viernes, 23 de diciembre de 2011 0 comentarios

¿Cómo debiera ser la Auditoría técnica que establece el R.D. 1720/2007 de desarrollo de la LOPD?

Antes de cerrar el año y pendiente del ya tradicional post de revisión del año 2011 y el de análisis de tendencias para el 2012, quiero referenciar el material que he publicado a través del blog de Inteco con reflexiones sobre cómo debiera ser la auditoría del Titulo VIII del R.D. 1720/2007.

Este año ha sido un año duro en el ámbito LOPD dado que la crisis siempre hace que aparezcan los oportunistas y los pícaros que tratan de lucrarse de la ignorancia o el desconocimiento de la gente. En este sentido, la Asociación Española de Profesionales de la Privacidad ha tenido que luchar contra las llamadas  "Empresas de coste cero" que venden servicios de consultoría camuflados bajo subvenciones de formación a través de la Fundación Tripartita.
Estas empresas han empezado con los servicios de adecuación/adaptación pero seguro que pronto extenderán sus garras hacia la auditoría obligatoria establecida por los artículos 96 y 110. Para luchar contra esta "lacra" la única arma es la información y la explicación de qué debieran ser considerados servicios correctos.

Con este objetivo he publicado los dos siguientes artículos que aparecen en el blog de Inteco:



A continuación anexo el texto integro de ambas partes para el que quiera realizar una lectura continuada del mismo.

Ante la reiterada preocupación del sector profesional de la privacidad sobre la ausencia de consenso respecto a cómo debe ser realizado el proceso de auditoría establecido por los artículos 96 y 110 del R.D. 1720/2007, creo adecuado explicar en este post en qué debe consistir el proceso de auditoría, cuál es su finalidad, qué resultados deben esperarse y cuáles son las mejores prácticas a la hora de planificar, desarrollar y realizar un informe de auditoría del Título VIII del R.D. 1720/2007 de desarrollo de la LOPD.
Para una adecuada lectura de este documento deben tenerse en cuenta dos advertencias:

