lunes, 6 de abril de 2009

Caso Lobezno, complejidad del delito tecnológico y su investigación policial

A través de Alfredo Reino he dado con una noticia que me ha hecho reflexionar sobre varios aspectos relevantes desde la perspectiva de la seguridad de la información tal como apunta Alfredo en el título de su post. De nuevo todo relacionado con los "riesgos ocultos de la externalización".

Desde la perspectiva financiera, la subcontratación es generalmente vendida como una muy buena alternativa atendiendo sólo al análisis de costes. Sin embargo, esta visión "económica" del asunto puede no contemplar otras problemáticas indirectas, vinculadas por ejemplo a la continuidad de servicios que finalmente pueden acabar engordando esas cifras de costes "ideales" que se plantean en el análisis inicial.

Como de estas cosas se aprende a base de ejemplos y situaciones del mundo real, el caso "Lobezno" nos sirve para ejemplificar muy bien la situación.

En el caso "Lobezno", la investigación policial para aclarar el delito ha recurrido a la "incautación" del material supuestamente delictivo. A efectos de la ley no hay consideraciones de hosting que valgan y si un servidor debe ser requisado le da igual que en él se encuentren servicios de una o de varias empresas, el material es intervenido. Este hecho pone de manifiesto una de las principales causas por las que el "delito tecnológico" es frecuentemente no denunciado y por lo que en estadísticas no aparece con un elevado índice de criminalidad. El razonamiento tiene que ver precisamente con el grave trastorno que supone para la empresa víctima el proceso de investigación criminal. En muchos casos, la policía debe incautar las pruebas y cuando estas son precisamente el servidor de la empresa, es peor el remedio que la enfermedad. O sea, es mejor ser víctima anónima que victima denunciante y que te requisen los equipos.

Respecto a las reflexiones sobre la subcontratación y la relación contractual entre cliente y prestador, es necesario valorar que los costes del housing/hosting directos son claros, se paga por el servicio. Sin embargo, lo que tenemos que considerar en estos casos es también el coste indirecto de subcontratación que podríamos llegar a asumir como ya insistí en el post "La subcontratación del riesgo" .

Por tanto, este tipo de consideraciones o de hipotéticas situaciones también debe tenerse en cuenta, sobre todo si hablamos de continuidad de negocio. Sin embargo, es raro encontrar contratos de housing/hosting que en sus cláusulas contractuales desciendan hasta ese nivel de detalle. Evidentemente el prestador del servicio no es parte interesada en aclarar este tipo de situaciones pero el cliente SI debería valorarlas adecuadamente dado que las consecuencias/transcendencia de las incidencias sólo tendrán repercusión en la empresa afectada. De nuevo cuando se contratan servicios lo importante es tener claro lo que necesitamos y no sólo lo que nos ofrecen. Por mucho marketing que se haga, es dificil creer que un lobo va a ser tan bueno que se va a poner a jugar con las ovejas aunque lo ponga la publicidad.

Relacionado con estos temas de "contextualización de la seguridad" o de servicios de seguridad realizados por terceros, la semana pasada participé en una jornada donde yo hablaba de "gestión de la seguridad" y otra empresa de "seguridad gestionada". Al terminar uno de los asistentes planteó una cuestión que me pareció esencial respecto a este tipo de servicios. La pregunta trataba de ver "cómo se relativizan" los resultados de este tipo de servicios al "análisis de riesgos" que una empresa haya realizado previamente. Básicamente sería "cómo" valorar los servicios que se proporcionan en el contexto de la organización cliente porque solo el responsable del daño es capaz de valorar las consecuencias de un problema de seguridad.

Este tipo de servicios no deben quedar en proporcionar un listado de equipos sin parchear, de incidencias detectadas a través de las sondas, etc... sino que deberían ponderar cada uno de los incidentes desde la perspectiva del análisis de riesgos que haya realizado la organización.
Pongo un ejemplo:
Caso A: Que una máquina no tenga instalado el último parche de Windows puede no ser un riesgo relevante si se trata de una máquina interna que no proporciona servicios críticos o muy crítico si se trata de un equipo expuesto a Internet desde donde se prestan servicios básicos.

Caso B: Que un servidor reciba un escaneo de puertos puede no ser un riesgo relevante si se trata de una máquina interna sin información confidencial o muy crítico si se trata de un equipo donde se encuentra información muy relevante para el futuro de la compañía con planes de negocio que la competencia quería conocer.


Por tanto, los mismos "eventos" podrían ser cualificados de forma muy distinta atendiendo al valor de los activos afectados. Yo entiendo que un buen servicio de seguridad gestionada debe "contextualizar" los resultados hacia los riesgos que la propia organización haya detectado por un solo motivo: el riesgo SI se puede transferir, pero no así la responsabilidad. Por tanto, lo importante es conocer los eventos que significan un incidente de seguridad para el negocio y no sólo disponer de un listado de eventos potencialmente peligrosos pero que pueden quedarse en falsas alarmas por su escasa trascendencia para nuestra organización.

Otra reflexión del caso Lobezno tiene que ver con el tema de la protección intelectual e Internet. Estamos ahora en época de plantear soluciones respecto a esta problemática pero de nuevo las "Autoridades" demuestran su escaso conocimiento del problema. La raíz del problema de la piratería, al menos en el caso del cine frecuentemente se encuentra en la cadena de custodia por donde circula el material protegido y no sólo en el tramo final, cuando se expone en los cines. Creo que si se corta el tráfico P2P, se comercializará con este tipo de mercancía de otras formas y en otros mercados pero el cine seguirá siendo pirateado. Las películas circularán por contrabando y quizás en vez de ser intercambiadas a través de Internet, se volverá al envío postal de paquetes conteniendo el material ilícito. Es la gente de dentro, la que tiene acceso al material antes de la comercialización la que "más daña al cine". Al igual que ocurre con la seguridad, es bonito pensar que los malos están fuera de la organización pero realmente los problemas gordos siempre están dentro, los "insiders" como bien explica en este interesantísimo post Bruce Schneier.

1 comentarios:

Alfredo dijo...

Un post excelente. Hace poco tuve un "debate de café" con compañeros acerca de las soluciones SaaS "multi-tenant" y la exposición a riesgos de este tipo.

Imagina que un juez americano "incauta" SalesForce.com o similar.

En fin, gracias por el enlace :)

 
;