Como está el patio ......

Por un lado tenemos:

y por otro:

Obviamente, el debate está servido. Hay muchísimas referencias más a este tema en infinidad de sitios pero tampoco es plan de recopilarlas todas, creo que la esencia está clara, además llega un momento que el debate aburre. La verdad es que los extremos opuestos siempre me han atraído, soy así de simple y para mi no hay demasiados puntos medios. Ambos puntos de vista son totalmente respetables pero es precisamente esta contraposición lo que me llama la atención. El bien y el mal, el Ying y el Yang, el blanco y el negro, .....
Llegados a este punto la verdad es que poco se puede hacer, personalmente creo que son posturas totalmente antagónicas y difícilmente pueden converger, al menos a día de hoy....... (me estoy refiriendo a las posiciones no a los postulantes de ellas).
Está claro que si tuviera que posicionarme por alguna opción lo haría por la visión más "paranoica" y a la vez más cercana a la realidad, creo yo vamos. La otra vertiente me resulta, sin acritud, demasiado cercana a los Mundos de Yupi y que todo es maravilloso (debajo de la nubes está la tierra y de vez en cuando conviene darse un paseo por ella). Quizás en estos momentos este tipo de "discusiones" pueden sonar a medio coña pero en un futuro no muy lejano me temo que tendremos que empezar a preocuparnos un poquito, unos más que otros claro.... supongo que la conclusión está en el valor que le das a tu privacidad, es así de simple.
Y no sólo es la omnipresente Google, si fuera así de fácil...... También está feisbuk, twitter, tuenti, youtube, flickr, etc. Yo creo que mucha mucha gente está esperando como loca que alguien empiece a correlacionar datos de todos estos "inventos" y empiece a generar perfiles ...... lo que hacen en la serie "Mentes criminales" es un juego de niños comparado con lo que está por venir :-).
CITA DEL DÍA: "En seguridad no hay margen de maniobra"

Firma tú que a mí me da la risa!!

- "Dani, Dani, que he intentado hacer un amago de migración a Vodafone para ver si mi compañía me regalaba un movil mejor, y ahora no se cómo cancelarlo!"

- "No hay problema, entremos en la página de Vodafone y lo anulamos, seguro que hay una pestaña, un número de teléfono, algo..."

Et voilà!!!
URL : http://www.vodafone.es/cancela/

Que gran sorpresa, un formulario en el que tienes que firmar lo mejor que puedas con el ratón. Aparte de la dudosa legalidad que pueda amparar este funcionamiento, no me quiero imaginar la cantidad de firmas estrambóticas que pueden aparecer...


En lo referente a seguridad, espero que no haya algún gracioso, que después de comentarle mi portabilidad, y sabiendo mi DNI, algo no muy complicado, quiera cancelarme sucesivamente el cambio....

CITA DEL DÍA: "Me siento seguuroooooooooo!!!"

Asociación Profesional Española de Privacidad (APEP)

Muy brevemente os hago extensible que en linkedin.com se está gestando una asociación de profesionales relacionados con la privacidad de la información.

El correspondiente grupo lo podéis encontrar aquí (obviamente tenéis que estar registrados en esta red profesional).

Desde aquí animo a todos l@s interesad@s a que participéis en ella.

CITA DEL DÍA: "La unión hace la fuerza"