  1. Este post se limita de forma exclusiva a la auditoría del cumplimiento de las medidas de seguridad establecida en los artículos 96 y 110, por lo que no se contempla en la realización de este proceso aspecto alguno que no esté relacionado con la valoración del funcionamiento de las medidas de seguridad descritas en el Título VIII del R.D. 1720/2007.
  2.  Este post no pretende establecer los criterios o técnicas a emplear. Simplemente describe la importancia y necesidad del proceso de auditoría, su finalidad y qué es entendido pudieran ser buenas prácticas en la realización de estas actividades.
¿Qué es una auditoría de sistemas de información? 
La auditoría de sistemas de información tiene como misión ser un mecanismo de control interno para evaluar la CONFIANZA que se puede depositar en los sistemas de información basada en evidencias. Las actividades, procesos, tareas requieren de una revisión periódica para evaluar su funcionamiento y realizar los ajustes que sean necesarios. Las medidas de seguridad establecidas por el R.D. 1720/2007 establecen y determinan una serie de actividades periódicas que la organización debe realizar para garantizar la adecuada protección de la información de carácter personal que es procesada. Estos mecanismos de protección definidos por los procedimientos obligatorios deben estar documentados y forman parte del contenido del Documento de seguridad establecido por el Art. 88 del R.D. 1720/2007.Para entender este extremo emplearemos un símil ilustrativo. El mantenimiento y la revisión de todo vehículo requiere, una vez se alcanza ciertos años de funcionamiento, de una revisión periódica cada dos años realizada por la Inspección Técnica de Vehículos (ITV). Estos organismos de revisión realizan una serie de chequeos, comprobaciones y pruebas sobre diferentes elementos del coche con el objetivo de garantizar que está en las mínimas condiciones necesarias para seguir en circulación.  Este ejemplo sirve perfectamente para ilustrar la misión del proceso de auditoría ya que el proceso de revisión realizado en la ITV es una revisión sobre el funcionamiento del vehículo que tiene por objetivo establecer si el coche es apto, no apto o apto con deficiencias a subsanar como resultado de la información obtenida durante la batería de pruebas realizadas. Esta actividad de revisión es una auditoría formalizada y normalizada que comprueba de forma exhaustiva todos los elementos básicos del vehículo y determina el grado de confianza que el dueño del vehículo puede otorgar al mismo en relación a su seguridad y correcto funcionamiento.
De igual forma, la auditoría de sistemas de información es un proceso metódico de revisión que pretende conocer la eficacia y fiabilidad de los controles o mecanismos de seguridad instalados para evitar o reducir los riesgos que pudieran afectar al buen funcionamiento de los sistemas de información o alterar su seguridad.
¿Por qué es necesaria la auditoría de las medidas de seguridad del R.D. 1720/2007?
El R.D. 1720/2007 introduce en los artículos 97 y 100 da necesidad de auditar el “TÍTULO VIII. DE LAS MEDIDAS DE SEGURIDAD EN EL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL” del R.D. 1720/2007. Esta obligación queda establecida para los ficheros de datos de carácter personal que tienen que garantizar el cumplimiento de las medidas de nivel medio o alto. Conviene recordar que las medidas de seguridad establecidas por el Título VIII del Reglamento determinan los MINIMOS a garantizar. Ello quiere decir que la auditoría perfectamente puede ser planteada para ser realizada sobre ficheros de nivel básico si la Organización considera adecuado la ejecución de este proceso interno de revisión. Además, es necesario destacar que la auditoría aparece como una de las medidas de seguridad más del citado Titulo VIII. ¿Por qué es la auditoría una medida de seguridad? La respuesta es sencilla dado que este proceso de inspección y revisión permite detectar deficiencias antes de que éstas se produzcan. También la auditoría puede servir para averiguar si se han producido o no irregularidades en el uso de los sistemas de información. Es un mecanismo de ajuste que detecta el deterioro en la efectividad o rendimiento de las medidas de seguridad y asegura que el nivel de protección deseado se sigue garantizando.
¿Qué finalidad debe perseguir una buena auditoría de las medidas de seguridad del R.D. 1720/2007?
Tal como hemos comentado hasta este punto, la misión el proceso de auditoría es la búsqueda de todas aquellas deficiencias que pudieran suponer un problema real o potencial antes de que este se produzca. Por tanto, la auditoría es en sí misma una medida de seguridad de carácter preventivo que intenta evitar los daños antes de que éstos sucedan. También el proceso de revisión puede servir para introducir mejoras o indicar aquellos puntos que aun garantizando el cumplimiento de las medidas empieza a disminuir en su eficacia.Una buena auditoría debe suponer una revisión profunda y exhaustiva del funcionamiento de las medidas de seguridad que protegen los tratamientos de datos de carácter personal. Cuando mayor sea el trabajo de campo empleado en la revisión, más confianza podrá depositar la Organización en el correcto funcionamiento de las cosas, confirmado éste punto por los resultados obtenidos de la propia auditoría.El auditor tiene como misión principal emitir una opinión independiente y objetiva sobre este cumplimiento de tal forma que permita a los responsables correspondientes, tomar las medidas oportunas para subsanar las deficiencias identificadas, si las hubiera, y para satisfacerse internamente, o bien frente a terceros que pudieran estar relacionados, sobre el nivel de seguridad implantado.
El objetivo final de la auditoría es sustentar la confianza que merece el sistema auditado en materia de seguridad; es decir, calibrar su capacidad para garantizar la integridad, disponibilidad, autenticidad, confidencialidad y trazabilidad de los servicios prestados y la información de carácter personal que es tratada, almacenada o transmitida por la Organización  
Metodología de trabajo
El proceso de auditoría supone la realización de ciertas actividades que deben realizarse de forma metodológica y que permiten diseñar y organizar el trabajo de campo a realizar en la Organización de forma que sean alcanzados los objetivos planteados al realizar la auditoría. Podemos distinguir tres fases bien diferenciadas:·     


