptación por defecto de la solicitud, siendo necesario que la administración justifique las denegaciones.

La noticia ha corrido como la pólvora en estas últimas 24 horas, y aunque en general las opiniones son favorables con la medida también han surgido opiniones que cuestionan sus limitaciones y el grado de aplicación real que pueda tener. Según parece, existen ciertos ámbitos en los que esta Ley no sería aplicable, y la transparencia que promueve es pasiva (a petición del ciudadano) en lugar de activa (Open Government).

Uno de los aspectos más destacables desde el punto de vista de la temática de este blog es que la Agencia de Protección de Datos es el organismo que se erige como árbitro en caso de discrepancias ante una denegación de la solicitud de acceso. Por un lado deberá velar por la confidencialidad de la información personal de los ciudadanos, mientras que por otro deberá luchar por la apertura de la información pública. Disponibilidad vs confidencialidad, dos aspectos muchas veces contrapuestos entre los que deberán mediar los profesionales implicados. ¿Creéis que es apropiada la designación de la AEPD como mediador en este ámbito, o pensáis que la alternativa que según parece se barajaba, la del Defensor del Pueblo, hubiera sido más apropiada?

Personalmente, la designación de un organismo público "especializado" en seguridad de la información como es la AGPD me parece una decisión muy interesante, aunque reitero que el reto al que se enfrentan los profesionales encargados de balancear entre disponibilidad y confidencialidad no es baladí, sobre todo si tenemos en cuenta que hasta ahora su trabajo estaba completamente sesgado hacia el segundo de ellos. No obstante, creo que puede ser un aspecto fundamental para el futuro del sector de la seguridad de la información, ya que con el paso del tiempo podremos contar con referencias válidas y legalmente sustentadas sobre el modo de aplicación de unos criterios que, a la hora de la verdad, suponen el mayor quebradero de cabeza de los administradores de la seguridad de la información.

16 agosto 2010

En los limites de la LOPD

Ya estoy de vuelta de las vacaciones... Es una sensación curiosa, por un lado parece que te has ausentado durante lustros y por otro da la sensación de que todo sigue igual, de que el tiempo se ha detenido durante el tiempo que no has estado. Y claro, lo que siempre sigue esperándote a la vuelta son todas esas tareas que habías dejado con la esperanza de que se resolvieran solas, pero que alguna extraña fuerza ha sido capaz de mantener tal y como estaban durante todo el tiempo en que las estado ausente...

Sin embargo, también es cierto que a la vuelta a veces te encuentras con sorpresas, con cambios, con pequeños asuntos que hacen más entretenido el regreso. Y uno de ellos es una consulta que he recibido por correo, y que me gustaría contrastar con todos vosotros, a ver qué opinais. De momento os planteo la cuestión, y dejo mi respuesta para dentro de algún tiempo, a ver si mientras tanto alguien se anima a debatir sobre el tema.

El caso es que me escribe un comerciante con dudas acerca de la aplicabilidad de la LOPD a su caso particular. Esta persona tiene una tienda, y parece ser que sobre la puerta ha instalado una cámara IP enfocando hacia el interior. La cámara en cuestión no graba imágenes de ningún tipo, y la utiliza para conectarse a ella a través de Internet cuando salta la alarma y poder comprobar si es una falsa alarma y tiene que ir a desactivarla, o si por el contrario hay "gente" dentro de la tienda y tiene que llamar a la policía. La cámara, según parece, tiene visión nocturna y buena resolución.

Por un lado, la duda de esta persona es si le aplica la LOPD. La cámara por sí sola no graba imágenes, pero desde el ordenador de su casa él tiene la capacidad de conectarse a ella y sacar pantallazos o grabar manualmente lo que la cámara esté visualizando. ¿Creéis que le aplica la LOPD? ¿Hasta qué punto? ¿Debería esta persona colocar un cartel informativo?

Por otro lado, la cámara enfoca hacia el mostrador, y por tanto a través de ella se puede ver a sus empleados mientras están trabajando. Y claro, es evidente que alguno de ellos se puede sentir vigilado... ¿Qué implicaciones creéis que puede tener esto desde el punto de vista del derecho laboral? ¿Os parece una solución apropiada?

La verdad es que no es una solución sencilla, ya que el caso roza los límites de la aplicación de la LOPD, y no está claro si por dentro o por fuera. ¿Qué pensáis? ¿Alguien se anima a dar su opinión (no vinculante, por supuesto) al respecto?

05 julio 2010

Ciudadanos clientes

Ya siento no postear con más asiduidad, pero la verdad es que el último mes ha sido especialmente intenso. A los habituales proyectos externos en los que participo se ha unido una recertificación del SGSI con una nueva entidad certificadora, y el replanteamiento que hemos hecho de nuestro SGSI para pulir algunos "vicios" que ha ido adquiriendo nuestro SGSI a lo largo de 6 años ha llevado su tiempo...

Hoy quiero plantearos un debate que ha surgido en varios de los proyectos que estamos realizando con organismos públicos, y que se resume en cómo abordar la dicotomía ciudadano - cliente que tienen algunos organismos públicos. Para la administración pública "general" su atención al ciudadano es homogénea, ya que todos somos iguales (vecinos del ayuntamiento, ciudadanos de la autonomía, etc). No obstante, existen otros organismos públicos que tienen clientes expresamente definidos, con los que firman un contrato para la prestación de ciertos servicios. En estos casos, parece que no queda claro cuáles son las condiciones que deben cumplir estos organismos públicos a la hora de prestar servicios a unos y a otros. ¿Es necesario cumplir las exigencias de la Ley 11/2007 con todos ellos? ¿O sólo con los servicios prestados a los ciudadanos en general? ¿Aplican las exigencias del ENS a los servicios prestados a clientes, entendidos en su forma clásica? Si hay algún jurista con ganas de aportar algo de luz a este debate, estaría encantado de escucharle...

