miércoles, 30 de diciembre de 2009 0 comentarios

Abandonar datos de carácter personal en la calle puede salir muy caro

Hoy quiero comentar una noticia reciente sobre una sanción de la Agencia de Protección de Datos. El caso se refiere a un médico que en su consulta particular cometió el error de abandonar muestras en la calle. Para desgracia de este médico, la negligencia no ha sido cometida en su trabajo como funcionario y al tratarse de una entidad privada, la sanción es económica y se eleva a los 60.101 euros por una infracción muy grave sobre el artículo 10, Deber de secreto de los datos de carácter personal.

El detalle de la noticia puede leerse en este enlace "La Agencia de Protección de Datos sanciona a un médico de Gijón por tirar envases de biopsias con datos personales" pero lo curioso de la situación es que un porcentaje altísimo de las consultas particulares que los médicos tienen en su domicilio incumple con la legislación en materia de protección de datos.
De mi propia experiencia personal (que por suerte es relativamente poca dado que no suelo tener que ir mucho al médico) siempre observo deficiencias muy básicas como no informar correctamente en las tomas de datos con las cláusulas correspondientes, la presencia de equipamiento informático sin las correspondientes medidas de seguridad.

Además, el vencimiento de los plazos de adaptación del R.D. 1720/2007 de desarrollo de la Ley 15/1999 de Protección de Datos de Carácter Personal hace que médicos que siguen pensando que la LOPD sólo aplica a los medios informáticos no estén considerando que sus fichas de pacientes en papel también tienen que tener medidas de seguridad (entre ellas, el famoso documento de seguridad donde se explican cuáles exactamente).

Todo ello pone de manifiesto la escasa concienciación que hay dentro del sector de la medicina privada y particular (las consultas en domicilios generalmente) de la severidad que tienen las sanciones de la Agencia de Protección de Datos cuando hay cualquier fuga de información. Obviamente, las inspecciones sólo se realizan cuando hay un incidente. Como en otros campos, la seguridad sólo se tiene en cuenta cuando hay problemas, pero en este caso, si eso ocurre, ya tienes sanción impuesta y el coste del incidente puede superar el precio de las medidas preventivas que son necesarias tener aplicadas. Como se suele decir, la letra con sangre entra.
viernes, 18 de diciembre de 2009 0 comentarios

El principio del eslabón más débil

La verdad es que hay veces que las noticias me dejan un poco flipado. No consigo entender cómo en el diseño de ciertos equipos, aplicaciones o incluso en este caso, armamento militar no se incluye como máxima principal el principio del eslabon más débil. Como ya pasó con el post de SITEL y su generación de evidencias que no eran válidas como prueba, en este caso la cosa todavía es más gorda teniendo en cuenta el coste que tienen los proyectos militares.

La noticia, original de EL PAÍS.com es contundente: Aviones espía norteamericanos, pirateados con un programa que cuesta 26 dólares.

Un ejemplo más de cómo en esto de la seguridad no se puede dejar ningún cabo suelto. Y mucho menos cuando además, el objeto en cuestión va a ser examinado, revisado y atacado por cualquiera de sus vulnerabilidades. Pensar que tu enemigo no está a tu altura o no lo intentará estar, es un mal análisis de la situación inicial. Como decía cierto anuncio de una empresa de tarjetas de crédito:
1.- "Que tengas un portatil para recibir imagenes de un avión no tripulado: 1.000 €"
2.- "Que tengas un avión no tripulado que permite espiar: 1.000.000 €"
3.- "Que te lo pirateen con un software de 26 € no tiene precio"
jueves, 17 de diciembre de 2009 4 comentarios

¿Por qué tienen éxito el phishing o el scam? Psicología de las víctimas de una estafa.

