Aunque ENISA publicó los materiales que hoy os comento hace tiempo, me parece interesante darlos a conocer para todos aquellos que os planteáis cómo mejorar la concienciación del personal de forma una forma sencilla y atractiva.
En la sección de Concienciación se han elaborado una serie de cómics y fotografías que permiten transmitir mensajes muy claros y directos sobre las pautas y hábitos que todo buen empleado debe seguir para la adecuada protección de la información.
En Illustrations — ENISA podéis ver las viñetas que además están disponibles en castellano.
Estas referencias también os pueden ser de ayuda y ejemplo para pensar cómo elaborar vuestros propios materiales con las problemáticas propias de vuestras organizaciones.
Aunque no es la temática principal de este blog la protección de datos, son temas intrinsecamente relacionados dado que los datos de carácter personal no son más que un subconjunto particular de información.
El texto de hoy parecerán trivialidades a mis lectores más asiduos que en muchos casos, son auténticos expertos en la materia pero mi intención es por un lado destacar la intensa y constante labor de la asociación APEP por la defensa de la protección de datos y sobre todo, por el mantenimiento de la dignidad de los servicios de consultoría/auditoría relacionados con la adecuación a la Ley 15/1999 y por otro, aclarar o aportar un poco de información respecto lo que supone el "problema de la LOPD" para una empresa de forma que se pueda entender que las ofertas a coste cero no solucionan nada.
Este post está dirigido a aquellos lectores que no conozcan de que va esto de la LOPD y que pueden recibir la visita/llamada de una consultora que se ofrece a "adaptar/adecuar/legalizar" sus datos de carácter personal a un coste mínimo o incluso cero aprovechándose de la bonificación que existe en materia de formación a empresas a través de la Fundación Tripartita.
A todos estos "clientes-victimas" de una regulación de mercado de la consultoría en materia de la LOPD cruel y temeraria que no lleva a ningún sitio, se hace saber:
La Fundación Tripartita ha aclarado en esta nota en su Web que son actividades constitutivas de fraude. "La Fundación Tripartita para la Formación en el Empleo advierte a empresas y consultores, a todos los gestores de formación para el empleo del sistema de bonificaciones de ámbito estatal, sobre la existencia de entidades que de manera gratuita ofrecen servicios de implantación, auditoría y asesoría jurídica en materia de protección de datos de carácter personal, que en la práctica financian estos servicios con cargo al crédito asignado para la formación, un hecho que puede llegar a ser constitutivo de fraude.
El cumplimiento de la LOPD es una actividad más de la empresa u organización. El uso de información es parte de cualquiera de las actividades de todo proceso de negocio. La Ley 15/1999 de Protección de Datos de Carácter Personal (conocida por los amigos como LOPD y temida por la gente en general por sus famosas multas) sólo establece ciertos mínimos cuando lo que se tiene entre manos son datos de carácter personal. Ello implica que toda organización debe esforzarse por entender esas restricciones y debe dar cumplimiento, CADA VEZ QUE MANEJA ESTE TIPO DE INFORMACIÓN, de aquellas cosas que la regulación ha establecido. Por resumir de forma escueta y clara, a pesar de obviar detalles, matices y excepciones particulares que las hay y muchas (Y que son precisamente las cuestiones que una empresa especializada en materia LOPD debe resolver), las tareas más básicas son:
Registrar ante la Agencia de Protección de Datos los diferentes tratamientos (Ficheros jurídicos) que la Organización desea realizar e informar de determinados aspectos vinculados a ellos según los requisitos establecidos por la Agencia Española de Protección de Datos. Esta tarea se realiza en el momento inicial y debe actualizarse con los cambios que se produzcan a lo largo del tiempo sobre los ficheros declarados.
Informar a cada propietario de los datos (Afectado o cliente que nos entrega información) de qué vamos a hacer con ellos (Finalidad) y quienes somos(Responsable del fichero). Si además los datos que recogemos serán entregados a otras empresas relacionadas con nosotros para la misma finalidad habrá que indicarlo también en este momento. Esta tarea se debe realizar en cada recogida de datos a cada uno de tus clientes.
Indicarle en el momento de la recogida de datos que tiene unos derechos reconocidos por la Ley y determinar cómo pueden ser ejercicios (Derechos de acceso, rectificación, cancelación u oposición conocidos por derechos ARCO. Esta tarea se debe realizar en cada recogida de datos a cada uno de tus clientes.
Establecer las relaciones contractuales necesarias con aquellas otras empresas que acceden a nuestra información para proporcionarnos a nosotros (Organización) un servicio necesario en el tratamiento de datos declarado (Finalidad del fichero) determinando así la figura de Encargado de tratamiento. Esta tarea se debe realizar en el momento en que se van a contratar servicios a terceros que accedan a nuestros datos en calidad de encargados de tratamiento. Atender a cada afectado cada vez que se diriga a nuestra organización solicitándonos un ejercicio de derechos ARCO y en los plazos de respuesta que establece la Ley. Esta tarea se debe realizar cada vez que un afectado solicita un derecho.
Proteger los sistemas de información con unas mínimas medidas de seguridad que afectan a los datos tanto en soporte papel como almacenados en sistemas informáticos. Las medidas a las que te comprometes deben estar escritas en un "Documento de seguridad" que debe indicar qué procedimientos aplicas a diario para garantizar el cumplimiento de estas medidas. Por tanto, tener el documento en sí mismo no supone nada más que documentar lo que dices que vas a hacer. Para la seguridad lo importante es ejecutar y cumplir lo que escribas en el. Esta tarea por tanto se realiza a diario cuando se ejecutan los procedimientos establecidos y debe proteger por parte de las personas de la organización que tratan con esta información la seguridad de los datos (disponibilidad, integridad, confidencialidad y autenticidad).
El cumplimiento de la LOPD visto lo anterior NUNCA será resultado de una actuación PUNTUAL realizada por parte de una consultora. Si has entendido el resumen de tareas podrás comprender que una consultora JAMAS podrá garantizar que tu Organización cumpla con la legislación porque no está todos los días en tu empresa atendiendo a tus clientes o ejecutando los procedimientos de seguridad. Está en tu mano porque como se dice en el punto anterior, el tratamiento de los datos es una actividad más de tu negocio. Lo que una consultora externa "DEBE" hacer es informarte y asesorarte adecuadamente respecto de qué cosas tienes que hacer para cumplir con la legislación en materia de protección de datos. Y ojo, no sólo es importante la LOPD, dependiendo del sector en el que estés, pueden ser relevantes otras legislaciones que también regulan este tipo especial de datos.
Si lo que te preocupan son las multas, la contratación de actuaciones puntuales no van a evitar en nada las posibles sanciones que te imponga la AEPD. ¿Por que? Si la AEPD aparece por tu puerta ten claro que existen indicios más que suficientes de que YA HAS HECHO ALGO MAL. O bien no has informado adecuadamente, o bien no has atendido un derecho a un afectado en plazo, o bien no has garantizado las medidas de seguridad. En cualquier caso, la potencial infracción YA ESTA COMETIDA y por tanto, que saques un "Documento de Seguridad" o "la inscripción ante la AEPD" no te exime en nada de culpa. Simplemente justifica que aquellos deberes que eran acciones puntuales se realizaron pero las tareas de protección habitual han fallado. Por tanto, si una consultora viene asustandote con las cuantiosas sanciones y el "chantaje del miedo" ten claro que no te librarás de él si no haces las cosas de forma correcta y eso no suele ser lo que te dicen esas consultoras que te resuelven todos tus problemas.
Conclusión: Todas adecuaciones a la LOPD a Coste Cero tirando de fondos de formación de la Fundación Tripartita no te libran nada, no te protegen de nada y encima se llevan tu dinero. Por tanto, LOPD a coste cero, que no te tomen el pelo.
Y si llegados a este punto estás desconcertado, confuso y quieres saber con certeza en qué consiste un servicio completo de adaptación integral a la LOPD, la Asociación de todos los "PROFESIONALES CON MAYÚSCULA", la APEP que se dedican a esto han elaborado un documento a modo de código de conducta donde determinan los "minimos de calidad" que debe tener todo servicio de consultoría de la LOPD y que puedes descargar en este enlace. Por tanto, exige calidad mediante "la denominación de origen LOPD" a tu consultora LOPD y al menos, comprueba que en su oferta se cubren los contenidos de este documento. En los tiempos que corren, lo mejor que podemos hacer es invertir bien el dinero y no entregarlo a aquellos que aprovechándose de tu ignorancia quieren ganar dinero fácil a partir del "copiaypega".
Hoy a través de Twitter he leído dos post que han iniciado el título de este artículo. El primero titulado ¿Y si los funcionarios usaran Google Apps? plantea tras noticia del BBVA y su migración a Google Apps si la Administración General del Estado podría plantearse un escenario similar. En este artículo se referencia a su vez a otro más extenso titulado Una nube para la Administración General del Estado (AGE), un análisis más exhaustivo de los pros y contras que puede tener la unificación mediante la cloud computing de los recursos de la Administración General del Estado.
Mi post pretende complementar y completar este análisis aportando algo de luz en las cuestiones que afectan a la seguridad de la información y en este caso, el papel crucial que puede tener esta cuestión en la decisión de externalizar hacia una nube "pública" pero propiedad de una empresa "privada" basada en Google Apps.