14 junio 2010

Cuando la continuidad es imposible

Muchas veces, al hablar de continuidad de negocio, el personal comienza a pensar inmediatamente en servidores en alta disponibilidad, CPDs redundantes, centros de contingencias... Supongo que será por deformación profesional, pero la verdad es que al hablar de continuidad de negocio nos solemos olvidar de la industria. Sí, las fábricas de toda la vida, con sus autómatas, su máquina-herramienta, sus operarios a pie de máquina... ¿Qué solución se le puede dar a ese tipo de organizaciones?

En muchos casos, el principal coste de una fábrica son sus máquinas de producción. Pensemos, para empezar, en un fabricante de automóviles. ¿Cuánto cuesta una cadena de producción? ¿Es asumible el coste de tener una "cadena de producción de backup"? ¿Es una alternativa viable económicamente la de tener un "centro remoto" de backup? Claro, si pensamos en una multinacional quizás una planta de producción pueda ser el backup de otra. ¿Y en el caso de una empresa pequeña? ¿Todas las industrias se pueden permitir los costes de tener una planta alternativa?

Otra opción podría ser la de esperar. Esperar a que los fabricantes de máquina-herramienta nos suministren nuevos equipos de producción. Pero si estamos hablando de maquinaria especializada... ¿Cuánto tiempo tardan esos fabricantes en suministrarnos los equipos que necesitamos? ¿Podemos asumir ese tiempo de parada del negocio? ¿Seguiremos manteniendo nuestro sitio en el mercado cuando restablezcamos la producción?

Y llegamos a la pregunta que os quería plantear hoy: si los costes de la planta alternativa son inasumibles, y los tiempos de espera también lo son, qué podemos hacer? ¿Cuál puede ser el plan de continuidad de negocio de una industria? ¿Es posible? ¿Debemos asumir el riesgo de no tener Plan de Continuidad? Espero vuestros planteamientos...

27 mayo 2010

Seguridad móvil y percepciones

Hoy quiero reseñar el último de los estudios realizados por el Observatorio de Seguridad de la Información de INTECO, referente a la seguridad y privacidad en el uso de los teléfonos móviles por los menores en España. La verdad es que es uno de los estudios más interesantes que he leído en estos últimos tiempos, tanto por los temas analizados como por la diferenciación de resultados que hacen entre respuestas de padres y de hijos.

El estudio, además de analizar los hábitos de los menores en el uso de los teléfonos móviles, ha analizado la percepción de ambos colectivos frente a 7 riesgos concretos:
  1. Uso excesivo y adicción al teléfono móvil
  2. Amenazas a la privacidad del menor (como el sexting, o envío de contenidos de carácter erótico/sexual con el menor como protagonista)
  3. Acceso a contenidos inapropiados (de carácter sexual o violento)
  4. Ciberbullying o acoso entre menores
  5. Grooming o acoso de un adulto a un menor con intención sexual
  6. Riesgo económico (gasto excesivo, pérdidas económicas, fraude)
  7. Riesgos de carácter técnico (virus y spam)

En general, uno de los resultados más significativos es que en todos los casos la gravedad percibida por los padres siempre es bastante más alta que la percibida por los hijos. Tanto padres como hijos perciben como más graves más o menos los mismos tipos de amenazas(ciberbullying, grooming y acceso/uso de contenidos inapropiados), aunque los más frecuentes son, precisamente, los identificados como menos graves. Además, ocurren con más frecuencia de la que creen los padres, y normalmente los hijos no se lo cuentan, a no ser que sean incapaces de resolver la situación por su cuenta.

Viendo las diferencias entre la gravedad percibida, normalmente asociada al impacto, y la frecuencia de materialización de cada riesgo, echo de menos un análisis de riesgos un poco más formal, con el fin de obtener un valor de riesgo final que hubiera permitido compararlos. Por lo tanto, haciendo uso de la licencia con la que está publicado el informe, y utilizando los datos de las tablas 8 y 9, he decido hacer un cálculo sencillo con dichos datos, "calculando el riesgo" como el producto de la incidencia percibida y el porcentaje de personas que atribuyen a cada amenaza una gravedad alta (he tomado sólo los valores correspondientes a las valoraciones dadas por los hijos). Haciendo ese simple cálculo, el resultado sería el siguiente:

Viendo los resultados de la tabla, hay algunos resultados que llaman la atención. El primero de ellos es que el Spam y el gasto excesivo pasarían a ser las amenazas de mayor riesgo, ascendiendo desde las últimas posiciones en la tabla de "gravedad relativa", pero junto a ellas se mantendría el ciberbullying como una de las amenazas de mayor riesgo. También llama la atención el hecho de que los virus para teléfonos móviles, que es la amenaza para la que más soluciones tecnológicas existen en la actualidad, sea precisamente la amenaza de menor riesgo resultante después de este cálculo. ¿Hay algún otro resultado que os llame la atención? ¿Alguien se anima a seguir "procesando" los resultados del estudio? Seguro que todavía se pueden sacar un montón de conclusiones útiles para evaluar el "nivel de seguridad" existente en torno al uso de la telefonía móvil por parte de los menores...

20 mayo 2010

Consejos prácticos en redes sociales

Últimamente he leído varios artículos de similares características: consejos para un buen uso de las redes sociales (y en especial, de Facebook). He leído comentarios al respecto de Enrique Dans, de ConsumerReports, de Blogoff, ... Hay tanto consejos de uso como consejos de seguridad, pero yo me voy a centrar en estos últimos, ya que todos los consejos se basan, más o menos, en las mismas premisas:
  • Limitar la información publicada: Tanto la relativa a características personales como a circunstancias sociales. No dar excesivos datos íntimos, no facilitar el seguimiento de tu estado/ubicación en tiempo real, ...
  • Compartimentar: Agrupar a las personas y separarlas en grupos/listas en función del tipo de relación que tengan contigo (amigos, familia, vida profesional, ...).
  • Limitar los accesos: Tanto el acceso desde fuera de las redes sociales como el acceso de cada grupo a cada tipo de información. En definitiva, configurar adecuadamente la privacidad, la posibilidad de aparición en búsquedas, etc.
  • Limitar la actividad: Ser cauto en la utilización de funcionalidades que pueden permitir el acceso a información propia o que pueden afectar a tu presencia fuera de tu propio perfil (información "personal" en el muro, etiquetado excesivo de fotos, actividad pública "propagandística", etc.).
  • Utilizar claves de acceso robustas: Esta creo que no necesita explicación.

