Y las notas hijo ?? Toma papá, rellena esta solicitud......

Hoy ha llegado a nuestras manos una propuesta promovida por la Agencia de Protección de Datos de Madrid (APDCM). Habitualmente las entradas del blog las realizamos, independientemente del que la firma, de forma conjunta puesto que los dos mantenemos puntos de vista similares. En este caso, que tarde o temprano tenía que suceder, no ha habido entendimiento entre ambos por lo que compartimos entrada pero no opinión. Os dejamos aquí la noticia y nuestros puntos de vista. ¿De qué parte estáis?
DANI:

Si bien muchas veces hemos creido que la Agencia (aunque en este caso hablemos de la Agencia de Madrid) ha estado a punto o incluso ha sobrepasado la raya en algunas resoluciones, en caso de dar trámite a esta norma, considero que habrá pisado con los dos pies en el otro lado. No voy a negar que gracias a la AEPD se ha avanzado y mucho en un camino correcto, pero ahora estamos caminando sobre arenas movedizas.

Si un alumno puede "esconder" las notas a sus padres a los 16 años, mucho me temo que para una parte de los adolescentes en esa edad, este hecho hará que la educación a partir de esa edad que se convierta en un "todo vale". Aunque no esté relacionado con la LOPD, y tal vez nos apartemos un poco de nuestra temática, hemos de pensar que la enseñanza en la juventud no está pasando por sus mejores momentos: alumnos "rebeldes", gran fracaso escolar... Una de las pocas medidas que un padre puede tomar es su seguimiento escolar, ligado a premios/reprimendas según los resultados obtenidos. Si este único punto de control lo perdemos también, acentuaremos aún más esta fractura que hay en nuestra sociedad actualmente.

Por otro lado, si actualmente consideramos que hasta los 18 años una persona no es mayor de edad y sigue estando "tutelada", ¿por qué debemos hacer una excepción en este tema? Por supuesto debemos ser conscientes que los datos son personales, pero en este caso entrarían en conflicto con el deber de los tutores.
Si bien la Agencia declaró tiempo atrás que no se podían colgar las calificaciones de los alumnos en tablones públicos, el caso en el que nos encontramos difiere mucho de aquel, ya que la única persona a la que se haría conocedora sería al tutor.

Entonces, en estos casos, ¿qué debemos hacer? Al apuntar al "niño" al colegio, ¿hacemos que firme un consentimiento de cesión de datos para que sus calificaciones lleguen al tutor por parte del colegio?

EDGARD:

Pues en contraposición de mi amigo Dani este planteamiento me parece de lo más acertado. CUALQUIER individuo tiene pleno derecho sobre todos aquellos datos que son inherentes a su persona. El argumento de la edad no me parece un criterio determinante puesto que es un juicio totalmente subjetivo. Hay gente de 40 años que parece que tenga 16 o menos, y viceversa. Siempre nos lamentamos de que no hay concienciación, conocimiento, etc.. relativo a la privacidad y/o la protección de los datos de carácter personal, por tanto, me parece estupendo que desde jovencitos tengan claro que poseen plena potestad sobre sus datos y el consiguiente uso. De ser así estoy seguro que las próximas generaciones harán un uso mucho más responsable de sus datos. Obviamente esto tendrá efectos negativos sobre todos aquellos que hacen un uso ilegítimo y/o bordeando la ilegalidad de los datos de las personas. La propia sociedad exigirá el pleno cumplimiento y respeto en orden de garantizar su propia intimidad.

Probablemente esté tirándome piedras sobre mi propio tejado y me arriesgo a que mis dos hijas, aún lo suficientemente pequeñas por suerte, se lo tomen al pie de letra......... aunque con toda sinceridad me parecerá absolutamente perfecto y legítimo. Otra cosa es que me guste o no.
En cuanto al tema de fondo, que es la educación, considero que las calificaciones sólo son la culminación y el reflejo de como ha ido o como va el curso escolar. En otras palabras, la educación debe ser continua y permanente por lo que siendo unos progenitores responsables deberíamos saber en todo momento como está yendo la educación y formación de los "niños". Hay muchos otros temas relacionados como la comunicación padres-hijos, la confianza, el respeto, los valores, la propia escuela, etc. que dependiendo de como se encuentren este tema no dejara de ser una anécdota. En definitiva, estoy convencido de que la solución está en la casa particular de cada uno, es un asunto a solventar entre padres e hijos. Como es lógico no voy a entrar en más detalle puesto que no es para nada la temática del blog.
CITA DEL DIA: "Cuanto más inseguro te sientes más seguro te haces"

Para reflexionar.........