CONFIDENCIALIDAD EXTREMO A EXTREMO

De todos es sabido que día tras día es más habitual entregar los resultados de las pruebas diagnosticas (TAC's, resonancias magnéticas, ecografías, etc.) a los pacientes en formato electrónico (por lo general son imágenes en formato DICOM). Esta nueva modalidad está plenamente justificada por los costes económicos que representa. Por ejemplo, lo que cuesta generar la típica placa radiológica de toda la vida no tiene ni punto de comparación con el coste de grabar esa información en un CD/DVD o incluso remitirla por correo electrónico, FTP o similar.
Como es lógico, la confidencialidad de esta información debe ser garantizada. Desde el punto de vista de la LOPD deben adoptarse las medidas de seguridad de nivel alto. Entre otras medidas, el artículo 101.2 del R.D. 1720/2007 establece que "La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte."
En el caso planteado me surge la siguiente duda: la entrega del CD/DVD al paciente ¿forma parte de la distribución del soporte y por tanto sujeta al cumplimiento del mencionado artículo? En otras palabras, ¿debe entregarse esta información de forma cifrada? Con objeto de autoresponderme he estado investigando un poco y en la práctica totalidad de casos que directamente conocemos SIEMPRE se entrega la información "en claro". Podría contemplarse la alternativa de disociar los datos pero en la práctica no es demasiado factible.
Personalmente soy de los que piensan que por el simple hecho de que todo el entorno haga una cosa no implica que sea la correcta ni la mejor, normalmente es la solución más cómoda o fácil. En estos casos siempre me viene a la cabeza este conocido experimento.
Independientemente de los aspectos puramente legales, y suponiendo que este ejemplo no estuviese sujeto al artículo 101.2, considero que de todos modos debería anteponerse la protección de la confidencialidad de esta información entregándola de forma cifrada. Desde mi particular punto de vista, creo que la parte que "emite o genera" esta información es hasta cierto punto responsable de ella, tanto antes, durante como después de ser entregada al paciente. Una vez se hace entrega al paciente, previo acuse de recibo por si las moscas, éste es libre de hacer lo que quiera con los resultados, desde colgarlos en Google Health hasta en feisbuk incluso twitearlos, en definitiva, lo que considere necesario antes de ser clasificado como un "paria social". Bromas aparte, una forma de que se adquiera conciencia de la importancia de la confidencialidad de la información, especialmente sanitaria, es garantizarla a través de todos los medios que estén en nuestras manos.
Por otro lado, y de cara a poner en práctica este planteamiento, he estado comprobando las especificaciones de diversos productos de software de tratamiento de imágenes médicas (que se integran en los llamados PACS). Asombrado me he quedado cuando prácticamente ninguno de los productos que he comprobado disponen, ni siquiera como opción, de esta "funcionalidad". Lo más parecido que he encontrado en un producto es la posibilidad de grabar la información disociando los datos identificativos del paciente, algo es algo pero como he comentado antes esta opción no es viable.
Relacionado con esto último he aprovechado para solicitar a los distintos fabricantes de los distintos productos que tenemos, que de acuerdo a la disposición adicional única del RD 1720/2007, acrediten el nivel de seguridad que alcanzan en función de las medidas de seguridad que deben cumplirse. Espero con ansia a ver que se cuentan ......
Disposición adicional única. Productos de software.
Los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en el título VIII de este reglamento.
Obviamente, esta propuesta no es tan trivial como parece en cuanto que hay otras implicaciones como el sistema de descifrado, que éste sea sencillo y casi transparente al paciente, mecanismos de comunicación de la contraseña de descifrado al paciente, etc. En esos temas estamos...........
CITA DEL DÍA: "Los PCN funcionan siempre antes de activarse, una vez activados ......"

Jazztel: Depuración o error?

Estaba ahora mismo consultando el estado de una gestión de un familiar con Jazztel (no está muy puesto en esto de la nube) y me ha sorprendido ver el siguiente “error”:

De repente me he remontado al pasado (flashback) y me han venido recuerdos de cuando me dejaba los dedos programando. Aún tengo grabado el típico error nº 13 correspondiente a “Tipos no coinciden” (al menos en VB). Qué tiempos aquellos....

Al momento he vuelto al mundo real y sinceramente tengo serias dudas acerca del significado de este mensaje. Lo curioso es que todo funciona correctamente y acabas accediendo al estado del pedido. Únicamente se solicitan 2 datos (NIF y teléfono) por lo que la complejidad no debe ser mucha.