No obstante, creo que algunos de estos consejos chocan con el uso que muchas personas quieren para sus redes sociales: potenciar su imagen digital pública, favorecer que les conozcan, ser identificables como personas activas en la red social. En ese caso, muchos de los consejos dados en aras de la privacidad son completamente inútiles, ya que el objetivo es completamente el opuesto, la publicidad. En ese caso, de todas las premisas anteriores sólo nos podríamos quedar con dos: compartimentación (aunque quizás no sirva para nada, ya que no tiene por qué aplicarse el criterio de limitación de accesos) y uso de claves de acceso robustas. En este caso la duda que me surge es siempre la misma: ¿Es posible dar consejos válidos en el ámbito de la seguridad a este tipo de usuarios? ¿Por qué estos usuarios no "valoran" su privacidad? ¿Está la privacidad sobrevalorada por nuestro sector, o infravalorada por estos usuarios? ¿Son compatibles ambas visiones? Estaría encantado de escuchar vuestras opiniones...

17 mayo 2010

Persistencia de la información pública

Aunque la reflexión surgió en torno a la información de carácter personal que es accesible públicamente, la verdad es que la persistencia de la información o, dicho de otro modo, el carácter atemporal que en muchas ocasiones tiene la información accesible en Internet, puede ser a la larga un grave problema y uno de los talones de aquiles de la web tal y como la conocemos actualmente.

El caso es que el otro día estuve en una reunión debatiendo sobre las implicaciones y dificultades legales y técnicas que tiene la cancelación de datos personales públicos (publicados en boletines oficiales, por ejemplo), y a raíz de los comentarios que surgieron al respecto empecé a reflexionar acerca de la "calidad" de los datos a los que tenemos acceso a través de Internet, desde un punto de vista de su "veracidad temporal".

La verdad es que una gran parte de la información accesible en Internet no está fechada. Mucha de la información que existe en Internet no tiene una referencia temporal, no sabemos de cuándo data ni su grado de actualización. Además, los principales portales de acceso a la información, los buscadores, no tienen en cuenta ese factor a la hora de ordenar los resultados. De hecho, la información más reciente, y por tanto la que debería estar más actualizada, es la que menos probabilidades tiene de aparecer bien posicionada, ya que es la que menos tiempo ha tenido para ser rastreada o linkada. Por lo tanto, y salvo excepciones (medios de comunicación, informaciones oficiales, etc.), la mayor parte de la información accesible en Internet no sólo es atemporal, sino que en muchos casos puede estar desactualizada.

Teniendo en cuenta que el mundo en el que vivimos es enormemente temporal (e incluso cada vez funciona más en "tiempo real"), esta atemporalidad puede provocar divergencias bastante significativas entre el "mundo virtual" y el "mundo real". Divergencias que pueden ser más graves cuanto mayor sea la interrelación entre ambos mundos. Desde el caso en el que alguien figure en un boletín oficial como moroso cuando ya ha satisfecho sus deudas, hasta el caso en el que una empresa vea caer en picado sus acciones porque alguien ha publicado en la web su cuenta de resultados con un "simple" cero de menos, o sólo porque una noticia de hace 4 ó 5 años haya sido republicada por error y se entienda como noticia actual. Que un dato del pasado aparezca en Internet por cualquier motivo como información actualizada puede ser un grave problema para cualquiera. Como ya he dicho en alguna ocasión, la "integridad de la información" publicada en Internet, entendida como veracidad, cada vez es más crítica. Lo cual puede llevarnos a una nueva definición de "integridad de la información", en la que ya no sólo vale con que la información no haya sido modificada sin permiso, sino que además requiera su veracidad, su actualización en caso de que aquello a lo que se refiere haya sufrido algún cambio.

El problema es que la web no está concebida de manera dinámica y temporal, sino todo lo contrario. Y si tenemos en cuenta las ingentes cantidades de información que cada día se generan en la web, las probabilidades de que cada vez la información que encontramos esté menos actualizada poco a poco van a ir creciendo. ¿Existen soluciones actualmente para que esta situación no sea un problema? ¿O estamos ante uno de los puntos débiles de la web actual?

13 mayo 2010

Crítica práctica al Esquema Nacional de Seguridad

El otro día tuve la suerte de participar en un interesante debate con varias organizaciones del sector público que se están "peleando" con la implantación del ENS, y estas organizaciones estuvieron comentando comentando algunas de las dificultades que estaban teniendo a nivel práctico para lograr una implementación eficaz y sobre todo eficiente de dichas exigencias.

La primera dificultad común, ya prevista, venía dada por la necesidad de establecer nuevas funciones y responsabilidades en torno a la seguridad. Las figuras del responsable de la información, del servicio y de la seguridad son fáciles de entender, pero estaban teniendo dificultades a la hora de designar estos responsables en un organigrama en el que no es tan sencillo como parece identificar dichas responsabilidades de manera unipersonal.

No obstante, el debate se centró principalmente en la aplicación práctica de las medidas de seguridad recogidas en el Anexo II del ENS, y en la dificultad para poder aplicarlas de manera eficiente, dada la metodología de aplicación que define.

