Aprender jugando.

Habitualmente, no se si os pasa a vosotros, acabo cansado y aburrido cuando miro mi lector de feeds, siempre hay muchas noticias repetidas, copiadas, etc… pero de vez en cuando hay alguna a la que prestas más atención. Eso me suele pasar con los casos prácticos que con cierta periodicidad plantea la página de Security Art Work.

Como ya nos decían desde pequeñitos, no hay mejor manera de aprender que tomándolo como un juego, y eso es lo que hacemos, retarnos a nosotros mismos, y esperar los comentarios de otras personas para ver donde hemos fallado o qué se nos ha escapado.

Ayer, leyendo el nuevo reto, me sentí bastante cómodo, ya que se plantea un tema que me toca muy de cerca al estar muy ligado con la actividad que realizo cada día, así que me decidí a jugar!!

Os dejo aquí el enlace al caso planteado, y empiezo a dar mi opinión. Esta relación no pretende ser una guía completa, si no una serie de medidas básicas. Contadme que os parece, que veis, que se me ha escapado….

Primero, definiremos bien el escenario, no sea que hayamos entendido algo mal y nos condicione la "auditoría".

La empresa Plásticos Cremallera contrata a Atmedsa para que preste el servicio de Vigilancia de la Salud en la empresa. El despacho del médico está contiguo al del señor Botón. El caso es reciente y se auditará en base al RD 1720/2007.

Por nuestra amistad con el señor Botón, además de comentarle los problemas que hay en relación al escenario planteado, le vamos a comentar a grandes rasgos, algunos aspectos generales de la LOPD que debe tener solventados para superar la auditoría con éxito.

Inscripción de ficheros en la AEPD
Creación de un Documento de Seguridad
Identificación del responsable de seguridad
Identificación y registro de soportes
Registro de incidencias
Registro de E/S de soportes y autorizaciones

Ahora, entraremos más en detalle basándonos en las circunstancias que nos relatan:

1.- La sala en la que pasa consulta el médico residente está justamente al lado de la del señor Botón. Queremos creer que la pared está lo suficientemente insonorizada de forma que no se oiga lo que acontece en la consulta de "nuestro" médico, y así mantener la confidencialidad y el deber de secreto en la relación médico-paciente.

2.- La información que recoge el médico es de nivel alto, y por supuesto, no debe ser accedida por el Señor Botón, de forma que la custodia de las llaves debe ser realizada exclusivamente por el médico. Entendemos que a la sala anexa no tiene acceso el señor Botón, de no ser así, deberíamos evitarlo, por ejemplo con una puerta con cerradura.

3.- Si bien el ordenador nos indica que está en la zona usuarios, recomendamos encarecidamente que Atmedsa proporciones a su médico todo el material informático, y que de la misma forma se encargue de la gestión de su información, copias, etc...

4.- El acceso al ordenador debe ser exclusivo del médico.

5.- Sería recomendable que el ordenador que utiliza nuestro médico, en caso de ser de sobremesa, tuviera mecanismos de cifrado de datos, para protegerlos en caso de un posible robo. Recordar que en caso de ser un portátil la medida es obligatoria.

6.- En el momento en el que los datos "circulan" por Internet entendemos que están convenientemente cifrados, por ejemplo mediante una VPN.

7.- La empresa del señor Cremallera únicamente deberá recibir de la parte médica los certificados de APTITUD laboral, en ningún momento análisis clínicos ni nada por el estilo.

8.- Como conocemos a Atmedsa y sabemos que son unos grandes profesionales, nunca enviarán una factura detallando las pruebas realizadas a cada paciente, ya que esto puede dar una noción de la patología del trabajador.

9.- Por si aún no nos había quedado claro, Atmedsa es una gran empresa, y en el momento que recogen los datos de salud de los trabajadores se les informa del tratamiento que se va a realizar, así como se contempla una posible cesión de datos en el caso de que fuese necesario contactar con un médico especialista, o realizar alguna prueba complementaria de la que no disponga Atmedsa, por ejemplo unas placas RX.

10.- Suponemos que el médico dispone de una impresora propia, ya que de estar compartida deberíamos implementar un mecanismo a fin de que sólo él pueda recoger sus copias, por ejemplo un PIN que al introducirlo empiece a imprimir la documentación que ha enviado.

11.- El reciclaje de papel por parte del médico, se hará, o bien con una destructora de papel, o bien en cajas que protejan el acceso a los papeles depositados, con el consiguiente contrato de encargado de tratamiento y confidencialidad con la empresa encargada de recoger las cajas.
y por el momento esto es todo, con estas recomendaciones creemos que Cremalleras superará la auditoría con suma facilidad .......................

CITA DEL DÍA: "Confianza no es sinónimo de seguridad"

H2O

Aquellos y aquellas que hayáis tenido alguna experiencia reparando, o estropeando aún más según lo manazas que seáis :-), algún tipo de fuga, escape, etc. de agua sabréis lo complicado y difícil que resulta que el agua no se filtre por cualquier pequeña fisura o junta. Siempre he pensado que el flujo de la información es bastante similar, por no decir idéntico, al caso del agua (en el contexto de la seguridad estaríamos hablando de la tan de moda DLP Data Loss Prevention aunque este concepto como tal lleva ya años entre nosotros). Haciendo un interesante, profundo, imprescindible y determinante ejercicio de "pérdida de tiempo" :-) he intentando reflejar los distintos estados por los que pasa el agua y su equivalencia en el caso de la información.

Rememorando aquellas interesantísimas clases de naturales durante la EGB, periodo en el que nosotros llevábamos pantalón corto y vosotras coletas, nos decían que el agua puede presentarse en 3 estados distintos: sólido, líquido y gaseoso. En primer lugar, y partiendo de las características de cada uno de estos estados, he establecido su equivalente en cuanto al concepto de información:

Estado sólido: forma y volumen constante, rigidez y regularidad de sus estructuras
En este estado podrían encajar todos aquellos repositorios de información "estáticos", para entendernos, las tablas maestras, los ERP, las bases de datos corporativas, etc. En definitiva toda aquella información de mucho volumen que reside en servidores centrales y que actúa como un todo (muchas relaciones entre tablas, integraciones entre entornos/aplicaciones, etc.). El flujo o transmisión global de este tipo de información resulta prácticamente imposible.

Estado líquido: sin forma fija pero si volumen. Variabilidad de formas y propiedades específicas
Aquí tendríamos la misma información antes descrita (formato electrónico) pero residiendo en dispositivos, soportes, etc. que permiten su flujo de forma rápida y fácil. Estaríamos hablando de memorias USB, discos duros externos, CD/DVD, archivos uploadeados y/o emaileados, etc. que contienen fragmentos (consultas, vistas, extracciones, volcados, etc.) de la información original. Toda esta diversidad de formas, tamaños, colores, etc. de la información son las que, volviendo al inicio de la entrada, son muy escurridizas y difíciles de controlar. Individualmente no representan una gran amenaza pero en su conjunto pueden ocasionar perjuicios importantes.

Estado gaseoso: Ni forma ni volumen fijos
La información en este estado podríamos calificarla de etérea, es decir, está por ahí pululando pero no se percibe como tal. Nos referimos a información que no existe de forma estructurada ni en formato electrónico sino que reside en otros “soportes” como imágenes, documentos, know-how en alguna neurona, etc. A modo de ejemplo sería algo similar a información "escuchada" en conversaciones telefónicas, información filtrada en conversaciones "informales", un dato que alguien ha podido ver durante un trayecto en el AVE, deber de secreto y confidencialidad vulnerados, rumorología diversa, información tergiversada o fuera de contexto, etc. Este tipo de información es prácticamente imposible de controlar y de detectar su origen. Normalmente es una parte ínfima de la información corporativa pero, por lo general, puede suponer un gran perjuicio (imagen, reputación, mercado, etc.).

A continuación he intentado encontrar similitudes en cuanto a los distintos “procesos” que originan los distintos intercambios de estados (como sabéis, son evaporación, condensación, sublimación, congelación y fusión). Nada mejor que un gráfico para hacerse una idea (hacer clic para ampliar):


Espero que os haya gustado. La verdad es que he disfrutado mucho "perdiendo" el tiempo con esto.

CITA DEL DÍA: “La seguridad, ¿se quiere o se necesita?”

La Caja Negra

Tras unos cuantos días festivos y otros tantos de vacaciones pendientes vuelvo a estar por aquí. La verdad es que tantos días de desconexión total y absoluta pasan factura, casi no recuerdo ni como se mueve el ratón. Como ya va siendo hora de poner algo en el blog con objeto de satisfacer a nuestros millones de lectores ;-), en esta ocasión me he decantado por una "preocupación" que me ronda a menudo por la neurona. En esencia se reduce a clarificar el papel que tiene el CIO, CISO, CSO, ... o como se quiera llamar al responsable o encargado o browneater de los aspectos de seguridad en escenarios de elevada externalización. En concreto me refiero a aquellas situaciones en las que las funciones típicas asociadas a la función informática (explotación, sistemas, comunicaciones, desarrollo, soporte, etc.) son encomendadas por completo a un tercero.

Como es habitual, la relación que se establece con el tercero está basada en la prestación de determinados servicios con sus SLA's, sus sanciones por incumplimiento, sus compromisos, etc. etc. etc. Del mismo modo, y gracias a Santa Eleopede, también se formalizan los pertinentes contratos de encargado de tratamiento y demás. En resumen, en todo el maremágnum de burocracia existente se definen, en el mejor de los casos, algunos indicadores directamente relacionados con la seguridad (disponibilidad, incidencias, etc.). No podemos olvidar que la finalidad básica de estos acuerdos es regular la prestación de un servicio y desde luego no están centrados en los aspectos de seguridad precisamente (en cualquier caso estos puntos quedan relegados a un segundo plano o se dan por ¿supuestos? e inherentes a la prestación). También pueden añadirse todo tipo de cláusulas permitiendo todo tipo de revisiones, auditorías, etc. por parte del “cliente”, pero siendo sinceros no tengo muy claro si se llegan a materializar.