En primer lugar aclarar que en cierta forma comparto los argumentos principales que llevan a pensar en la homogeneización y centralización de recursos TI para dar servicio a la AGE, por las cuestiones planteadas en el propio blog y que a continuación cito:
Ubicuidad: el acceso a los servicios está disponible desde cualquier terminal: PC, SmartPhone (iPhone incluido), Tablet (iPad incluído), …. Se puede usar en cualquier momento y lugar en el que exista una conexión a Internet/Intranet.
Inmediatez: El despliegue de la solución es muy rápido, no requiere reformas o adaptaciones de los sistemas existentes, y el periodo de formación y adaptación de los usuarios es muy corto, pues muchos de ellos ya conocen y usan las herramientas de Google
Flexibilidad: una de las características más interesante del SAAS es que el servicio y el cliente está constantemente actualizado de forma completamente transparente. Las nuevas versiones aparecen automáticamente al usuario cuando están disponibles, generalmente con la opción de “seguir con la versión antigua” si en ese momento tenemos prisa y no queremos aprender la nueva funcionalidad.
Seguridad: Los servicios contratados se acogen a la legislación sobre protección de datos española y europea mediante el acuerdo de “Puerto Seguro” (Safe Harbor) a la cual está actualmente adherido Google. Para proceder a implementar este proyecto, el BBVA ha recibido la autorización del Banco de España, como es preceptivo.
Y no olvidemos que esta solución no es sólo correo. Incluye también todas las herramientas de ofimática en línea de Google: Documentos, Hoja de cálculo, Presentaciones. A la hora de comparar costes, debemos poner en el debe de la solución in-house el coste de adquisicion y amortización de las herramientas ofimáticas usadas en la casa. Por no hablar también de otras posibilidades como el chat, audio y video conferencia en línea incluidas en la solución.
De todos estos puntos a favor, el que posteriormente cuestionaré es el de la seguridad tratando de justificar el por qué. En el mismo texto y cuando se reflexiona sobre los contras de esta solución, de nuevo la seguridad aparece en el centro de la cuestión.
En primer lugar, están las cuestiones de la seguridad de la información y de la disponibilidad del servicio. Estos son las principales pegas que se pueden poner a esta solución basada en nube pública, y precisamente los principales argumentos a favor de una nube privada.
Con respecto a la seguridad de la información, ¿es suficiente con la que proporciona “Safe Harbor”?. En otras palabras, ¿podemos dormir tranquilos los responsables de informática sin saber exactamente dónde están los datos?. No soy un experto, pero parece que la cobertura legislativa de puerto seguro es o debería ser suficiente también para la aplicación de estos servicios en la Administración Pública española.
Además, la gestión, control y validación de usuarios no se externaliza: puesto que se utiliza un servicio LDAP interno de la AGE, el proveedor de servicios no podrá, aunque quiera, crear o modificar cuentas de usuario. Todo el acceso está bajo el control de los sistemas de información propios de la AGE.
Con respecto a la disponibilidad y continuidad del servicio, estamos hablando fundamentalmente de un SLA y del grado de confianza que nos ofrece la empresa proveedora del servicio de cumplir un SLA. A este respecto, no olvidemos que cualquier solución de nube privada va a depender también de los SLA que se contraten y de cómo esos SLA se aplican en la práctica. De modo que, en este aspecto, para mí, hay empate.
Existe también la cuestión del archivo y la recuperación de los datos, y, llegado el caso, de la transición del servicio a otro posible proveedor. Aquí también nos encontramos con que, tanto en las soluciones de nube privada como en las de nube pública, son cuestiones a resolver. No es que estén muy claras, pero no veo en ellas un argumento de peso a favor de una u otra solución.
Pero por otro lado, las soluciones de nube privada son por lo general más caras y más lentas de poner en marcha, y sobre todo, menos escalables. El momento en el que empiezan a ser efectivas las ventajas de la nube privada llegan mucho más tarde en el cronograma proyecto que en el caso de l nube pública, la cual resulta eficaz y es escalable desde la primera instalación. Por ello, el riesgo técnico/económico para el proyecto de adoptar una nube pública es muy inferior al de la nube privada, lo que para mi decanta definitivamente el peso de la decisión a favor de la nube pública.
Hecha la introducción ahora voy a intentar expresar mi punto de vista al respecto.
Primera cuestión: ¿por qué Google debe tener acceso a datos de funcionarios y españoles?
Creo que uno de los elemento esenciales que hay que plantearse en este asunto es qué ocurre con la información cuando se procesa en un entorno tradicional ofimático y qué ocurre cuando se procesa en Google Apps. En un entorno ofimático tradicional los datos se recogen, procesan, generan unos resultados, se almacenan o se envían hacia otros agentes relacionados con el tratamiento. Los procesos de transformación operan simplemente sobre los datos en cuestión afectados por el trámite administrativo. Cómo mucho se generan otros metadatos vinculados a la propia gestión pero todo queda en el Organismo responsable de la tramitación.
Sin embargo, cuando la información se procesa con Google Apps las cosas son diferentes. En el discurso filantrópico de la empresa americana se insiste en la necesidad de mejorar el servicio al usuario, de facilitarnos la vida y tanto soniquiete parece hacernos olvidar un aspecto muy importante del asunto: EXAMINAN E INDEXAN TODOS LOS DATOS PROCESADOS. Obviamente antes de hacer una afirmación así te tenido que buscar un poco cuales son las condiciones del servicio en este caso de Google y dado que esta empresa en esta materia es transparente, podemos encontrar en la FAQ de Google Apps la respuesta.
Privacy
Who owns the data that organizations put into Google Apps?
When can Google employees access my account?
Who can gain access to my Google Apps administrative account?
Who can gain access to my end-users' accounts?
Does Google give third parties access to my organization's data?
What kind of scanning/indexing of user data is done?
In order to provide some of the core features in Google Apps products, our automated systems will scan and index some user data. For example:
Email is scanned so we can perform spam filtering and virus detection.
Email is scanned so we can display contextually relevant advertising in some circumstances. (Note that there is no ad-related scanning or processing in Google Apps for Education or Business with ads disabled)
Some user data, such as documents and email messages, are scanned and indexed so your users can privately search for information in their own Google Apps accounts.
In other words, we only scan or index user content in Google Apps in order to provide features that will directly benefit users, or to help us maintain the safety and security of our systems. Except when your users choose to publish information publicly, Google Apps data is not part of the general google.com index.
Por tanto, primera cuestión ¿Debe el Estado Español permitir meter las narices a una empresa extranjera en la información que procesa para satisfacer sus gestiones administrativas? Además, acabamos de sufrir estos días, con el cambio de política de privacidad de Google otro hecho relevante. De forma unilateral se modifican las políticas de privacidad y se imponen como las lentejas: "si quieres las tomas y si no, las dejas". Sin embargo, moverse de sistema de información o cambiar los hábitos del usuario no es tarea fácil ni que pueda ser asumida de un día para otro. Y esta vez nos dan un mes de plazo porque "La nueva Política de privacidad y las nuevas Condiciones de servicio de Google entrarán en vigor el 1 de marzo de 2012. Si decides seguir usando Google una vez que se haya producido el cambio, lo estarás haciendo con arreglo a la nueva Política de privacidad y a las nuevas Condiciones de servicio."
Segunda cuestión: ¿Incumple Google la legislación en materia de protección de datos?
Esta segunda pregunta afecta esencialmente a la privacidad de los ciudadanos pero en esta cuestión, Google tiene resuelto el problema con la firma del acuerdo Safe Harbour. Sin embargo, ¿qué supone firmar ese acuerdo? De nuevo hay que rebuscar un poco para encontrar la página del Ministerio de Comercio americano y hallar los términos a los que se refiere dicho acuerdo. Básicamente que se respetan los principios generales de protección de datos del marco europeo, es decir, se cumplen y garantizan los siguientes derechos:
Organizations must comply with the seven Safe Harbor Privacy Principles, which require the following:
Notice
Organizations must notify individuals about the purposes for which they collect and use information about them. They must provide information about how individuals can contact the organization with any inquiries or complaints, the types of third parties to which it discloses the information and the choices and means the organization offers for limiting its use and disclosure.
Choice
Organizations must give individuals the opportunity to choose (opt out) whether their personal information will be disclosed to a third party or used for a purpose incompatible with the purpose for which it was originally collected or subsequently authorized by the individual. For sensitive information, affirmative or explicit (opt in) choice must be given if the information is to be disclosed to a third party or used for a purpose other than its original purpose or the purpose authorized subsequently by the individual.
Onward Transfer (Transfers to Third Parties)
To disclose information to a third party, organizations must apply the notice and choice principles. Where an organization wishes to transfer information to a third party that is acting as an agent, it may do so if it makes sure that the third party subscribes to the Safe Harbor Privacy Principles or is subject to the Directive or another adequacy finding. As an alternative, the organization can enter into a written agreement with such third party requiring that the third party provide at least the same level of privacy protection as is required by the relevant principles.
Access
Individuals must have access to personal information about them that an organization holds and be able to correct, amend, or delete that information where it is inaccurate, except where the burden or expense of providing access would be disproportionate to the risks to the individual's privacy in the case in question, or where the rights of persons other than the individual would be violated.
Security
Organizations must take reasonable precautions to protect personal information from loss, misuse and unauthorized access, disclosure, alteration and destruction.
Data integrity
Personal information must be relevant for the purposes for which it is to be used. An organization should take reasonable steps to ensure that data is reliable for its intended use, accurate, complete, and current.