El problema radica en que, según el ENS, la aplicación de las medidas de seguridad se determina en función de la categoría de los sistemas, es decir, en función del valor de los activos, de su importancia. Esta es una filosofía garantista, ya que asegura la aplicación de mayores medidas de seguridad a los sistemas más valiosos, pero tiene el problema de que no utiliza, para discriminar la aplicación de dichas medidas, los valores de riesgo resultantes en torno a dichos activos. Un análisis de riesgos permite modular las medidas de seguridad a aplicar en función no sólo del valor del activo sino también de la probabilidad de ocurrencia de las amenazas y de la vulnerabilidad que presente el activo a dichas amenazas, de modo que si el primer factor tiene un valor elevado pero los restantes tienen un valor bajo, el riesgo resultante no será excesivamente alto, de modo que las medidas de seguridad a aplicar no tendrán que ser tan férreas como si sólo hubiéramos tenido en cuenta el primero de los factores, ya que los restantes "tiran hacia abajo" del resultado. En el caso del ENS, según la lectura que se hacía en aquella reunión, este efecto modulador del análisis de riesgos sólo es aplicable "hacia arriba", ya que su aplicación "hacia abajo" nos podría llevar a decidir no aplicar, en función del riesgo resultante, algunas medidas de seguridad que según el valor del activo sí que serían aplicables, lo que limita enormemente la capacidad de las organizaciones de poder realizar una gestión de riesgos eficiente, ya que no estaría permitido la no aplicación de ciertas medidas de seguridad.

Dándole vueltas al motivo por el cual las medidas de seguridad no se aplican en función del riesgo resultante sino del valor del activo, llegamos a la conclusión de que parte de la "culpa" probablemente viniese dada por la no determinación de una metodología concreta de análisis de riesgos. Esto supone, en la práctica, que una misma valoración de activos a la que se aplican dos metodologías de análisis de riesgos distintas pueden llegar a resultados de riesgo diferentes (presuponiendo mismos factores y mismos valores), lo que supondría la aplicación de distintas medidas de seguridad, echando por tierra de este modo la filosofía garantista del ENS. No obstante, estoy seguro de que puede haber más motivos a considerar a la hora de explicar esta situación, y puede que incluso la lectura que se haga en otros foros de la metodología de aplicación de medidas de seguridad del ENS difiera de la que se hizo en aquella reunión. ¿Qué pensáis vosotros? ¿Estáis de acuerdo con la interpretación de la metodología de aplicación de medidas de seguridad? ¿Pensáis que es una metodología que permite poca eficiencia? ¿Estáis de acuerdo con las causas que se identificaron en aquella reunión? ¿Se os ocurren otras? Estaría encantado de escuchar vuestras opiniones...

05 mayo 2010

Cosa de SLAs

Aunque todo el mundo hable de utilizar SLAs (o ANSs, si preferís en español) en sus servicios, a la hora de la verdad cuesta encontrar una organización que realmente los utilice en toda su dimensión. En muchas ocasiones, sencillamente, por no haberse parado a pensar en las consecuencias de utilizarlos, y en muchas otras porque, a la hora de la verdad, son tan pocas las empresas que los tienen en cuenta tanto en el lado del proveedor como en el lado del cliente.

En torno a los SLAs hay una serie de conceptos que creo que puede ser necesario aclarar:
  • Servicio: Es el concepto fundamental, aquello sobre lo que vamos a establecer unas condiciones de prestación determinadas. Pero no olvidemos que prácticamente se puede vender "cualquier cosa" en forma de servicio, de modo que definir adecuadamente el servicio, identificando todas sus características, es un factor clave al hablar de SLAs.
  • Parámetros: Son aquellas características medibles del servicio sobre las que se van a fijar las condiciones de prestación. Deben servir para caracterizar el servicio a partir de ellas, y habrá que pensar si nos conviene que sean características diferenciadoras del servicio, de modo que destaquemos su exclusividad, o características generalistas, de modo que sirvan para comparar los niveles que ofrecemos en nuestros servicios con los que ofrece nuestra competencia. Además, no podemos olvidar que estos parámetros son los que deben definir la calidad de nuestros servicios.
  • Niveles de servicio: Este es el valor que alcanza nuestro servicio en cada uno de los parámetros. Son valores variables, y tendremos que conocer dicha variabilidad a la hora de ofrecer nuestros servicios, ya que probablemente estos interesarán más o menos a nuestros clientes en función de los valores que seamos capaces de conseguir.
  • Acuerdo: Para un SLA es un factor clave, y no sólo por ser la tercera palabra. Implica que debería existir una negociación entre el cliente y el proveedor en la que ambos acuerden unos niveles de servicio determinados a un coste concreto, de modo que dicha negociación permita que los niveles de servicio prestados sean beneficiosos para ambas partes (satisfagan las expectativas del cliente y sean realizables y rentables para el prestador del servicio).
  • Objetivos (de nivel de servicio), o SLO: Son aquellos valores a cuyo cumplimiento nos comprometemos en un SLA, de modo que tendremos que tener un grado de certeza lo suficientemente alto de que nuestros niveles de servicio van a alcanzar dicho valor si queremos ofrecer servicios de calidad. En este punto el factor clave es tratar de conocer el % de certeza (valor numérico) con el que podemos garantizar el cumplimiento de dicho objetivo, y este es el punto en el que los expertos en estadística más nos pueden ayudar, ya que es una de las tareas más complejas, sobre todo si no tenemos datos históricos sobre los que basarnos.
  • Límites: Son aquellos valores mínimo y máximo entre los que se puede mover el nivel de servicio, y entre los cuales debe fijarse el SLO. Parece una obviedad, pero seguro que todos conocéis más de una organización que trata de vender imposibles...
  • Capacidad: Hasta ahora hemos estado pensando en un único cliente, pero un proveedor de servicios normalmente aspira a vender sus servicios a más de un cliente simultáneamente. Por tanto, no podemos olvidar la capacidad máxima de nuestros recursos, que por una parte condicionan los límites de nuestros servicios pero por otra parte también condicionan el número de clientes a los que podemos prestar servicios simultáneamente, y que en el caso de recursos compartidos puede venir también condicionado por los niveles de servicio que estemos ofreciendo a cada uno de ellos concurrentemente.
  • Valores agregados: Una vez que comenzamos a pensar en la prestación de un servicio a varios clientes de manera concurrente, también tendremos que plantearnos todos los conceptos anteriores de forma agregada, analizando los niveles de servicio, objetivos y límites que tiene el servicio prestado de manera global.