A pesar de que inicialmente no habíamos contemplado hacer nada especial con las citas del día que cierran la práctica mayoría de entradas del blog, hemos pensado que quizás sería interesante recopilarlas de forma periódica. Detrás de cada cita se esconden momentos de reflexión, más o menos profunda, que en algunos casos nos ha servido como idea para futuras entradas del blog. A pesar de la brevedad de ellas creemos que hay muchas que pueden dar, para bien (ejercitar neuronas) o para mal (dolor de cabeza), mucho juego al intelecto de cada uno .........
Sin más aquí las tenéis en su totalidad. Obviamente están sujetas a vuestras alabanzas, críticas, consultas, dudas, etc.

1.- La seguridad únicamente existe en un estado de inconsciencia.
2.- Si la seguridad plena no existe, ¿qué hacemos aquí?
3.- Si el estado de seguridad absoluta existiese no harían falta las copias de seguridad.
4.- Si te sientes seguro, es que no has entendido nada.
5.- La seguridad no es más que un aceptable nivel de inseguridad.
6.- El único secreto para estar más seguro es sentirse inseguro.
7.- La seguridad es un proceso y tú eres parte de él.
8.- y recuerda que la seguridad no existe, es sólo una sensación...
9.- El ordenador más seguro es aquel que está apagado.
10.- La seguridad es un valor en alza, invierte en ella!
11.- La seguridad ni se crea ni se destruye, sólo evoluciona.
12.- No te quedes en el primer nivel, investiga!
13.- ¿Qué diferencia hay entre la inseguridad y la seguridad? Ninguna, se trata simplemente de una sensación.
14.- De la seguridad a la inseguridad apenas hay distancias, a la inversa es todo un abismo.
15.- Si tu sistema es seguro es que no lo ha atacado la persona adecuada.
16.- Sentirse seguro es un error, sentirse inseguro es una virtud.
17.- Tu controlas la seguridad pero la inseguridad te controla a ti.
18.- Seguridad o inseguridad, esa es la cuestión...
19.- El que mucho abarca... sufrirá para defender...
20.- El desconocimiento es el caldo de cultivo de la inseguridad.
21.- Un incidente de seguridad no es un error sino una oportunidad de mejora.
22.- A quién buen firewall se arrima buena seguridad le cobija.
23.- Las modas pasan, la seguridad queda, no te dejes llevar por lo que ves en las pasarelas.
24.- El que siembra vientos, recoge tempestades!!!, en seguridad también.

CITA DEL DIA: "¿Qué no has tenido suficiente?;-)"

Lo bueno y lo malo de la "crisis"

Mucho se está hablando acerca de la crisis, recesión, "tenemos lo que nos merecemos" o como queramos llamar a la coyuntura económico-social-financiera actual y su impacto en el sector que nos ocupa, es decir, la seguridad de la información. El dilema se centra básicamente en determinar si la inversión o gasto en seguridad puede/debe verse afectada por esta situación.

Siendo realista, no confundir con pesimista, hay que aceptar que va a ser así, en unos casos por necesidad (reducción de presupuesto, caída de las ventas, etc.) y en otros por prudencia (o por la más que renombrada "falta de confianza") a la espera de tiempos mejores.

Para clarificar ideas entendemos que este asunto debe ser contemplado desde diversas ópticas bien distintas. De forma simple nos centraremos en los que venden (proveedor) y en los que compran (cliente) "seguridad", y por otro lado cómo les afecta de forma negativa y también de forma positiva, ya sabéis que siempre se puede aplicar aquello de que "no hay mal que por bien no venga". Como podréis ver un mismo hecho puede ser bueno y malo a la vez, tanto como vendedor/proveedor a la vez como de forma recíproca.

Para intentar que os sea más fácil y comprensible de leer lo hemos reflejado gráficamente mediante la siguiente matriz: (click sobre la imagen para ampliar)


Esperemos que tanto para lo bueno como para lo malo os sirva de ayuda o como mínimo para reflexionar respecto a lo que se avecina (o que ya está entre nosotros ..., la verdad es que ya no sabemos si está bien, mal, va a peor, se ha tocado fondo, lo peor está por venir, etc.....).

CITA DEL DÍA: "El que siembra vientos, recoge tempestades!!!, en seguridad también"

Crónica IV Jornada ISMS Forum Spain (tarde)

Tras el deseado y a la vez espléndido refrigerio servido, la sesión vespertina ha comenzado con cierto retraso con la ponencia de Pablo Pérez, gerente del Observatorio de la Seguridad de la Información de INTECO. Su turno ha sido casi monopolizado por la preocupación que se tiene hacia las PYMES, su casi nulo cumplimiento de la LOPD, y, de forma más general, el gran desconocimiento de las Tecnologías de la Información por parte de muchas de ellas.