Siempre que abordamos cualquier intento de establecer medidas de seguridad debemos no perder de vista el factor humano, tanto desde la perspectiva del que va a tener que ponerlas en marcha como desde la perspectiva del que las va a sufrir como usuario. La psicología de la seguridad es un campo apasionante en el que intento profundizar más cada día y está relacionado con otras emociones tan comunes como el miedo.

El enlace que hoy quiero compartir es un estudio de la Universidad de Cambridge desde la perspectiva de la victima. ¿Es posible que se den determinadas circunstancias en donde seamos más vulnerables?. Parece que sí, podemos hablar del riesgo a ser estafado. En ciertos contextos podemos, sin darnos cuenta, caer en las manos del estafador. El estudio analiza diferentes tipos de estafa y establece siete principios de nos hacen picar con más facilidad. Estos son:
  • 1. El principio de la distracción:
    Mientras que usted está distraído por lo que considera de su interés, los estafadores pueden estar haciendo en ese momento algo que usted no note.

  • 2. El principio de obediencia social: La Sociedad nos educa y entrena para no cuestionar la autoridad. Los estafadores pueden aprovechar este "otorgamiento previo de confianza" o "nuestra anulación de la desconfianza" para hacer con usted lo que quieran.

  • 3. El principio del rebaño: Las personas más prudentes y desconfianzas bajan la guardia cuando todo el mundo parece asumir o compartir los mismos riesgos. ¿Seguridad en multitudes? No, si todos los que te acompañan están conspirando contra ti.

  • 4. El principio de falta de honradez: Cualquier cosa ilegal que hagas será usado en su contra por el defraudador, haciendo más difícil para usted para buscar ayuda una vez que te das cuenta que has podido ser estafado.

  • 5. El principio del engaño: Las cosas y las personas no son lo que parecen. Los estafadores saben cómo manipularte para que creas que son lo que no parecen.

  • 6. La necesidad y el principio de la codicia:Tus necesidades y deseos te hacen vulnerable. Una vez que los estafadores lo saben, pueden utilizarlo para poder manipularte.

  • 7. El principio de tiempo: Cuando usted está bajo presión por disponer de poco tiempo para tomar una decisión importante, se utiliza una estrategia de decisión diferente. Los estafadores pueden preparar una estrategia para envolverte y dirigirte a tomar una decisión menos razonable.


El estudio completo se puede consultar en Understanding scam victims: seven principles for systems security.

Tras leerlo me vienen a la memoria varias peliculas que tienen como argumento principal una gran estafa como pueden ser las series Ocean Eleven, ¿Cuantas de estas estrategias localizais en ellas? ¿Sorprendente, no?
martes, 15 de diciembre de 2009 0 comentarios

Caballo de troya al cuadrado

¿Qué es un troyano sobre un caballo de troya? Un troyaballo.
jueves, 10 de diciembre de 2009 0 comentarios

Campaña contra la pornografía infantil

Hay temas que no requieren comentarios, solo un apoyo unánime.

miércoles, 9 de diciembre de 2009 0 comentarios

Microsoft dando ejemplo en la nube mediante ISO 27001

Leo vía Joseba Enjuto una noticia sobre la implantación por parte de Microsoft de un sistema de gestión de la seguridad de la información sobre sus servicios en la nube.

Es una buena noticia por varios motivos. El primero es la consolidación de la norma ISO 27001 como una referencia en materia de seguridad de la información. Los estándares internacionales son buenas intenciones que normalizan un conjunto de criterios en base al conocimiento de los expertos que colaboran en su desarrollo. Sin embargo, su éxito debe darlo el mercado. Hasta que no se transforma en una herramienta de valor o de diferenciación y no goza del reconocimiento por parte de los demás, no son una referencia o estandar "de facto". En materia de seguridad es cierto que no existen códigos de buenas prácticas que sean tan generales o tan aplicables, pero que las grandes empresas apuesten por ellos siempre son un catalizador para el mercado. Esta vez España no queda atrás, dado que las principales empresas que lograron con éxito sus certificaciones ISO 27001 han sido los servicios TI de las grandes empresas de administración y gestión de sistemas de información bajo servicios de outsourcing. Por poner varios ejemplos, tenemos entre las grandes las siguientes referencias:

El resto de empresas que lo han logrado se pueden consultar en la Web ISO27001 Certificates aunque esta no es una Web oficial.