Por tanto, sólo cuando hayamos resuelto todos estos factores estaremos en condiciones de poder ofrecer SLAs a nuestros clientes con las suficientes garantías, ya que si no hemos hecho el ejercicio previo no seremos capaces de responder por nuestros servicios en función de los acuerdos alcanzados. Ese es el motivo por el que a la hora de la verdad no suelen existir demasiados servicios que se gestionen en base a SLAs, y es que pocas organizaciones suelen estar dispuestas a realizar el esfuerzo de llevar a cabo este análisis...

03 mayo 2010

El PC seguro

Muchas veces solemos pasar de puntillas por aquellos temas que nos parecen obvios, y al final podemos acabar quitando importancia a aspectos que, por básicos, creemos que ya están superados. Por eso me suele gustar encontrarme con estudios y análisis que nos suelen recordar que precisamente en lo más básico suelen aparecer los mayores errores, cumpliendo a la perfección la regla de Pareto.

Hoy me he encontrado con un artículo que, pese a tener casi 3 años, creo que sigue siendo completamente válido a día de hoy. El artículo en cuestión habla de una recomendación de Gartner sobre los PCs corporativos y las características que deberían cumplir. La interpretación que yo hago de esas premisas para que los PCs sean "seguros" son:
  • Plataformas estables y lo más homogéneas posible
  • Pocos cambios, y bien controlados
  • Limitación a la capacidad de los usuarios de alterar configuraciones y características de los sistemas
  • Uso de productos consolidados en el mercado y de calidad contrastada
  • Aplicación de programas de control de calidad a las aplicaciones desarrolladas a medida
  • Búsqueda de la sencillez y la facilidad de uso
  • Existencia de soporte técnico para la plataforma y las aplicaciones
  • Aplicación de programas de mantenimiento y revisión periódica de los equipos

Pueden parecer obviedades, pero son unas pocas premisas simples y muy útiles para construir una referencia básica utilizable. ¿Alguien me ayuda a transformar estos 8 puntos en un "decálogo para la seguridad microinformática"?

27 abril 2010

Boton SOS

Hace unos días leí una noticia acerca de una propuesta de la policía alemana de que los navegadores incorporasen un botón de alarma para notificar ciberdelitos en Internet. Ese botón, al ser pulsado, enviaría automáticamente una captura de la pantalla a un centro en el que se analizaría dicho pantallazo y se decidiría qué hacer en consecuencia.

La verdad es que la idea me parece ingeniosa, aunque no tengo claro el nivel de eficacia real de la medida. Me temo que la mayor parte de los usuarios de Internet no tiene un conocimiento demasiado claro de qué situaciones pueden constituir un delito (por no hablar de que esos delitos dependerán de la jurisdicción de cada país), y por contra sí que hay un número significativo de usuarios de Internet con pocos conocimientos y mucha necesidad de soporte técnico. Por tanto, me temo que esa solución podría pasar de ser un botón de notificación de posibles ciberdelitos a ser interpretada por muchos usuarios como un botón de ayuda on-line, algo más similar a un notificador de incidencias técnicas durante la navegación que a un notificador de ciberdelitos. Tengo la sensación de que la gran cantidad de falsos positivos que se podrían producir, unido a la elevada necesidad de recursos dedicados al análisis que puede requerir la solución, puede echar por tierra esa propuesta. No creo que el nivel de conocimientos en torno a la ciberseguridad del navegante alemán medio sea muy superior al del español, así que veo difícil que la idea llegue a tener una aplicación práctica suficientemente efectiva.

No obstante, sigo diciendo que la idea me parece ingeniosa, y quizás podría dar un buen resultado con unos pequeños cambios. Seguro que en Alemania, igual que aquí, hay un montón de empresas relacionadas de algún modo con la seguridad informática, y es muy probable que en esos entornos el nivel de eficacia que puede tener la utilización de un botón de ese tipo sea mucho mayor. También veo posible el uso efectivo de esa solución en ciertos entornos de la administración pública, como pueden ser los departamentos de informática, siempre que se llevase a cabo un programa de formación adecuado. Seleccionando un poco el público objetivo de esa solución, y centrándose en aquél con mayores conocimientos o con mayores probabilidades de encontrarse con algún ciber-delincuente, creo que una solución que automatice la notificación de posibles ciberdelitos puede ser una buena forma de mejorar la lucha contra dichas actividades. Y mientras tanto damos tiempo a que el nivel medio de conocimientos de la población sobre la seguridad en Internet pueda ir creciendo poco a poco, de forma que algún día este tipo de soluciones puedan extenderse a toda la población con las suficientes garantías. ¿Qué os parece?

26 abril 2010

Libro ISO/IEC 20000 para pymes publicado

Por fin!! La verdad es que ha costado mucho (muchísimo) más de lo previsto, pero al fin lo tengo en mis manos... Ya está publicado el libro "ISO/IEC 20000 para pymes - Cómo implantar un sistema de gestión de los servicios de tecnologías de la información". Ha costado mucho, ya que es un libro cuyo borrador se terminó de escribir a finales de 2008, en el marco del proyecto de CONETIC 20Kpyme, y que tras una larga (a veces, casi interminable) andadura por fín ve la luz de la mano de AENOR ediciones. La verdad es que es una gran satisfacción ver cómo una obra en la que has puesto tanto entusiasmo (y tanto tiempo) acaba siendo publicada, y más aún si la entidad que la publica está avalando al mismo tiempo su rigor. La espera ha merecido la pena...

El libro lo podéis encontrar en dos ediciones distintas. La primera, editada en tapa dura, está puesta a la venta en la propia web de AENOR, mientras que la segunda, con tapa blanda, está patrocinada por la SPRI y se puede solicitar a Nextel en la propia web del proyecto. El libro no es demasiado grande (144 páginas en tamaño A5), y hemos intentado que el contenido no sea excesivamente denso. Ya me contaréis si hemos conseguido escribir un libro atractivo...

