martes, 27 de julio de 2010

Las fugas de información en el entorno militar

Esta semana tenemos uno de los mayores escándalos que ilustran la "inseguridad de la información". Estoy hablando de la fuga de más de 92.000 documentos que se ha producido en la Web WikiLeaks y que han sido posteriormente comentados en toda la prensa internacional.

Tal como se relata en la noticia publicada por El periódico.com,
"Esta Web se nutre de lo que en inglés se denomina whistle blowers (literalmente «tocadores del silbato»; o sea, soplones pero sin la acepción peyorativa). Son personas que, de forma anónima, denuncian prácticas ilegales, corruptas o simplemente cuestionables dentro de su propia organización."


Lo más notorio del hecho es que se produce en el seno del Ejercito de los EE.UU. y pone de manifiesto que las guerras del siglo XXI ya no se deciden solo en el campo de batalla físico. En este caso, la información revela datos sensibles y sustancioso de la estrategia americana empleada en estos últimos años y la fuga ha sido utilizada para denunciar lo ilícito del conflicto.

Sin embargo el hecho no sorprende mucho dado que semejante cantidad de información puede corresponder a la pérdida de un disco duro o a la sustracción de un portátil de un alto cargo del Ejército.
Sin embargo hay una cosa que si llama la atención y es la supuesta ausencia de regulación en el uso de las tecnologías de la información que parece existir en el ejercito. Hace tiempo se conocieron fotos explícitas sobre violaciones y torturas de los guardias norteamericanos contra los prisioneros iraquíes en la cárcel de Abu Ghraib todas ellas realizadas con móviles personales. En algunos programas de televisión donde se entrevistan a soldados en el frente es común ver como dentro de los elementos de ocio que llevan los soldados a sus desplazamientos aparecen portátiles, dispositivos de reproducción multimedia, etc.

Obviamente la información en soporte digital es muy dificil de controlar pero si debieran existir ciertas normas respecto a qué se puede o no hacer con la informática personal dentro del ejercito, de la misma forma que estas prácticas se regulan dentro de otras organizaciones. La diferencia sustancial entre ambas problemáticas es que en el entorno corporativo, un empleado sabe cuando hace uso de los medios de la empresa y esta utilización se limita a su presencia en las instalaciones de la empresa dentro del horario laboral.
Sin embargo, dentro del entorno militar no existe esta separación entre entornos dado que el militar en misión humanitaria vive dentro del cuartel y está operativo en todo momento. Por tanto, lo que si debiera existir es un ferreo control sobre los elementos tecnologicos que son oficiales y los que no lo son, de forma que no se permita mezclar ambos entornos.

6 comentarios:

Anónimo dijo...

No estoy de acuerdo. El problema aquí no es la existencia o no de normas a ese respecto.

Las normas/reglas/legislación por sí mismas sirven de poco. Tienes que hacer que tu sistema sea robusto frente a la violación de esas normas por parte de sus usuarios.

Si la "seguridad" del ejército de los EE.UU. depende única o principalmente de que sus soldados cumplan una norma draconiana que exija que nadie use móviles, portátiles, etc. personales, mal van.

Asimismo, es muy común en las empresas que los empleados puedan utilizar sus equipos personales en las instalaciones de la compañía (o al menos suele no estar regulado). Incluso si está regulado, es algo que es muy difícil de controlar, así que basar tu defensa en reglas de este tipo es usar la técnica del avestruz: sí, quizás te sientas más seguro, pero no, realmente no lo estás.

Javier Cao Avellaneda dijo...

En mi entrada quería expresar que las normas de uso son una de las medidas a contemplar, no la única.
La ambigüedad es enemiga de la seguridad.

Respecto al uso de medios personales, depende de la organización y sus necesidades de seguridad pero en el entorno financiero no es nada común que puedas llevar material doméstico a la oficina y conectarlo a la red. Obviamente es dificil de controlar la seguridad porque la protección frente a atacantes internos es compleja de gestionar.
Deben existir controles compensatorios basados en la detección temprana y monitorización de anomalias pero no me imagino desplegando redes de IPS o IDS en un campamento militar en medio de la nada. En cualquier caso, no me parece razonable que un soldado en combate lleve su teléfono móvil o una videocámara en el bolsillo y las imagenes que yo he podido ver de la guerra de Irak corresponden a ese tipo de casuística.

Anónimo dijo...