En determinadas tareas relativas a la seguridad de la información tales como Análisis de Riesgos, Planes de Continuidad, Sistemas de Gestión de Seguridad de la Información, definición de procedimientos/protocolos, etc. muchos de los aspectos más cruciales, y por lo general los más divertidos de tratar, quedan reducidos a una simple CAJA NEGRA de la que bien poco o nada se sabe. A menudo, por no decir siempre, la práctica totalidad del proceso de negocio que se está tratando depende de la famosa caja negra y de lo que hay (o no hay!) dentro.

La clave de mi planteamiento no radica tanto en poder “asegurar” (o creer) que la caja negra es un reloj suizo, sino la sensación de tener las manos absolutamente atadas y que desde el punto de vista del cliente nada o poco vale. Siempre que he intentado profundizar en algún aspecto concreto de seguridad he topado con las paredes de la caja, totalmente opacas, que me impiden ver más allá (entiéndase la metáfora como que sólo se nos permite conocer el qué y no el cómo; en ocasiones se aporta un documento, un anexo, una cláusula o algo similar donde se estipula que determinado servicio es, precisamente eso, un servicio que hace algo).

Las auditorías bianuales obligatorias que establece la LOPD son un claro ejemplo de lo expuesto. En el momento en que topamos con la caja negra siempre se solicita la posibilidad de “auditar” su contenido, como no podía ser de otra forma nos entregan “su” certificado de auditoría y a otra cosa mariposa. Menos mal que con el nuevo reglamento de la LOPD, el responsable del fichero tiene la obligación de velar por el cumplimiento de las medidas de seguridad por parte del encargado. Ya veremos si acogiéndonos a este punto podemos entrar hasta la cocina.......

Volviendo al inicio, queda patente que los gestores de la seguridad en entornos muy externalizados están de cierta manera vendidos y no tienen más remedio que confiar ciegamente en la caja negra. Esta forma de ver las cosas es hasta cierto punto razonable pero cuando se está hablando en términos de seguridad tengo serias dudas.

CITA DEL DÍA: “Los mecanismos de cifrado únicamente retardan lo inevitable”

Limites a la libertad individual

Como complemento de una respuesta a uno de los comentarios de aquí he decidido publicar una nueva entrada dada la extensión que estaba alcanzando la mencionada respuesta. Con objeto de argumentar mi posicionamiento relativo al tema de referencia he creído conveniente exponer algunas vivencias personales como demostración del nivel de interiorización de todo aquello relativo a la confidencialidad, privacidad, intimidad, etc.. A todo este conjunto de aspectos le podríamos llamar “libertad individual”.

Dicho esto, decir que soy un defensor convencido de la libertad individual y de la privacidad de cada uno. Como anécdotas (ni por asomo habían LOPD's ni afines y por supuesto no tenía ni la más mínima idea de que iba a ser de mayor) totalmente reales contar que:

- El día de la primera comunión (1981) teníamos que confesarnos, dejando de lado los aspectos religiosos que no vienen a cuento, ni se me pasó por la cabeza contarle nada a aquel pobre hombre. No sé muy bien como me lo monté para saltarme el turno pero lo conseguí, básicamente un ayudante del párroco preguntó a quien le toca y yo dije que le tocaba al niño de detrás mio.... como éste no insistió demasiado en que me tocaba a mi pues así quedo la cosa...... A posteriori se descubrió el "engaño" y querían que repitiese la "celebración". No creo que estén esperándome a que vuelva.............
- Hará como 25 años más o menos, cuando aparecieron las primeras pizzerias a domicilio tipo telepizza, pizzaworld, etc., nunca me identifique con mi nombre real. Asociado al número de teléfono de mi casa (y de mis padres) vivía un tal Xavi Fernández (este nombre no tiene nada en especial, fue el primero que se me pasó por la cabeza el primer día que llamé pidiendo una pizza). La verdad es que fue algo totalmente inconsciente, en las sucesivas ocasiones si que ha sido de forma intencionada. A día de hoy lo sigo haciendo cuando llaman de cualquier call center ofreciendo loquesea a un precio irresistible.
- Actualmente mi nombre es más o menos conocido, pero os aseguro que tiempo atrás era casi imposible que a alguien ni siquiera le sonara. Esto facilitaba las cosas porque al pronunciar mi nombre escribían de todo menos eso, algunos ejemplos: Etkart, Elgar, Esgart, etc. A día de hoy tengo algunos cabroncetes como amigos que me siguen llamando "Ijnart". Al igual que hay gente que se ofende por si le escriben el nombre de forma errónea os aseguro que yo estaba encantado de que mi nombre fuese de cierta manera "manipulado".
- Otra costumbre que tenía era la de firmar de distintas formas, tenía la firma “auténtica” y otras aleatorias según el día. No obstante, esta iniciativa tuve que dejar de ponerla en práctica no hará mucho cuando en una ocasión hubo un pequeño problema con la entidad bancaria al retirar cierta cantidad de dinero. Aquel día estaba despistado y firmé con la que no tocaba....... la verdad es que me costó bastante convencer al director de la sucursal (no se trataba de la habitual) ya que me quería retener hasta que llegará la policía.

En la actualidad estoy seguro que todo lo anterior puede ser hasta razonable pero hace 25 años os aseguro que hasta yo mismo me sorprendía de mis "pensamientos". En esa época ni conocía lo que significaba la privacidad, ni había oído hablar ni nada similar. Simplemente tenía presente que determinada información relativa a mi persona no debía tenerla ni conocerla según quien.

La evolución de este planteamiento, y que en ocasiones como esta despierta de nuevo en mi interior, es la posibilidad de “desaparecer” de la sociedad. He pensado muchísimo en como se podría llegar a no constar en ningún sitio, algo similar a un “apagón de la identidad”. Hará como 2 años se publicó esta noticia que me dio esperanzas de nuevo....... no obstante este tema da para otra entrada :-)

CITA DEL DÍA: "El umbral de seguridad aceptable no existe".

Y las notas hijo ?? Toma papá, rellena esta solicitud......

Hoy ha llegado a nuestras manos una propuesta promovida por la Agencia de Protección de Datos de Madrid (APDCM). Habitualmente las entradas del blog las realizamos, independientemente del que la firma, de forma conjunta puesto que los dos mantenemos puntos de vista similares. En este caso, que tarde o temprano tenía que suceder, no ha habido entendimiento entre ambos por lo que compartimos entrada pero no opinión. Os dejamos aquí la noticia y nuestros puntos de vista. ¿De qué parte estáis?
DANI:

Si bien muchas veces hemos creido que la Agencia (aunque en este caso hablemos de la Agencia de Madrid) ha estado a punto o incluso ha sobrepasado la raya en algunas resoluciones, en caso de dar trámite a esta norma, considero que habrá pisado con los dos pies en el otro lado. No voy a negar que gracias a la AEPD se ha avanzado y mucho en un camino correcto, pero ahora estamos caminando sobre arenas movedizas.

Si un alumno puede "esconder" las notas a sus padres a los 16 años, mucho me temo que para una parte de los adolescentes en esa edad, este hecho hará que la educación a partir de esa edad que se convierta en un "todo vale". Aunque no esté relacionado con la LOPD, y tal vez nos apartemos un poco de nuestra temática, hemos de pensar que la enseñanza en la juventud no está pasando por sus mejores momentos: alumnos "rebeldes", gran fracaso escolar... Una de las pocas medidas que un padre puede tomar es su seguimiento escolar, ligado a premios/reprimendas según los resultados obtenidos. Si este único punto de control lo perdemos también, acentuaremos aún más esta fractura que hay en nuestra sociedad actualmente.

Por otro lado, si actualmente consideramos que hasta los 18 años una persona no es mayor de edad y sigue estando "tutelada", ¿por qué debemos hacer una excepción en este tema? Por supuesto debemos ser conscientes que los datos son personales, pero en este caso entrarían en conflicto con el deber de los tutores.
Si bien la Agencia declaró tiempo atrás que no se podían colgar las calificaciones de los alumnos en tablones públicos, el caso en el que nos encontramos difiere mucho de aquel, ya que la única persona a la que se haría conocedora sería al tutor.

Entonces, en estos casos, ¿qué debemos hacer? Al apuntar al "niño" al colegio, ¿hacemos que firme un consentimiento de cesión de datos para que sus calificaciones lleguen al tutor por parte del colegio?

EDGARD:

Pues en contraposición de mi amigo Dani este planteamiento me parece de lo más acertado. CUALQUIER individuo tiene pleno derecho sobre todos aquellos datos que son inherentes a su persona. El argumento de la edad no me parece un criterio determinante puesto que es un juicio totalmente subjetivo. Hay gente de 40 años que parece que tenga 16 o menos, y viceversa. Siempre nos lamentamos de que no hay concienciación, conocimiento, etc.. relativo a la privacidad y/o la protección de los datos de carácter personal, por tanto, me parece estupendo que desde jovencitos tengan claro que poseen plena potestad sobre sus datos y el consiguiente uso. De ser así estoy seguro que las próximas generaciones harán un uso mucho más responsable de sus datos. Obviamente esto tendrá efectos negativos sobre todos aquellos que hacen un uso ilegítimo y/o bordeando la ilegalidad de los datos de las personas. La propia sociedad exigirá el pleno cumplimiento y respeto en orden de garantizar su propia intimidad.

Probablemente esté tirándome piedras sobre mi propio tejado y me arriesgo a que mis dos hijas, aún lo suficientemente pequeñas por suerte, se lo tomen al pie de letra......... aunque con toda sinceridad me parecerá absolutamente perfecto y legítimo. Otra cosa es que me guste o no.
En cuanto al tema de fondo, que es la educación, considero que las calificaciones sólo son la culminación y el reflejo de como ha ido o como va el curso escolar. En otras palabras, la educación debe ser continua y permanente por lo que siendo unos progenitores responsables deberíamos saber en todo momento como está yendo la educación y formación de los "niños". Hay muchos otros temas relacionados como la comunicación padres-hijos, la confianza, el respeto, los valores, la propia escuela, etc. que dependiendo de como se encuentren este tema no dejara de ser una anécdota. En definitiva, estoy convencido de que la solución está en la casa particular de cada uno, es un asunto a solventar entre padres e hijos. Como es lógico no voy a entrar en más detalle puesto que no es para nada la temática del blog.
CITA DEL DIA: "Cuanto más inseguro te sientes más seguro te haces"

Para reflexionar.........