Por último, no me resisto a la tentación de comentar el rotundo éxito del proyecto 20kpyme en la edición 2008-2009 y la buena marcha del mismo en su reedición de 2009-2010. En estos momentos se está gestando la edición 2010-2011, así que si sois una pyme y os interesa participar en un proyecto de implantación y certificación de un SGSTI bajo ISO 20000 con un coste muy asequible (gracias a las subvenciones del Plan Avanza), no dudéis en poneros en contacto con CONETIC, con Nextel o conmigo mismo y seguro que os podemos hacer un hueco en esta nueva edición.

20 abril 2010

Nos gusta el riesgo

Según parece, la mayor parte de los problemas de pérdida de datos en las empresas se debe a conductas de riesgo de los usuarios. O al menos éso es lo que reflejan algunos estudios, según indica el artículo referenciado. Como no he podido acceder a los datos de partida del informe (parece que la empresa que lo ha realizado sólo ha publicado algunas notas de prensa, pero no los resultados estadísticos de dicho estudio), el único dato que tenemos es el del titular: un 78% de las pérdidas de datos en las empresas se deben a:
  • Errores humanos
  • Pérdida de hardware
  • Robo de hardware
  • USB personal infectado
  • Desactivación del antivirus

De ellos, los dos primeros no creo que se deban estrictamente a conductas de riesgo (un "despiste" lo puede tener hasta el más paranoico), y el tercero tampoco tiene por qué estar relacionado con ellas (podría ser que con tu conducta vayas "provocando" a los ladrones, pero lo más habitual es que el robo se deba más a "despistes" y casualidades). Por tanto, me gustaría quedarme con las dos últimas, que sí que creo que son en sí mismas conductas de riesgo en las empresas.

En relación al uso de pendrives personales, creo que hay dos aspectos que habría que analizar: su uso para fines personales y su uso para fines profesionales. Sobre todo porque en este segundo caso (el primero queda regulado por cada organización una vez que se estipulen los usos y comportamientos permitidos en la organización, ya que puede ser una conducta de riesgo o una conducta incluso no permitida) habría que tener en cuenta si la propia empresa proporciona a sus empleados los medios necesarios (en este caso, pendrives) para que puedan realizar su trabajo. A partir de ahí, una buena solución sería la integración de un sistema de control de periféricos, de esos que permiten definir políticas de uso de medios removibles, para poder controlar qué pendrives se conectan a los equipos.

En cuanto a la desactivación del antivirus, la primera duda sería conocer por qué los usuarios tienen capacidad de desactivarlo (puede que no requieran ese tipo de permisos), y a partir de ahí preguntarnos el motivo por el cuál lo han hecho. Es cierto que algunos usuarios esgrimen la ralentización del equipo como argumento para desactivarlo (aunque muchas veces sea el propio malware que les infecta por tenerlo desactivado el que les ralentiza el equipo), pero también puede que una mala integración de estas soluciones o un incorrecto dimensionamiento de los equipos para soportarla puedan causar problemas reales con la plataforma antivirus.

Con esto quiero señalar que a veces puede ser la propia organización la que puede establecer acciones para corregir ciertas conductas de riesgo, ya que a veces el propio celo de los usuarios por realizar adecuadamente su trabajo puede conducirles a caer en dichas conductas. Más allá de las clásicas acciones de concienciación, adoptar ciertas precauciones con las herramientas y normativas de uso asociadas que homologamos en la organización puede ser un aspecto tanto o más importante que la propia concienciación a la hora de limitar las conductas de riesgo. Sobre todo si nos enfrentamos a soluciones que, por simplificarle la vida al usuario, le limitan la posibilidad de saber si está utilizando un protocolo de navegación seguro...

12 abril 2010

TecniMap 2010

La semana pasada estuve en el TecniMap de Zaragoza, y hoy quería aprovechar para contaros algunas de las principales conclusiones que yo saqué del evento:
  • En primer lugar, las administraciones públicas están muy centradas en la LAECSP, es decir, en digitalizar los servicios que prestan a los ciudadanos. Aunque las más grandes ya tienen la mayor parte de los deberes hechos, todavía hay cierta incertidumbre en cómo van a poder conseguir los ayuntamientos pequeños adecuarse a dicha ley. Parece que el camino es que sean las diputaciones (o similares) las que les monten las infraestructuras necesarias para cubrir con las exigencias legales, pero la insuficiente digitalización de los propios ayuntamientos (e incluso la insuficiente alfabetización digital de los funcionarios que trabajan en ellas) puede ser un problema real para cubrir estos objetivos.
  • El escaso uso de los servicios públicos digitales por parte de los ciudadanos es un reto de importantes dimensiones que en general no está muy claro cómo resolver. Todas las administraciones parecen tener claro que es necesario hacer un mayor esfuerzo en marketing, en "vender" a los ciudadanos estos servicios, pero tampoco se ha dado con una fórmula concreta de éxito. Existen casos puntuales con gran crecimiento, pero sin que se puedan extraer conclusiones concretas de qué es necesario para que los ciudadanos usen los servicios públicos digitales. Además, el respaldo presupuestario a esas acciones de marketing parece que en general es escaso.
  • La mayor preocupación de las administraciones que ya tienen más asentados los servicios públicos digitales parece ser la interoperabilidad, aunque la falta de una normativa concreta que regule estos temas (recordemos la gran cantidad de normas técnicas de interoperabilidad que el ENI prevé desarrollar) dificulta bastante su desarrollo, por "miedo" a realizar esfuerzos que luego puedan quedar fuera de la regulación que se establezca, y tampoco parece existir un estándar de facto (salvo ciertas excepciones) que vaya a ofrecer suficientes garantías.
  • Parece que la democracia participativa puede cobrar una mayor importancia gracias a la apertura de la administración pública a las redes sociales y a la web 2.0. No obstante, existen ciertos aspectos como la representatividad de esta participación activa o los riesgos derivados de una apertura a entornos no controlados que aún no han sido resueltos por completo.
  • Aunque todo el mundo parece tener claro que la digitalización de los servicios públicos debería suponer una reingeniería de los procesos administrativos y un cambio profundo de la manera de prestar servicios a los ciudadanos, a la hora de la verdad la mayor parte de esas digitalizaciones se han convertido en una mera automatización de los mismos procesos. La resistencia al cambio parece ser un gran obstáculo en la administración.