  •     Pre auditoría.
Esta es la fase inicial del trabajo y permite al auditor conocer el entorno, contexto y sistemas de información que van a ser revisados durante la auditoría. En esta fase, la Organización y el auditor deben establecer cuál será el alcance a auditar, los ficheros de datos de carácter personal incluidos en la revisión, los niveles de seguridad de dichos ficheros, las dependencias de la Organización que deberán ser visitadas y la duración de la auditoría a contratar. Este último extremo condiciona la ejecución de la auditoría y según el volumen de trabajo que haya que realizar en la auditoría insitu, puede requerir la ampliación del equipo auditor de forma que se garantice la revisión de todos los puntos a contemplar en el tiempo previsto.En esta fase, el auditor debe preparar sus papeles de trabajo, documentos que le ayudarán en la ejecución in situ de la auditoría y que contienen información propia sobre qué cuestiones hay que revisar, qué tipo de pruebas debe contemplar en las comprobaciones técnicas pertinentes y qué preguntas debe realizar tanto al personal de la Organización como al responsable de seguridad. Estos papeles de trabajo del auditor actúan de registro, para no olvidar revisar ningún proceso o actividad importante y se preparan de antemano las preguntas o lista de comprobaciones que se quieren realizar. Dado que el R.D. 1720/2007 no es modificado de forma frecuente, lo habitual es que la empresa auditora tenga prediseñados unos papeles de trabajo base que debe adaptar a la Organización a auditar una vez    Para ello, suele ser habitual agrupar la revisión de los artículos del R.D. 1720/2007 en programas que aglutinan bajo un nombre todos aquellos artículos del R.D. que determinan una misma medida de seguridad que según el nivel deben satisfacer más o menos requisitos.Es habitual que para el diseño de esta documentación, el auditor solicite a la empresa auditada el Documento de Seguridad de los ficheros incluidos en el alcance, dado que en él se encuentra una descripción del tipo de ficheros, de los sistemas de información y de las medidas de seguridad que la Organización debe estar aplicando en la protección de los datos de carácter personal. El auditor parte de esta información inicial para el diseño de las pruebas técnicas que permitan verificar el nivel de cumplimiento de lo escrito en el documento de seguridad. También permite adecuar y configurar el equipo auditor si por el carácter de las pruebas a realizar o de los sistemas incluidos sea necesario contar con personal técnico de apoyo al auditor que permita la ejecución con éxito de las pruebas de auditoría contempladas o la recogida de información de forma directa en la Organización auditada.Con toda esta información ya procesada, el auditor puede diseñar el programa detallado de auditoría y enviar a la Organización cual será la planificación prevista durante los días que dure la auditoría in situ. Ello también permite a la Organización conocer cuál será el trabajo de campo que se realizará y planificar o adecuar los horarios y la disponibilidad del personal que será entrevistado o que deberá atender al auditor durante los días de auditoría.·        


  • Auditoría in situ o ejecución de la auditoría.
Esta es la fase crucial de todo el proceso dado que es donde el auditor recoge las evidencias de auditoría, esto es, aquella información que será empleada posteriormente para argumentar y demostrar el cumplimiento o no cumplimiento de las medidas de seguridad. El auditor, como se ha dicho ya, debe proporcionar una opinión profesional, independiente y objetiva del funcionamiento de las medidas de seguridad. Por tanto, toda afirmación que incluya en su informe debe basarse en datos, hechos u observaciones como explícitamente establece el punto 2 del Artículo 96. Auditoría.“2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.”Por tanto, en esta fase el auditor debe ir recopilando toda aquella información que ha establecido previamente en la fase de pre auditoría como necesaria y que sirva para contrastar o comprobar el correcto funcionamiento de las medidas de seguridad. De esta forma, el auditor también deja rastro de su propio trabajo y permite posteriormente a la Organización evaluar la exhaustividad y profundidad del trabajo de campo realizado por el propio auditor. Este mecanismo de transparencia del proceso de auditoría es otro de los pilares en los que se cimienta la confianza que se puede depositar sobre la auditoría realizada.Según la complejidad del entorno, el tiempo disponible para el proceso de auditoría y el tamaño del equipo auditor, es posible que la ejecución de ciertas pruebas no puedan revisar de forma completa y exhaustiva todos los registros de ejecución o rastros de funcionamiento de las medidas de seguridad. En estos casos, es preciso recurrir al muestreo de auditoría que permite la selección de ciertas muestras y extrapolar las conclusiones observadas en ellas para el resto de elementos de la población. El muestreo introduce cierto margen de error en la realización de conclusiones pero permite adecuar la revisión al tiempo disponible para el proceso de auditoría. En todo caso, este margen de error puede ser previamente definido lo que condicionará los tamaños de las muestras a examinar.
Una vez finalizada esta fase, el auditor debe contar con todas aquellas evidencias de auditoría que ha obtenido de la realización de pruebas técnicas, entrevistas, inspección visual de las instalaciones y dependencias así como de la revisión de todos aquellos documentos que hayan sido solicitados a lo largo de la ejecución de la auditoría.·     


  •     Realización del informe de auditoría.
El resultado final del proceso de auditoría debe quedar plasmado en el informe de auditoría que incluye la conclusión del auditor respecto del funcionamiento de las medidas de seguridad y constata los hechos, datos u observaciones en los que se basa dicha conclusión. Llegado este punto, el auditor debe examinar y valorar las evidencias obtenidas y seleccionar aquellas que considera relevantes en la demostración del cumplimiento o no cumplimiento del funcionamiento de las medidas de seguridad. El informe debe proporcionar al auditado una imagen fiel y real de cuál es la situación de las medidas de seguridad revisadas y si suponen o no un incumplimiento del citado Reglamento.
martes, 22 de noviembre de 2011 3 comentarios

"Privacy by design", nos jugamos mucho.