A pesar de que inicialmente no habíamos contemplado hacer nada especial con las citas del día que cierran la práctica mayoría de entradas del blog, hemos pensado que quizás sería interesante recopilarlas de forma periódica. Detrás de cada cita se esconden momentos de reflexión, más o menos profunda, que en algunos casos nos ha servido como idea para futuras entradas del blog. A pesar de la brevedad de ellas creemos que hay muchas que pueden dar, para bien (ejercitar neuronas) o para mal (dolor de cabeza), mucho juego al intelecto de cada uno .........
Sin más aquí las tenéis en su totalidad. Obviamente están sujetas a vuestras alabanzas, críticas, consultas, dudas, etc.

1.- La seguridad únicamente existe en un estado de inconsciencia.
2.- Si la seguridad plena no existe, ¿qué hacemos aquí?
3.- Si el estado de seguridad absoluta existiese no harían falta las copias de seguridad.
4.- Si te sientes seguro, es que no has entendido nada.
5.- La seguridad no es más que un aceptable nivel de inseguridad.
6.- El único secreto para estar más seguro es sentirse inseguro.
7.- La seguridad es un proceso y tú eres parte de él.
8.- y recuerda que la seguridad no existe, es sólo una sensación...
9.- El ordenador más seguro es aquel que está apagado.
10.- La seguridad es un valor en alza, invierte en ella!
11.- La seguridad ni se crea ni se destruye, sólo evoluciona.
12.- No te quedes en el primer nivel, investiga!
13.- ¿Qué diferencia hay entre la inseguridad y la seguridad? Ninguna, se trata simplemente de una sensación.
14.- De la seguridad a la inseguridad apenas hay distancias, a la inversa es todo un abismo.
15.- Si tu sistema es seguro es que no lo ha atacado la persona adecuada.
16.- Sentirse seguro es un error, sentirse inseguro es una virtud.
17.- Tu controlas la seguridad pero la inseguridad te controla a ti.
18.- Seguridad o inseguridad, esa es la cuestión...
19.- El que mucho abarca... sufrirá para defender...
20.- El desconocimiento es el caldo de cultivo de la inseguridad.
21.- Un incidente de seguridad no es un error sino una oportunidad de mejora.
22.- A quién buen firewall se arrima buena seguridad le cobija.
23.- Las modas pasan, la seguridad queda, no te dejes llevar por lo que ves en las pasarelas.
24.- El que siembra vientos, recoge tempestades!!!, en seguridad también.

CITA DEL DIA: "¿Qué no has tenido suficiente?;-)"

Lo bueno y lo malo de la "crisis"

Mucho se está hablando acerca de la crisis, recesión, "tenemos lo que nos merecemos" o como queramos llamar a la coyuntura económico-social-financiera actual y su impacto en el sector que nos ocupa, es decir, la seguridad de la información. El dilema se centra básicamente en determinar si la inversión o gasto en seguridad puede/debe verse afectada por esta situación.

Siendo realista, no confundir con pesimista, hay que aceptar que va a ser así, en unos casos por necesidad (reducción de presupuesto, caída de las ventas, etc.) y en otros por prudencia (o por la más que renombrada "falta de confianza") a la espera de tiempos mejores.

Para clarificar ideas entendemos que este asunto debe ser contemplado desde diversas ópticas bien distintas. De forma simple nos centraremos en los que venden (proveedor) y en los que compran (cliente) "seguridad", y por otro lado cómo les afecta de forma negativa y también de forma positiva, ya sabéis que siempre se puede aplicar aquello de que "no hay mal que por bien no venga". Como podréis ver un mismo hecho puede ser bueno y malo a la vez, tanto como vendedor/proveedor a la vez como de forma recíproca.

Para intentar que os sea más fácil y comprensible de leer lo hemos reflejado gráficamente mediante la siguiente matriz: (click sobre la imagen para ampliar)


Esperemos que tanto para lo bueno como para lo malo os sirva de ayuda o como mínimo para reflexionar respecto a lo que se avecina (o que ya está entre nosotros ..., la verdad es que ya no sabemos si está bien, mal, va a peor, se ha tocado fondo, lo peor está por venir, etc.....).

CITA DEL DÍA: "El que siembra vientos, recoge tempestades!!!, en seguridad también"

Crónica IV Jornada ISMS Forum Spain (tarde)

Tras el deseado y a la vez espléndido refrigerio servido, la sesión vespertina ha comenzado con cierto retraso con la ponencia de Pablo Pérez, gerente del Observatorio de la Seguridad de la Información de INTECO. Su turno ha sido casi monopolizado por la preocupación que se tiene hacia las PYMES, su casi nulo cumplimiento de la LOPD, y, de forma más general, el gran desconocimiento de las Tecnologías de la Información por parte de muchas de ellas.

Dentro de las PYMES se ha focalizado bastante en las microempresas, todas aquellas con menos de 10 trabajadores, la gran mayoría son incluso empresas de 1 trabajador. Este tipo de empresas suelen disponer de menos de 5 ordenadores, su conexión a la red se basa en una línea ADSL "corriente", la cuál suele ser la única inversión en TI.

Ante este panorama es muy difícil plantearse una implantación exhaustiva de normativas de seguridad. La solución habitual pasa por mantener un anti virus/troyanos/spyware activado y actualizado. Referente a este punto, muchas de las incidencias (un 85%) se habrían resuelto teniendo los programas actualizados, ésto deja patente la poca preocupación que muestran los empresarios en el tema de la seguridad TI.

Pablo ha propuesto diversas medidas que ayudarían a mejorar el panorama de la seguridad en las PYMES, entre las cuales se encontraba, como no, el importe económico, haciendo referencia a las actuales subvenciones que proporciona el Gobierno mediante el Plan Avanza. También remarcar que la industria de la seguridad al completo debe amoldar sus productos, servicios y precios a las particularidades de las PYMES.

Acto seguido, y modificando el orden previsto, hemos "disfrutado" de la ponencia de Guido Stein, profesor del IESE. No conocía a Guido, y la verdad es que me ha sorprendido muchísimo, es un orador nato, consigue lo que todo el mundo busca, "enganchar" al oyente, y mantenerlo atento hasta el final. Sus armas: don de palabra fluido, diapositivas/peliculas muy gráficas, sencillas y perfectamente entendibles.



Guido ha titulado su presentación "De la información a la comunicación pasando por la confianza". Tal vez la relación de esta ponencia con el hilo conductor de la jornada estaba cogida por los pelos, pero no por eso ha dejado de ser interesante. Guido nos explicaba como la comunicación, o la falta de ella, puede generar comportamientos muy diversos. Mediante una matriz (formato no muy del agrado de Guido) nos dejaba claro la relación entre una buena y mala actitud enfrentada a una buena y mala aptitud, y de que manera afectan a la confianza.

Otro aspecto a remarcar de esta ponencia ha sido la entrega de una hoja, en la que debíamos ir apuntando los frenos y motores que creíamos que tenía la confianza en nuestras empresas y medidas que podrían revertir esas situaciones.

La jornada ha terminado con otra mesa redonda, compuesta por:

- Tomás Roy: Director de Calidad, Seguridad y relaciones con proveedores del Centro de Telecomunicaciones y Tecnologías de la Información (CTiTI) de la Generalitat de Catalunya.
- Andreu Bravo: Responsable de Seguridad de la Información del Grupo Gas Natural.
- Cristina Segura: Directora de Sistemas de Información Corporativos, ASERCO (Grupo Agbar).
- Xavier Serrano: Director de Seguridad Tecnológica del Grupo Banco Sabadell.
Y como moderador de la mesa, Albert Lladó Palau, Presidente del capítulo de Barcelona de ISACA.

El título del debate fue: "Las políticas internas: generación de actitudes proactivas y contramedidas a las amenazas". La mesa se basó principalmente en el comportamiento de los trabajadores, comentando muchos de ellos anécdotas vividas, como la comentada por Cristina, en la que un directivo de su empresa se quejó de la recepción de un correo electrónico en el que le pedían el cambio de domiciliación de los recibos. Tras este grave incidente de "seguridad", se investigó hasta encontrar que la dirección de correo del directivo se encontraba en infinidad de presentaciones realizadas por él mismo y que se encuentran colgadas por la red. Otra prueba más de la importancia que tienen los datos y de cómo muchas veces los "entregamos" sin tener mucha consciencia de ello.

Andreu nos comentó que eventualmente ofrece charlas de concienciación en colegios, a los tres colectivos, alumnos, profesores y padres de alumnos, y constata como, de entrada, nadie considera tener información importante en el PC, pero conforme van desgranando la conversación, llegan a la conclusión que si contiene datos personales y de gran valor, por ejemplo, tarjetas de crédito, facturas, declaración de renta, etc. Destacar que el control que cuesta menos, y a la vez más valioso, es el propio usuario, lo cual lleva a la obligación de concienciar, concienciar y concienciar.

Por Tomás Roy siento una especial debilidad (profesional claro), ya que ameniza mucho sus charlas, las convierte casi en "informales", añadiendo puntos de humor, lo cual hace distendir el ambiente. Tomás, desde su posición de Responsable del CTiTI, nos comentó varias anécdotas "sufridas" por la Generalitat, como por ejemplo los problemas que sufren cuando aparecen las direcciones gencat.cat y gencat.net en listas negras de correo, la saturación de los servidores de correo, el intento de extorsión por los propietarios de las listas (qué somos un gobierno y tenemos policia ja ja ja).