Enforcement
In order to ensure compliance with the safe harbor principles, there must be (a) readily available and affordable independent recourse mechanisms so that each individual's complaints and disputes can be investigated and resolved and damages awarded where the applicable law or private sector initiatives so provide; (b) procedures for verifying that the commitments companies make to adhere to the safe harbor principles have been implemented; and (c) obligations to remedy problems arising out of a failure to comply with the principles. Sanctions must be sufficiently rigorous to ensure compliance by the organization. Organizations that fail to provide annual self certification letters will no longer appear in the list of participants and safe harbor benefits will no longer be assured.
To provide further guidance, the Department of Commerce has issued a set of frequently asked questions and answers (FAQs) that clarify and supplement the Safe Harbor Privacy Principles.
Realmente el cumplimiento de todos estos principios garantizan los requisitos establecidos por la LOPD pero sólo amparan a Google a tener nuestros datos con determinadas garantías y condiciones. Aun así, la cuestión principal es que Google tendría los datos de los funcionarios que acceden a los sistemas y de los ciudadanos españoles que aparezcan en los documentos que éstos intercambien.
Google en este caso ejerce con un gran encargado de tratamiento que garantizará al Responsable del fichero, en este caso la AGE, todas aquellas cuestiones exigidas por la LOPD. Pero aquí la pregunta es, ¿Debe un ciudadano, por el hecho de tener que realizar un trámite con la AGE tolerar que Google tenga acceso a cierta información sobre su persona porque van a ser empleados en su tramitación recursos de la empresa americana? ¿Debe un funcionario tolerar lo mismo?
No debemos confundir cumplir con la LOPD con el hecho de que el tratamiento de la información sea pertinente. Imaginemos que un Ayuntamiento usa Google Apps para la gestión de las multas de coche. En el manejo de los documentos ofimáticos necesarios para la gestión administrativa, aparte de la propia información sobre el infractor, el vehículo, la cuantía, la notificación, en los servidores de Google se van a indexar palabras vinculadas al dueño de la cuenta (el funcionario que tramita) y no sabemos si también asociadas al posible infractor (aquí no puedo ir más allá porque desconozco si Google puede vincular los datos escaneados a usuarios identificados en los propios documentos)
En este caso, este "encargado de tratamiento" va a hacer cosas que no están justificadas por la finalidad principal del fichero declarado pero que son intrínsecas al uso del servicio. Como hemos visto antes, toda documentación procesada es escaneada e indexada de forma automatizada. Y esa cuestión, vinculada al hecho de pensar que son tramites de la Administración General del Estado no me hace mucha ilusión. No entiendo por qué una empresa extranjera debe conocer tanta meta-información de los procesos internos de gestión administrativa de un país aunque cumpla con la legislación en materia de protección de datos. Y mucho menos con la nueva política de privacidad, donde lo que pretenden es reunir información parcial de cada uno de los servicios que emplea un usuario para hacer un único cubo que permita "inferir" o "anticipar" hábitos de consumo, productos o compras que potencialmente el usuario esté pensando hacer.
Tercera cuestión: ¿Garantiza la seguridad de la información?
Esta es quizás la pregunta mas compleja. ¿Qué debemos entender por garantizar la seguridad? ¿Protección de las infraestructuras? ¿En qué plano de la seguridad, el operativo?
La infraestructura de Google estoy seguro que resuelve los aspectos más básicos de la seguridad de la información en relación a la protección de ubicaciones físicas, seguridad lógica, prevención de intrusiones, continuidad de negocio, etc. Es más, como se comenta en el blog eFuncionario, cumple con FISMA que es más exigente que ISO 27001.
La cuestión aquí no es la seguridad operacional sino la seguridad estratégica de un País que pone en manos de un tercero (externo y americano) parte de los recursos TI esenciales para proporcionar servicios básicos considerados estratégicos para el buen funcionamiento del estado. Y aquí es también curioso el planteamiento de Google. Efectivamente, se han preocupado de cumplir FISMA porque es la normativa del Estado Americano para poder garantizar los requisitos del Gobierno americano en materia de seguridad. Obviamente esta normativa está pensada por su Gobierno para la protección de sus intereses. Además, es muy curioso ver como en la explicación de los temas de seguridad para "Google Apps for Government" se dicen cosas como esta:
Meeting unique government requirements
Google Apps for Government provides segregated systems for our US government customers. Government customer data is stored in the US only. This "community cloud" – as defined by the National Institute of Standards and Technology – is available now to any federal, state or local government in the United States.
Google, como empresa americana que es, está diseñando y pensando en salvaguardar los intereses de su país, y por tanto, satisface completamente las necesidades específicas garantizando que para el Estado Americano, esa "Nube es privada" pero gestionada por Google.
¿Qué ocurre cuando es el Estado Español el que usa esa infraestructura? Pues seguramente que nuestros datos no se almacenan en nuestro país sino en el suyo. Por tanto, la gran cuestión es ¿Por qué el Gobierno Español debe aceptar una protección inferior de la que el Gobierno americano exige a sus propios datos?
¿Por qué ellos no permiten que los datos del estado salgan de su país y los españoles tenemos que tolerarlo? ¿Qué me importa a mi SU FISMA si lo que aquí necesitamos que se cumpla es NUESTRO R.D. 3/2010 del Esquema Nacional de Seguridad?
Por tanto, en este tercer punto no debemos confundir que las instalaciones estén bien protegidas y adecuadamente gestionadas con que eso sea suficiente para garantizar los requisitos de seguridad que un Estado. Se debe tener en cuenta el plano estratégico a medio y largo plazo antes de hacer un movimiento como el de migrar la AGE a Google Apps, porque además el camino de retorno no debe ser nada fácil. El BBVA como empresa privada puede hacer lo que sus dueños, accionistas y clientes toleren o permitan. El Estado debe atender al bien común de sus ciudadanos y en ese contexto, las decisiones no son tan sencillas.
Cuarta cuestión: ¿Y qué ocurriría en caso de conflicto España-EEUU?
Esta es quizás la pregunta menos relevante pero los que nos dedicamos a seguridad siempre debemos posicionarnos en los escenarios donde las cosas no funcionan bien, donde lo que se plantean son amenazas holísticas de cualquier ámbito y envergadura. Aquí para contestar sólo hay que leer lo que los propios americanos explican en su manual de operación de información (information warfare). Tal como explicó el blog Aeropago21 que cito a continuación, su estrategia está segmentada en diferentes niveles y estrategias que comprenden los siguientes puntos:
Dentro de la Guerra de Información esta doctrina define
cinco núcleos básicos de capacidades, entre los que se encuentra tanto las
ciberoperaciones como otras operaciones de corte más tradicional. Son las
PSYOPS, la OPSEC, el MILDEC, la EW y las CNO.
Las PSYOPS, Operaciones de Guerra Psicológica (Psychological
Operations), suponen el uso de propaganda para influir en las opiniones y
comportamiento normalmente del enemigo pero también de aliados o elementos
neutrales. Operaciones clásicas de PSYOPS son el uso de panfletos,
transmisiones de radio o TV, etc. con el objetivo de desmoralizar al enemigo.
La OPSEC, Seguridad Operativa (Operations Security), se
dedica a identificar que acciones propias pueden ser observadas por el enemigo
y hasta qué punto este puede obtener inteligencia de las mismas. Así mismo la
OPSEC también se encarga de definir y adoptar medidas para impedir esa
recolección de inteligencia.
El MILDEC, Engaño Militar (Military Deception), engloba las
tareas encargadas de facilitar al enemigo indicadores falsos que le hagan
llegar a conclusiones erróneas sobre la fuerza, intenciones y capacidades
propias. Un ejemplo histórico de MILDEC seria la Operación Fortitude durante la
segunda guerra mundial con el objetivo de desviar la atención del desembarco
sobre Normandía hacia un supuesto desembarco en el Paso de Calè.
La EW, la Guerra Electrónica (Electronic Warfare), implica
el dominio del espectro electromagnético. Que incluye tanto la monitorización
de las emisiones del enemigo como el uso de medios que van desde perturbadores
a misiles anti-radar para limitar su utilización al contrario. Un ejemplo
histórico de Guerra Electrónica seria la conocida como Battle of the Beams,
también ocurrida durante la segunda guerra mundial, y que se centro en la
utilización de sistemas de navegación aérea para facilitar el bombardeo alemán
sobre Inglaterra, y los exitosos esfuerzos por interferir y falsear estas
emisiones por parte de los ingleses.
Las CNO, Operaciones en Redes de Computadoras (Computer
Network Operations). Las CNO se derivan de la creciente utilización de
computadoras en red y sistemas de información por parte de organizaciones
civiles y militares. Las CNO, junto con la EW, se utilizan para atacar,
engañar, degradar, interrumpir, denegar, explotar la infraestructura del
enemigo y defender la propia.
En un escenario de Ciberguerra estaríamos jodídos porque les hemos simplificado su actuación llevándonos todo a su país y sus infraestructuras.
La gente de PSYOPS podría "envenenar contenidos" modificando los documentos ofimáticos depositados en Google Apps. No debemos olvidar que es una empresa americana y que en caso de conflicto se someterá por completo al Estado. Y si se incumple alguna legislación, articulan rápido una Patriot Act y ajustan lo que sea necesario.
La gente de OPSEC se dedica a vigilar el tráfico de red cuyo origen sea España y destino los servicios de Google Apps.
La gente de MILDEC se dedica a jugar con los anchos de banda en la red, cortando y restableciendo el suministro cuando les apetece.
La gente de EW no tiene mucho que hacer porque ellos tienen ya el control de todos los recursos.