El segundo es ver cómo Microsoft desde hace ya algunos años (quizás desde la catarsis que supuso Milenium) ha decidido siempre apostar por la coherencia y contar las cosas desde el ejemplo. He asistido a presentaciones técnicas donde siempre muestran cómo lo hacen ellos primero y luego resuelven el problema en un cliente concreto. Creo que es una muy buena apuesta, dado que al ser los primeros en sufrir los problemas, son también los primeros en detectarlos y corregirlos. También es interesante ver cómo se abre a los nuevos tiempos y comparte una ingente información de gran calidad tanto a nivel técnico como a nivel estratégico. Y en esto de la nube no quieren quedarse tampoco atrás. En este nuevo escenario, como ya hemos comentado en este blog, la confianza es un elemento que aporta clientes, mostrar y sobre todo demostrar diligencia y seriedad son siempre un buen argumento comercial.
La noticia original, para aquellos que quieran investigar o buscar argumentos anti-Microsoft puede leerse en Microsoft seeks ISO security certification for its cloud services y para los más exigentes, incluso pueden revisar los post de este blog o leer este excelente whitepaper sobre cómo han logrado implantar la ISO 27001 donde también se dan muchos más detalles, incluso del alcance del SGSI.



Con dos cojones (con perdon), han publicado los alcances de todos los centros certificados en relación a los servicios de la nube. Esto si es tenerlos bien puestos.

Estas son las políticas de transparencias que requiere la nube. Que sean los demás, un tercero quien establezca qué confianza mereces. Es mejor una revisión independiente. Lo "open..." puede o no ser transparente. Yo sinceramente, entre tener acceso al código o tener acceso a los planos, prefiero esto segundo. Me proporciona más información y me da más confianza. Estos documentos pueden ser revisados y entendidos sin grandes esfuerzos. Lo otro por ahora, que me demuestren que es una ventaja real porque cuando "mil ojos miran, ninguno examina". Hace tiempo leyendo el libro "The Tipping Point" comentaban una situación paradójica en relación al poder del contexto. Cuando ante una situación de emergencia hay varias personas presentes, ninguna socorre porque consideran que irá "el otro". Sin embargo, en la misma situación si estás solo, sales al rescate. ¿Por qué? Porque siempre queremos que los valientes sean otros... y con el acceso al código y la seguridad creo que pasa lo mismo. Es seguro porque se puede mirar, auditar y revisar, pero que lo haga otro. Yo sinceramente prefiero en estos casos, ver que existen certificaciones del tipo ISO 15408 donde se que alguien, que seguramente además sabe mucho, ya ha hecho ese trabajo.
miércoles, 2 de diciembre de 2009 4 comentarios

Si la música es empleo, ¿qué es la informática?

Los músicos se manifestaban ayer por los problemas que acucian a su sector. Este vídeo que colgó en su momento Paloma Llaneza realmente pone de manifiesto la realidad del problema y logra abrir un poco más los ojos sobre esa realidad que supone el beneficio que obtienen los que se lucran del sudor de otros.



Los músicos (los autores o creadores) tienen razón y hacen bien en defender su propiedad intelectual pero la evolución de la sociedad valora unos trabajos y deprecia otros. Un panadero del siglo XXI no gana lo que uno del siglo XIX. Lo mismo ocurre a un herrero, un soldador, un futbolista, etc. La sociedad cambia de criterio a la hora de atribuir mérito o valor a las cosas y lo que hoy genera ingresos, mañana puede estar completamente devaluado. Que se lo cuenten a los oficios que han desaparecido a día de hoy por los avances técnicos de nuestra sociedad. La tecnología tiene sus pros y sus contras. El empleo ni se crea ni se destruye, sólo se transforma. E igual que el esfuerzo y trabajo por elaborar y producir una nueva creación antes era un trabajo más artesanal y laborioso, no es lógico y razonable que se pretenda eternizar el precio cuando todos sabemos que los costes de producción han bajado y la complejidad de las actividades de producción se ha reducido (gracias al software por ejemplo).