Dentro de las PYMES se ha focalizado bastante en las microempresas, todas aquellas con menos de 10 trabajadores, la gran mayoría son incluso empresas de 1 trabajador. Este tipo de empresas suelen disponer de menos de 5 ordenadores, su conexión a la red se basa en una línea ADSL "corriente", la cuál suele ser la única inversión en TI.

Ante este panorama es muy difícil plantearse una implantación exhaustiva de normativas de seguridad. La solución habitual pasa por mantener un anti virus/troyanos/spyware activado y actualizado. Referente a este punto, muchas de las incidencias (un 85%) se habrían resuelto teniendo los programas actualizados, ésto deja patente la poca preocupación que muestran los empresarios en el tema de la seguridad TI.

Pablo ha propuesto diversas medidas que ayudarían a mejorar el panorama de la seguridad en las PYMES, entre las cuales se encontraba, como no, el importe económico, haciendo referencia a las actuales subvenciones que proporciona el Gobierno mediante el Plan Avanza. También remarcar que la industria de la seguridad al completo debe amoldar sus productos, servicios y precios a las particularidades de las PYMES.

Acto seguido, y modificando el orden previsto, hemos "disfrutado" de la ponencia de Guido Stein, profesor del IESE. No conocía a Guido, y la verdad es que me ha sorprendido muchísimo, es un orador nato, consigue lo que todo el mundo busca, "enganchar" al oyente, y mantenerlo atento hasta el final. Sus armas: don de palabra fluido, diapositivas/peliculas muy gráficas, sencillas y perfectamente entendibles.



Guido ha titulado su presentación "De la información a la comunicación pasando por la confianza". Tal vez la relación de esta ponencia con el hilo conductor de la jornada estaba cogida por los pelos, pero no por eso ha dejado de ser interesante. Guido nos explicaba como la comunicación, o la falta de ella, puede generar comportamientos muy diversos. Mediante una matriz (formato no muy del agrado de Guido) nos dejaba claro la relación entre una buena y mala actitud enfrentada a una buena y mala aptitud, y de que manera afectan a la confianza.

Otro aspecto a remarcar de esta ponencia ha sido la entrega de una hoja, en la que debíamos ir apuntando los frenos y motores que creíamos que tenía la confianza en nuestras empresas y medidas que podrían revertir esas situaciones.

La jornada ha terminado con otra mesa redonda, compuesta por:

- Tomás Roy: Director de Calidad, Seguridad y relaciones con proveedores del Centro de Telecomunicaciones y Tecnologías de la Información (CTiTI) de la Generalitat de Catalunya.
- Andreu Bravo: Responsable de Seguridad de la Información del Grupo Gas Natural.
- Cristina Segura: Directora de Sistemas de Información Corporativos, ASERCO (Grupo Agbar).
- Xavier Serrano: Director de Seguridad Tecnológica del Grupo Banco Sabadell.
Y como moderador de la mesa, Albert Lladó Palau, Presidente del capítulo de Barcelona de ISACA.

El título del debate fue: "Las políticas internas: generación de actitudes proactivas y contramedidas a las amenazas". La mesa se basó principalmente en el comportamiento de los trabajadores, comentando muchos de ellos anécdotas vividas, como la comentada por Cristina, en la que un directivo de su empresa se quejó de la recepción de un correo electrónico en el que le pedían el cambio de domiciliación de los recibos. Tras este grave incidente de "seguridad", se investigó hasta encontrar que la dirección de correo del directivo se encontraba en infinidad de presentaciones realizadas por él mismo y que se encuentran colgadas por la red. Otra prueba más de la importancia que tienen los datos y de cómo muchas veces los "entregamos" sin tener mucha consciencia de ello.

Andreu nos comentó que eventualmente ofrece charlas de concienciación en colegios, a los tres colectivos, alumnos, profesores y padres de alumnos, y constata como, de entrada, nadie considera tener información importante en el PC, pero conforme van desgranando la conversación, llegan a la conclusión que si contiene datos personales y de gran valor, por ejemplo, tarjetas de crédito, facturas, declaración de renta, etc. Destacar que el control que cuesta menos, y a la vez más valioso, es el propio usuario, lo cual lleva a la obligación de concienciar, concienciar y concienciar.

Por Tomás Roy siento una especial debilidad (profesional claro), ya que ameniza mucho sus charlas, las convierte casi en "informales", añadiendo puntos de humor, lo cual hace distendir el ambiente. Tomás, desde su posición de Responsable del CTiTI, nos comentó varias anécdotas "sufridas" por la Generalitat, como por ejemplo los problemas que sufren cuando aparecen las direcciones gencat.cat y gencat.net en listas negras de correo, la saturación de los servidores de correo, el intento de extorsión por los propietarios de las listas (qué somos un gobierno y tenemos policia ja ja ja).