La gente de CNO sólo tienen que cortar el canuto de conexión desde España hacia sus servidores y estamos todos incomunicados y sin acceso a la información (Y ni siquiera su backup).
¿Muy paranóico y excéntrico, verdad? Que se lo cuenten a la empresa petrolera PDVSA cuando fue bloqueada a través de ataques informáticos provocando el "caos total" en Venezuela por el corte del suministro de petróleo al país. Los venezolanos elaboraron un documental conocido como "El cerebro de PDVSA" donde con demasiada carga política cuentan la realidad de unos hechos verídicos, el boicot americano mediante el sabotaje de los sistemas de información de la empresa más importante de Venezuela. El documental puede verse en Youtube en estos tres enlaces:
El presente texto no quiero que sea visto como una oposición frontal a la cloud en la Administración General del Estado, todo lo contrario. Nube SI pero bajo control completo del Gobierno. Tenemos un grave problema en el área TI y es que nos estamos quedando atrás en la competencia por hacerse con los servicios tecnológicos en la Nube a nivel mundial. Lo que está en juego cuando hablamos de subcontratar Google es también parte del PIB, son puestos de trabajo que se van hacia el pueblo americano en vez de quedarse aquí, es mano de obra cualificada que no encontrará empleo porque se habrán elegido a empresas extranjeras con empleados con similar calificación pero que invirtieron en las infraestructuras en el momento adecuado. Por tanto, los motivos por los que aparece la "nube" en el contexto de la AGE son muy "loables" y "deseables" pero los medios para lograrlos deben ser controlados y controlables. El problema para poder pensar en la centralización y unificación de recursos es simplemente político. La filosofía aplicada hasta la fecha no ha pasado por un pensamiento estratégico, unificador y de interoperabilidad completa porque cada "reino" ha querido mantener su cuota de poder. No tiene sentido que las aplicaciones destinadas a atender a ciudadanos iguales sean diferentes por regiones, pero el problema previo es que las gestiones administrativas no son idénticas tampoco. Esa filosofía de por cada problema, determinar como mínimo 17 soluciones es un sinsentido y una perdida de productividad y operatividad a toda cosa, que lastra nuestro futuro.
Sin embargo, un Estado, por la importancia estratégica que tiene el area TI no puede pensar en poner toda esa gestión en manos de terceros países porque además hemos visto que los propios americanos no lo hacen. Además, me llama mucho la atención el cambio de pensamiento que se observa y la inocencia con la que se juzga a Google frente a otras empresas. Si poníamos hace años el grito en el cielo por emplear tecnologías Microsoft en los sistemas operativos y aplicaciones porque era "código propietario cerrado" que podía tener cualquier cosa, ¿Por qué ahora tenemos que ser menos desconfiados con Google que pone también código pero que además te dice claramente que va a escanear e indexar toda la información? ¿Por qué es Google más inocente que Microsoft? ¿Porque claramente lo cuenta y lo explica?
Este verano pude dedicar un rato a leer el manual de operaciones de información del ejercito americano (Information warfare) al que había llegado a través de un post del blog Aerópago. Me resultó curioso y a la vez muy relevante estudiar cómo se manejan en situaciones de guerra las operaciones del campo de batalla de la información/desinformación.
Es imprescindible leer el Capitulo I, de Introducción porque aporta una nueva perspectiva al concepto de "información" y sus dimensiones. Y tal como deja claro el manual, la información esencial, la importante donde se pueden perder batallas, es aquella que se emplea en la toma de decisiones. Este fue el mensaje que quedó en mi mente tras leer el documento.
Hace unos días publicaba en twitter (@javiercao) una entrada sobre el top en los informes de logs de seguridad que debería tener una organización. Aparqué ese tweet para extenderme hoy más en un post sobre el tema.
Es curioso que todas las organizaciones, grandes o pequeñas, disponen de esta materia prima para poder establecer un puesto de vigilancia y conocer de primera mano qué ocurre en sus sistemas de información. En algunos casos por tiempo, en otros por desconocimiento sobre las problemáticas a analizar, esos datos no sirven para tomar decisiones que en un momento dado pueden luego costar una factura muy cara. El ejemplo en el mundo físico es como quien coloca cámaras de vigilancia y sensores volumétricos en todos los rincones a vigilar de su empresa, centralizando toda esa información en un cuarto de control y luego no pone vigilantes las 24 horas del día para que monitoricen lo que sucede en esas pantallas y centrales de alarma.
A mi mente vino de nuevo la idea de que no podemos llamar "información" sino "datos" a aquello que no sirve para tomar decisiones. Y ese es el verdadero problema/drama de los logs, que no llegan a ser información sino datos sobre la situación de seguridad de la empresa que son guardados o borrados sin que de ellos se extraigan conclusiones o decisiones que pueden evitar o mejorar en mucho la seguridad de los sistemas. El post con los datos del top 7 de informes de seguridad los tenéis en este enlace de Anton Chuvakin, un "security warrior".
Juntando esto con las diferentes áreas que aparecen en ese top de informes de seguridad se puede construir el siguiente escenario de vigilancia e inteligencia de red.
Tal como establece el maestro Sun Tzu, "La tierra puede ser alta o baja, ancha o estrecha, lejana o cercana, desnivelada o plana, propicia para la muerte o para la vida". Todo general debe estudiar el contexto en el que se plantea el conflicto y tratar de moldearlo o dirigirlo para que le proporcione las mejores opciones y decisiones. El terreno tiene ciertas restricciones que no pueden alterarse, pero se debe ser consciente de todas estas limitaciones a la hora de plantear la táctica de combate. En nuestro caso, el terreno viene condicionado por la infraestructura TI de nuestra organización, pero también por los eventos y servicios que ésta suministra. En este sentido, una de las fuentes que mejor describen el campo de batalla son los eventos del sistema o logs. Como decía el agente Mulder de Expediente-X, "la verdad está ahí fuera". Todo administrador de sistemas o responsable de seguridad debería adecuar esa frase a "la realidad de lo que pasa en nuestros sistemas está en los logs".
Para empezar también me parece interesante comentar, tal como establece la norma "ISO 27035 sobre gestión de incidentes" publicada el año pasado, la separación entre evento de seguridad e incidente. Todo incidente es generado por un evento de seguridad pero no todo evento de seguridad se transforma en un incidente. En el terreno de los logs nos movemos básicamente sobre el análisis de eventos que posteriormente hemos de decidir si son clasificados como incidentes. Ahora veamos los diferentes campos de batalla a gestionar. Los he separado en tres grandes áreas como ilustra este gráfico que atiende también a los diferentes tipos de escenarios y su hostilidad:
Personas:
Escenario de la gestión de usuarios: en este terreno los eventos a vigilar de cerca están relacionados con el ciclo de vida del usuario (alta, baja y modificación de permisos), los registros de acceso fallidos y con éxito, la elevación de privilegios y las conexiones con usuarios con los máximos privilegios.
Escenario de accesos a recursos: en este terreno los eventos a vigilar tienen que ver con los registros de auditoría de acceso del personal legítimo o interno sobre elementos muy protegidos que deben notificar cada intento de acceso a ellos para disponer de trazabilidad sobre el uso del recurso.
Recursos:
Escenario del cambio en recursos TI:en este escenario los eventos más relevantes son los relacionados con la instalación de software, la actualización, los cambios relevantes para la seguridad sobre parámetros de configuración, la modificación de las directrices de auditoría y la deshabilitación de las medidas de seguridad instaladas. También se pueden controlar desde este escenario el funcionamiento de las medidas de seguridad como pueden ser la actualización de las firmas de patrones del antivirus, la aplicación de parches sobre los sistemas y los resultados de los chequeos de vulnerabilidades.
Escenario de los problemas detectados: los eventos vinculados con este escenario están relacionados con la monitorización del funcionamiento de los recursos, su disponibilidad, incidencias de caída o fallo de componentes, errores en los sistemas, errores en sistemas de copia de seguridad, alertas sobre la gestión de la capacidad, eventos de reinicio y parada de sistemas, etc.
Escenario de la actividad interna de nuestra red: en este terreno, los eventos a vigilar están relacionados con los patrones de comportamiento de nuestra red y nuestros usuarios, los protocolos más utilizados, el consumo de ancho de banda, el volumen de tráfico demandado y recibido, la carga de nuestras conexiones, etc.
Enemigos:
Escenario del malware detectado: en este escenario, los eventos a vigilar deben provenir de las medidas de protección perimetral y antivirus. Se debe vigilar el número de infecciones recogido, los archivos en cuarentena, las estadísticas sobre el tipo de malware que se detecta (gusanos, troyanos, virus, hacking tools) así como la fuente de infección (descargas en la red, dispositivos USB, correo electrónico).
Escenario de la actividad externa sobre nuestra red: en este terreno, la información relevante proviene de las medidas de protección perimetral que inspeccionan el tráfico y que detienen aquellas peticiones que no superan la política de filtrado de tráfico y contenido. Sirve para poder detectar intentos de ataque, abusos sobre recursos accesibles desde el exterior, vulneración de las medidas de seguridad. Es necesario también atender a los volúmenes de información recibidos y salientes para detectar si hay elementos en la red interna comprometidos y que están siendo controlados desde el exterior.
Sobre todos ellos campos de batalla debe trabajar una pieza esencial en la linea de defensa de toda organización: la monitorización y gestión de eventos de seguridad.