Aparte de esas conclusiones, que más o menos fueron temas comentados en distintas ponencias, yo añadiría una que me parece muy significativa: la seguridad prácticamente brilló por su ausencia en el TecniMap. Pese a la publicación del ENS, parece que las administraciones públicas están mucho más preocupadas por la funcionalidad que por la seguridad. Una vez más, parece que la seguridad queda en un segundo término (y mucho menor), pese a que tenga el mismo rango legal que la interoperabilidad. De nuevo, la seguridad será algo en lo que se piense, como mucho, a posteriori, y una vez que los servicios públicos electrónicos ya están montados. Olvidando que cualquier servicio público que se digitalice a partir del 29 de Enero de este año ya debería cumplir de manera "nativa" con el ENS...

Para finalizar, en relación al último comentario del pasado post referente a la responsabilidad de las administraciones públicas en torno a la información que gestionan, me quedó la sensación de que es un tema sobre el que no se ha reflexionado en exceso. La verdad es que no salió a relucir en ninguna de las ponencias a las que asistí, y en un par de sesiones en las que intenté "colarlo" en la ronda de preguntas tampoco lo conseguí. Sin embargo, la aparente "ligereza" con la que en alguna sesión equiparaban las iniciativas privadas de particulares con las iniciativas públicas, unido a la relajación que parecían mostrar en algunos casos en relación a las connotaciones legales que podía tener la apertura de los servicios públicos me lleva a pensar que este es uno de los temas en los que todavía no se ha trabajado lo suficiente. La verdad es que no me sorprendió especialmente, ya que en el ámbito empresarial también suele ser uno de los ámbitos en los que existen más lagunas a la hora de montar servicios TI, pero creo que es uno de los temas que más se debería trabajar de cara a futuros TecniMaps, dada la especial relevancia de una buena definición de responsabilidades en el ámbito de los servicios públicos.

06 abril 2010

Integridad virutal y real

La integridad suele ser una de las dimensiones de la seguridad a la que, pese a que todo el mundo la valora especialmente, no se le suele prestar demasiada atención a la hora de aplicar medidas de seguridad. En general, es algo que se da por hecho, y muchas veces son otras las dimensiones de la seguridad las que centran nuestra atención. Por esa especial importancia suelen ser tan sonados los incidentes relacionados con la misma, y por esa insuficiente atención suelen aflorar las críticas a la seguridad cada vez que ocurren.

El problema es que, poco a poco, estos incidentes de seguridad informática que atentan contra la integridad de la información, normalmente materializados en los famosos defacements de páginas web, están pasando del entorno corporativo al entorno personal, aumentando exponencialmente el daño potencial que pueden llegar a causar. Porque ahora ya no nos podemos limitar a pensar en los hijackings de la web personal del político de turno, sino que tenemos que empezar a pensar en los robos de identidades digitales de personas "anónimas", en la modificación malintencionada de cualquiera de las múltiples páginas web en las que un individuo "moderno" puede tener colgada información personal. Por eso, leer noticias como que ya se empiezan a producir asesinatos virtuales en facebook nos debería llevar a pensar que de algún modo deberíamos ser capaces de controlar de manera más eficiente la integridad de la información que cada uno genera en la red. Esto no quiere decir que en la red no puedan existir bulos, chismes y habladurías, igual que ocurre en el mundo real, pero no podemos perder de vista que la información en la red es persistente y replicable exponencialmente. De modo que la falta de integridad entre la información del mundo real y la del mundo virtual puede tener efectos muchísimo más grandes que si el incidente se limitase al mundo real. Porque un simple error en un estado civil o la publicación en el muro de un comentario inapropiado en un momento de enfado puede llegar a tener efectos demoledores sobre la vida de cualquier individuo. Y claro, todavía no hay sistemas que sean capaces de verificar la integridad de la información virtual con la del mundo real...

Para terminar, ya que el tema puede dar mucho de sí, sería necesario pensar si todas las entidades (los propios individuos, las empresas, las administraciones públicas, ...) deberían asumir la misma responsabilidad por fallos de integridad (podemos llamarle veracidad) entre la información existente en su versión virtual y la información existente en el mundo real. Tanto acerca de la propia entidad como acerca de otras. ¿Hasta qué punto una organización puede (Y/o debe) ser responsable de la información digital que mantiene sobre terceros? ¿Tiene el mismo grado de responsabilidad una empresa privada que una administración pública? ¿A quién corresponde el mantener actualizada (íntegra) dicha información? Aprovechando que los próximos días me pasaré por el Tecnimap, trataré de indagar sobre estas cuestiones. A ver qué os puedo contar a la vuelta...

29 marzo 2010

Ilegalidades de la DGT

Siento no postear más a menudo, pero la verdad es que el primer trimestre del año está siendo mucho más ajetreado de lo que esperaba, sobre todo a nivel profesional. Pero bueno, como en estos tiempos parece que no está demasiado bien visto quejarse por exceso de trabajo, sólo diré que me quejo por el poco tiempo libre que me queda últimamente. :-)

Hoy me ha sorprendido un post publicado por Samuel Parra en el que habla de que el sistema de consulta de puntos de la DGT es ilegal, pero no lo van a cambiar. Lo que más me ha llamado la atención son las declaraciones efectuadas por el responsable de informática, en las que se justifica que la organización no está dispuesta a cambiar el sistema porque "el organismo no se ve obligado desde un punto de vista jurídico ". Una afirmación con la que, sin ser abogado, creo que no puedo estar de acuerdo.