Quizás la música vive un problema similar a la agricultura. El que sufre por crear o por plantar es quien tiene el mérito del trabajo y del sudor, pero el modelo productivo establecido hace que el dinero lo acaben ganando los intermediarios. Lo mismo que le ocurre a los agricultores con las distribuidoras y comercializadoras de sus productos les ocurre ahora a los músicos con las operadoras de servicios de telecomunicaciones. Quienes se benefician completamente del tráfico de información son los intermediarios, los que ponen las tuberías por las que circula su propiedad intelectual. Además al principio con cierto descaro usaban la descarga de estos contenidos como atractivo para lograr abonados a sus redes de interconexión.

Sin embargo, al leer su manifiesto me ha venido a la mente el relato de "El conde Lucanor" de Don Juan Manuel.

Había una vez dos hombre que eran muy ricos, pero por determinadas situaciones habían acabado los dos mucho mas pobres de lo que ellos nunca hubieran imaginado, estando uno buscando algo para comer, encontró una bolsa de altramuces empezó a comerlos y sintiéndose tan pobre comiendo esos altramuces tan amargos y tirando las cáscaras hacia atrás... empezó llorar, así dándose cuenta de que detrás de él había otro hombre todavía mas pobre que él porque el otro hombre estaba comiendo las cáscaras que él echaba.


Comprendo su situación pero cada gremio tiene sus problemas y el nuestro de la informática es otro de esos ignorados. Si la música es cultura y genera empleo, ¿qué es la informática para la sociedad de la información?

No me dedico al software aunque siempre me gustó resolver retos y problemas. Cuando estudiaba en la carrera algunos profesores comentaban que eramos los arquitectos del siglo XXI, que seríamos los cimientos de la "supuesta sociedad de la información". Sin embargo y paradójicamente en el máximo momento de desarrollo tecnológico parece que para la informática no cuentan las reglas de la responsabilidad atribuidas a comercializar productos en el mercado, no valen las regulaciones ni las normativas de fabricación, no valen los criterios de calidad ni de certificación de componentes. Es software y parece que no necesita garantías. (Se que esta afirmación no es cierta en todos los entornos, la aeronáutica, la medicina y otras áreas donde el software tiene un papel muy relevante para garantizar la vida de las personas no funciona bajo este paradigma de la no garantía y la no industrialización del software).

Sin embargo, me toca juzgar en mi trabajo la seguridad de la información y no deja de impactarme el ver como lo importante sigue siendo poner servicios o productos en marcha a cualquier precio, de cualquier forma, sea como sea aunque no sea seguro.

La siguiente parte del post utiliza reflexiones que ha volcado también Héctor Montenegro en su blog en contados textos. Creo que él mejor que yo puede hablar con más propiedad de la situación de la industria del software en España. Sus mejores post sobre este tema son:

El software cada vez tiene más importancia en nuestro día a día, cada vez es más responsable del buen funcionamiento de nuestros procesos de negocio, cada día es más relevante para lograr un bienestar en la sociedad de la información. Y en plena transición del papel a lo electrónico, empieza a ser necesario que las casas del software se construyan con planos, que los diagnósticos técnicos se realicen por parte de profesionales acreditados, que si cualquiera puede desarrollar y poner a disposición servicios basados en el software, también responda por ellos si estos han sido desarrollados con negligencia o con defectos en su fabricación. Porque la complejidad va en aumento y esto que estamos construyendo es un castillo de naipes. Cada pieza se apoya en otra y no tener garantías de cómo están los cimientos solo puede producir algo muy malo. Un día una pieza esencial caerá y todas las demás piezas irán detrás.