Hoy se ha celebrado en Murcia el Seminario La incidencia en la normativa española sobre protección de datos personales de la proyectada reforma en la Directiva en la que he tenido el gusto de participar como ponente en la sesión de la tarde.

El tema asignado era la "Privacy by design" de la que había leído alguna cosa en blogs pero sobre el que no había todavía podido profundizar. Sin embargo, estas dos últimas semanas recopilando información y reflexiones para la presentación he podido ser consciente del gran cambio que esconden estos tres términos y que pudiera suponer un antes y un después en materia de protección de datos y en el diseño de sistemas y productos tecnológicos en general. Para tratar de contextualizar estos hechos, viajemos durante unas líneas al futuro y pensemos en cómo serán las cosas en unos años, pongamos 20 por ejemplo.
"Suena el despertador. Te levantas y tras la ducha matutina te diriges a la cocina a prepararte un rico desayuno. Abres la nevera y tras coger la mortadela y la leche, la voz sintética de tu nevera te dice:
- Buenos días, señor Cao, Le notifico que ayer envié la orden del pedido mensual de leche a su centro comercial. Le llegará en breve la factura de compra porque en mi inventario interno tengo registrado que la botella que acaba de coger es la última. Además, he podido consultar la información de Google Health y acaba de recibir los resultados de su analítica, por lo que le aconsejo que cambie la mortadela por pechuga de pavo que tiene menos grasa y mejorará su colesterol.
 Vaya, mi nevera parece mi madre. ¿Cómo hemos podido llegar a esto?"

Estamos en un momento de cambio. La transición a IPv6 empieza y cada vez será más cotidiano que electrodomésticos ahora pasivos puedan ser proactivos y puedan autogestionarse o al menos, planificar ciertas decisiones en base a un conjunto de parámetros que podremos introducir en su sistema. Además, todos estos elementos formarán seguramente un todo dentro del centro de control domótico de tu casa y el usuario podrá predefinir ciertas reglas o decisiones basadas en la correlación de eventos que vayan siendo recogidos por los diferentes electrodomésticos. ¿Y cómo los electrodomésticos detectarán eventos o cambios de estados? Seguramente las tecnologías RFID aportarán la capacidad de generar información sobre transiciones de estado basándose en nuestro comportamiento normal en casa. Cuando vayas a la nevera a coger algo, el sistema podrá conocer cual es el número de unidades restantes de ese producto, si debe o no realizar alguna notificación respecto a la reposición de stock. Si además dispone de otras informaciones podrá valorar la acción del sujeto y recomendar cambios de decisión.

Hasta aquí, sinceramente todo parecen ventajas. ¿Dónde está el problema? La amenaza se plantea cuando no se determine dónde está la frontera respecto a la gestión y acceso de esa información. Si el usuario tiene el control de todo esto y es él quien decide qué quiere que sepa su centro comercial, qué información de su estado de salud debe procesar Google, qué datos no será recogidos aunque tengan identificadores RFID, etc, la privacidad seguirá bajo el control del afectado. Pero si los sistemas de información domóticos y domésticos se diseñan para incrementar los beneficios de las empresas potencialmente interesadas en esa información, sin contemplar restricciones y tratando más de hacer un análisis proactivo de demanda de bienes para disminuir los costes de marketing o satisfacer necesidades creadas sobre el cliente la cosa pintará mal. Porque en estos casos, los intereses creados por las empresas pueden pervertir o condicionar la toma de decisiones o el asesoramiento, y en vez de buscar el beneficio del afectado pueden simplemente atender a los intereses comerciales de las compañías suministradoras.

¿Y cómo está relacionado esto con la "Privacy by design"?

Este término establece 7 principios básicos que deben orientar el diseño y desarrollo de sistemas y tecnologías que traten datos de carácter personal. Son los siguientes:

1. Proactivo, no Reactivo; Preventivo no Correctivo
El enfoque de Privacidad por Diseño (PbD por sus siglas en Inglés) está caracterizado por medidas proactivas, en vez de reactivas. Anticipa y previene eventos de invasión de privacidad antes de que estos ocurran. PbD no espera a que los riesgos se materialicen, ni ofrece remedios para resolver infracciones de privacidad una vez que ya ocurrieron – su finalidad es prevenir que ocurran. En resumen, Privacidad por Diseño llega antes del suceso, no después.