Como anunciaba en el post anterior y como viene siendo tradicional en el cambio de año, toca revisar las tendencias detectadas del año saliente 2011 y hablar de lo que puede verse en el año 2012.
Por las fechas en las que estamos, la comunidad bloguera ya ha hecho este tipo de reflexiones y voy a tratar de aportar algo nuevo al respecto hablando más de tendencias que de lo sucedido. De los resumenes del año, el que más me gusta por lo exhaustivo y pormenorizado es que el que ha hecho Hispasec en sus Una-al-dia y que ha segmentado en trimestres en los post 1, 2, 3 y 4. Respecto a lo sucedido a lo largo del 2011, se pueden destacar los siguientes puntos:
Este ha sido el año en el que peligrosamente los virus informáticos han saltado del mundo de la informática del PC a las tecnologías SCADA. Los especímenes Stuxnet y Duqu han hecho temblar ahora a los sectores industriales que pueden verse afectados por malware.
Stuxnet y Duqu también son representativos de una nueva tendencia que es la especialización y orientación de los ataques hacia objetivos selectivos. En este año hemos podido ver como la amenaza de la intrusión informática a afectado a empresas muy emblemáticas como Sony, Google o RSA o Startfor. El objetivo de los ataques selectivos básicamente han sido dos: En primer lugar el robo de grandes volúmenes de datos de carácter personal, sobre todo vinculados a información que permita acceso a servicios financieros o pago mediante tarjetas de crédito para realizar fraude y en segundo lugar el robo de propiedad intelectual muy concreta que además en el caso de RSA ha comprometido la seguridad de un mecanismo de autenticación empleado por las empresas más concienciadas y que como consecuencia ha podido generar como efecto colateral el robo de información en empresas que se pensaban protegidas por emplear metodos de autenticación fuerte empleado las tecnologías de RSA-id.
Este año también hemos podido ver en el lodazal de los incidentes de seguridad a Entidades emisoras de certificados (PKI). Primero Comodo y posteriormente Diginotar han visto comprometidas diferentes piezas de la infraestructura de clave pública y se han tenido que revocar ramas enteras del árbol de certificación. En el caso de Diginotar además, al verse comprometido el certificado raíz, ha supuesto el cese de actividad de esta Entidad que ya no se ha recuperado del incidente.
Por último destacar que este año el hacktivismo (yo lo llamaría mejor cibercrimen) ha empezado a mostrar que se quiere erigir como un cuarto poder amenazando o publicando información delicada que compromete a organismos o revela datos sobre gestiones irregulares que éstos realizan. Anonymous es quizás la red más popular aunque Luzsec también ha tenido un papel destacado. Lo que si pone de manifiesto este hecho es que la "información es poder" y si ciertos ciudadanos con unas habilidades y conocimientos técnicos son capaces de acceder a las cloacas de las empresas y administraciones públicas pueden obtener datos sensibles, muchas instituciones pueden tener que dar explicaciones de cosas que hasta la fecha manejaban como "secretos". Además cuentan con servicios como Pastebin.com que se prestan al juego de dar difusión de la información robada a modo de Wikileaks del hacking. En algunos de estos casos la información robada puede acabar comprometiendo la vida de personas, como publicó Chema Alonso en la entrada Hackers publican la BBDD de escoltas de Presidencia.
En cuanto a los pronósticos, me ha gustado mucho el post de Paolo Paseri donde aparece una tabla resumen de predicciones de los principales fabricantes de productos de seguridad y un diagrama de barras con las tendencias pronosticadas que más se repiten.
Las estadísticas sobre las predicciones realizadas tiene esta gráfica:
Yo como en estos últimos años solo puedo extraer una conclusión: los malos irán allá donde haya dinero facil y donde el crimen tecnológico de guante blanco les permita generar unos ingresos rápidos con poco esfuerzo y de difícil investigación.
¿Los medios? Los que sean fáciles de aplicar y sencillos de emplear para estos fines. Seguramente veremos bastantes cosas en materia de aplicaciones en smartphones porque su uso está creciendo de forma vertiginosa y son plataformas donde todavía no hay cultura de la prevención proactiva. Serán pocos los que instalen en sus terminales aplicaciones antimalware. En este sentido, el Android Market por su ausencia de controles y su gran crecimiento en número de usuarios será en este caso "el Microsoft del mundo PC", con la desventaja de que a Google esta guerra le pilla relativamente de nuevas y tendrá que aprender rápido la necesidad de la gestión de la seguridad sobre sus plataformas.
Otra novedad posiblemente sea Cibercrimen as Service (CaaS) del que ya se empiezan a ver algunos ejemplos. Si los malos montan sus plataformas de hacking para sus usos particulares, ¿por qué no alquilarselas a terceros y seguir ingresando dinero por ello?
Además, todos estos servicios obviamente contarán con material didáctico sobre cómo emplearlos con sus videos explicativos en Youtube y sus tarifas con precios por duración de la denegación de servicio.
Los que nos dedicamos a este mundo a lo largo del 2012 seguiremos oyendo por parte de nuestros clientes que eso de la seguridad y el hacking es ciencia ficción, que nunca pasa nada y que la seguridad no tiene retorno de inversión. El problema es simplemente una "gestión de la incertidumbre" o "el riesgo" pero la causa que subyace detrás de todo esto es que el ser humano del siglo XXI sigue pensando con los instintos del mundo primate y sólo es capaz de valorar las amenazas que afectan a su integridad física. No somos capaces de estimar los riesgos que nos pueden venir por un cable Ethernet. Se seguirán ignorando estos hechos a pesar de que las tendencias de los últimos años empiezan a revelar que al "iceberg de la seguridad" ya se le empieza a ver su verdadero tamaño, que el mundo del cibercrimen es cada vez más consciente de este "nuevo poder" y que toda organización puede ser una víctima directa del hacking o un efecto colateral en unas pruebas de concepto. Y para aquellos que siguen pensando que nunca pasa nada y que todo esto sigue siendo algo muy "irreal", sólo hay que consultar el time-line del hacking del 2011 que ha recogido Paolo Paserí donde se pueden ver los costes de la inseguridad. Los daños que pueda sufrir una empesa superan en mucho y de forma inmediata los costes de las medidas preventivas. Sólo evitando un incidente se pueden justificar la aplicación de las medidas.
Sin embargo, para aquellos que se siguen manteniendo en el discurso de que la seguridad no tiene retorno de inversión y que no tiene sentido protegerse frente a algo que sencillamente no ocurre, yo les haría una pregunta, ¿Por qué se invierte en Defensa? ¿No hace más de 50 años que en España no hay una guerra?
Los datos sobre el coste del programa Eurofighter por ejemplo, son para poner los pelos de punta y muy envidiables para el mundo de la seguridad lógica.
El coste inicial del Programa Eurofighter para España asciende a 10.795,4 millones de euros, de los que 1.598,7 millones corresponderían a la fase de I+D y los restantes 9.196,7 millones a la de producción de las aeronaves. El coste unitario de un EurofighterTyphoon de la llamada trancha 2 – segunda fase de producción – se estima en unos 80,3 millones de euros (algo más de 13.360 millones de las antiguas pesetas)
Posiblemente el despliegue de toda la infraestructura necesaria para la cyberdefensa de España (Un SOC gubernamental con un despliegue de tecnologías SIEM a lo largo de las diferentes instituciones más relevantes) podría ser similar al de UN SOLO AVION EUROFIGHTER. Y cual de las dos piezas de defensa protege más al pueblo español, ¿Un avión surcando el cielo o un "Security Operation Center" (SOC) vigilando todas nuestras infraestructuras críticas?
Iba a postear sobre el repaso al 2011 y los pronósticos del 2012 pero en las fechas que estamos me parece más pertinente escribir la carta a los Reyes Magos y aplazar las reflexiones anteriores para la semana próxima. Así que allá voy, esta sería mi carta a los Reyes Magos como "responsable de seguridad de la información" o "CISO" o "DPO".
"Queridos Reyes Magos,
Este año, como en años anteriores he sido bueno y he logrado que en mi organización no haya ocurrido ningún incidente. Mis compañeros no lo valoran pero he tenido que trabajar mucho para que esto sea así. Sin embargo, como la rutina habitual es que no ocurra nada parece que yo no hago mi trabajo. Aun con eso, tengo que pedir algunas cosas para el año 2012. Mi lista sería:
Pediría que en mi Organización entiendan que aporto valor. Que las cosas funcionen y que no hayan imprevistos no es una situación que se logre no haciendo nada. Es necesario que yo esté vigilante y atento del día a día y sobre todo, del funcionamiento de los sistemas para detectar cuando sospecho que algo extraño está sucediendo o puede suceder y avisar para mitigar el posible problema. Este año he tenido que notificar la existencia de bastantes vulnerabilidades en los entornos de producción que estaban sin parchear, he descubierto tráfico extraño desde portátiles internos que estaban infectados aunque por suerte no se habían conectado a la red corporativa. Creo que no pasan más cosas porque tenemos mucha suerte. La cantidad de pendrives y discos USB que veo por las mesas de mis compañeros dan miedo. Por las noches tengo pesadillas y no duermo tranquilo. Sueño con una llamada de la gente de guardia a las 3 de la mañana diciendome, "-Javier, vente para acá que se ha liao parda". En fin, sólo espero que mi Organización entienda que la seguridad, una vez que se ponen en marcha medidas, es una tarea de mantenimiento y supervisión continua que no puede desfallecer nunca. Es como estar aguantando una barrera con los brazos para evitar que la gente pase. En cuanto no haces lo que toca, la barrera cae y la gente se cuela. Yo solo espero disponer de información que me permita tener la tranquilidad de saber que las cosas funcionan y pueda así dormir tranquilo sabiendo que hago mi trabajo lo mejor posible. No podré evitar todos los incidentes pero al menos, no lo pongo fácil para que éstos ocurran.