Al finalizar esta mesa, se dio por cerrada la IV Jornada Internacional del ISMS Forum, y al salir al hall, nos esperaba un regalo, el libro "Patrolling Cybersapce, Lessons Learned from a lifetime in Data Security" de Howard A. Schmidt, el cual ya está en mi mesita de noche para empezarlo hoy mismo. Además tiene 5 créditos CPE para el CISSP..........

Ahora, desde la comodidad de mi casa, me gustaría exponer unos detalles sobre la jornada:

a) En la antesala del auditorio habían espacios reservados para posters promocionales de diversos partners. Nos llamó la atención los numerosos espacios vacíos que estaban reservados a empresas concretas y de renombre. Omitiremos sus nombres. No tiene más importancia pero provocaba un poco de daño a la vista, no por el aspecto visual sino por la reputación de las empresas que no tenían nada puesto.

b) Respeto de horarios, personalmente me resulta una falta de respeto, educación y consideración enorme por parte de los asistentes el hecho de llegar tarde. Hubo un momento que sentí vergüenza ajena puesto que Gianluca estaba empezando la jornada de la tarde y había tanta gente de pie charlando a viva voz que ni siquera se le escuchaba. En fin, me temo que en estos temas aún estamos más lejos de algunos de los aspectos de la seguridad de la información a mejorar.

c) Dar las gracias y recuerdos a sus familiares a la gente que acude a estos eventos para charlar con su compañero de asiento, haciendo muy difícil oir las ponencias a la gente de su alrededor.
Nuestras más sinceras felicitaciones a isms por la invitación, a todos los participantes y colaboradores en la organización del evento, a los ponentes y a todos los asistentes ya que sin ellos (nosotros) nada de lo relacionado con la seguridad de la información tendría sentido.

Crónica IV Jornada ISMS Forum Spain (mañana)

En esta entrada y la siguiente expondremos, bajo nuestro particular criterio, los aspectos más remarcables de lo que ha sido la IV jornada del ISMS Forum Spain. Esperamos que aquellos y aquellas que no habéis podido asistir os sirva para tener una pequeña visión de los principales temas allí tratados. Sin más preámbulos empezamos .....


Llegada puntual a las 9:00 para obtener la pertinente acreditación. Mientras esperamos el inicio de la jornada tomamos un primer cafetito con pastas. Con cierto retraso, como es habitual en este tipo de actos, Gianluca D’Antonio, Presidente de ISMS Forum Spain, da la charla de bienvenida, objetivos de la jornada y presentación de los primeros ponentes.

La “estrella invitada“, Howard A. Schmidt, toma la palabra e inicia la Conferencia Inaugural. Los puntos que más nos han llamado la atención han sido:

  • Las amenazas actuales deben considerarse como un tema de seguridad nacional, concretamente, de índole financiero.
  • Iniciativa internacional IMPACT – International Multilateral Partnership Against Cyber-Terrorism.
  • Mayor relevancia de las certificaciones en seguridad (por ejemplo las de ISC2, será porqué tiene cierto vínculo con esta organización .......).
  • Se estima que a día de hoy hay unos mil millones (1.000.000.000) de dispositivos de todo tipo conectados a la red (cifra alcanzada en los últimos 25 años). En aproximadamente los próximos 5 años habrán mil millones más.
  • Como anécdota curiosa menciona que existe o está en estudio un marcapasos que tendrá conexión wifi para controlar en tiempo real su estado y poder actuar en consecuencia. Por motivos de seguridad no querría tener uno “instalado”....
  • Dar más relevancia a los aspectos positivos de la seguridad (por ejemplo buenas prácticas, iniciativas, etc.) en lugar de resaltar lo negativo (ataques, vulnerabilidades, etc.).
  • Risk Governance no es un problema exclusivo de tecnología, en todo caso de Personas+Procesos+Tecnología.
  • El phishing lleva como unos 12 años en activo. Los delincuentes dedican muchos esfuerzos ya que cada vez tiene más barreras (filtros en servidores, filtros en navegadores, filtros en gestores de correo, etc..), aún así siguen teniendo éxito.
  • Como conclusión expone que el escenario global de seguridad es como el Taj-Mahal. Está compuesto por infinidad de pequeños mosaicos, que extrapolado al escenario de la red, se pueden considerar como dispositivos individuales que están securizados individualmente.

En el turno de preguntas surgen los siguientes temas:

  • Impacto de la crisis en la seguridad: No debe reducirse la inversión en seguridad. Como principal argumento destacar que posteriormente costará mucho más alcanzar los niveles correctos.
  • Seguridad en internet: Comenta que la migración de IPv4 a IPv6 debe realizarse en un máximo de 2 años (temas de seguridad y carencia de direcciones IP).