De no ser un error (bastante simple), diría que tiene pinta de la típica ventana de depuración de código. Si es así, tengo algunos interrogantes:

- Existen como mínimo otras 12 ventanas de este tipo?
- Se trata de un entorno con datos reales?
- Hacen “experimentos” en este entorno?
- Qué control de calidad del código hay?
- Qué autorizaciones/validaciones de traspaso de código hay implantados?
- Se cumple con lo dispuesto en el artículo 94.4 del RD 1720/2007?

Ummmmm, creo que detrás de este inofensivo mensaje se esconden muchas preguntas.

Todo esto escrito desde el punto de vista más constructivo y a modo de simple anécdota.

CITA DEL DÍA: ”Para los pesimistas no existe el concepto de seguridad”

El "valor" de la información

Hablando en términos de análisis de riesgos y/o impacto en el negocio queda patente que, por encima de todos los activos de una organización, la INFORMACIÓN es por lo general y con diferencia el más importante. La anterior afirmación está hecha desde una perspectiva "material", en el plano un poco más humano consideraríamos a todas las personas, o casi ;-), como lo más importante. En todas las ocasiones en que me ha tocado "adivinar" (cualquier "cálculo" es una pura y mera aproximación totalmente subjetiva), tanto de forma cuantitativa como cualitativa, el "valor" de este tipo de activos he acabado debatiendo acerca del sexo de los ángeles y su relación con el eterno dilema de si primero fue el huevo o la gallina, estoy seguro que como much@s de vosotr@s.
Este tipo de activo, totalmente intangible e indeterminado, no puede ser valorado de forma totalmente objetiva por lo que irremediablemente hay que estimar su valor de forma aproximada (como se mediría de ser viable?, en Gb?, en número de registros?, en Kg de papel? en número de hojas?, ......).
Por otro lado, creo que no se debe relacionar el valor del activo como tal con el impacto que supondría la pérdida de éste (coste de reposición, lucro cesante, multas, etc.). En muchas ocasiones se intenta valorar la información pensando únicamente en lo que cuesta "reponerlo". Personalmente creo que son temas completamente ajenos e independientes. Hay información de mucho valor que es de fácil recuperación y otra, de mucho valor también, pero de complicada recuperación. En estos casos, ¿cuál tiene más valor para mi negocio? En mi particular opinión creo que las 2 por igual. Otra cosa es si hablamos de cual de ellas me representará mayores perjuicios en el supuesto de que se vulnere su confidencialidad, integridad o disponibilidad (os recuerdo que, a mi parecer, estos conceptos son de cierta obsolescencia).
Con objeto de facilitar, en el sentido más amplio, el cálculo del valor (entendido como "cuan valioso es") de un activo de información me he acostumbrado a calificar individualmente una serie de atributos (objetivos) para luego obtener, a partir de todos ellos, un resultado global que justifique el mayor o menor valor del activo. Los atributos que habitualmente contemplo son:
Volumen/Cantidad: expresa la "cantidad" de información. Típicamente se expresa en unidades conocidas. Dependen en gran parte del soporte (número de documentos en caso de papel, Tb cuando se trata de soporte informático, etc.).
Genera ingresos: si la organización "vive" de esa información hay que mimarla.
Soporte: No es lo mismo la documentación en soporte papel (originales) que bases de datos en un servidor.
Tipología: Determina de cierta manera el tipo de información desde el punto de vista de visibilidad (por ejemplo pública/reservada/confidencial o nivel básico/medio/alto).
Centralización: Si tienes toda la carne en el asador y empieza a llover la barbacoa será un fracaso.........
Estacionalidad: Es un factor a tener en cuenta. Si el 80% de la información se trata (crea, actualiza, etc.) en periodos concretos y limitados resulta necesario prestar especial atención, dicho de otro modo, te juegas todo el curso en un único examen en lugar de una evaluación continuada.
Dinamismo: cuanto mayor sea el grado de actualización de la información más relevancia tiene (cambios diarios, mensuales, anuales, estática, ....).
Accesibilidad: El número de usuarios que accede a la información es determinante para su valoración.
Todos estos atributos pueden ser expresados con cantidades o valores totalmente objetivos, homogéneos y repetibles (algunos pueden ser rangos de valores). Algunos de ellos serán del tipo lógico (si/no), en estos casos simplemente serán un factor multiplicativo de todo el conjunto. Puestos a complicarse la existencia se puede llegar a ponderar el peso específico de cada uno de los atributos en el total. En resumen, la esencia de todo esto es la integración de todos estos valores objetivos a través de fórmulas, cálculos, ponderaciones, etc. hasta conseguir un resultado por cada activo de información. Me reservo el derecho de mostraros mi particular "excel" dado que se trata de información corporativa y muy personalizada a mi entorno.
El resultado final no puede ser expresado en ninguna unidad exacta (en €? en gallifantes? en infos? .....), por tanto, pueden ser expresados en % sobre el total. Con ello se consigue una finalidad añadida que permite comparar/ordenar valores entre los distintos activos de información. Como conclusión sirva el presente ejercicio como una forma más de cuantificar lo incuantificable y contextualizarlo en cualquier organización.
CITA DEL DÍA: "La seguridad es tan volátil como el mercado de valores"