Pediría que los usuarios sean buenos y contribuyan a facilitar mi labor. Aunque tengo desplegadas acciones de concienciación sobre la materia, la gente pulsa antes de leer y eso suele generar problemas. También quiero hacerles conscientes de que nuestra Organización trata con datos de carácter personal sensibles y que existe una legislación que respetar. Yo no estoy para proteger las cosas sino para lograr que todas las medidas funcionen según lo previsto pero esta guerra es cosa de todos. Con que un usuario cometa un error y ciertos datos acaben en Internet mi trabajo se verá frustrado y mi puesto cuestionado. Asumo que siempre ando en la cuerda floja porque al más minimo fallo se me apuntará con el dedo de la culpabilidad pero necesito que todos entiendan que en esta guerra todos somos soldados.
Pediría que la Dirección de mi Organización entienda los resultados de mi análisis de riesgos y obre en consecuencia. Yo como responsable de seguridad estoy para detectar y diagnosticar problemas pero las decisiones y sus prioridades no son cosa mia. Yo puedo aconsejar o asesorar respecto a lo que entiendo debe ser tratado pero los riesgos de mi Organización deben ser asumidos por la Dirección, no por mi. Yo no tengo tanto poder para tomar decisiones de ese calado.
En relación con lo anterior, también necesitaría que la Dirección de mi Organización me proporcione algunos recursos cuando decide poner en marcha algún plan de tratamiento de riesgos. Para poder tomar decisiones y sobre todo, para detectar anomalías necesito tener 1000 ojos y eso implica desplegar ciertas tecnologías de centralización de logs, correlación de eventos y tiempo para poderlas ajustar atendiendo a nuestro contexto y nuestros riesgos de negocio. Mi único objetivo es poderles proporcionar una información de mayor calidad que les lleve a tomar decisiones más correctas y precisas pero eso implica invertir un poco. Evitar y prevenir problemas siempre es más barato que tener que sufrir un incidente y reparar los daños. Este año 2011 además hemos visto retozar en el lodazal de las empresas hackeadas o con incidentes a organizaciones de todo tipo y supongo que en esa lotería algún día nos puede tocar a nosotros.
También pediría a mis compañeros de Sistemas que no me vean como un enemigo o alguien que se mete en sus asuntos. Yo soy consciente que la prioridad es que todo funcione pero a veces, por poner en producción demasiado rápido las cosas se cometen errores que luego pasan facturas muy caras. Obviamente esas facturas, si suponen un incidente de seguridad las voy a tener que pagar yo pero no debemos olvidar que estamos todos en el mismo barco que es nuestra Organización y aquí todos queremos que los incidentes no nos sorprendan.
A mis compañeros de Desarrollo les pediría un poco más de prudencia y de concienciación respecto a las aplicaciones que mi Organización vaya a hacer accesibles desde el exterior. Hoy en día es de ingenuos pensar que todo el mundo en Internet es bueno. Hay gente que se dedica a buscar agujeros o fallos que luego les permiten llegar más lejos. Por tanto, las aplicaciones deben ser programadas con una mentalidad defensiva y las baterías de pruebas de desarrollo no solo deben probar funcionalidades operativas, deben también superar pruebas de estrés y resistencia frente a los ataques más comunes.
En materia de Protección de Datos de Carácter Personal pediría también a muchos departamentos que comprendan que esto de la LOPD no es una tortura o el multazo que nos puede pegar la Agencia Española de Protección de Datos. Nuestros clientes se merecen, como parte de los servicios que les damos, una adecuada y diligente gestión de su información. Al fin y al cabo, a nosotros nos prestan ciertos datos para que les podamos dar servicios pero la información es suya, no nuestra.
Por terminar y ya en relación al área de auditoría, sólo deseo que mis compañeros sean capaces de hacer lo mejor posible su trabajo y me puedan reportar las máximas deficiencias posibles. En el momento se que me escocerá el informe pero entendiendo que ellos buscan lo mismo que yo, cuanto más barran ellos la casa y más alfombras se levanten, menos riesgo de sustos o incidentes tendré que asumir yo. Cuatro ojos ven más que dos y por tanto, es bueno que de vez en cuando alguien ajeno a mi día a día me revise y me recomiende cosas a cambiar. Yo creo profundamente en el ciclo de mejora continua y lo que no te mata te hace más fuerte.
En fin, queridos Reyes. Se que éste es un año difícil y que las Organizaciones todavía no valoran/comprenden/entienden qué pinta la seguridad de la información y cómo eso les ayuda a ser mejores y más competitivas, pero esperemos que con los años y no a base de incidentes, las cosas vayan cayendo por su propio peso. No pido para este año tener presupuesto para certificar mi SGSI con la ISO 27001 porque todavía soy consciente de que necesito mejorar algunas áreas de control aunque será el deseo para el año que viene casi seguro."
Antes de cerrar el año y pendiente del ya tradicional post de revisión del año 2011 y el de análisis de tendencias para el 2012, quiero referenciar el material que he publicado a través del blog de Inteco con reflexiones sobre cómo debiera ser la auditoría del Titulo VIII del R.D. 1720/2007.
Este año ha sido un año duro en el ámbito LOPD dado que la crisis siempre hace que aparezcan los oportunistas y los pícaros que tratan de lucrarse de la ignorancia o el desconocimiento de la gente. En este sentido, la Asociación Española de Profesionales de la Privacidad ha tenido que luchar contra las llamadas "Empresas de coste cero" que venden servicios de consultoría camuflados bajo subvenciones de formación a través de la Fundación Tripartita.
Estas empresas han empezado con los servicios de adecuación/adaptación pero seguro que pronto extenderán sus garras hacia la auditoría obligatoria establecida por los artículos 96 y 110. Para luchar contra esta "lacra" la única arma es la información y la explicación de qué debieran ser considerados servicios correctos.
Con este objetivo he publicado los dos siguientes artículos que aparecen en el blog de Inteco:
A continuación anexo el texto integro de ambas partes para el que quiera realizar una lectura continuada del mismo.
Ante la reiterada preocupación del sector
profesional de la privacidad sobre la ausencia de consenso respecto a cómo debe
ser realizado el proceso de auditoría establecido por los artículos 96 y 110
del R.D. 1720/2007, creo adecuado explicar en este post en qué debe consistir
el proceso de auditoría, cuál es su finalidad, qué resultados deben esperarse y
cuáles son las mejores prácticas a la hora de planificar, desarrollar y
realizar un informe de auditoría del Título VIII del R.D. 1720/2007 de
desarrollo de la LOPD.
Para una adecuada lectura de este documento deben
tenerse en cuenta dos advertencias:
Este post se limita de forma
exclusiva a la auditoría del cumplimiento de las medidas de seguridad
establecida en los artículos 96 y 110, por lo que no se contempla en la
realización de este proceso aspecto alguno que no esté relacionado con la
valoración del funcionamiento de las medidas de seguridad descritas en el Título
VIII del R.D. 1720/2007.
Este post no pretende
establecer los criterios o técnicas a emplear. Simplemente describe la
importancia y necesidad del proceso de auditoría, su finalidad y qué es
entendido pudieran ser buenas prácticas en la realización de estas actividades.
¿Qué es una auditoría de
sistemas de información?
La auditoría de sistemas de información tiene como misión ser un
mecanismo de control interno para evaluar la CONFIANZA que se puede depositar
en los sistemas de información basada en evidencias. Las actividades, procesos,
tareas requieren de una revisión periódica para evaluar su funcionamiento y
realizar los ajustes que sean necesarios. Las medidas de seguridad establecidas
por el R.D. 1720/2007 establecen y determinan una serie de actividades
periódicas que la organización debe realizar para garantizar la adecuada
protección de la información de carácter personal que es procesada. Estos
mecanismos de protección definidos por los procedimientos obligatorios deben
estar documentados y forman parte del contenido del Documento de seguridad
establecido por el Art. 88 del R.D. 1720/2007.Para entender este extremo emplearemos un símil
ilustrativo. El mantenimiento y la revisión de todo vehículo requiere, una vez
se alcanza ciertos años de funcionamiento, de una revisión periódica cada dos
años realizada por la Inspección Técnica de Vehículos (ITV). Estos organismos
de revisión realizan una serie de chequeos, comprobaciones y pruebas sobre
diferentes elementos del coche con el objetivo de garantizar que está en las
mínimas condiciones necesarias para seguir en circulación. Este ejemplo sirve perfectamente para
ilustrar la misión del proceso de auditoría ya que el proceso de revisión
realizado en la ITV es una revisión sobre el funcionamiento del vehículo que
tiene por objetivo establecer si el coche es apto, no apto o apto con
deficiencias a subsanar como resultado de la información obtenida durante la
batería de pruebas realizadas. Esta actividad de revisión es una auditoría
formalizada y normalizada que comprueba de forma exhaustiva todos los elementos
básicos del vehículo y determina el grado de confianza que el dueño del
vehículo puede otorgar al mismo en relación a su seguridad y correcto
funcionamiento.
De igual forma, la auditoría de sistemas de
información es un proceso metódico de revisión que pretende conocer la eficacia
y fiabilidad de los controles o mecanismos de seguridad instalados para evitar
o reducir los riesgos que pudieran afectar al buen funcionamiento de los
sistemas de información o alterar su seguridad.