2. Privacidad como la Configuración Predeterminada
Todos podemos estar seguros de una cosa – ¡Lo predeterminado es lo que manda! La Privacidad por Diseño busca entregar el máximo grado de privacidad asegurándose de que los datos personales estén protegidos automáticamente en cualquier sistema de IT dado o en cualquier práctica de negocios. Si una la persona no toma una acción, aún así la privacidad se mantiene intacta. No se requiere acción alguna de parte de la persona para proteger la privacidad – está interconstruida en el sistema, como una configuración predeterminada.

3. Privacidad Incrustada en el Diseño
La Privacidad por Diseño está incrustada en el diseño y la arquitectura de los sistemas de Tecnologías de Información y en las prácticas de negocios. No está colgada como un suplemento, después del suceso. El resultado es que la privacidad se convierte en un componente esencial de la funcionalidad central que está siendo entregada. La privacidad es parte integral del sistema, sin disminuir su funcionalidad.

4. Funcionalidad Total – “Todos ganan”, no “Si alguien gana, otro pierde”

Privacidad por Diseño busca acomodar todos los intereses y objetivos legítimos de una forma “ganar-ganar”, no a través de un método anticuado de “si alguien gana, otro pierde”, donde se realizan concesiones innecesarias. Privacidad por Diseño evita la hipocresía de las falsas dualidades, tales como privacidad versus seguridad, demostrando que sí es posible tener ambas al mismo tiempo.

5. Seguridad Extremo-a-Extremo – Protección de Ciclo de Vida Completo
Habiendo sido incrustada en el sistema antes de que el primer elemento de información haya sido recolectado, la Privacidad por Diseño se extiende con seguridad a través del ciclo de vida completo de los datos involucrados – las medidas de seguridad robustas son esenciales para la privacidad, de inicio a fin. Esto garantiza que todos los datos son retenidos con seguridad, y luego destruidos con seguridad al final del proceso, sin demoras. Por lo tanto, la Privacidad por Diseño garantiza una administración segura del ciclo de vida de la información, desde la cuna hasta la tumba, desde un extremo hacia el otro.

6. Visibilidad y Transparencia – Mantenerlo Abierto
Privacidad por Diseño busca asegurar a todos los involucrados que cualquiera que sea la práctica de negocios o tecnología involucrada, esta en realidad esté operando de acuerdo a las promesas y objetivos declarados, sujeta a verificación independiente. Sus partes componentes y operaciones permanecen visibles y transparentes, a usuarios y a proveedores. Recuerde, confíe pero verifique.

7. Respeto por la Privacidad de los Usuarios – Mantener un Enfoque Centrado en el Usuario
Por encima de todo, la Privacidad por Diseño requiere que los arquitectos y operadores mantengan en una posición superior los intereses de las personas, ofreciendo medidas tales como predefinidos de privacidad robustos, notificación apropiada, y facultando opciones amigables para el usuario. Hay que mantener al usuario en el centro de las prioridades.


La otra reflexión que he podido extraer de todo esto es que parece ya plantearse si es necesario establecer ciertas restricciones al desarrollo tecnológico. Hasta la fecha, la tecnología es un fórmula uno que avanza sin parar, sin restricciones, sin límites, sin reglas tratando de producir mejoras en el día a día aunque estas muchas veces sean necesidades fictícias o creadas para satisfacer ciertos intereses.

En el "Privacy by design" se pone fin al "todo vale". Se determina que es necesario antes de la construcción de un nuevo aparato o servicio pensar en qué impacto potencial tiene para la privacidad. Es lo que se llama un "Privacy Impact Analysis (PIA)" que es una reflexión respecto a la finalidad de lo que se va a construir y las consecuencias posibles que pudiera tener para la privacidad del usuario. Obviamente esto no va a gustar a muchos modelos de negocio, actuales o futuros y la presión por evitar o minimizar la aplicación de este criterio de diseño sea importante. Por eso el titulo del post acaba con la coletilla "nos jugamos mucho". Porque ante una filosofía basada en la explotación voraz de información en beneficio de las grandes empresas orientadas a maximizar sus beneficios y una filosofía basada en el interés del afectado y el control a su gusto de su privacidad atendiendo a sus criterios o intereses, se crearán tensiones importantes que condicionarán seguramente los desarrollos reglamentarios de los marcos de protección de datos.
Habrá que ver si finalmente la futura directiva o cualquier otra regulación a nivel mundial defiende el interés de las personas o se somete a los intereses de los "mercados". Habrá que ver si es el hombre quien domina la tecnología o creamos un segundo Dios (La economía ya es el primero) que somete al hombre.