Al finalizar esta mesa, se dio por cerrada la IV Jornada Internacional del ISMS Forum, y al salir al hall, nos esperaba un regalo, el libro "Patrolling Cybersapce, Lessons Learned from a lifetime in Data Security" de Howard A. Schmidt, el cual ya está en mi mesita de noche para empezarlo hoy mismo. Además tiene 5 créditos CPE para el CISSP..........

Ahora, desde la comodidad de mi casa, me gustaría exponer unos detalles sobre la jornada:

a) En la antesala del auditorio habían espacios reservados para posters promocionales de diversos partners. Nos llamó la atención los numerosos espacios vacíos que estaban reservados a empresas concretas y de renombre. Omitiremos sus nombres. No tiene más importancia pero provocaba un poco de daño a la vista, no por el aspecto visual sino por la reputación de las empresas que no tenían nada puesto.

b) Respeto de horarios, personalmente me resulta una falta de respeto, educación y consideración enorme por parte de los asistentes el hecho de llegar tarde. Hubo un momento que sentí vergüenza ajena puesto que Gianluca estaba empezando la jornada de la tarde y había tanta gente de pie charlando a viva voz que ni siquera se le escuchaba. En fin, me temo que en estos temas aún estamos más lejos de algunos de los aspectos de la seguridad de la información a mejorar.

c) Dar las gracias y recuerdos a sus familiares a la gente que acude a estos eventos para charlar con su compañero de asiento, haciendo muy difícil oir las ponencias a la gente de su alrededor.
Nuestras más sinceras felicitaciones a isms por la invitación, a todos los participantes y colaboradores en la organización del evento, a los ponentes y a todos los asistentes ya que sin ellos (nosotros) nada de lo relacionado con la seguridad de la información tendría sentido.

Crónica IV Jornada ISMS Forum Spain (mañana)

En esta entrada y la siguiente expondremos, bajo nuestro particular criterio, los aspectos más remarcables de lo que ha sido la IV jornada del ISMS Forum Spain. Esperamos que aquellos y aquellas que no habéis podido asistir os sirva para tener una pequeña visión de los principales temas allí tratados. Sin más preámbulos empezamos .....


Llegada puntual a las 9:00 para obtener la pertinente acreditación. Mientras esperamos el inicio de la jornada tomamos un primer cafetito con pastas. Con cierto retraso, como es habitual en este tipo de actos, Gianluca D’Antonio, Presidente de ISMS Forum Spain, da la charla de bienvenida, objetivos de la jornada y presentación de los primeros ponentes.

La “estrella invitada“, Howard A. Schmidt, toma la palabra e inicia la Conferencia Inaugural. Los puntos que más nos han llamado la atención han sido:

  • Las amenazas actuales deben considerarse como un tema de seguridad nacional, concretamente, de índole financiero.
  • Iniciativa internacional IMPACT – International Multilateral Partnership Against Cyber-Terrorism.
  • Mayor relevancia de las certificaciones en seguridad (por ejemplo las de ISC2, será porqué tiene cierto vínculo con esta organización .......).
  • Se estima que a día de hoy hay unos mil millones (1.000.000.000) de dispositivos de todo tipo conectados a la red (cifra alcanzada en los últimos 25 años). En aproximadamente los próximos 5 años habrán mil millones más.
  • Como anécdota curiosa menciona que existe o está en estudio un marcapasos que tendrá conexión wifi para controlar en tiempo real su estado y poder actuar en consecuencia. Por motivos de seguridad no querría tener uno “instalado”....
  • Dar más relevancia a los aspectos positivos de la seguridad (por ejemplo buenas prácticas, iniciativas, etc.) en lugar de resaltar lo negativo (ataques, vulnerabilidades, etc.).
  • Risk Governance no es un problema exclusivo de tecnología, en todo caso de Personas+Procesos+Tecnología.
  • El phishing lleva como unos 12 años en activo. Los delincuentes dedican muchos esfuerzos ya que cada vez tiene más barreras (filtros en servidores, filtros en navegadores, filtros en gestores de correo, etc..), aún así siguen teniendo éxito.
  • Como conclusión expone que el escenario global de seguridad es como el Taj-Mahal. Está compuesto por infinidad de pequeños mosaicos, que extrapolado al escenario de la red, se pueden considerar como dispositivos individuales que están securizados individualmente.

En el turno de preguntas surgen los siguientes temas:

  • Impacto de la crisis en la seguridad: No debe reducirse la inversión en seguridad. Como principal argumento destacar que posteriormente costará mucho más alcanzar los niveles correctos.
  • Seguridad en internet: Comenta que la migración de IPv4 a IPv6 debe realizarse en un máximo de 2 años (temas de seguridad y carencia de direcciones IP).

Tras la Conferencia Inaugural se celebra una mesa redonda con distintos participantes. Esto fue lo más relevante:

Juan Miguel Velasco (Telefónica)

a) Desde el SOC de Telefónica se monitoriza el tráfico de la red y de correo electrónico. Desde este observatorio privilegiado de todo lo que acontece nos aporta datos interesantes. Para empezar algunas cifras al respecto:

  • Total correos 2004: 700.000.000
  • Total correos 2008 (septiembre): 5.000.000.000
  • El 96% en 2008 y un 98% en 2007 corresponde a malware en general (virus, spyware, spam, etc.)
  • El phishing en España se ha duplicado en 2008.
  • El phishing en UK se ha multiplicado por 10.

Este incremento en UK está motivado por una nueva normativa financiera mediante la cual se regula una modalidad de transferencias rápidas. Con anterioridad a la entrada en vigor (septiembre) se estuvieron capturando muchos datos financieros, no obstante, éstos no eran usados. En el momento en que la mencionada normativa entró en vigor se usaron de forma masiva. La moraleja es que los “malos” están al corriente de normativas, leyes, etc. y están muy bien organizados y profesionalizados.
b) Los robos de identidad van en aumento.
c) Como respuesta a una pregunta de los asistentes, relativa a aspectos de trazabilidad, se expone que hay un desfase importante entre la tecnología y la parte legal. Transcurre mucho tiempo entre el delito y la investigación del mismo. El estado de la evidencia electrónica en el mundo jurídico está todavía en un estado embrionario (falta de formación, entender que las reglas y el terreno de juego han cambiado, etc.).
d) Como curiosidad destacar que en el año 2004, a posteriori de la famosa foto de las Azores, se produjeron ataques de DoS (tráfico de 14 Gb) dirigidos a las correspondientes webs gubernamentales (Casa Blanca, Downing Street y La Moncloa).

Juan Salom (Guardia Civil)

a) Todas las amenazas externas que identifican tienen como finalidad un beneficio económico.
b) Por el momento no se han detectado ataques a infrasestructuras estratégicas (suministros, organismos públicos, etc.) similares a lo sucedido en Estonia o Georgia. Aún así, desde el Ministerio de Interior se ha creado un comité que está trabajando en como afrontar este tipo de amenazas, para estar preparados cuando sucedan ......
c) Como curiosidad del tráfico de datos comenta que el precio de una tarjeta de crédito oscila de 1 a 5 $ y un PC zombi de 5 a 20 $.
d) La inmensa mayoría de phishing y fraude e-commerce está monopolizado en los países del Este y Sudamerica.
e) Al igual que el anterior ponente en el tema de la trazabilidad se corrobora el desconocimiento del mundo de la adjudicatura de estos temas. Añade que la ley de conservación de datos de tráfico choca con el derecho a la intimidad y con el secreto de las comunicaciones.
f) Concluye que el delincuente se siente impune al no haber represalias legales frente al delito cometido (cooperación con otros países, lentitud justicia, recursos limitados, etc.).

Tras la mesa redonda y un buen desayuno, las siguientes ponencias y lo más relevante de las mismas:

Chris Kenworthy (McAfee)

a) Centrada en protección de datos (“Data Leakage”).
b) Descripción y datos de la compañía.
c) Algunos productos y utilidades de la compañía.
d) Ejemplo de “desprotección” de datos: Foto captada por la prensa de una persona del gobierno que entraba a Downing Street con un documento en la mano. En la foto se lee perfectamente información confidencial.
e) La tecnología sin políticas alrededor no sirve de nada.

Cormac Callanan (Council of Europe)

a) Muchos problemas burocráticos, de procedimientos, de idiomas, de coordinación, de entendimiento, etc. entre los departamentos de investigación de delitos informáticos de distintos países. Esto hace que la investigación de estos incidentes no sea tan efectiva como debiera.
b) En su etapa como activista contra la pornografía infantil destaca que dentro de lo malo este tema puede considerarse como un aspecto positivo. Al haber constancia en la red se tiene conocimiento de la magnitud, de la existencia y del comportamiento de los pederastas/pedófilos, aspectos que hasta su aparición en la red eran desconocidos.

Fernando Aparicio (PayPal)

a) Descripción de la pasarela de pago PayPal.
b) Remarcar la confidencialidad y privacidad de los datos financieros de los clientes.
c) Iniciativas contra el fraude en el pago electrónico (phishing).

En breve, lo acontecido durante la tarde ...................................

Abandono de la empresa .....

Recientemente nos hemos tenido que plantear como proceder cuando un usuario es, digámoslo de forma políticamente correcta, invitado a abandonar la empresa con objeto de que otra persona ocupe su lugar. Antes de nada hay que distinguir si estamos hablando de una invitación inmediata/fulminante o de una crónica de una muerte anunciada.

Desde la estricta óptica de la seguridad, la modalidad inmediata tiene la ventaja de que nos permite bloquear al instante todo acceso a los sistemas de información. Obviamente, tiene otras contrapartidas pero desde nuestro punto de vista, y perdón por la brusquedad, no nos interesan (por ejemplo traspaso de "poderes").

