Aprender jugando.

Habitualmente, no se si os pasa a vosotros, acabo cansado y aburrido cuando miro mi lector de feeds, siempre hay muchas noticias repetidas, copiadas, etc… pero de vez en cuando hay alguna a la que prestas más atención. Eso me suele pasar con los casos prácticos que con cierta periodicidad plantea la página de Security Art Work.

Como ya nos decían desde pequeñitos, no hay mejor manera de aprender que tomándolo como un juego, y eso es lo que hacemos, retarnos a nosotros mismos, y esperar los comentarios de otras personas para ver donde hemos fallado o qué se nos ha escapado.

Ayer, leyendo el nuevo reto, me sentí bastante cómodo, ya que se plantea un tema que me toca muy de cerca al estar muy ligado con la actividad que realizo cada día, así que me decidí a jugar!!

Os dejo aquí el enlace al caso planteado, y empiezo a dar mi opinión. Esta relación no pretende ser una guía completa, si no una serie de medidas básicas. Contadme que os parece, que veis, que se me ha escapado….

Primero, definiremos bien el escenario, no sea que hayamos entendido algo mal y nos condicione la "auditoría".

La empresa Plásticos Cremallera contrata a Atmedsa para que preste el servicio de Vigilancia de la Salud en la empresa. El despacho del médico está contiguo al del señor Botón. El caso es reciente y se auditará en base al RD 1720/2007.

Por nuestra amistad con el señor Botón, además de comentarle los problemas que hay en relación al escenario planteado, le vamos a comentar a grandes rasgos, algunos aspectos generales de la LOPD que debe tener solventados para superar la auditoría con éxito.

Inscripción de ficheros en la AEPD
Creación de un Documento de Seguridad
Identificación del responsable de seguridad
Identificación y registro de soportes
Registro de incidencias
Registro de E/S de soportes y autorizaciones

Ahora, entraremos más en detalle basándonos en las circunstancias que nos relatan:

1.- La sala en la que pasa consulta el médico residente está justamente al lado de la del señor Botón. Queremos creer que la pared está lo suficientemente insonorizada de forma que no se oiga lo que acontece en la consulta de "nuestro" médico, y así mantener la confidencialidad y el deber de secreto en la relación médico-paciente.

2.- La información que recoge el médico es de nivel alto, y por supuesto, no debe ser accedida por el Señor Botón, de forma que la custodia de las llaves debe ser realizada exclusivamente por el médico. Entendemos que a la sala anexa no tiene acceso el señor Botón, de no ser así, deberíamos evitarlo, por ejemplo con una puerta con cerradura.

3.- Si bien el ordenador nos indica que está en la zona usuarios, recomendamos encarecidamente que Atmedsa proporciones a su médico todo el material informático, y que de la misma forma se encargue de la gestión de su información, copias, etc...

4.- El acceso al ordenador debe ser exclusivo del médico.

5.- Sería recomendable que el ordenador que utiliza nuestro médico, en caso de ser de sobremesa, tuviera mecanismos de cifrado de datos, para protegerlos en caso de un posible robo. Recordar que en caso de ser un portátil la medida es obligatoria.

6.- En el momento en el que los datos "circulan" por Internet entendemos que están convenientemente cifrados, por ejemplo mediante una VPN.

7.- La empresa del señor Cremallera únicamente deberá recibir de la parte médica los certificados de APTITUD laboral, en ningún momento análisis clínicos ni nada por el estilo.

8.- Como conocemos a Atmedsa y sabemos que son unos grandes profesionales, nunca enviarán una factura detallando las pruebas realizadas a cada paciente, ya que esto puede dar una noción de la patología del trabajador.

9.- Por si aún no nos había quedado claro, Atmedsa es una gran empresa, y en el momento que recogen los datos de salud de los trabajadores se les informa del tratamiento que se va a realizar, así como se contempla una posible cesión de datos en el caso de que fuese necesario contactar con un médico especialista, o realizar alguna prueba complementaria de la que no disponga Atmedsa, por ejemplo unas placas RX.