Crisis en la construcción? Voy a acabar con ella!

No se por qué, pero hay algo en lo que me fijo demasiado en las auditorías, quizás en exceso incluso, y es la insonorización de las instalaciones.
Este apartado es especialmente importante en un entorno sanitario, ya que no sería de recibo estar en un reconocimiento médico, teniendo a un compañero de trabajo en la sala contigua y que el sanitario te comente que tienes la tensión muy alta (por ser suaves). En estos casos, la confidencialidad médico-paciente se ha roto completamente, y en cuestión de minutos muy probablemente lo conocerá toda la empresa.
Como comprenderéis me he unido a la plataforma "Enemigos del Pladur", así como a "Los biombos son bonitos pero inútiles en el trabajo", no creo que haga falta explicaros el por qué.
Algunas veces hemos conseguido solucionar este tema con la instalación de un hilo musical, ya que, aunque no es mi solución preferida, hay que reconocer que en determinadas situaciones es válida. En otras se ha llegado al extremo de reubicar la mesas en las que se atiende a los pacientes.
En el escenario que hemos comentado es viable esa solución, pero... ¿habéis extrapolado esta pensamiento a otras situaciones en las que la vulneración de la confidencialidad pasa más inadvertida?
  • Tienda de telefonía : damos nuestros datos a la dependienta teniendo a otra persona a unos 20 cm realizando el alta de su teléfono
  • Sucursal bancaria : ¿Quién respeta las distancias marcadas en el suelo? Por no hablar de lo próximas que están las mesas de atención.
  • Gimnasio : Cuando nos damos de alta en un gimnasio, hay un degoteo incesante de socios que entran /salen, es muy difícil que nos lleven a una sala aparte a realizar todos los trámites.
  • Concesionarios de vehículos : Estamos diciéndole al comercial cual es nuestra cuenta de ahorro, nuestro dni, etc... y tenemos a curiosos que miran el coche que está a nuestro lado.

Esto nos llevaría a redefinir el término espacio vital. Leyendo varios estudios podemos llegar a la conclusión que el espacio vital se tasa en una media de 1'5 metros alrededor nuestro, variando según la procedencia de la persona (los latinos nos gusta más el roce y la rebajamos ;-) ). ¿Es ésta distancia óptima cuando tratamos la seguridad de la información? Pues depende en que aspectos, lo que si podemos tener claro es que al menos es la mínima.

CITA DEL DIA: "Paquete rechazado, ¿amenaza resuelta?"

Acciones formativas INTECO, globales?