¿Por
qué es necesaria la auditoría de las medidas de seguridad del R.D. 1720/2007?
El R.D. 1720/2007 introduce en los artículos 97 y 100 da necesidad
de auditar el “TÍTULO VIII. DE LAS MEDIDAS DE SEGURIDAD EN EL TRATAMIENTO DE
DATOS DE CARÁCTER PERSONAL” del R.D. 1720/2007. Esta obligación queda
establecida para los ficheros de datos de carácter personal que tienen que
garantizar el cumplimiento de las medidas de nivel medio o alto. Conviene
recordar que las medidas de seguridad establecidas por el Título VIII del
Reglamento determinan los MINIMOS a garantizar. Ello quiere decir que la
auditoría perfectamente puede ser planteada para ser realizada sobre ficheros
de nivel básico si la Organización considera adecuado la ejecución de este
proceso interno de revisión. Además, es necesario destacar que la auditoría
aparece como una de las medidas de seguridad más del citado Titulo VIII. ¿Por
qué es la auditoría una medida de seguridad? La respuesta es sencilla dado que
este proceso de inspección y revisión permite detectar deficiencias antes de
que éstas se produzcan. También la auditoría puede servir para averiguar si se
han producido o no irregularidades en el uso de los sistemas de información. Es
un mecanismo de ajuste que detecta el deterioro en la efectividad o rendimiento
de las medidas de seguridad y asegura que el nivel de protección deseado se
sigue garantizando.
¿Qué
finalidad debe perseguir una buena auditoría de las medidas de seguridad del
R.D. 1720/2007?
Tal como hemos comentado hasta este punto, la misión el proceso de
auditoría es la búsqueda de todas aquellas deficiencias que pudieran suponer un
problema real o potencial antes de que este se produzca. Por tanto, la
auditoría es en sí misma una medida de seguridad de carácter preventivo que
intenta evitar los daños antes de que éstos sucedan. También el proceso de
revisión puede servir para introducir mejoras o indicar aquellos puntos que aun
garantizando el cumplimiento de las medidas empieza a disminuir en su eficacia.Una buena auditoría debe suponer una revisión profunda y
exhaustiva del funcionamiento de las medidas de seguridad que protegen los
tratamientos de datos de carácter personal. Cuando mayor sea el trabajo de
campo empleado en la revisión, más confianza podrá depositar la Organización en
el correcto funcionamiento de las cosas, confirmado éste punto por los
resultados obtenidos de la propia auditoría.El auditor tiene como misión principal emitir una opinión
independiente y objetiva sobre este cumplimiento de tal forma que permita a los
responsables correspondientes, tomar las medidas oportunas para subsanar las
deficiencias identificadas, si las hubiera, y para satisfacerse internamente, o
bien frente a terceros que pudieran estar relacionados, sobre el nivel de
seguridad implantado. El objetivo final de la auditoría es sustentar la confianza que
merece el sistema auditado en materia de seguridad; es decir, calibrar su
capacidad para garantizar la integridad, disponibilidad, autenticidad,
confidencialidad y trazabilidad de los servicios prestados y la información de
carácter personal que es tratada, almacenada o transmitida por la
Organización
Metodología
de trabajo
El proceso de auditoría supone la realización de ciertas
actividades que deben realizarse de forma metodológica y que permiten diseñar y
organizar el trabajo de campo a realizar en la Organización de forma que sean
alcanzados los objetivos planteados al realizar la auditoría. Podemos
distinguir tres fases bien diferenciadas:·
Pre auditoría.
Esta es la fase inicial del trabajo y permite al auditor conocer
el entorno, contexto y sistemas de información que van a ser revisados durante
la auditoría. En esta fase, la Organización y el auditor deben establecer cuál
será el alcance a auditar, los ficheros de datos de carácter personal incluidos
en la revisión, los niveles de seguridad de dichos ficheros, las dependencias
de la Organización que deberán ser visitadas y la duración de la auditoría a
contratar. Este último extremo condiciona la ejecución de la auditoría y según
el volumen de trabajo que haya que realizar en la auditoría insitu, puede
requerir la ampliación del equipo auditor de forma que se garantice la revisión
de todos los puntos a contemplar en el tiempo previsto.En esta fase, el auditor debe preparar sus papeles de trabajo,
documentos que le ayudarán en la ejecución in situ de la auditoría y que
contienen información propia sobre qué cuestiones hay que revisar, qué tipo de
pruebas debe contemplar en las comprobaciones técnicas pertinentes y qué
preguntas debe realizar tanto al personal de la Organización como al
responsable de seguridad. Estos papeles de trabajo del auditor actúan de
registro, para no olvidar revisar ningún proceso o actividad importante y se
preparan de antemano las preguntas o lista de comprobaciones que se quieren
realizar. Dado que el R.D. 1720/2007 no es modificado de forma frecuente, lo
habitual es que la empresa auditora tenga prediseñados unos papeles de trabajo
base que debe adaptar a la Organización a auditar una vez Para ello, suele ser habitual agrupar la revisión de los artículos
del R.D. 1720/2007 en programas que aglutinan bajo un nombre todos aquellos
artículos del R.D. que determinan una misma medida de seguridad que según el
nivel deben satisfacer más o menos requisitos.Es habitual que para el diseño de esta documentación, el auditor
solicite a la empresa auditada el Documento de Seguridad de los ficheros
incluidos en el alcance, dado que en él se encuentra una descripción del tipo
de ficheros, de los sistemas de información y de las medidas de seguridad que
la Organización debe estar aplicando en la protección de los datos de carácter
personal. El auditor parte de esta información inicial para el diseño de las pruebas
técnicas que permitan verificar el nivel de cumplimiento de lo escrito en el
documento de seguridad. También permite adecuar y configurar el equipo auditor
si por el carácter de las pruebas a realizar o de los sistemas incluidos sea
necesario contar con personal técnico de apoyo al auditor que permita la
ejecución con éxito de las pruebas de auditoría contempladas o la recogida de
información de forma directa en la Organización auditada.Con toda esta información ya procesada, el auditor puede diseñar
el programa detallado de auditoría y enviar a la Organización cual será la
planificación prevista durante los días que dure la auditoría in situ. Ello
también permite a la Organización conocer cuál será el trabajo de campo que se
realizará y planificar o adecuar los horarios y la disponibilidad del personal
que será entrevistado o que deberá atender al auditor durante los días de
auditoría.·
Auditoría in situ o ejecución
de la auditoría.
Esta es la fase crucial de todo el proceso dado que es donde el
auditor recoge las evidencias de auditoría, esto es, aquella información que
será empleada posteriormente para argumentar y demostrar el cumplimiento o no
cumplimiento de las medidas de seguridad. El auditor, como se ha dicho ya, debe
proporcionar una opinión profesional, independiente y objetiva del
funcionamiento de las medidas de seguridad. Por tanto, toda afirmación que
incluya en su informe debe basarse en datos, hechos u observaciones como
explícitamente establece el punto 2 del Artículo 96.Auditoría.“2. El informe de auditoría
deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su
desarrollo reglamentario, identificar sus deficiencias y proponer las medidas
correctoras o complementarias necesarias. Deberá, igualmente, incluir los
datos, hechos y observaciones en que se basen los dictámenes alcanzados y las
recomendaciones propuestas.”Por tanto, en esta fase el auditor debe ir recopilando toda
aquella información que ha establecido previamente en la fase de pre auditoría
como necesaria y que sirva para contrastar o comprobar el correcto
funcionamiento de las medidas de seguridad. De esta forma, el auditor también
deja rastro de su propio trabajo y permite posteriormente a la Organización
evaluar la exhaustividad y profundidad del trabajo de campo realizado por el
propio auditor. Este mecanismo de transparencia del proceso de auditoría es
otro de los pilares en los que se cimienta la confianza que se puede depositar
sobre la auditoría realizada.Según la complejidad del entorno, el tiempo disponible para el
proceso de auditoría y el tamaño del equipo auditor, es posible que la
ejecución de ciertas pruebas no puedan revisar de forma completa y exhaustiva
todos los registros de ejecución o rastros de funcionamiento de las medidas de
seguridad. En estos casos, es preciso recurrir al muestreo de auditoría que
permite la selección de ciertas muestras y extrapolar las conclusiones
observadas en ellas para el resto de elementos de la población. El muestreo
introduce cierto margen de error en la realización de conclusiones pero permite
adecuar la revisión al tiempo disponible para el proceso de auditoría. En todo
caso, este margen de error puede ser previamente definido lo que condicionará
los tamaños de las muestras a examinar. Una vez finalizada esta fase, el auditor debe contar con todas
aquellas evidencias de auditoría que ha obtenido de la realización de pruebas
técnicas, entrevistas, inspección visual de las instalaciones y dependencias
así como de la revisión de todos aquellos documentos que hayan sido solicitados
a lo largo de la ejecución de la auditoría.·
Realización del informe de
auditoría.
El resultado final del proceso de auditoría debe
quedar plasmado en el informe de auditoría que incluye la conclusión del
auditor respecto del funcionamiento de las medidas de seguridad y constata los
hechos, datos u observaciones en los que se basa dicha conclusión. Llegado este
punto, el auditor debe examinar y valorar las evidencias obtenidas y
seleccionar aquellas que considera relevantes en la demostración del
cumplimiento o no cumplimiento del funcionamiento de las medidas de seguridad.