Por eso es posible hacer un manifiesto paralelo al elaborado por los músicos que también refleja la situación en la que se encuentra el software. Porque en el software también nos estamos acostumbrando al todo gratis y todo libre. Sin embargo, todas las aplicaciones no pueden entrar en este juego. Y además, las Administraciones Públicas están cometiendo un error muy grave cuando confunden "propiedad" con "oscuridad" o "acceso al código fuente" con "calidad del software".

Creo que para comparar el software con justicia no se puede atender únicamente al argumento del coste de licencia. Eso es una mira cortoplacista e ingenua. Me canso de oír en las Administraciones cuando se habla de las suites ofimáticas... hombre, ¡cómo vamos a pagar esa barbaridad por las licencias!

Y mi reflexión interna siempre es... es que vas a pagar una barbaridad más en productividad y rendimiento. No nos engañemos, muchos productos opensource y gratuitos imitan pero no inventan. Su única aspiración es hacer con código abierto lo que hace ya una aplicación comercial optimizada. Y por desgracia para ellos, los resultados no son los mismos. No trabaja igual el que imita que el que crea. El que tiene por objetivo mejorar en rendimiento que el que sólo aspira a tener una funcionalidad similar. Y detrás de todo eso hay un gran coste oculto que nadie mira o quiere mirar.

Claro que es uno de los sintomas que acechan a la productividad de nuestro país. Esta mañana estaba auditando un organismo que trabaja con Office2000. Un software de 10 años (que está plenamente operativo) pero que no incorpora muchas mejoras que hacen que a diario se pierdan varios segundos al día de cientos de funcionarios en hacer tareas que ahora en las nuevas versiones están a golpe de click (¿Es menor ese coste que lo que vale actualizar las licencias?)

El mercado debe juzgar a los productos por su mérito y por su productividad, no sólo por su forma de creación. Opensource no es sinónimo de calidad del software. Lo que es importante es que detrás de cada aplicación haya un responsable. Y aquel que confíe en un producto que le proporciona el acceso al código fuente, que también se haga responsable de lo que en esas líneas está escrito. Si funciona y es competitivo, chapó por el programador que haya decidido regalar su tiempo y aspirar a vivir de los servicios que genere ese producto. Pero si no funciona, que respondan por él aquellas personas que han decidido confiar en un profesional que pudo no estar capacitado para crear un producto con plenas garantías. Si somos valientes para ponerlo en producción y vendemos como garantía que el código se puede leer, seamos también valientes para responder por él. Si confiamos en las líneas de código de vete a saber quien en vete a saber donde, asumamos la responsabilidad que ello supone por tomar esa decisión dentro de nuestra organización. Para eso está la Comunidad, para dejar tranquilos a los responsables que confíen en ella y en su rigor a la hora de encontrar errores en ese código abierto. Y este baremo o criterio de exigencia, por supuesto, que se aplique también a los fabricantes comerciales del software. Todos deben trabajar con la misma profesionalidad y diligencia. Es necesario empezar a pensar en industrializar el proceso del software y dotarlo de los criterios de calidad, regulación y cumplimiento normativo que tiene cualquier otro elemento que forma parte de nuestra sociedad como bien de consumo.

Porque una sociedad del siglo XXI no se puede permitir basar su funcionamiento en elementos sin garantías. Es un contrasentido que tenga más fiabilidad una lavadora, un tostador o un cuchillo de cocina que se ven sometidos a normativas, a controles de calidad y a pruebas de fabricación que un desarrollo software que puede estar soportando servicios básicos de la sociedad del siglo XXI. Y tenemos un handicap en nuestra contra. La complejidad sigue aumentando y la interdependencia entre piezas sin garantías aumenta. Como digo, es un rascacielos construido con cimientos de barro que algún día tendrá problemas.
 
;