Tras la Conferencia Inaugural se celebra una mesa redonda con distintos participantes. Esto fue lo más relevante:

Juan Miguel Velasco (Telefónica)

a) Desde el SOC de Telefónica se monitoriza el tráfico de la red y de correo electrónico. Desde este observatorio privilegiado de todo lo que acontece nos aporta datos interesantes. Para empezar algunas cifras al respecto:

  • Total correos 2004: 700.000.000
  • Total correos 2008 (septiembre): 5.000.000.000
  • El 96% en 2008 y un 98% en 2007 corresponde a malware en general (virus, spyware, spam, etc.)
  • El phishing en España se ha duplicado en 2008.
  • El phishing en UK se ha multiplicado por 10.

Este incremento en UK está motivado por una nueva normativa financiera mediante la cual se regula una modalidad de transferencias rápidas. Con anterioridad a la entrada en vigor (septiembre) se estuvieron capturando muchos datos financieros, no obstante, éstos no eran usados. En el momento en que la mencionada normativa entró en vigor se usaron de forma masiva. La moraleja es que los “malos” están al corriente de normativas, leyes, etc. y están muy bien organizados y profesionalizados.
b) Los robos de identidad van en aumento.
c) Como respuesta a una pregunta de los asistentes, relativa a aspectos de trazabilidad, se expone que hay un desfase importante entre la tecnología y la parte legal. Transcurre mucho tiempo entre el delito y la investigación del mismo. El estado de la evidencia electrónica en el mundo jurídico está todavía en un estado embrionario (falta de formación, entender que las reglas y el terreno de juego han cambiado, etc.).
d) Como curiosidad destacar que en el año 2004, a posteriori de la famosa foto de las Azores, se produjeron ataques de DoS (tráfico de 14 Gb) dirigidos a las correspondientes webs gubernamentales (Casa Blanca, Downing Street y La Moncloa).

Juan Salom (Guardia Civil)

a) Todas las amenazas externas que identifican tienen como finalidad un beneficio económico.
b) Por el momento no se han detectado ataques a infrasestructuras estratégicas (suministros, organismos públicos, etc.) similares a lo sucedido en Estonia o Georgia. Aún así, desde el Ministerio de Interior se ha creado un comité que está trabajando en como afrontar este tipo de amenazas, para estar preparados cuando sucedan ......
c) Como curiosidad del tráfico de datos comenta que el precio de una tarjeta de crédito oscila de 1 a 5 $ y un PC zombi de 5 a 20 $.
d) La inmensa mayoría de phishing y fraude e-commerce está monopolizado en los países del Este y Sudamerica.
e) Al igual que el anterior ponente en el tema de la trazabilidad se corrobora el desconocimiento del mundo de la adjudicatura de estos temas. Añade que la ley de conservación de datos de tráfico choca con el derecho a la intimidad y con el secreto de las comunicaciones.
f) Concluye que el delincuente se siente impune al no haber represalias legales frente al delito cometido (cooperación con otros países, lentitud justicia, recursos limitados, etc.).

Tras la mesa redonda y un buen desayuno, las siguientes ponencias y lo más relevante de las mismas:

Chris Kenworthy (McAfee)

a) Centrada en protección de datos (“Data Leakage”).
b) Descripción y datos de la compañía.
c) Algunos productos y utilidades de la compañía.
d) Ejemplo de “desprotección” de datos: Foto captada por la prensa de una persona del gobierno que entraba a Downing Street con un documento en la mano. En la foto se lee perfectamente información confidencial.
e) La tecnología sin políticas alrededor no sirve de nada.

Cormac Callanan (Council of Europe)

a) Muchos problemas burocráticos, de procedimientos, de idiomas, de coordinación, de entendimiento, etc. entre los departamentos de investigación de delitos informáticos de distintos países. Esto hace que la investigación de estos incidentes no sea tan efectiva como debiera.
b) En su etapa como activista contra la pornografía infantil destaca que dentro de lo malo este tema puede considerarse como un aspecto positivo. Al haber constancia en la red se tiene conocimiento de la magnitud, de la existencia y del comportamiento de los pederastas/pedófilos, aspectos que hasta su aparición en la red eran desconocidos.

Fernando Aparicio (PayPal)

a) Descripción de la pasarela de pago PayPal.
b) Remarcar la confidencialidad y privacidad de los datos financieros de los clientes.
c) Iniciativas contra el fraude en el pago electrónico (phishing).

En breve, lo acontecido durante la tarde ...................................

Abandono de la empresa .....