La situación "interesante" se da en la invitación programada, es decir, en aquellos casos en que se informa al trabajador que en 15 días deberá abandonar la empresa (ya sea por finalización de contrato, por no superar el periodo de prueba, etc.). En estos casos no es de extrañar que se intente llevar a cabo un acto poco ético, fraudulento y/o malicioso como "venganza" hacia la empresa. Esta reacción puede ir desde un ácido y explosivo correo de despedida hasta la introducción deliberada de virus y malware primo-hermano, pasando por la ya típica sustracción o desaparición de información. Remarcar también que la mayoría de problemas acostumbran a llegar el "día después".

En estos casos ¿qué medidas/acciones se pueden adoptar con objeto de detectar, evitar y/o minimizar estos incidentes?

Como paso inicial y totalmente imprescindible hay que remarcar que el área de seguridad (o la competente en cada caso) debería estar al corriente incluso antes que el propio afectado. De no ser así, y como lamentablemente sucede en muchas organizaciones, ésta es la última en enterarse y poco o nada puede hacer ya.


Cumplido el anterior punto se activa el "surveillance mode" del usuario en cuestión. Esto se consigue con la supervisión "casi permanente" de los distintos logs o fuentes de monitorización, básicamente nos fijaremos en las acciones que se realizan y el volumen de datos que se "mueven" (acceso a informacion de la red, uso de dispositivos de memoria extraíbles, acceso a aplicaciones, internet, correo, generación de .zip's, etc.). De forma muy breve, os planteamos posibles medidas/acciones con objeto de detectar/evitar la materialización de algunas amenazas (muchas de ellas son permanentes ya que forman parte de la política de seguridad existente mientras que algunas deben activarse cuando se da la situación planteada):

• Firma de acuerdos de confidencialidad, je je .... perdón pero nos entra la risa. Firmar se puede tener firmado lo que sea pero sinceramente no evita nada
• Bloqueo de los puertos USB del equipo para evitar la conexión de dispositivos de almacenamiento extraíbles (por ejemplo con Sanctuary)
• Dispositivos de grabación de CD/DVD de uso restringido y previa autorización (relacionado con la gestión de soportes de la LOPD)
• Bloqueo de las páginas de almacenamiento masivo (megaupload, rapidshare & cia), en casos extremos bloquear el acceso a internet
• Monitorizar tráfico atípico de correo corporativo (tanto en cantidad como en tamaño), límite de tamaño de archivos anexados (5 Mb por ejemplo), .... en casos extremos bloquear el correo externo
• Bloqueo de las páginas de proveedores de correo (gmail, yahoo, hotmail, etc.) y webmail.
• Modificar privilegios de acceso a la red y aplicaciones (permitir únicamente la consulta)
• Revisión de los logs de actividad de las aplicaciones/bases de datos
• Verificar registros de impresión para identificar impresiones masivas
• Restricción de acceso a la documentación en papel
• Supervisar que no se extrae documentación de la empresa (“cacheos”). Suena a exageración pero en una entidad financiera de gran renombre lo he vivido en primera persona.
• ¿Control de las llamadas telefónicas efectuadas?
• Devolución de dispositivos corporativos (portátil, BB, PDA, memoria USB, etc...)
• Inhabilitar accesos remotos (webmail, teletrabajo, VPN, etc.)

Hay usuarios especiales en los que deben tomarse medidas extraordinarias, el caso típico es el administrador de red o de sistemas o de loquesea (ver entrada). La opción drástica pero infalible es retirarle los privilegios e incluso "regalarle" los 15 días de vacaciones. Como simple reflexión para vosotros: ¿de verdad hay algún responsable de seguridad que se arriesgaría a tener un administrador de red con sus privilegios, y que además sabrá mucho más que él, siendo consciente de que en 15 días se va a la p...... calle? Aún pareciendo demasiado radical, cabría plantearse la aplicación de este mecanismo en todos los casos considerando que los 15 compensaría de sobra los posibles daños o perjuicios que nos podría llegar a causar un único usuario "descontento".

Aparte del caso anterior también nos encontramos con otro tipo de usuarios cuyo tratamiento en estas situaciones también es digno de mención. Nos referimos al personal directivo que, como es natural, tienen acceso a información muy pero que muy privilegiada de la organización. ¿Qué hacer con ellos? Buena pregunta, sinceramente haríamos exactamente lo mismo, o más, que con un usuario “normal y corriente”.

Para finalizar, y dado el vínculo existente, trataremos aparte el caso de las bajas voluntarias. Para ser sincero son los casos que nos producen más respeto y especialmente cuando se trata de usuarios con cierta relevancia o “poder”. Dando por sentado que no se trata de una decisión que se toma de forma espontánea debemos asumir, pensando mal y/o siendo realista, que desde bastante tiempo atrás se ha podido estar preparando el terreno.

Como conclusión, y basándonos en este último planteamiento, decir que esta “vigilancia” debe ser llevada a cabo de forma permanente por el simple hecho de que no se sabe nunca cuando ni por donde te van a entrar o salir los problemas.

CITA DEL DÍA: “Las modas pasan, la seguridad queda, no te dejes llevar por lo que ves en las pasarelas”

La cuenta de administrador, esa gran desconocida .......

A menudo, los administradores de sistemas, en su sentido más amplio, distan mucho de la figura perfectamente controlada que se nos intenta vender. En diversas normativas y/o buenas prácticas, como la ISO 27001, los CBK del CISSP (isc2), ... se da un especial tratamiento y consideración a este tipo de perfiles. A pesar de ello, cualquier coincidencia con la realidad es pura casualidad ya que, por regla general, el perfil de administrador y todos aquellos aspectos asociados a éste es muy diferente de lo que debería ser. En las siguientes líneas vamos a comentar, bajo nuestra experiencia, algunos puntos clave sobre el tema.

En grandes instalaciones pueden existir, de hecho existen, varias personas que por sus funciones necesiten privilegios de administrador (de red, de entornos/plataformas, de bases de datos, etc.). Habitualmente, se dispone de una cuenta genérica de administrador. Esto conlleva que la contraseña es más que conocida y compartida por varias personas, a priori, para el desarrollo de sus legítimas funciones aunque también debemos señalar que nos hemos encontrado con usuarios finales que eran conocedores de ésta, ¿cómo? mejor no saberlo ....... :-(. Intentar explicar el porqué de esta situación no es tarea fácil, salvo mejor criterio creemos que se trata simplemente de perpetuar una costumbre adquirida y así "ahorrarse" el tener que definir/modificar, en definitiva gestionar, distintos perfiles.

Por otro lado, mencionar que esta práctica estaría en cierto modo vulnerando el reglamento (art. 93.2) que desarrolla la LOPD puesto que no permite identificar de forma inequívoca y personalizada quien accede a los sistemas. Esto es especialmente grave al tratarse de cuentas con los máximos privilegios.

Sin ninguna duda, un administrador de "loquesea" debe ser considerado como un usuario más pero con ciertos privilegios de índole técnico. Para ello, entendemos que las cuentas del estilo "admin", "administrador", "root", etc. deberían ser, siempre que sea posible, revocadas y forzar que los distintos administradores accedan con sus cuentas personales e intransferibles. De esta forma, es posible obtener el rastro o evidencia de las acciones realizadas por cada uno de los administradores, cosa que con un usuario genérico sería imposible. A destacar también que así se podrían delimitar los ámbitos de actuación de los distintos administradores de forma individual sin tener todos ellos el máximo de privilegios al compartir una misma cuenta.


Este hecho nos lleva a tener que determinar que hacer con la cuenta de administrador, ¿la dejamos en poder del responsable del departamento de TI? En principio parece la opción más acertada. De esta forma, su conocimiento estará debidamente restringido y su uso se podrá limitar a situaciones excepcionales y/o de emergencia.

Otro concepto que no se suele poner en práctica es la adecuada rotación de funciones. Esto no es bueno ni malo pero aumenta el riesgo de que los administradores lleven a cabo acciones fraudulentas o maliciosas de forma totalmente transparente. Durante una jornada sobre análisis forense a la que asistimos hace tiempo se planteó un caso real en el que un administrador de red, a instancias de un ex-jefe invitado a dejar la empresa, actuaba de mala fe sustrayendo información privilegiada de la mencionada empresa. A pesar de que la rotación de funciones suena muy bien, la verdad es que su aplicación no es nada trivial, en esencia estamos hablando de personas y no de servidores que los pones aquí o allá.

Si siempre hemos defendido que la rotación de contraseñas es importante en todo tipo de cuentas, en las de administradores, aún lo es más. Deberemos establecer una política de contraseñas fuertes, recurriremos a los requisitos habituales: caducidad de 2-3 meses, longitud mínima 6-8 caracteres, combinación letras/números, no repetición, no patrones, .... Relativo a este punto también hemos vivido casos reales como aquel en que, por motivos históricos y de antigüedad, nos encontramos con 2 personas que seguían accediendo como administradores de red cuando hacía mucho mucho tiempo que ya no tenían encomendadas esas funciones. Aunque parezca una incongruencia con el punto anterior, si que se llevo a cabo una rotación de funciones espléndida pero con el pequeño fallo de que se mantuvieron los privilegios de administrador :-).

Para finalizar, aunque todas estas medidas, recomendaciones, buenas prácticas, etc. son de sentido común, habitualmente se suele recurrir a la profesionalidad de los administradores depositando grandes dosis de confianza en ellos. Siempre debemos tener en cuenta que, en potencia, los administradores pueden actuar de mala fe, ya que técnicamente están capacitados, de ahí que una de las labores de los responsables de seguridad es no pecar de ingenuos y "auditar" más o menos de cerca sus actos. A nuestro entender, la poca atención y control que se presta a este tipo de perfiles son un claro ejemplo de la distancia que todavía existe entre el escenario ideal y la cruda realidad.

CITA DEL DÍA: "A quién buen firewall se arrima buena seguridad le cobija"

¿ No soy de confianza ?

