jueves, 2 de diciembre de 2010

Wikileaks es el síntoma, no la enfermedad

Mucho se está hablando esta semana de "inseguridad de la información" dado que las fugas de datos están copando las tertulias y las portadas de los periódicos. Los debates más centrados en el fenómeno que en las causas, están cuestionado si este tipo de noticias son o no periodísmo. En cualquier caso, el tratamiento que tengo que dar desde este blog obviamente está más relacionado con la esencia del problema, "el fallo en las medidas de seguridad". Para ello, pongámonos en situación con un supuesto paralelo que puede representar lo que vengo a comentar.
Imaginemos que estamos en el año 670 antes de Cristo y que alguien de repente decide que para gestionar mejor el trueque prefiere crear unas monedas hechas de una aleación de oro y plata. En aquel momento las reglas del juego en materia del comercio cambian y pasamos de tener que intercambiar objetos a realizar intercambios de objetos por estas nuevas "monedas".
Para el comerciante, de repente, surge un nuevo problema a tratar, el control de dichas monedas. Para ello, tiene que crear sistemas que sirvan para registrar cuantas monedas tiene en la caja, cuantas monedas salen de la misma, cual es el balance final de monedas que tiene tras comerciar, etc. Al principio, cuando el sistema no estaba muy extendido, las cosas eran sencillas de controlar y una gestión muy básica resolvía el problema. Sin embargo, cuando el valor de las cosas se negocia en base a esas monedas, los amigos de lo ajeno ven ahora en ese tesoro su botín. Por tanto, surge la necesidad de proteger y custodiar este nuevo elemento de valor y es necesario mejorar los métodos de control y aparecen los libros de cuentas, los balances, las cajas registradoras, las cajas fuertes, los bancos, etc. Todo con un único objetivo: saber cuantas monedas se tienen y cuantas se pierden al producirse compras de objetos o cuantas se recogen al realizar ventas de objetos. Por tanto, en ese momento, las monedas se transforman en un "activo" de la organización y requieren una protección adecuada. Siglos después a nadie se le ocurriría tener estas monedas y estos mecanismos de control desprotegidos. Nadie entra a un banco y se encuentra las monedas almacenadas en estanterías en las zonas donde hay público o sin contabilizar. Cada intercambio de monedas deja un registro y se anotan o bien las que entran o bien las que salen, teniendo siempre claro cual es el saldo que queda en la caja. De esta manera, se logra el control de esos "activos" y se garantiza su seguridad (entendida como la integridad de la información que refleja el estado de situación).
Demos un paso al presente y cambiemos la palabra "monedas" por la palabra "información". Las primeras preguntas que uno se hace son:
  • ¿Es la información un "activo"?.
  • Dada la repercusión de las informaciones que se han visto publicadas en Wikileaks, parece que sí porque su conocimiento ha tenido consecuencias relevantes para los organismos que han sufrido la fuga.
  • ¿Estaba la información protegida proporcionalmente según su valor?.
  • Opinen ustedes mismos. Bradley Manning, un joven militar estadounidense que estaba movilizado en Irak tuvo acceso a la red SIPRNET de la que proceden los cables. Aburrido, con pocos amigos y maltratado por sus compañeros por su homosexualidad, Manning le contó al ex hacker Adrian Lamo que había entregado a Wikileaks unos 260.000 informes y cables del Departamento de Estado y de las embajadas. “Entraba en la sala de informática con un CD regrabable de música que decía algo como ‘Lady Gaga’, borraba la música y grababa los archivos”.
Es obvio que no se pueden controlar todas las cosas y que el factor humano siempre suele ser el origen de todos los problemas, pero no parece muy razonable que en ciertos entornos donde supuestamente hay información tan confidencial existan elementos como grabadoras de CD o dispositivos USB que no permiten controlar si se fuga la información. Si quieres evitar una fuga de agua, debes tener claro cuales son todos los sitios por donde circula y vigilar que el nivel donde se deposita permanece constante. Si quieres controlar la información, las cosas son mucho más complejas pero las estrategias son similares. El quid de la cuestión es si "dicha información" merece o no ese sacrificio. Ya es cuestión de cada organización decidir que hacer en cada caso. Lo que si es verdad que una seguridad a medias no suele funcionar y por pequeño que pueda ser el punto de fuga, finalmente el depósito de agua se queda vacío.Si has llegado hasta aquí y tienes algún tipo de responsabilidad en materia de seguridad de la información, toca ahora preguntarse, ¿Tengo bajo control todos los grifos por donde sale la información (La versión tecnológica podrían ser los dispositivos USB) ?

Humor: Hay quien lo tiene claro y no tiene ningún tipo de contemplación a la hora de tomar medidas de seguridad, sean las que sean.

(Gracias Gregorio por el material y la inspiración)

Aunque siempre hay medios alternativos y no hay que llegar a extremos tan radicales.

3 comentarios:

Joseba Enjuto dijo...

Hay una dificultad adicional, y es que las fugas de información no provocan un descenso en el "nivel del depósito" que almacena la información...

Conociendo las tecnologías DLP que hay hoy en día, todavía no entiendo como estas redes gubernamentales no las tienen implementadas desde hace varios años. Por dinero no será...

Y por crear algo de polémica: no creo que la formación/concienciación sea una medida eficaz en este caso.

Javier Cao Avellaneda dijo...

Efectivamente uno de los graves problemas de los incidentes de seguridad que afectan a la confidencialidad es que no son detectables hasta que salen a la luz. En ese caso, no ves que esté sucendiendole algo al depósito. Por eso hay que pensar en controles compensatorios que generen al menos indicios de cosas extrañas, como consultas excesivas por parte de un usuario, movimientos de E/S de datos a través de dispositivos demasiado elevados... es cuando los mecanismo de auditoría pueden ejercer un efecto disuasorio o servir al menos como herramienta de detección.
No se si genera polémica o no, pero estoy contigo en que aquí la concienciación pinta poco. Estamos en el supuesto en el que el usuario tiene intención de hacer daño y por tanto, es obvio que saltará los obstáculos que se le pongan a su paso para lograr sus objetivos. Estas fugas no se producen por accidente sino por otras motivaciones y el error o el accidente no es la causa que origina el daño.

La formación tiene sentido cuando los problemas vienen por falta de destreza o conocimiento pero no aplica a estos casos. Si el ladrón quiere robar, le importarán poco las normas de uso o las políticas de seguridad.

black dijo...

El título de tu post es excelente, por si solo merece un post para ello solo.

Excelente el contenido además, en mi lugar de trabajo no hay mucha seguridad y es justamente en lo que trabajamos.

Un saludo

 
;