Me gustaría destacar la reciente convocatoria de acciones formativas que se han publicado desde el INTECO. En concreto corresponden a:
- Segunda edición del Máster Profesional en Tecnologías de Seguridad
- Curso de desarrollo avanzado de aplicaciones en C++
Me parece una estupenda iniciativa que hay que alabar y apoyar en beneficio de la seguridad de la información y áreas afines. A pesar de ello, no comparto en absoluto las características de estas convocatorias puesto que restringen y limitan en exceso la posibilidad de acceso a las mismas (régimen presencial). Los objetivos del INTECO, según lo expuesto en su web, son:
INTECO tendrá un doble objetivo: contribuir a la convergencia de España con Europa en la Sociedad de la Información y promover el desarrollo regional, enraizando en León un proyecto con vocación global.
Por un lado no tengo nada que objetar en cuanto a la promoción del desarrollo regional, en concreto León (ojalá hubiera algo similar en cada provincia). La parte final, con vocación global, es la que no me cuadra demasiado. Personalmente, teniendo en cuenta que el INTECO es un ente público promovido por el Ministerio de Industria, Turismo y Comercio siendo dependiente de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, y por tanto financiado por tod@s nosotr@s, creo que debería empezar a contemplar la posibilidad de "globalizar" este tipo de iniciativas. Revisando las convocatorias anteriores podemos observar que ya llevan unas cuantas, todas ellas de similares características.
Por otro lado, es obvio que algunas de estas acciones formativas podrían ser impartidas de modo online, virtual o como queramos llamarle. Además de "globalizar" el acceso a las mismas, creo yo que también se estaría contribuyendo al desarrollo de la Sociedad de la Información. Por cierto, la dimensión "espacio" en el contexto de la Sociedad de la Información queda relegada a un segundo o tercer plano.
Particularmente no estoy interesado en la realización de ninguno de estos cursos. Ya me gustaría pero ya tengo bastante con el grado de psicología en el que me he metido........ Hay gente cercana a mi, al igual que en muchos otros sitios, que estaría encantada si pudiera acceder a este tipo de convocatorias. Tampoco me gustaría que nadie malinterpretara esta reflexión viendo conflictos regionales y sandeces similares. Si tuviera el INTECO al lado de mi casa pensaría igual.
Para finalizar, mi más sinceras felicitaciones al INTECO por tan loables iniciativas pero no estaría de más intentar hacerlas extensibles al resto de la Sociedad de la Información. Todo ello desde el más completo espíritu constructivo y de igualdad de oportunidades.

CITA DEL DÍA: "Los datos son el escalón previo a la información"

Seguridad y nube

Totalmente identificados con esta entrada de TAO Security. La verdad es que suscribimos y compartimos 100% el tema que cuestiona.
Viene perfectamente a colación de esta otra entrada en la que, de mejor o peor manera, intentamos exponer esta misma cuestión.
La verdad es que da que pensar acerca de lo que a día de hoy se asocia con el concepto más amplio de "seguridad de la información". A veces tenemos la sensación que todo aquello que no está directamente vinculado a la nube no existe ni importa. Más aún cuando el día a día, al menos en nuestro caso, difiere bastante de lo que flota en la nube.
CITA DEL DÍA: "La fuga de información es controlable, pero ¿y la entrada?"

Uso de contraseñas según Sophos

Interesantes resultados de una encuesta que ha elaborado Sophos acerca del uso de contraseñas en la nube. La cuestión planteada y los resultados son:
En esencia viene a decir que el 19% de los encuestados no usa la misma contraseña en las distintas webs que visita. Un 33% afirma que siempre utiliza la misma contraseña y el 48% restante ni fu ni fa (utiliza una serie de contraseñas distintas). Remarcar que estos resultados han mejorado sensiblemente los obtenidos 3 años atrás (41% frente 33% y 14% frente 19%). Personalmente creo que el porcentaje de los que usan la misma contraseña correspondería al 48%.
Más información aquí. Tal y como refleja el disclaimer que encontraréis al final del artículo esta encuesta no tiene ningún valor científico ni las debidas garantías acerca de la rigurosidad de los resultados.
Incluye un vídeo, con un método un tanto paranoico o rebuscado, que aconseja cómo escoger una buena contraseña.