Recientemente nos hemos tenido que plantear como proceder cuando un usuario es, digámoslo de forma políticamente correcta, invitado a abandonar la empresa con objeto de que otra persona ocupe su lugar. Antes de nada hay que distinguir si estamos hablando de una invitación inmediata/fulminante o de una crónica de una muerte anunciada.

Desde la estricta óptica de la seguridad, la modalidad inmediata tiene la ventaja de que nos permite bloquear al instante todo acceso a los sistemas de información. Obviamente, tiene otras contrapartidas pero desde nuestro punto de vista, y perdón por la brusquedad, no nos interesan (por ejemplo traspaso de "poderes").

La situación "interesante" se da en la invitación programada, es decir, en aquellos casos en que se informa al trabajador que en 15 días deberá abandonar la empresa (ya sea por finalización de contrato, por no superar el periodo de prueba, etc.). En estos casos no es de extrañar que se intente llevar a cabo un acto poco ético, fraudulento y/o malicioso como "venganza" hacia la empresa. Esta reacción puede ir desde un ácido y explosivo correo de despedida hasta la introducción deliberada de virus y malware primo-hermano, pasando por la ya típica sustracción o desaparición de información. Remarcar también que la mayoría de problemas acostumbran a llegar el "día después".

En estos casos ¿qué medidas/acciones se pueden adoptar con objeto de detectar, evitar y/o minimizar estos incidentes?

Como paso inicial y totalmente imprescindible hay que remarcar que el área de seguridad (o la competente en cada caso) debería estar al corriente incluso antes que el propio afectado. De no ser así, y como lamentablemente sucede en muchas organizaciones, ésta es la última en enterarse y poco o nada puede hacer ya.


Cumplido el anterior punto se activa el "surveillance mode" del usuario en cuestión. Esto se consigue con la supervisión "casi permanente" de los distintos logs o fuentes de monitorización, básicamente nos fijaremos en las acciones que se realizan y el volumen de datos que se "mueven" (acceso a informacion de la red, uso de dispositivos de memoria extraíbles, acceso a aplicaciones, internet, correo, generación de .zip's, etc.). De forma muy breve, os planteamos posibles medidas/acciones con objeto de detectar/evitar la materialización de algunas amenazas (muchas de ellas son permanentes ya que forman parte de la política de seguridad existente mientras que algunas deben activarse cuando se da la situación planteada):

• Firma de acuerdos de confidencialidad, je je .... perdón pero nos entra la risa. Firmar se puede tener firmado lo que sea pero sinceramente no evita nada
• Bloqueo de los puertos USB del equipo para evitar la conexión de dispositivos de almacenamiento extraíbles (por ejemplo con Sanctuary)
• Dispositivos de grabación de CD/DVD de uso restringido y previa autorización (relacionado con la gestión de soportes de la LOPD)
• Bloqueo de las páginas de almacenamiento masivo (megaupload, rapidshare & cia), en casos extremos bloquear el acceso a internet
• Monitorizar tráfico atípico de correo corporativo (tanto en cantidad como en tamaño), límite de tamaño de archivos anexados (5 Mb por ejemplo), .... en casos extremos bloquear el correo externo
• Bloqueo de las páginas de proveedores de correo (gmail, yahoo, hotmail, etc.) y webmail.
• Modificar privilegios de acceso a la red y aplicaciones (permitir únicamente la consulta)
• Revisión de los logs de actividad de las aplicaciones/bases de datos
• Verificar registros de impresión para identificar impresiones masivas
• Restricción de acceso a la documentación en papel
• Supervisar que no se extrae documentación de la empresa (“cacheos”). Suena a exageración pero en una entidad financiera de gran renombre lo he vivido en primera persona.
• ¿Control de las llamadas telefónicas efectuadas?
• Devolución de dispositivos corporativos (portátil, BB, PDA, memoria USB, etc...)
• Inhabilitar accesos remotos (webmail, teletrabajo, VPN, etc.)

Hay usuarios especiales en los que deben tomarse medidas extraordinarias, el caso típico es el administrador de red o de sistemas o de loquesea (ver entrada). La opción drástica pero infalible es retirarle los privilegios e incluso "regalarle" los 15 días de vacaciones. Como simple reflexión para vosotros: ¿de verdad hay algún responsable de seguridad que se arriesgaría a tener un administrador de red con sus privilegios, y que además sabrá mucho más que él, siendo consciente de que en 15 días se va a la p...... calle? Aún pareciendo demasiado radical, cabría plantearse la aplicación de este mecanismo en todos los casos considerando que los 15 compensaría de sobra los posibles daños o perjuicios que nos podría llegar a causar un único usuario "descontento".