El otro día nos vinieron a presentar un servicio con la finalidad de obtener garantía jurídica de toda transacción electrónica. A modo de ejemplo se habló de emails, SMS's, acreditación de contratos "virtuales", publicación de un documento en la web, etc. etc. etc. en resumen, como buenos asesores (no digo comerciales ni vendedores, esa denominación ya no se estila...) pueden acreditar cualquier contenido comunicado entre dos puntos. Para ser sincero, la empresa en cuestión, de suficiente renombre y prestigio, ofrece un servicio altamente competitivo tanto en precio como en calidad (este último aspecto lo presuponemos).

De toda la presentación que nos hicieron sólo hubo un aspecto, básico por cierto, que no me encajó demasiado. En concreto era referente a la práctica "obligación" de que un tercero (ellos mismos claro) tiene que acreditar toda transacción. En esencia es un planteamiento lógico y razonable puesto que uno de los implicados no puede actuar como "juez y parte" aportando pruebas o evidencias electrónicas obtenidas de sus propios sistemas. Al menos así nos lo expusieron argumentando que en un proceso judicial cualquier prueba aportada por nosotros sería rápidamente tirada por los suelos.

En primera instancia lo vi sensato pero por otro lado no dejaba de pensar en que si se dispusiera de un sistema robusto de obtención y custodia de evidencias electrónicas, es decir una cadena de custodia totalmente confiable, considero que en un juicio, con peritos y expertos en estas lides, no habría mayor problema y nuestras pruebas no podrían ser tan fácilmente repudiadas al verificar que son tan confiables como las que puede aportar un tercero independiente.

Esta reflexión también venía motivada por un documento que leí días antes para estar al corriente de otras alternativas. El documento en cuestión, lo siento pero es en catalán, está firmado por Nacho Alamillo, experto en estos temas, y está a disposición pública en la Agencia Catalana de Certificación.

En este documento se proponen algunas recomendaciones técnicas con objeto de garantizar la publicación de un documento en la sede electrónica que se determine. A mi entender considero que son propuestas confiables (básicamente encriptación y secuenciación de entradas de los logs) y únicamente aparece, a modo de recomendación, la figura del tercero de confianza como agente para la conservación de los logs y en escenarios de alto riesgo. También resaltar que estas recomendaciones están dirigidas a las administración pública por lo que algo de validez y fundamento legal tienen.

Antes no lo he mencionado expresamente pero nuestro interés primordial por el cual solicitamos conocer los servicios que he comentado al inicio es precisamente la publicación de los concursos públicos en la web de acuerdo a la Ley 30/2007 de Contratos del Sector Público. A pesar de ello, los servicios ofertados por la empresa en cuestión son francamente interesantes en cuanto a costes por publicación acreditada. Cualquier desarrollo informático propio con objeto de garantizar y probar la publicación de un documento en la web nos resultará, con diferencia, mucho más caro.

Aquí queda esta reflexión por si alguien se encuentra en esta situación o similar.

CITA DEL DÍA: "Un incidente de seguridad no es un error sino una oportunidad de mejora"

Guía de seguridad de datos

Hoy mismo la AEPD ha publicado esta guía para facilitar la adecuación a la LOPD. Por lo poco que he leído me ha parecido un mix de varios temas ya publicados, por ejemplo, se ha incluido el modelo o plantilla del documento de seguridad, el cuadro resumen de medidas del RD 1720/2007, un check-list o comprobaciones para verificar el nivel de cumplimiento y un conjunto de preguntas-respuestas habituales.

En momentos de crisis .....

hay que ahorrar como sea ............... :-)

Leyendo esta resolución de la AEPD no he podido evitar una carcajada pensando sobre la posibilidad de que se trate de un ejemplo más de la típica picaresca que desde siempre nos caracteriza.
En esencia, se trata de una ciudadana que reclama ante la AEPD que no se ha atendido una solicitud de ejercicio de derecho de acceso a su historia clínica. Según la afectada la historia clínica entregada estaba incompleta.
Para no extenderme más, sirva este párrafo de la resolución como conclusión de la situación planteada:
"En segundo lugar, en relación a las pruebas realizadas con posterioridad al 03/01/2007 y que la reclamante afirma no haber recibido, éstas se encuentran en el mencionado Hospital a disposición de la misma, previo abono del importe de su realización, hecho éste ajeno a las competencias de la Agencia Española de Protección de Datos."
Desde luego lo primero que me viene a la cabeza es que se trata de una buena estratagema para intentar ahorrarse unas perrillas. Una anécdota más de como la LOPD puede ser utilizada como arma arrojadiza o como mecanismo para intentar obtener "beneficios" personales .........
En cualquier caso, pido disculpas públicamente a la ciudadana en caso de que mi interpretación sea totalmente ajena a la realidad.
CITA DEL DÍA: "El desconocimiento es el caldo de cultivo de la inseguridad"

Evento INTECO : SGSI

El martes dia 4, Inteco organiza en Barcelona una jornada sobre SGSI que parece interesante. Nosotros asistiremos, así que si alguien tiene pensado acercarse, es un buen momento para conocernos e intercambiar opiniones.


Los detalles del enlace están en catalán, ya que la jornada está organizada en colaboración con la Cámara de Comercio de Barcelona, lo sentimos.

Abra la boca y diga LOPD

Vamos a relatar otro caso más (por desgracia no cesan) de incumplimento de la LOPD, y como si de una película americana de sobremesa se tratara, esta vez está "basado en hechos reales".

Ayer, por desgracia, acudí a un centro odontológico. Era la primera vez que acudía a esta clinica, y procedieron a "ficharme". Ni que decir tiene que el deber de información no había venido ese día a la consulta. Una vez que empezaron el cuestionario me sorprendió mucho que me preguntaran el DNI y el estado civil.

¿Es necesario mi DNI para tratarme una caries? A lo mejor es para facturarme...
¿Importará si estoy casado en el tratamiento que me den? Si no lo estoy, ¿será más cariñosa la enfermera? :-)

Uno, que lleva la deformación profesional siempre encima, no podía hacer otra cosa más que preguntarlo, la respuesta fue clara, y la que se suele recibir en estos casos: "a mí me han pasado el formulario y yo lo pregunto" con el tono claramente me estaba diciendo "¿No vendrás a tocarme las narices no?".

Como se puede comprobar estamos ante un flagrante caso de incumplimiento de los principios de información y de calidad de los datos. Se está recabando información excesiva y además no se informa, lo cual, vulnera de lleno la LOPD. Este anecdótico hecho hace que volvamos a acordarnos del informe de INTECO en el que se reflejaba la penosa, si se me permite la palabra, calidad y cantidad de implantaciones de la LOPD en las PYMES.

En estos casos, ¿qué podemos hacer? nosotros porque somos buena gente y no vamos a denunciar, pero otro usuario que salga enfadado por el trato, el desembolso o incluso el dolor, ¿qué le impide denunciarlo a la Agencia? Está claro que las empresas desconocen el riesgo que corren en estos casos, tal vez un aviso diciéndole al empresario "¿Sabes que estos incumplimentos te pueden suponer miles de euros de sanción?" le haga espabilar, o tal vez no...

No obstante, el empresario juega con ventaja puesto que el pobre ciudadano de a pie está todavía menos concienciado y puesto en estos temas.

CITA DEL DIA : "El que mucho abarca... sufrirá para defender..."

Las PYMES y su in-seguridad

Desde aquí felicitar a Samuel y Nacho por la estupenda presentación que presentaron, valga la redundancia, en el II Encuentro Nacional de la Industria de la Seguridad en España (ENISE). Aquí os dejo el enlace a la entrada del blog de Samuel.

Se trata de un claro ejemplo que retrata como las soluciones/servicios en materia de seguridad de la información enfocadas a las PYMES no son las más adecuadas. En muchas ocasiones se intentan matar moscas utilizando misiles Tomahawk.

Por cierto, muy bueno el detalle del sello de la ITV en las certificaciones del Sr. Gómez-Cebolla :-).

Lo dicho, estupenda exposición, lástima de no haberla visto en vivo y en directo. Y felicidades por vuestra obra maestra IS2ME!

CITA DEL DÍA: "Seguridad o inseguridad, esa es la cuestión ...."

¿Hay que informar sí o sí?

Os voy a plantear un tema que tengo sobre la mesa y ya no sé que hacer ante las negativas de la empresa X (página web de bolsa de trabajo que por motivos obvios mantendré en secreto, de momento ........). Os planteo brevemente el caso (sin términos ni referencias jurídicas para no aburrir) y el “problema” que se origina:

Existe una relación mercantil con la empresa X a través de la cual se publican las pertinentes ofertas de empleo. La empresa X informa al candidato en los términos que establece la LOPD. Con la empresa X se establece una comunicación/cesión de datos y a tal efecto recogen el debido consentimiento.

Ahora bien, desde nuestro punto de vista en ningún momento se le informa claramente del destinatario de los datos, en este caso nosotros. Obviamente está implicito en la oferta a la cual se inscriben pero no se ajusta a los requisitos de la LOPD. A tal efecto, se ha propuesto incluir una advertencia legal con nuestros datos (en calidad de responsables “temporales” del tratamiento) en el correo de respuesta que automáticamente reciben todos/as los/as candidatos/as que se inscriben a las ofertas.

La empresa X no permite que se incluya este tipo de información puesto que aparece información de contacto (para el ejercicio de derechos) y sus condiciones de uso no permiten facilitar datos de contacto a los candidatos.

Pues eso es todo. ¿Os habéis encontrado en esta tesitura? ¿Creéis que, como destinatarios de los datos debemos informar a los/as candidatos/as? ¿Debería hacerlo en cualquier caso la empresa X?
Cualquier opinión, observación, matización, etc. será bienvenida. Gracias.

CITA DEL DÍA: "Tu controlas la seguridad pero la inseguridad te controla a ti"

El enemigo en casa y que dure .............


De todos es sabido que muchos de los problemas o incidentes de seguridad tienen su origen en la propia organización. Por lo general, ya sea de forma accidental o malintencionada, el usuario acostumbra a estar implicado. Por ello, es lógico que se dediquen muchos recursos a campañas de concienciación, sensibilización, formación, etc. con objeto de "educar" a los usuarios en el uso de los sistemas de información y haciendo especial hincapié en aquellos aspectos relativos a la seguridad.