En la web de la DGT hablan de sí misma como Organismo Autónomo adscrito al Ministerio del Interior. Por tanto, entiendo que a la DGT le aplica por completo la Ley 11/2007, que en su Artículo 2 indica que dicha ley le será de aplicación a las Administraciones Públicas, entendiendo por tales la Administración General del Estado (...), así como las entidades de derecho público vinculadas o dependientes de las mismas. Así que, si consideramos que la consulta de puntos no es una actividad que la DGT desarrolle en régimen de derecho privado, que es la única excepción que preve la ley en este punto, yo entiendo que tanto dicha Ley como toda la reglamentación que se desprenda de ella le aplica por completo. De hecho, una de las disposiciones finales habla específicamente de temas de tráfico...

Siguiendo con ese razonamiento, entiendo que también le son aplicables el Real Decreto 1671/2009, que en su Artículo 1 indica que dicho real decreto "tiene por objeto desarrollar la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos en el ámbito de la Administración General del Estado y los organismos públicos vinculados o dependientes de ésta, en lo relativo a la transmisión de datos, sedes electrónicas y punto de acceso general, identificación y autenticación, registros electrónicos, comunicaciones y notificaciones y documentos electrónicos y copias". Y por último, creo que también le es aplicable el Esquema Nacional de Seguridad, puesto que en su Artículo 3 indica que el ámbito de aplicación de este real decreto será "el establecido en el artículo 2 de la Ley 11/2007, de 22 de junio´", y no creo que se pueda aplicar en este caso la excepción de los secretos oficiales.

En definitiva, no sólo creo que no es cierto que no exista obligación jurídica de subsanar las graves deficiencias encontradas, sino que considero que la obligación jurídica es completamente la contraria. Considero que existe una obligación jurídica bastante sólida de que dicho sistema ofrezca garantías reales de seguridad, y no sólo desde el punto de vista de la LOPD sino también desde un punto de vista más amplio, tal y como establece la Ley 11/2007. Así que esperemos que alguien se lo cuente a la DGT y se pongan a trabajar antes de que expiren los plazos establecidos por estas leyes y con ellos las excusas para no cumplirlas...

22 marzo 2010

El papel de la tecnologia

Hoy me he vuelto a encontrar, un poco por casualidad, con un artículo de Enrique Dans que en su día me llamó bastante la atención. En él, el autor criticaba el despido de un profesor por haber uitlizado un blog como motor de una asignatura. Más allá de las aseveraciones que hace el autor, que no voy a entrar a valorar, sí que quiero destacar uno de los argumentos que se utilizan en él, y es el de la capacidad que tiene a día de hoy la tecnología para cambiar la forma de hacer las cosas. Un argumento que también se repite una y otra vez en el libro que estoy terminando de leer, The Long Tail, y que en el fondo es el origen del post en cuestión.


La tecnología nos abre un mundo completamente nuevo y diferente. Un mundo virtual en el que, a diferencia del mundo físico, las reglas no están escritas, y podemos definirlas a nuestra conveniencia. Esa es su principal ventaja, pero también su principal riesgo. Porque no podemos desenvolvernos en el mundo virtual con las reglas del mundo físico sin correr el riesgo de equivocarnos, y no podemos perder de vista que la gravedad de nuestra equivocación viene determinada por lo diferentes que sean las reglas en uno y otro mundo.


El ejemplo de la pizarra digital es fácil de entender. Es una pizarra, y como tal se puede utilizar, sencillamente escribiendo sobre ella. Se puede pintar con colores, no mancha, y como lo escrito son sólo líneas en una pantalla se puede borrar por completo con un simple gesto. Es decir, que la pizarra digital puede seguir siendo sólo una pizarra moderna. Pero también es una pantalla táctil multimedia, y como tal permite muchas otras posibilidades: desde "traer la pizarra escrita" en una presentación, hasta utilizar vídeos o la navegación por Internet como herramientas lectivas, o muchas otras que a mí ni siquiera se me ocurren. El problema de este segundo caso es que el método clásico de clases magistrales quizás no sea el más apropiado para sacar provecho de este tipo de herramientas. Y si tratamos de forzar ese encaje, puede que el resultado no sea el óptimo.


Si bien el caso de la pizarra digital puede ser anecdótico, podemos ampliar el papel de la tecnología y confrontar el formato de enseñanza tradicional con el del e-learning. ¿Es válida la misma metodología de enseñanza para ambos casos? ¿Un profesor en ambos casos necesita tener las mismas aptitudes y conocimientos? ¿De hecho, el propio perfil del profesor es equivalente en ambos casos?

El ejemplo de la enseñanza no es un caso aislado. En todos los ámbitos de nuestra actividad, la utilización de la tecnología puede cambiar (y de hecho, ya lo ha hecho en muchos casos) la forma de entender nuestra sociedad y nuestro mundo. La comunicación, el trabajo, el transporte... Sin darnos cuenta hemos ido integrando el uso de la tecnología en nuestras vidas, en unos casos de forma natural y en otros de manera más traumática. El problema actual es que los cambios tecnológicos son tan rápidos que no estamos siendo capaces de asimilar las consecuencias de su uso, los cambios de fondo que provocan. No somos capaces de elaborar las reglas del mundo virtual a la velocidad adecuada, y la adaptación de las reglas físicas nos juega malas pasadas.

En el fondo, quizás estemos simplemente ante una brecha generacional, y la generación Y (o Z, ya no tengo muy claro cuál es cuál) pueda afrontar estos retos de forma natural. O puede que no. En el fondo, la gran duda es si la sociedad será capaz de afrontar los riesgos tecnológicos de forma correcta, o si llegaremos a asumir riesgos excesivos por no ser conscientes de ellos o por no saber cómo reducirlos. ¿En qué quedará todo? El tiempo lo dira...