10.- Suponemos que el médico dispone de una impresora propia, ya que de estar compartida deberíamos implementar un mecanismo a fin de que sólo él pueda recoger sus copias, por ejemplo un PIN que al introducirlo empiece a imprimir la documentación que ha enviado.

11.- El reciclaje de papel por parte del médico, se hará, o bien con una destructora de papel, o bien en cajas que protejan el acceso a los papeles depositados, con el consiguiente contrato de encargado de tratamiento y confidencialidad con la empresa encargada de recoger las cajas.
y por el momento esto es todo, con estas recomendaciones creemos que Cremalleras superará la auditoría con suma facilidad .......................

CITA DEL DÍA: "Confianza no es sinónimo de seguridad"

H2O

Aquellos y aquellas que hayáis tenido alguna experiencia reparando, o estropeando aún más según lo manazas que seáis :-), algún tipo de fuga, escape, etc. de agua sabréis lo complicado y difícil que resulta que el agua no se filtre por cualquier pequeña fisura o junta. Siempre he pensado que el flujo de la información es bastante similar, por no decir idéntico, al caso del agua (en el contexto de la seguridad estaríamos hablando de la tan de moda DLP Data Loss Prevention aunque este concepto como tal lleva ya años entre nosotros). Haciendo un interesante, profundo, imprescindible y determinante ejercicio de "pérdida de tiempo" :-) he intentando reflejar los distintos estados por los que pasa el agua y su equivalencia en el caso de la información.

Rememorando aquellas interesantísimas clases de naturales durante la EGB, periodo en el que nosotros llevábamos pantalón corto y vosotras coletas, nos decían que el agua puede presentarse en 3 estados distintos: sólido, líquido y gaseoso. En primer lugar, y partiendo de las características de cada uno de estos estados, he establecido su equivalente en cuanto al concepto de información:

Estado sólido: forma y volumen constante, rigidez y regularidad de sus estructuras
En este estado podrían encajar todos aquellos repositorios de información "estáticos", para entendernos, las tablas maestras, los ERP, las bases de datos corporativas, etc. En definitiva toda aquella información de mucho volumen que reside en servidores centrales y que actúa como un todo (muchas relaciones entre tablas, integraciones entre entornos/aplicaciones, etc.). El flujo o transmisión global de este tipo de información resulta prácticamente imposible.

Estado líquido: sin forma fija pero si volumen. Variabilidad de formas y propiedades específicas
Aquí tendríamos la misma información antes descrita (formato electrónico) pero residiendo en dispositivos, soportes, etc. que permiten su flujo de forma rápida y fácil. Estaríamos hablando de memorias USB, discos duros externos, CD/DVD, archivos uploadeados y/o emaileados, etc. que contienen fragmentos (consultas, vistas, extracciones, volcados, etc.) de la información original. Toda esta diversidad de formas, tamaños, colores, etc. de la información son las que, volviendo al inicio de la entrada, son muy escurridizas y difíciles de controlar. Individualmente no representan una gran amenaza pero en su conjunto pueden ocasionar perjuicios importantes.

Estado gaseoso: Ni forma ni volumen fijos
La información en este estado podríamos calificarla de etérea, es decir, está por ahí pululando pero no se percibe como tal. Nos referimos a información que no existe de forma estructurada ni en formato electrónico sino que reside en otros “soportes” como imágenes, documentos, know-how en alguna neurona, etc. A modo de ejemplo sería algo similar a información "escuchada" en conversaciones telefónicas, información filtrada en conversaciones "informales", un dato que alguien ha podido ver durante un trayecto en el AVE, deber de secreto y confidencialidad vulnerados, rumorología diversa, información tergiversada o fuera de contexto, etc. Este tipo de información es prácticamente imposible de controlar y de detectar su origen. Normalmente es una parte ínfima de la información corporativa pero, por lo general, puede suponer un gran perjuicio (imagen, reputación, mercado, etc.).