Cisco Security: The Realm

Buena iniciativa han tenido los CISCO boys. Se han sacado de la chistera una especie de cómic sobre superheroes encarnando diversos elementos de seguridad. Para desconectar un poco y pasar un buen rato ......

Más info aquí.

En youtube podéis ver el primer capítulo.

Periódicamente irán sacando el resto de episodios (hasta 4).

Que los disfrutéis.

CITA DEL DÍA: "La seguridad es un iceberg y sólo controlamos la parte visible"

ESPARTANOS !!! AAAUUUU !!!!!!

Durante un periodo de tiempo bastante corto nos han sido sustraídas cinco de esas pequeñas "joyas" llamadas Black Berry. Como todos sabéis es totalmente imprescindible e indispensable disponer de uno de estos artefactos a menos que no te importe demasiado ser tildado de "paria social", lo mismo pasa si no estas en feisbuk y similares...... ;-)

A diferencia del enorme revuelo que se ocasionó con la BB de Obama, nuestro caso no se trata de un asunto de seguridad nacional pero obviamente es una incidencia de seguridad importante. Tras descubrir el "hecho delictivo" pusimos en marcha el correspondiente protocolo de actuación. En esencia consiste en:

  • denunciar el robo
  • contactar con nuestro proveedor de la infraestructura tecnológica para el borrado remoto del contenido de la BB (si todavía tiene la SIM)
  • contactar con la operadora para el bloqueo del terminal (IMEI)
  • registrar la incidencia como buenos cumplidores de la eleopede
  • esperar a que aparezca sana y salva ;-)

Por casualidad, nuestra estimada operadora de telefonía móvil nos ha comentado que uno de los terminales está siendo utilizado. Por todos los medios hemos intentado que únicamente nos facilite el número de teléfono asociado al IMEI en cuestión. Según una reciente sentencia de la Audiencia Nacional, así como una resolución y un informe jurídico de la AEPD, el criterio aplicado es que el número de teléfono por sí solo NO constituye un dato de carácter personal. Acogiéndonos a esta interpretación, favorable a nuestros intereses, entendemos que no se estaría infringiendo la Ley.

Aún así, la operadora, evitaré nombrarla aunque creo que todas actúan igual, se cierra en banda y se niegan a facilitar datos a menos que exista un requerimiento judicial. No entraré a valorar si actúan bien o mal desde el punto de vista legal. Independientemente de ello, no concibo porqué, nada más comunicarles que bloqueen el terminal y constatando un uso fraudulento de éste, no actúan de “oficio” sin más.

Ni siquiera tienen la voluntad de enviar un SMS a su “cliente” advirtiendo de esta irregularidad. En definitiva, actúan como si la cosa no va con ellos y en lugar de colaborar únicamente ponen palos en las ruedas. En fin, la verdad es que estas cosas además de cabrearme me entristecen bastante.

Acudir a la justicia nos lo hemos planteado pero siendo sincero, dudo muy mucho de que la demanda que podamos interponer (basada en un IMEI, que es lo único que sabemos) sirva de mucho. Me temo que los juzgados, y nosotros, tenemos mejores cosas que hacer......

Para finalizar comentar que , habida cuenta de los avances tecnológicos, dentro de cuatro días tendremos en la palma de la mano más y mejores dispositivos con prestaciones equivalentes, salvo en el tamaño, a lo que hoy en día entendemos por un ordenador portátil (almacenamiento de información, accesibilidad a todo tipo de redes, ...). Esto obligará ineludiblemente a la necesidad de combatir de forma más proactiva, y desde aquellos entes que tienen los medios necesarios y la información adecuada, esta particular modalidad de "adquisición y disfrute de bienes".

Perdonar por desahogarme con esto pero hay cosas que no puedo evitar que me pongan a 300 .......


El de la foto no soy yo pero me parezco, en la actitud claro ..... :-)

CITA DEL DÍA: “La seguridad es idéntica a un tornillo sin fin”

¿Dónde está el límite?