Aparte del caso anterior también nos encontramos con otro tipo de usuarios cuyo tratamiento en estas situaciones también es digno de mención. Nos referimos al personal directivo que, como es natural, tienen acceso a información muy pero que muy privilegiada de la organización. ¿Qué hacer con ellos? Buena pregunta, sinceramente haríamos exactamente lo mismo, o más, que con un usuario “normal y corriente”.

Para finalizar, y dado el vínculo existente, trataremos aparte el caso de las bajas voluntarias. Para ser sincero son los casos que nos producen más respeto y especialmente cuando se trata de usuarios con cierta relevancia o “poder”. Dando por sentado que no se trata de una decisión que se toma de forma espontánea debemos asumir, pensando mal y/o siendo realista, que desde bastante tiempo atrás se ha podido estar preparando el terreno.

Como conclusión, y basándonos en este último planteamiento, decir que esta “vigilancia” debe ser llevada a cabo de forma permanente por el simple hecho de que no se sabe nunca cuando ni por donde te van a entrar o salir los problemas.

CITA DEL DÍA: “Las modas pasan, la seguridad queda, no te dejes llevar por lo que ves en las pasarelas”

La cuenta de administrador, esa gran desconocida .......

A menudo, los administradores de sistemas, en su sentido más amplio, distan mucho de la figura perfectamente controlada que se nos intenta vender. En diversas normativas y/o buenas prácticas, como la ISO 27001, los CBK del CISSP (isc2), ... se da un especial tratamiento y consideración a este tipo de perfiles. A pesar de ello, cualquier coincidencia con la realidad es pura casualidad ya que, por regla general, el perfil de administrador y todos aquellos aspectos asociados a éste es muy diferente de lo que debería ser. En las siguientes líneas vamos a comentar, bajo nuestra experiencia, algunos puntos clave sobre el tema.

En grandes instalaciones pueden existir, de hecho existen, varias personas que por sus funciones necesiten privilegios de administrador (de red, de entornos/plataformas, de bases de datos, etc.). Habitualmente, se dispone de una cuenta genérica de administrador. Esto conlleva que la contraseña es más que conocida y compartida por varias personas, a priori, para el desarrollo de sus legítimas funciones aunque también debemos señalar que nos hemos encontrado con usuarios finales que eran conocedores de ésta, ¿cómo? mejor no saberlo ....... :-(. Intentar explicar el porqué de esta situación no es tarea fácil, salvo mejor criterio creemos que se trata simplemente de perpetuar una costumbre adquirida y así "ahorrarse" el tener que definir/modificar, en definitiva gestionar, distintos perfiles.

Por otro lado, mencionar que esta práctica estaría en cierto modo vulnerando el reglamento (art. 93.2) que desarrolla la LOPD puesto que no permite identificar de forma inequívoca y personalizada quien accede a los sistemas. Esto es especialmente grave al tratarse de cuentas con los máximos privilegios.

Sin ninguna duda, un administrador de "loquesea" debe ser considerado como un usuario más pero con ciertos privilegios de índole técnico. Para ello, entendemos que las cuentas del estilo "admin", "administrador", "root", etc. deberían ser, siempre que sea posible, revocadas y forzar que los distintos administradores accedan con sus cuentas personales e intransferibles. De esta forma, es posible obtener el rastro o evidencia de las acciones realizadas por cada uno de los administradores, cosa que con un usuario genérico sería imposible. A destacar también que así se podrían delimitar los ámbitos de actuación de los distintos administradores de forma individual sin tener todos ellos el máximo de privilegios al compartir una misma cuenta.


Este hecho nos lleva a tener que determinar que hacer con la cuenta de administrador, ¿la dejamos en poder del responsable del departamento de TI? En principio parece la opción más acertada. De esta forma, su conocimiento estará debidamente restringido y su uso se podrá limitar a situaciones excepcionales y/o de emergencia.

Otro concepto que no se suele poner en práctica es la adecuada rotación de funciones. Esto no es bueno ni malo pero aumenta el riesgo de que los administradores lleven a cabo acciones fraudulentas o maliciosas de forma totalmente transparente. Durante una jornada sobre análisis forense a la que asistimos hace tiempo se planteó un caso real en el que un administrador de red, a instancias de un ex-jefe invitado a dejar la empresa, actuaba de mala fe sustrayendo información privilegiada de la mencionada empresa. A pesar de que la rotación de funciones suena muy bien, la verdad es que su aplicación no es nada trivial, en esencia estamos hablando de personas y no de servidores que los pones aquí o allá.