A continuación he intentado encontrar similitudes en cuanto a los distintos “procesos” que originan los distintos intercambios de estados (como sabéis, son evaporación, condensación, sublimación, congelación y fusión). Nada mejor que un gráfico para hacerse una idea (hacer clic para ampliar):


Espero que os haya gustado. La verdad es que he disfrutado mucho "perdiendo" el tiempo con esto.

CITA DEL DÍA: “La seguridad, ¿se quiere o se necesita?”

La Caja Negra

Tras unos cuantos días festivos y otros tantos de vacaciones pendientes vuelvo a estar por aquí. La verdad es que tantos días de desconexión total y absoluta pasan factura, casi no recuerdo ni como se mueve el ratón. Como ya va siendo hora de poner algo en el blog con objeto de satisfacer a nuestros millones de lectores ;-), en esta ocasión me he decantado por una "preocupación" que me ronda a menudo por la neurona. En esencia se reduce a clarificar el papel que tiene el CIO, CISO, CSO, ... o como se quiera llamar al responsable o encargado o browneater de los aspectos de seguridad en escenarios de elevada externalización. En concreto me refiero a aquellas situaciones en las que las funciones típicas asociadas a la función informática (explotación, sistemas, comunicaciones, desarrollo, soporte, etc.) son encomendadas por completo a un tercero.

Como es habitual, la relación que se establece con el tercero está basada en la prestación de determinados servicios con sus SLA's, sus sanciones por incumplimiento, sus compromisos, etc. etc. etc. Del mismo modo, y gracias a Santa Eleopede, también se formalizan los pertinentes contratos de encargado de tratamiento y demás. En resumen, en todo el maremágnum de burocracia existente se definen, en el mejor de los casos, algunos indicadores directamente relacionados con la seguridad (disponibilidad, incidencias, etc.). No podemos olvidar que la finalidad básica de estos acuerdos es regular la prestación de un servicio y desde luego no están centrados en los aspectos de seguridad precisamente (en cualquier caso estos puntos quedan relegados a un segundo plano o se dan por ¿supuestos? e inherentes a la prestación). También pueden añadirse todo tipo de cláusulas permitiendo todo tipo de revisiones, auditorías, etc. por parte del “cliente”, pero siendo sinceros no tengo muy claro si se llegan a materializar.

En determinadas tareas relativas a la seguridad de la información tales como Análisis de Riesgos, Planes de Continuidad, Sistemas de Gestión de Seguridad de la Información, definición de procedimientos/protocolos, etc. muchos de los aspectos más cruciales, y por lo general los más divertidos de tratar, quedan reducidos a una simple CAJA NEGRA de la que bien poco o nada se sabe. A menudo, por no decir siempre, la práctica totalidad del proceso de negocio que se está tratando depende de la famosa caja negra y de lo que hay (o no hay!) dentro.

La clave de mi planteamiento no radica tanto en poder “asegurar” (o creer) que la caja negra es un reloj suizo, sino la sensación de tener las manos absolutamente atadas y que desde el punto de vista del cliente nada o poco vale. Siempre que he intentado profundizar en algún aspecto concreto de seguridad he topado con las paredes de la caja, totalmente opacas, que me impiden ver más allá (entiéndase la metáfora como que sólo se nos permite conocer el qué y no el cómo; en ocasiones se aporta un documento, un anexo, una cláusula o algo similar donde se estipula que determinado servicio es, precisamente eso, un servicio que hace algo).

Las auditorías bianuales obligatorias que establece la LOPD son un claro ejemplo de lo expuesto. En el momento en que topamos con la caja negra siempre se solicita la posibilidad de “auditar” su contenido, como no podía ser de otra forma nos entregan “su” certificado de auditoría y a otra cosa mariposa. Menos mal que con el nuevo reglamento de la LOPD, el responsable del fichero tiene la obligación de velar por el cumplimiento de las medidas de seguridad por parte del encargado. Ya veremos si acogiéndonos a este punto podemos entrar hasta la cocina.......

Volviendo al inicio, queda patente que los gestores de la seguridad en entornos muy externalizados están de cierta manera vendidos y no tienen más remedio que confiar ciegamente en la caja negra. Esta forma de ver las cosas es hasta cierto punto razonable pero cuando se está hablando en términos de seguridad tengo serias dudas.