Lo anteriormente expuesto es lo más sensato aunque también debo decir que no va nada mal que existan "ovejas negras" en nuestro rebaño. Al igual que el cuerpo humano tiene que estar "infectado" previamente (vacuna) para combatir un virus y desarrollar las defensas adecuadas, en el caso que nos ocupa podríamos decir que se trata de una situación similar por no decir idéntica. Si pensásemos en un escenario utópico y las campañas antes mencionadas tuvieran un éxito absoluto podríamos asegurar que internamente nunca más tendremos problemas. No obstante, esto nos llevaría a una falsa seguridad puesto que no tendríamos la certeza de si disponemos o no de un entorno seguro.

Además, tarde o temprano, siempre que haya un usuario involucrado (comportamiento totalmente impredecible e imaginación sin límites) existe un riesgo directamente proporcional al espíritu investigador y afán de superación del susodicho. Por tanto, particularmente creo que es bueno que convivan usuarios “avanzados” que intenten saltarse las reglas, de esta forma podremos evaluar de forma empírica la robustez de nuestra seguridad.

Obviamente, detrás de este planteamiento deben haber mecanismos o herramientas de monitorización de amplio espectro con objeto de identificar que los usuarios no experimenten más de la cuenta. A lo largo de mi experiencia he podido comprobar como se desarrolla la “inteligencia” del usuario con objeto de saltarse las barreras que se le ponen delante. Os aseguro que en ningún momento se nos hubiera pasado por la cabeza contemplar según que métodos se han aplicado para vulnerar las reglas de uso.

Como caso destacable tuvimos a un ejemplar varios días “vigilado” para comprobar hasta donde era capaz de llegar. En concreto, su objetivo era navegar por Internet sin estar autorizado. Para ello, además de descargarse e instalar “utilidades” de captura de contraseñas también llego a instalarse el famoso Tor para navegar de forma anónima. Lástima que la jugada le saliera mal porque la verdad es que poquito a poquito iba avanzando en su empeño.

En resumen, tampoco es tan grave que hayan usuarios “rebeldes” ya que, viendo la parte positiva, nos ayudan a mejorar la seguridad de nuestros sistemas. Otra forma de verlo es que disponemos de un servicio de testeo permanente, no viciado y sin coste añadido. Evidentemente, siempre debe haber un límite y un control exhaustivo con objeto de que los experimentos no nos exploten en las manos.

CITA DEL DÍA: "Sentirse seguro es un error, sentirse inseguro es una virtud"

EEUU y su watch list

Hace algún tiempo leí este artículo de Xavier Ribas que me llamó la atención, y hoy "discutiendo" con un compañero de trabajo me ha vuelto a la cabeza, y creo se merece unas cuantas líneas.
Anualmente Estados Unidos, a través del USTR (United States Trade Representative), confecciona una lista negra, en la que relaciona los paises más deficientes en cuanto a propiedad intelectual, con objeto de tomar las medidas adecuadas en cualquier transacción que se realice con ellos.

Este año ha sido incluida por primera vez España, y a ello le acompaña una descripción de que motivos han propiciado esta inclusión. Entre estos motivos nombran la preocupación que tienen por el pobre papel del gobierno español a la hora de atajar la piratería en Internet, relatando que en España el compartir archivos por internet mediante p2p es legal. Mientras el gobierno español no tome estas medidas, seguirá incluido en su watchlist.

SPAIN
Spain will be added to the Watch List in 2008. The United States is concerned by the Spanish government’s inadequate efforts to address the growing problem of Internet piracy, described by
U.S. copyright industries as one of the worst in Europe. There is also a widespread misperception in Spain that peer-to-peer file sharing is legal. While Spanish law enforcement authorities have taken some positive measures against pirate Internet websites, prosecutors have failed to pursue IPR cases, judges have failed to impose deterrent-level sentences against IPR infringers, and right holders do not have access to important legal tools needed to bring meaningful civil infringement suits. The United States will continue to work closely with Spain to address these IPR enforcement issues during the next year.

Desde aquí no vamos a opinar sobre si el Gobierno debería permitir o no estas descargas, pero si opinaremos sobre la posición de EEUU. Está claro que no es una postura nueva la de que los EEUU se consideren los mandamases del mundo, pero si nos sorprende ver con que "libertad" juzgan a la justicia española (valga la redundacia). ¿Es posible que esta catalogación venga motivada en gran medida por que las grandes industrias cinematográficas y musicales se encuentran allí? ¿Realmente España se encuentra al mismo nivel que paises como Indonesia, Líbano, Filipinas, Tajikistán....?
CITA DEL DIA : "Si tu sistema es seguro es que no lo ha atacado la persona adecuada"

Intimidad en el AVE

Una breve entrada para comentar que el pasado miércoles tuve mi primera experiencia con el AVE y debo decir que me encantó. No obstante, me chocó bastante que desde mi asiento (clase preferente) se pudiera ver con todo lujo de detalles lo que hace el viajero de la fila delantera (en diagonal) en el portátil. Concretamente, había una persona que estuvo trabajando durante bastante tiempo con una hoja excel repleta de importes (ingresos, gastos, extras, ratios, etc.) por líneas de negocio y meses, es decir, un control presupuestario bastante detallado.

Obviamente no revelaré a que compañía pertenecían estos datos pero era una de las gordas del sector de productos de limpieza. Concluyendo, quería ponerme a mirar cosas con mi portátil pero desistí por completo. Tampoco es un aviso porque enseguida podréis experimentar, si no lo habéis hecho ya, esta incómoda situación.
CITA DEL DÍA: "De la seguridad a la inseguridad apenas hay distancias, a la inversa es todo un abismo"

¿Aumentar el cumplimiento de la eleopede?


Al hilo de una presentación que tuve que preparar hace poco, y también influenciado por esta otra interesante reflexión, he decidido compartir con vosotros la siguiente disquisición acerca del bajo, por no decir patético, nivel de cumplimiento de la LOPD. Revisando el punto 7 del Estudio sobre el grado de adaptación de las PYMEs a la LOPD y el RDLOPD he comprobado que se esbozan algunas recomendaciones. Todas ellas se basan en los aspectos de concienciación, formación, sensibilización, etc. De forma muy breve mencionan ayudas y subvenciones aunque no se concreta gran cosa. También están reflejadas diversas iniciativas que se realizan desde INTECO.

Como me caracterizo por una actitud constructiva y bastante orientada a dar soluciones, pues simplemente me atrevo a exponer un conjunto de posibles medidas o acciones adicionales a las descritas en el mencionado estudio para ayudar a fomentar el cumplimiento de esta Ley. No siguen ningún orden de importancia ni priorización ni nada similar.

Obligatoriedad en cualquier trámite burocrático:
De forma similar a cualquier otro trámite burocrático en que se solicita la presentación de infinidad de documentos, certificados, formularios, etc. pues sería tan "fácil" como exigir en cualquier trámite con toda administración (central, autonómica, local, etc.) la aportación, por parte de la PYME, de un certificado o similar otorgado por la propia AEPD. En nuestro sector (matepss) existen diversos trámites oficiales en los que resulta obligatoria la acreditación, como mínimo, de tener los ficheros inscritos. Obviamente, esto punto está bastante limitado a la mera constancia de los ficheros inscritos pero algo es algo.

Códigos tipo:
Potenciar la definición de código tipos para diversos sectores de actividad. En esencia se trataría de seguir a rajatabla todo lo que se establezca en el código tipo. Personalmente me parece muy extraño que únicamente se hayan definido 12 códigos tipos. Puede que la definición y aplicación de códigos tipos se deba impulsar a nivel de asociaciones, cámaras de comercio, etc.

Dar ejemplo:
Pido disculpas de antemano por este punto pero me atrevería a decir que la Administración Pública en su conjunto es la que menos respeta y cumple la LOPD. Ya he perdido la cuenta de la cantidad de formularios oficiales en los que no aparece ni una sola referencia a la LOPD. Entiendo que en muchos casos estén exentos de cumplir algunos requisitos de la Ley pero como mínimo deberían informar al afectado y cumplir un mínimo de las medidas de seguridad. Por otra parte ni me imagino la complejidad que supone este tema en la administración pública pero a lo hecho pecho ..........

Concienciación del afectado:
Estoy convencido que el cumplimiento de la LOPD tiene que ser demandado por la ciudadania. A medida que el propio afectado “exija” a las empresas que cumplan con la Ley, éstas tomaran conciencia. Por si mismas poco harán, la prueba es el 16% de cumplimiento después de casi 10 años de vigencia de la Ley.

Hay otras acciones que se me ocurren pero las veo complicadas de materializar, como por ejemplo, intensificar el número de inspecciones sectoriales, subvenciones, etc., básicamente por el coste económico que supondrían.

Y por hoy nada más, espero que este pequeño granito de arena sirva para algo.

CITA DEL DÍA: ¿Qué diferencia hay entre la inseguridad y la seguridad? Ninguna, se trata simplemente de una sensación

La AGPD y la apostasía.

Se lleva hablando muchos días acerca de la apostasía, o dicho de otra forma, de como darse de baja de la iglesia.

El Tribunal Supremo anuló una sentencia de la Audiencia Nacional que obligaba a anotar en la partida de bautismo de un apóstata su rechazo a la religión católica. ¿Por qué la Iglesia ha conseguido burlar la LOPD y no permitir los derechos de acceso, rectificación, cancelación y oposición? Pues por que el juez ha considerado que los libros de bautismo NO son un fichero, por lo cual no están sometidos a la LOPD.

Actualmente la AGPD tienen en su poder más de 600 peticiones de apostasía pendientes de resolución, y su director, Artemi Rallo está decidiendo si presentar una impugnación a la sentencia.