El informe debe proporcionar al auditado una imagen fiel y real de cuál es la
situación de las medidas de seguridad revisadas y si suponen o no un incumplimiento
del citado Reglamento.
El tema asignado era la "Privacy by design" de la que había leído alguna cosa en blogs pero sobre el que no había todavía podido profundizar. Sin embargo, estas dos últimas semanas recopilando información y reflexiones para la presentación he podido ser consciente del gran cambio que esconden estos tres términos y que pudiera suponer un antes y un después en materia de protección de datos y en el diseño de sistemas y productos tecnológicos en general. Para tratar de contextualizar estos hechos, viajemos durante unas líneas al futuro y pensemos en cómo serán las cosas en unos años, pongamos 20 por ejemplo.
"Suena el despertador. Te levantas y tras la ducha matutina te diriges a la cocina a prepararte un rico desayuno. Abres la nevera y tras coger la mortadela y la leche, la voz sintética de tu nevera te dice:
- Buenos días, señor Cao, Le notifico que ayer envié la orden del pedido mensual de leche a su centro comercial. Le llegará en breve la factura de compra porque en mi inventario interno tengo registrado que la botella que acaba de coger es la última. Además, he podido consultar la información de Google Health y acaba de recibir los resultados de su analítica, por lo que le aconsejo que cambie la mortadela por pechuga de pavo que tiene menos grasa y mejorará su colesterol.
Vaya, mi nevera parece mi madre. ¿Cómo hemos podido llegar a esto?"
Estamos en un momento de cambio. La transición a IPv6 empieza y cada vez será más cotidiano que electrodomésticos ahora pasivos puedan ser proactivos y puedan autogestionarse o al menos, planificar ciertas decisiones en base a un conjunto de parámetros que podremos introducir en su sistema. Además, todos estos elementos formarán seguramente un todo dentro del centro de control domótico de tu casa y el usuario podrá predefinir ciertas reglas o decisiones basadas en la correlación de eventos que vayan siendo recogidos por los diferentes electrodomésticos. ¿Y cómo los electrodomésticos detectarán eventos o cambios de estados? Seguramente las tecnologías RFID aportarán la capacidad de generar información sobre transiciones de estado basándose en nuestro comportamiento normal en casa. Cuando vayas a la nevera a coger algo, el sistema podrá conocer cual es el número de unidades restantes de ese producto, si debe o no realizar alguna notificación respecto a la reposición de stock. Si además dispone de otras informaciones podrá valorar la acción del sujeto y recomendar cambios de decisión.
Hasta aquí, sinceramente todo parecen ventajas. ¿Dónde está el problema? La amenaza se plantea cuando no se determine dónde está la frontera respecto a la gestión y acceso de esa información. Si el usuario tiene el control de todo esto y es él quien decide qué quiere que sepa su centro comercial, qué información de su estado de salud debe procesar Google, qué datos no será recogidos aunque tengan identificadores RFID, etc, la privacidad seguirá bajo el control del afectado. Pero si los sistemas de información domóticos y domésticos se diseñan para incrementar los beneficios de las empresas potencialmente interesadas en esa información, sin contemplar restricciones y tratando más de hacer un análisis proactivo de demanda de bienes para disminuir los costes de marketing o satisfacer necesidades creadas sobre el cliente la cosa pintará mal. Porque en estos casos, los intereses creados por las empresas pueden pervertir o condicionar la toma de decisiones o el asesoramiento, y en vez de buscar el beneficio del afectado pueden simplemente atender a los intereses comerciales de las compañías suministradoras.
¿Y cómo está relacionado esto con la "Privacy by design"?
Este término establece 7 principios básicos que deben orientar el diseño y desarrollo de sistemas y tecnologías que traten datos de carácter personal. Son los siguientes:
1. Proactivo, no Reactivo; Preventivo no Correctivo
El enfoque de Privacidad por Diseño (PbD por sus siglas en Inglés) está caracterizado por medidas proactivas, en vez de reactivas. Anticipa y previene eventos de invasión de privacidad antes de que estos ocurran. PbD no espera a que los riesgos se materialicen, ni ofrece remedios para resolver infracciones de privacidad una vez que ya ocurrieron – su finalidad es prevenir que ocurran. En resumen, Privacidad por Diseño llega antes del suceso, no después.
2. Privacidad como la Configuración Predeterminada
Todos podemos estar seguros de una cosa – ¡Lo predeterminado es lo que manda! La Privacidad por Diseño busca entregar el máximo grado de privacidad asegurándose de que los datos personales estén protegidos automáticamente en cualquier sistema de IT dado o en cualquier práctica de negocios. Si una la persona no toma una acción, aún así la privacidad se mantiene intacta. No se requiere acción alguna de parte de la persona para proteger la privacidad – está interconstruida en el sistema, como una configuración predeterminada.
3. Privacidad Incrustada en el Diseño
La Privacidad por Diseño está incrustada en el diseño y la arquitectura de los sistemas de Tecnologías de Información y en las prácticas de negocios. No está colgada como un suplemento, después del suceso. El resultado es que la privacidad se convierte en un componente esencial de la funcionalidad central que está siendo entregada. La privacidad es parte integral del sistema, sin disminuir su funcionalidad. 4. Funcionalidad Total – “Todos ganan”, no “Si alguien gana, otro pierde”
Privacidad por Diseño busca acomodar todos los intereses y objetivos legítimos de una forma “ganar-ganar”, no a través de un método anticuado de “si alguien gana, otro pierde”, donde se realizan concesiones innecesarias. Privacidad por Diseño evita la hipocresía de las falsas dualidades, tales como privacidad versus seguridad, demostrando que sí es posible tener ambas al mismo tiempo.
5. Seguridad Extremo-a-Extremo – Protección de Ciclo de Vida Completo
Habiendo sido incrustada en el sistema antes de que el primer elemento de información haya sido recolectado, la Privacidad por Diseño se extiende con seguridad a través del ciclo de vida completo de los datos involucrados – las medidas de seguridad robustas son esenciales para la privacidad, de inicio a fin. Esto garantiza que todos los datos son retenidos con seguridad, y luego destruidos con seguridad al final del proceso, sin demoras. Por lo tanto, la Privacidad por Diseño garantiza una administración segura del ciclo de vida de la información, desde la cuna hasta la tumba, desde un extremo hacia el otro.
6. Visibilidad y Transparencia – Mantenerlo Abierto
Privacidad por Diseño busca asegurar a todos los involucrados que cualquiera que sea la práctica de negocios o tecnología involucrada, esta en realidad esté operando de acuerdo a las promesas y objetivos declarados, sujeta a verificación independiente. Sus partes componentes y operaciones permanecen visibles y transparentes, a usuarios y a proveedores. Recuerde, confíe pero verifique.
7. Respeto por la Privacidad de los Usuarios – Mantener un Enfoque Centrado en el Usuario
Por encima de todo, la Privacidad por Diseño requiere que los arquitectos y operadores mantengan en una posición superior los intereses de las personas, ofreciendo medidas tales como predefinidos de privacidad robustos, notificación apropiada, y facultando opciones amigables para el usuario. Hay que mantener al usuario en el centro de las prioridades.
La otra reflexión que he podido extraer de todo esto es que parece ya plantearse si es necesario establecer ciertas restricciones al desarrollo tecnológico. Hasta la fecha, la tecnología es un fórmula uno que avanza sin parar, sin restricciones, sin límites, sin reglas tratando de producir mejoras en el día a día aunque estas muchas veces sean necesidades fictícias o creadas para satisfacer ciertos intereses.
En el "Privacy by design" se pone fin al "todo vale". Se determina que es necesario antes de la construcción de un nuevo aparato o servicio pensar en qué impacto potencial tiene para la privacidad. Es lo que se llama un "Privacy Impact Analysis (PIA)" que es una reflexión respecto a la finalidad de lo que se va a construir y las consecuencias posibles que pudiera tener para la privacidad del usuario. Obviamente esto no va a gustar a muchos modelos de negocio, actuales o futuros y la presión por evitar o minimizar la aplicación de este criterio de diseño sea importante. Por eso el titulo del post acaba con la coletilla "nos jugamos mucho". Porque ante una filosofía basada en la explotación voraz de información en beneficio de las grandes empresas orientadas a maximizar sus beneficios y una filosofía basada en el interés del afectado y el control a su gusto de su privacidad atendiendo a sus criterios o intereses, se crearán tensiones importantes que condicionarán seguramente los desarrollos reglamentarios de los marcos de protección de datos.
Habrá que ver si finalmente la futura directiva o cualquier otra regulación a nivel mundial defiende el interés de las personas o se somete a los intereses de los "mercados". Habrá que ver si es el hombre quien domina la tecnología o creamos un segundo Dios (La economía ya es el primero) que somete al hombre.
A continuación os dejo la presentación que he empleado para exponer estas conclusiones en un formato nuevo y experimental para mi pero a la vez innovador y atractivo por sus nuevas posibilidades. Tratando de huir de la "muerte por Powerpoint" de las filosofías tradicionales de presentación, he decidido probar el servicio "Prezi.com" que sinceramente y tras un periodo breve de adaptación mental en cuanto a la estructuración de contenidos, me ha parecido útil para reflejar una navegación basada en conceptos y no en la linealidad que proporciona el Powerpoint.
Postdata: Para los que hayáis visto en el ejemplo un pelín de exageración, en la presentación se acaba con un ejemplo real que supone un primer paso en esa linea.