Si siempre hemos defendido que la rotación de contraseñas es importante en todo tipo de cuentas, en las de administradores, aún lo es más. Deberemos establecer una política de contraseñas fuertes, recurriremos a los requisitos habituales: caducidad de 2-3 meses, longitud mínima 6-8 caracteres, combinación letras/números, no repetición, no patrones, .... Relativo a este punto también hemos vivido casos reales como aquel en que, por motivos históricos y de antigüedad, nos encontramos con 2 personas que seguían accediendo como administradores de red cuando hacía mucho mucho tiempo que ya no tenían encomendadas esas funciones. Aunque parezca una incongruencia con el punto anterior, si que se llevo a cabo una rotación de funciones espléndida pero con el pequeño fallo de que se mantuvieron los privilegios de administrador :-).

Para finalizar, aunque todas estas medidas, recomendaciones, buenas prácticas, etc. son de sentido común, habitualmente se suele recurrir a la profesionalidad de los administradores depositando grandes dosis de confianza en ellos. Siempre debemos tener en cuenta que, en potencia, los administradores pueden actuar de mala fe, ya que técnicamente están capacitados, de ahí que una de las labores de los responsables de seguridad es no pecar de ingenuos y "auditar" más o menos de cerca sus actos. A nuestro entender, la poca atención y control que se presta a este tipo de perfiles son un claro ejemplo de la distancia que todavía existe entre el escenario ideal y la cruda realidad.

CITA DEL DÍA: "A quién buen firewall se arrima buena seguridad le cobija"

¿ No soy de confianza ?

El otro día nos vinieron a presentar un servicio con la finalidad de obtener garantía jurídica de toda transacción electrónica. A modo de ejemplo se habló de emails, SMS's, acreditación de contratos "virtuales", publicación de un documento en la web, etc. etc. etc. en resumen, como buenos asesores (no digo comerciales ni vendedores, esa denominación ya no se estila...) pueden acreditar cualquier contenido comunicado entre dos puntos. Para ser sincero, la empresa en cuestión, de suficiente renombre y prestigio, ofrece un servicio altamente competitivo tanto en precio como en calidad (este último aspecto lo presuponemos).

De toda la presentación que nos hicieron sólo hubo un aspecto, básico por cierto, que no me encajó demasiado. En concreto era referente a la práctica "obligación" de que un tercero (ellos mismos claro) tiene que acreditar toda transacción. En esencia es un planteamiento lógico y razonable puesto que uno de los implicados no puede actuar como "juez y parte" aportando pruebas o evidencias electrónicas obtenidas de sus propios sistemas. Al menos así nos lo expusieron argumentando que en un proceso judicial cualquier prueba aportada por nosotros sería rápidamente tirada por los suelos.

En primera instancia lo vi sensato pero por otro lado no dejaba de pensar en que si se dispusiera de un sistema robusto de obtención y custodia de evidencias electrónicas, es decir una cadena de custodia totalmente confiable, considero que en un juicio, con peritos y expertos en estas lides, no habría mayor problema y nuestras pruebas no podrían ser tan fácilmente repudiadas al verificar que son tan confiables como las que puede aportar un tercero independiente.

Esta reflexión también venía motivada por un documento que leí días antes para estar al corriente de otras alternativas. El documento en cuestión, lo siento pero es en catalán, está firmado por Nacho Alamillo, experto en estos temas, y está a disposición pública en la Agencia Catalana de Certificación.

En este documento se proponen algunas recomendaciones técnicas con objeto de garantizar la publicación de un documento en la sede electrónica que se determine. A mi entender considero que son propuestas confiables (básicamente encriptación y secuenciación de entradas de los logs) y únicamente aparece, a modo de recomendación, la figura del tercero de confianza como agente para la conservación de los logs y en escenarios de alto riesgo. También resaltar que estas recomendaciones están dirigidas a las administración pública por lo que algo de validez y fundamento legal tienen.

Antes no lo he mencionado expresamente pero nuestro interés primordial por el cual solicitamos conocer los servicios que he comentado al inicio es precisamente la publicación de los concursos públicos en la web de acuerdo a la Ley 30/2007 de Contratos del Sector Público. A pesar de ello, los servicios ofertados por la empresa en cuestión son francamente interesantes en cuanto a costes por publicación acreditada. Cualquier desarrollo informático propio con objeto de garantizar y probar la publicación de un documento en la web nos resultará, con diferencia, mucho más caro.

Aquí queda esta reflexión por si alguien se encuentra en esta situación o similar.

CITA DEL DÍA: "Un incidente de seguridad no es un error sino una oportunidad de mejora"

Guía de seguridad de datos

Hoy mismo la AEPD ha publicado esta guía para facilitar la adecuación a la LOPD. Por lo poco que he leído me ha parecido un mix de varios temas ya publicados, por ejemplo, se ha incluido el modelo o plantilla del documento de seguridad, el cuadro resumen de medidas del RD 1720/2007, un check-list o comprobaciones para verificar el nivel de cumplimiento y un conjunto de preguntas-respuestas habituales.