El otro día, haciendo repaso a la prensa digital, nos sorprendió la siguiente noticia.

El motivo de nuestro interés es, primero el tema, el cual todos sabéis es uno de nuestros favoritos, y por otra parte, el ámbito, el sanitario, en el que pasamos la mayor parte de nuestro tiempo.
No vamos a ser nosotros los que hablemos de la importancia que tiene la protección de datos, y de lo contentos que estamos de que casos como éste se sancionen, ¿pero con qué sanción?
Estamos acostumbrados a ver las sanciones que impone la AEPD, y que, en muchos casos, son de 600€ para particulares (la sanción mínima), y no me habría extrañado que en este caso, de haber estado en manos de la Agencia, se hubiera resuelto con esta sanción, o a lo sumo, con 6.000€.
Estar hablando de penas de años de cárcel nos parece excesivo, no entendemos si han buscado un cabeza de turco o ha sido una "ida de olla" del juez de turno.
No vamos a hacer demagogia relatando casos aberrantes que terminan sin sanciones o con sanciones de risa, pero lo que si que queremos dejar claro es que ésta, nos parece excesiva.
CITA DEL DIA: "La gestión de la seguridad debe ser tanto top-down como down-top"

Anécdotas de auditorías (I)

En toda auditoría de seguridad siempre se da alguna que otra anécdota o situación digna de mención. Además de rememorar buenos momentos, también aprovecharé para plantear algunas reflexiones acerca de estas experiencias. Espero que resulten de vuestro agrado.
Recuerdo una ocasión en que estábamos evaluando las medidas de control de acceso físico a uno de los CPD's de una organización. Aparentemente estaba todo muy controlado, para no aburrir obviaremos otros detalles como el tipo de cristal, características puerta, suministro eléctrico, sistemas de climatización, detectores, etc. En resumen, lo más destacable era que la puerta de acceso al CPD únicamente podía abrirse desde el interior. Este aspecto obligaba a la permanente presencia de personal en su interior. Remarcar que el puesto de trabajo de los operadores estaba aislado de toda la parafernalia técnica, entre el ruido y la temperatura era para volverse loco .....
Basándonos en esta particularidad es obvio que el punto más preocupante era el personal del CPD, podríamos decir que ellos mismos son la "llave" para abrir. Profundizando en este aspecto verificamos que las directrices de acceso al CPD eran claras y concisas. Únicamente abrirían el CPD salvo conocimiento con suficiente antelación (12h) y autorización por escrito del responsable de Explotación. Esto afectaba por igual tanto a personal interno como externo. Hicieron mucho énfasis en lo de personal interno. Adicionalmente, la persona que accedía al CPD debía estar permanentemente acompañada de alguien de la organización (normalmente alguien con galones).
De hecho en nuestra visita se cumplieron todos estos requisitos, quisimos improvisar una primera visita esa misma tarde y nos dijeron que hasta mañana nada de nada puesto que no habían transcurrido las 12 h de rigor (obviamente, en situaciones críticas, averías, emergencias, etc. esta planificación no era aplicable).
Pensamos que en esta ocasión sería complicado encontrar una disconformidad, ni siquiera una leve observación. Al día siguiente, en plan extremista por no decir otra cosa, y recordando lo antes mencionado acerca del personal interno sugerimos la siguiente prueba de cumplimiento: Contactamos con la Dirección General de la organización (tampoco era una empresa gigantesca, unos 250 empleados) y propusimos que el propio Director General, sin previo aviso ni nada similar, se fuese directo al CPD e intentara entrar. Dicho y hecho, al Director le encantó la idea y así lo hizo.
Obviamente no estábamos allí para verlo, quizás nuestra presencia hubiera delatado la "encerrona", pero el resultado de la prueba fue satisfactorio a medias. En primera instancia, el personal del CPD se negó y le "recordó" al Director General cual era el procedimiento a seguir, le argumentaron que no tenían constancia de su visita y no podían abrir. Hasta aquí todo bien, el "problema" o no según cómo se mire, fue que el Director se tomó demasiado en serio su papel y literalmente se le fue la "olla". Tenía tan interiorizado que debía entrar que empezó a esgrimir "sutiles" amenazas de despidos, abertura de expedientes, etc.
La persona en cuestión del CPD, creyendo que su empleo estaba seriamente en juego, abrió finalmente la puerta .......... ohh !!!! que lástima .... Finalmente decidimos no reflejar ninguna disconformidad en el informe final, eso si, esta prueba sirvió para tener las reglas de juego siempre presentes.
En resumen, aprovechando este verídico relato, que espero os haya hecho pasar un buen ratito, todavía hoy en día me pregunto si estas "maniobras" son aceptables, éticas, etc. en el marco de una auditoría de seguridad o de cualquier otra índole. Personalmente soy de los que intenta verificar de forma empírica el cumplimiento de loquesea y no suelo constar en acta nada por el simple motivo que lo diga una persona o esté escrito en un procedimiento. Menudo descubrimiento no ? la verdad es que toda auditoría debería realizarse con está premisa, aunque he podido participar en algunas que mejor acabar aquí y ahora .....
CITA DEL DÍA: "La seguridad de la información empieza por la formación"