En mi comentario expreso que las normas de uso son una medida reactiva. Muchos usuarios las desconocen o directamente las ignoran.

Existen medidas de seguridad físicas y de red preventivas, aplicables a amenazas internas (filtración de información, etc.) que son útiles hasta cierto punto. Desde luego no son infalibles, pero sí más efectivas que simplemente establecer una normativa.

No nos engañemos: las normas no son una medida de seguridad preventiva. No intentemos resolver el problema de las filtraciones con ellas, porque no sirven para eso.

De hecho, yo discuto que sean una medida de seguridad siquiera. Más bien un requisito legal, pero nada más. Mezclar leyes y seguridad de la información es muy mala idea, en mi opinión.

Javier Cao Avellaneda dijo...

Siento no compartir tu opinión respecto a dos cuestiones: las normas de seguridad creo que sí son una medida de seguridad y no de carácter reactivo ni preventivo sino disuasorio.

Las normativas y los procedimientos tienen un caracter regulador y pretenden establecer lo que se puede o no hacer. Su finalidad es por un lado proporcionar instrucciones al empleado o usuario que pueda desconocer o ignorar las limitaciones que existen en su trabajo y por otro, determinar las responsabilidades en caso de desobedecer dicha normativa.

Respecto al carácter de la medida, yo creo que son disuasorias. Hacen que el agresor lo piense dos veces antes de tomar una decisión que pueda sobrepasar las restricciones pero para que funcionen, deben estar vinculadas a las responsabilidades y el proceso disciplinario.

Voy a ponerte dos ejemplos donde esta medida funciona.
1) En una planta industrial peligrosa como una refinería la prevención de riesgos laborales se basa en tres pilares: formación, las medidas propias a aplicar en el trabajo y las normas de seguridad. Todo empleado sabe que si infringue las normas su empleao corre peligro y por tanto, acatan su cumplimiento como parte de sus obligaciones como trabajador.

En los mismos términos funcionan en organizaciones que aplican este criterio a los usos de los sistemas de información pero para ser eficaces, se requiere de un despliegue de medios basados en la monitorización. El empleado debe saber que hay supervisión de sus acciones y que se detectará cuando se pase de la raya. Es una manera de implementar la teoría de la vigilancia que describe el panopticon (http://seguridad-de-la-informacion.blogspot.com/2005/04/el-panopticon-teora-de-la-vigilancia.html).

No es pensar que las normas son sólo un texto, es trabajar por verificar su cumplimiento. Las leyes sin jueces ni policias que persiguen su cumplimiento coincido contigo en que no sirven para nada.

Anónimo dijo...

Las normas no son formación. Las leyes tampoco. Esto, que es algo muy sencillo, no se les ha metido en la cabeza aún a los que dictan normas, y por ello siguen fallando como medida de concienciación.

Una norma sólo permite aplicar un castigo en caso de incumplimiento, por lo que tiene carácter completamente reactivo. Un atacante ya está decidido a atacar, no contempla la existencia de normas,. Los únicos que la contemplarán serán los empleados que las conozcan y que no quieran atacar: es decir, como máximo, las normas evitarán errores de usuarios no maliciosos que las conozcan. Dado que la mayor parte de los usuarios/empleados realmente no conoce las normas y, sobre todo, no conoce su motivo (de nuevo, publicar normas no es dar formación, es exhortar su cumplimiento), el carácter preventivo de las normas es mínimo o nulo.

La monitorización, en cuanto al uso que se le de como prueba para establecer castigos por incumplimiento de normas, es también una medida reactiva.

Por supuesto, si se incumple una norma hay que tomar medidas, teniendo en cuenta también la intencionalidad (un incumplimiento por desconocimiento no debería ser castigado severamente, dependiendo de la norma, claro), pero todo ello es un problema legal, no de seguridad.

Una vez se ha violado la norma, la seguridad se ha visto comprometida, así que poco se puede hacer ya por ella. Basar la seguridad en el cumplimiento de normas por parte de los usuarios es la receta del fracaso.

En mi opinión, hay que trabajar más en la concienciación del usuario y en mejorar las medidas técnicas, y no en establecer normas cuyo cumplimiento no puede garantizarse. Pero claro, aquéllo es muy difícil, mientras que ésto es muy sencillo.

Anónimo dijo...

http://www.elmundo.es/elmundo/2010/08/17/internacional/1282019822.html

 
;