La Caja Negra

Tras unos cuantos días festivos y otros tantos de vacaciones pendientes vuelvo a estar por aquí. La verdad es que tantos días de desconexión total y absoluta pasan factura, casi no recuerdo ni como se mueve el ratón. Como ya va siendo hora de poner algo en el blog con objeto de satisfacer a nuestros millones de lectores ;-), en esta ocasión me he decantado por una "preocupación" que me ronda a menudo por la neurona. En esencia se reduce a clarificar el papel que tiene el CIO, CISO, CSO, ... o como se quiera llamar al responsable o encargado o browneater de los aspectos de seguridad en escenarios de elevada externalización. En concreto me refiero a aquellas situaciones en las que las funciones típicas asociadas a la función informática (explotación, sistemas, comunicaciones, desarrollo, soporte, etc.) son encomendadas por completo a un tercero.

Como es habitual, la relación que se establece con el tercero está basada en la prestación de determinados servicios con sus SLA's, sus sanciones por incumplimiento, sus compromisos, etc. etc. etc. Del mismo modo, y gracias a Santa Eleopede, también se formalizan los pertinentes contratos de encargado de tratamiento y demás. En resumen, en todo el maremágnum de burocracia existente se definen, en el mejor de los casos, algunos indicadores directamente relacionados con la seguridad (disponibilidad, incidencias, etc.). No podemos olvidar que la finalidad básica de estos acuerdos es regular la prestación de un servicio y desde luego no están centrados en los aspectos de seguridad precisamente (en cualquier caso estos puntos quedan relegados a un segundo plano o se dan por ¿supuestos? e inherentes a la prestación). También pueden añadirse todo tipo de cláusulas permitiendo todo tipo de revisiones, auditorías, etc. por parte del “cliente”, pero siendo sinceros no tengo muy claro si se llegan a materializar.

En determinadas tareas relativas a la seguridad de la información tales como Análisis de Riesgos, Planes de Continuidad, Sistemas de Gestión de Seguridad de la Información, definición de procedimientos/protocolos, etc. muchos de los aspectos más cruciales, y por lo general los más divertidos de tratar, quedan reducidos a una simple CAJA NEGRA de la que bien poco o nada se sabe. A menudo, por no decir siempre, la práctica totalidad del proceso de negocio que se está tratando depende de la famosa caja negra y de lo que hay (o no hay!) dentro.

La clave de mi planteamiento no radica tanto en poder “asegurar” (o creer) que la caja negra es un reloj suizo, sino la sensación de tener las manos absolutamente atadas y que desde el punto de vista del cliente nada o poco vale. Siempre que he intentado profundizar en algún aspecto concreto de seguridad he topado con las paredes de la caja, totalmente opacas, que me impiden ver más allá (entiéndase la metáfora como que sólo se nos permite conocer el qué y no el cómo; en ocasiones se aporta un documento, un anexo, una cláusula o algo similar donde se estipula que determinado servicio es, precisamente eso, un servicio que hace algo).

Las auditorías bianuales obligatorias que establece la LOPD son un claro ejemplo de lo expuesto. En el momento en que topamos con la caja negra siempre se solicita la posibilidad de “auditar” su contenido, como no podía ser de otra forma nos entregan “su” certificado de auditoría y a otra cosa mariposa. Menos mal que con el nuevo reglamento de la LOPD, el responsable del fichero tiene la obligación de velar por el cumplimiento de las medidas de seguridad por parte del encargado. Ya veremos si acogiéndonos a este punto podemos entrar hasta la cocina.......

Volviendo al inicio, queda patente que los gestores de la seguridad en entornos muy externalizados están de cierta manera vendidos y no tienen más remedio que confiar ciegamente en la caja negra. Esta forma de ver las cosas es hasta cierto punto razonable pero cuando se está hablando en términos de seguridad tengo serias dudas.

CITA DEL DÍA: “Los mecanismos de cifrado únicamente retardan lo inevitable”