Relevo generacional

Mientras desarrollaba esta otra entrada he llegado a la radical conclusión de que los conceptos de confidencialidad, integridad y disponibilidad, tan y tan recurrentes en esto de la seguridad, empiezan a mostrar síntomas de obsolescencia y/o falta de adaptación a la realidad. Desde que me inicié en el mundillo de la seguridad, hace ya unos añitos, llevo oyendo, leyendo, oliendo ;-), etc. que todo órbita alrededor de estos 3 factores.

Desde una óptica eminentemente técnica, arrastrada históricamente, son conceptos perfectamente aplicables a la situación actual (quizás deberíamos plantearlos en otra dimensión “jerárquica” a modo de simples indicadores). El concepto de "seguridad de la información" que todos entendemos en la actualidad creo que implica otros atributos que la definen con mayor precisión. Personalmente creo que la famosa triada está más que superada a pesar de que de vez en cuando aparece en escena algún que otro “pequeño” desliz ...... (léase caídas de servicios, pérdida de información, etc.).

Por otro lado, durante estos últimos tiempos el tratamiento de la información, en su sentido más amplio, está siendo “regulado” a marchas forzadas. Todas estas normativas a cumplir, tanto nacionales como internacionales mediante estándares, leyes, etc., cubren en mayor o menor medida el respeto y observación de nuestros tres viejos conocidos. Partiendo de esta premisa, ¿qué sentido tiene seguir hablando de estos tres conceptos de forma concreta y específica? Algunos ejemplos en los que su consideración no me cuadra demasiado:
a) Si una empresa obtiene el certificado ISO27001, entiendo que de forma implícita está cumpliendo con estos tres puntos no? Por tanto, considero que un SGSI es una capa superior que engloba estos factores y no tiene ninguna lógica seguir haciendo referencia a estas tres características (a excepción de meros indicadores pero no como aspectos fundamentales del SGSI).
b) En plena época de la más que sobada “cloud computing” no me entra en la cabeza que la disponibilidad sea algo medible o valorable. Esta modalidad de “servicio” debe caracterizarse por una disponibilidad absoluta. El ejemplo que yo pondría es el Sol, la disponibilidad ha sido, es y será del 100% con toda garantía. Alguien se cuestiona este punto?

Por último dejaré para otra entrada cuales podrían ser los substitutos de nuestros queridos objetivos de la seguridad de la información. Creo que ya deben ir pensando en la jubilación .....

Todo esto viene motivado por este estupendo spot publicitario, de lo mejorcito que he visto en los últimos años.
CITA DEL DÍA: ”La integridad y la confiabilidad no son sinónimos”