CITA DEL DÍA: “Los mecanismos de cifrado únicamente retardan lo inevitable”

Limites a la libertad individual

Como complemento de una respuesta a uno de los comentarios de aquí he decidido publicar una nueva entrada dada la extensión que estaba alcanzando la mencionada respuesta. Con objeto de argumentar mi posicionamiento relativo al tema de referencia he creído conveniente exponer algunas vivencias personales como demostración del nivel de interiorización de todo aquello relativo a la confidencialidad, privacidad, intimidad, etc.. A todo este conjunto de aspectos le podríamos llamar “libertad individual”.

Dicho esto, decir que soy un defensor convencido de la libertad individual y de la privacidad de cada uno. Como anécdotas (ni por asomo habían LOPD's ni afines y por supuesto no tenía ni la más mínima idea de que iba a ser de mayor) totalmente reales contar que:

- El día de la primera comunión (1981) teníamos que confesarnos, dejando de lado los aspectos religiosos que no vienen a cuento, ni se me pasó por la cabeza contarle nada a aquel pobre hombre. No sé muy bien como me lo monté para saltarme el turno pero lo conseguí, básicamente un ayudante del párroco preguntó a quien le toca y yo dije que le tocaba al niño de detrás mio.... como éste no insistió demasiado en que me tocaba a mi pues así quedo la cosa...... A posteriori se descubrió el "engaño" y querían que repitiese la "celebración". No creo que estén esperándome a que vuelva.............
- Hará como 25 años más o menos, cuando aparecieron las primeras pizzerias a domicilio tipo telepizza, pizzaworld, etc., nunca me identifique con mi nombre real. Asociado al número de teléfono de mi casa (y de mis padres) vivía un tal Xavi Fernández (este nombre no tiene nada en especial, fue el primero que se me pasó por la cabeza el primer día que llamé pidiendo una pizza). La verdad es que fue algo totalmente inconsciente, en las sucesivas ocasiones si que ha sido de forma intencionada. A día de hoy lo sigo haciendo cuando llaman de cualquier call center ofreciendo loquesea a un precio irresistible.
- Actualmente mi nombre es más o menos conocido, pero os aseguro que tiempo atrás era casi imposible que a alguien ni siquiera le sonara. Esto facilitaba las cosas porque al pronunciar mi nombre escribían de todo menos eso, algunos ejemplos: Etkart, Elgar, Esgart, etc. A día de hoy tengo algunos cabroncetes como amigos que me siguen llamando "Ijnart". Al igual que hay gente que se ofende por si le escriben el nombre de forma errónea os aseguro que yo estaba encantado de que mi nombre fuese de cierta manera "manipulado".
- Otra costumbre que tenía era la de firmar de distintas formas, tenía la firma “auténtica” y otras aleatorias según el día. No obstante, esta iniciativa tuve que dejar de ponerla en práctica no hará mucho cuando en una ocasión hubo un pequeño problema con la entidad bancaria al retirar cierta cantidad de dinero. Aquel día estaba despistado y firmé con la que no tocaba....... la verdad es que me costó bastante convencer al director de la sucursal (no se trataba de la habitual) ya que me quería retener hasta que llegará la policía.

En la actualidad estoy seguro que todo lo anterior puede ser hasta razonable pero hace 25 años os aseguro que hasta yo mismo me sorprendía de mis "pensamientos". En esa época ni conocía lo que significaba la privacidad, ni había oído hablar ni nada similar. Simplemente tenía presente que determinada información relativa a mi persona no debía tenerla ni conocerla según quien.

La evolución de este planteamiento, y que en ocasiones como esta despierta de nuevo en mi interior, es la posibilidad de “desaparecer” de la sociedad. He pensado muchísimo en como se podría llegar a no constar en ningún sitio, algo similar a un “apagón de la identidad”. Hará como 2 años se publicó esta noticia que me dio esperanzas de nuevo....... no obstante este tema da para otra entrada :-)

CITA DEL DÍA: "El umbral de seguridad aceptable no existe".