Desde aquí nos preguntamos qué consideración especial tiene la Iglesia para no considerar sus libros de bautismo como ficheros, si bien ellos se amparan en que únicamente es un libro ordenado cronológicamente, ¿desde cuándo ese ha sido un criterio válido?. Si se acepta ese argumento no me extrañaría ver a diversas empresas acogerse a ese precedente y cambiar la clasificación de sus datos para así ahorrarse un "mantenimiento" de datos, así como poder evitar la ejecución de los ejercicios de derechos, que todos sabemos que muchas veces se vuelven muy correosos.

CITA DEL DIA : "No te quedes en el primer nivel, investiga!!"

Auditoría interna vs externa

En esta entrada no voy a plantear la eterna discusión relativa a si la auditoría de sistemas de sistemas de información debe ser interna o externa (o ambas). Ya que he tenido la suerte de haber vivido casi todos los roles posibles intentaré plantear, bajo mi experiencia, algunos aspectos clave según cada caso. Las distintas modalidades que he podido experimentar en materia de auditoría de sistemas de información son:

  • auditor interno
  • auditor externo integrado en departamento de auditoría interna
  • auditor externo
  • auditado por auditor externo
  • La única que me falta es ser auditado por un auditor interno. Doble nivel de auditoría interna?, esto existe? lo más parecido diría que es "Asuntos Internos" :-)

De este cúmulo de vivencias me gustaría remarcar los siguientes aspectos:

Planificación/Ámbito

Sin duda este es uno de los aspectos que más valoro en cuanto que uno mismo decide qué, cuándo y porqué auditar. A excepción del auditor interno, me temo que los auditores externos tienen ya establecido que área, departamento, infraestructura, etc. deben auditar. En definitiva, poco margen de maniobra queda ya que la demanda viene dada por el cliente. Por otro lado, la planificación, y consecuentemente el presupuesto, también está medianamente pactado por lo que pocas desviaciones en tiempo/coste pueden haber. Yo soy partidario de que las auditorías deben durar lo que tengan que durar, por tanto, no establezco ninguna fecha límite (exacta e inamovible) para su finalización.

Metodología/criterios

Al igual que en el punto anterior, un auditor interno pone en práctica el tipo de auditoría que mejor considera utilizando para ello aquellas metodologías, herramientas, pautas, etc. que cree mejor. Como auditor externo, he tenido que utilizar metodologías propietarias y altamente complejas (a la vez que desactualizadas), pasando, en el peor de los casos, por tener que improvisar y definir controles sobre la marcha. Otra ventaja es que como auditor interno puedes profundizar muchísimo en tu propio negocio y llegar a un detalle que difícilmente un auditor externo podrá llegar (tanto por conocimiento como por dedicación).

Transparencia/aceptabilidad auditado

Por lo general un auditor externo "impone" más, este hecho comporta que el auditado no sea todo lo transparente que debería ser, ya sea por "miedo" o por falta de confianza (hay mucho de psicología detrás de un auditor, es complicado "lidiar" con interlocutores que no salen del "si", "no", "a veces", "no lo se", "depende", ........ no obstante este tema más divertido lo aplazo para otra entrada). También hay que remarcar que como auditor externo no puedes elegir a tus "víctimas", por lo general los nombres ya vienen impuestos y acostumbran a ser roles de cierta responsabilidad que ya saben que cuento deben contar y cual no (no obstante, son fáciles de pillar al solicitar evidencias). En el caso opuesto, un auditor interno tiene bastante más libertad para escoger cual es la persona indicada para entrevistar (normalmente usuarios comunes). Por otro lado también me gustaría matizar que los auditados son mucho más transparentes y francos con uno que va en el mismo barco que con un extraño.

Independencia

Para ser sincero, la modalidad en la que se percibe una mayor independencia y en la que las valoraciones/conclusiones no están sujetas a ruidos o interferencias de fondo (que cada cual interprete lo que quiera) es la de auditoría interna. Tanto como auditor interno como auditor externo integrado en un departamento de auditoría interna he notado con diferencia que los resultados de la auditoría son mucho más acordes a la realidad y se caracterizan por poca, por no decir ninguna, sesión de maquillaje previa.

Credibilidad

Como no podía ser de otra manera este es el punto crucial de la entrada, desde siempre se aplica aquello de que las cosas se hacen o se corrigen cuando alguien de fuera así lo manifiesta. En cambio todo lo que diga el de dentro no sirve para mucho ............. Obviamente no hace falta que defienda mi postura no ??? Al igual que antes dejo para otra entrada alguna reflexión sobre lo que se puede hacer para que la auditoría interna tenga una posición aún más digna y respetable.

Y ahora hasta el lunes que mañana cojo el AVE muy muy temprano para auditar uno de nuestros centros en Madrid .............

Saludos,

CITA DEL DÍA: "La seguridad ni se crea ni se destruye, sólo evoluciona"

Robin Hood existe!

Una vez descartados los Reyes Magos y Papa Noel, y a punto de caerse otro mito como Robin Hood, nos encontramos con esto.

Dan Wilder, a través del foro bcmix, nos comparte un whitepaper en el que explica el diseño, desarrollo e implantación de un Business Continuity Model (BCM), basándose en la BS25999 y metodologias como ITIL y COBIT.

Nos sorprende y agrada ver como todavía queda gente dispuesta a compartir sus conocimientos y su trabajo de forma altruista, algo extraño en un "negocio" tan competitivo como en el que nos encontramos.

CITA DEL DIA: "La seguridad es un valor en alza, invierte en ella!"

Aquí hubiera ido de fábula .......

Lo sé! es deformación profesional, pero mientras estaba leyendo esta noticia no he podido evitar pensar en "lo bien que les hubiera venido" a estos comerciantes un buen Plan de Continuidad de Negocio.

No obstante, me gustaría pensar que la Administración (la que sea! el Ayuntamiento, la Generalitat, la Administración Central, etc......), como responsable última de todo lo que va a suponer el AVE y causante de estos graves perjuicios, ha planificado este tipo de consecuencias y las posibles compensaciones.

PD. Me parece que la Sagrada Familia ya puede ir desarrollando su PCN ...... :-)

CITA DEL DÍA: "El ordenador más seguro es aquel que está apagado"

Códigos de ética, conducta y afines

Desde siempre, exactamente allá por 1997 año en que superé el examen CISA, he sentido curiosidad por todo aquello que implica la adhesión a códigos de conducta y/o ética que prácticamente todas las entidades certificadoras requieren. Para ser sincero debo confesar que en muchas ocasiones he estado con colegas de profesión que en mayor o menor medida respetan las mencionadas normas. Me gustaría aclarar que en esencia se vulnera el deber de secreto y/o confidencialidad aunque siempre con una finalidad no fraudulenta, se trata simplemente de exponer vivencias, experiencias, casos de éxito y/o fracaso, curiosidades, etc. En resumen, desde mi punto de vista no se falta para nada a la ética y buena conducta profesional, aunque en esta vida, como sabéis, todo es relativo.

Lo que realmente me tiene "preocupado" es la verdadera utilidad de estos decálogos y, por tanto, la aplicación de medidas disciplinarias en caso de incumplimiento o vulneración de los mismos.

Con objeto de conocer la realidad nos hemos puesto en contacto con ISACA, ISC2 y EC-COUNCIL para intentar averiguar de primera mano cual es la aplicación práctica de sus respectivos códigos. Básicamente y sin rodeos hemos preguntado sobre la cantidad de incumplimientos de los códigos y las acciones que se han emprendido contra los miembros implicados. Obviamente hemos enfatizado que únicamente nos interesan datos estadísticos, para nada queremos saber los nombres y apellidos de los afectados, tampoco nos los hubieran facilitado (ante todo confidencialidad!). Esta extraña petición la hemos justificado como imprescindible para la elaboración de un estudio sobre la seriedad y prestigio de las distintas certificaciones de seguridad.

Antes de solicitar la información hemos intentando, sin éxito, localizar información, tanto oficial como paralela, por la red. Por ejemplo, en la web de ISACA figura un Annual Report del año 2007 que no dice nada relativo a este tema. Tanto en la web de EC-COUNCIL como de ISC2 tampoco hay nada sobre este tema.

Pues bien, debemos decir que las "respuestas" no nos han sorprendido demasiado. Como era de esperar, ninguna de las instituciones mencionadas nos han facilitado datos. Dicho esto, comentar que no nos explicamos lo sucedido ;-) y creemos que no han respondido por alguno de los siguientes motivos:

  • no hay nada que comentar puesto que no hay ningún control y/o seguimiento sobre el cumplimiento de los códigos
  • a pesar de los exhaustivos controles que se llevan a cabo no se ha detectado ninguna violación del código por parte de ninguno de los miembros certificados
  • hay tal cúmulo de medidas disciplinarias que tienen pavor a hacerlas públicas, aunque eso en el fondo les honraría
  • "de qué van estos panolis (nosotros!) haciendo este tipo de preguntas", suponemos que aún se están riendo............ :-)

En el fondo creemos que se han hecho un flaco favor a ellas mismas ya que, al menos en nuestro caso, interpretamos que poco o nada se hace al respecto. Sinceramente creemos que si tienen por objeto mantener y/o alcanzar cierto prestigio, reconocimiento, etc. deberían actuar en consecuencia y velar por el cumplimiento de los distintos códigos éticos. Si realmente se toman medidas disciplinarias (revocar certificados) y/o se realizan advertencias serias a los diversos miembros creemos que publicitar este tipo de actuaciones, además de dignificar al sector, sería todo un ejemplo a seguir en materia de credibilidad, transparencia y profesionalidad.

En fin, si algún día de estos nos responden (confiamos en que todavía están recopilando montañas de datos), os mantendremos informados.......

PD. Esperemos que nuestros nombres no aparezcan como candidatos "aleatorios" a someterse a una auditoría del certificado ...... será casualidad o causalidad ?

Relación de algunos códigos éticos:

ISACA - Code of Professional Ethics

ISC2 Code of Ethics

EC-Council Code of Ethics

CITA DEL DIA: "y recuerda que la seguridad no existe, es sólo una sensación .............."