A continuación os dejo la presentación que he empleado para exponer estas conclusiones en un formato nuevo y experimental para mi pero a la vez innovador y atractivo por sus nuevas posibilidades. Tratando de huir de la "muerte por Powerpoint" de las filosofías tradicionales de presentación, he decidido probar el servicio "Prezi.com" que sinceramente y tras un periodo breve de adaptación mental en cuanto a la estructuración de contenidos, me ha parecido útil para reflejar una navegación basada en conceptos y no en la linealidad que proporciona el Powerpoint.

Postdata: Para los que hayáis visto en el ejemplo un pelín de exageración, en la presentación se acaba con un ejemplo real que supone un primer paso en esa linea.
miércoles, 16 de noviembre de 2011 4 comentarios

Tratando de formalizar el análisis de seguridad sobre árboles de activos.

Tal como adelantaba en el post anterior, este verano he perdido bastante tiempo tratando de investigar sobre las posibles aplicaciones de las teorías de análisis de redes sociales a la seguridad de la información. Eran ideas que me rondaban hace años por la cabeza y que por fin he podido desarrollar y formalizar en un documento.
He tenido que estudiar conceptos de teoría de grafos y determinar qué criterios de medición de redes pueden ser relevantes a nuestro campo de estudio. 

En teoría de redes sociales se da una premisa que es bastante importante y que sin embargo no es aplicable a seguridad de la información: todos los nodos son iguales. Sin embargo, cuando construimos un árbol de activos, según la naturaleza del elemento, su relevancia puede ser mayor. También, en redes sociales lo que se analiza es la fluidez de la comunicación entre nodos, mientras que lo que yo he pretendido estudiar son las relaciones de dependencia en materia de seguridad.

En fin, por no enrollarme mas os resumo el contenido del texto y adjunto un enlace para su descarga dado que lo he licenciado como Creative Common. Si me gustaría recibir vuestro feedback respecto a si véis viable que esta linea de trabajo pueda finalmente ser aplicada para la formalización de análisis de seguridad de la información. Una de mis conclusiones tras el estudio es que este tipo de análisis puede tener sentido en el estudio de la continuidad de negocio y en la protección de infraestructuras críticas, dado que permite identificar nodos que aíslan o mutilan la funcionalidad de la organización.

Abstract:

Las tecnologías de la información son un elemento esencial para el funcionamiento de nuestra sociedad y cada vez más muchas actividades y servicios dependen de la robustez, fiabilidad y seguridad de los sistemas de información que dan soporte a servicios tan esenciales como la sanidad, la educación, la defensa, la Administración electrónica, etc. Por tanto, los sistemas de información son un cimiento indispensable en el funcionamiento y desarrollo de nuestra civilización moderna, la denominada sociedad de la información y el conocimiento.
Un axioma básico de la seguridad de la información es el principio de cohesión que establece que "la seguridad es tan fuerte como el más débil de sus eslabones". El presente trabajo pretende aportar una nueva perspectiva en el estudio y análisis de la seguridad desde un punto de vista estático y basado en modelos matemáticos de la teoría de grafos que permitan identificar la presencia de debilidades estructurales que pueden poner en riesgo el funcionamiento de los sistemas de información por la propia arquitectura y conectividad de los diferentes tipos de elementos que constituyen el sistema de información. Supone extrapolar la aplicación de estas teorías en el análisis de redes sociales y otras estructuras modeladas mediante grafos al área de seguridad de la información con el objetivo de poder diagnosticar y reconocer potenciales problemas derivados de las relaciones establecidas entre los elementos que constituyen la Organización y los sistemas de información que dan soporte a todos sus procesos. Esta nueva visión supone un complemento al análisis de riesgos, la técnica habitualmente empleada en el estudio de los requisitos de seguridad que necesita un sistema de información y donde se contempla además de la estructura del sistema de información, el análisis de las amenazas posibles y la posibilidad de que éstas se manifiesten determinando así el nivel de riesgo a asumir.


Texto integro: Análisis topológico de sistemas de información.

martes, 11 de octubre de 2011 1 comentarios

Noveno cumpleaños del blog + teoría de grafos aplicada a la seguridad

Tal día como hoy con un escueto texto expresaba mi intención de compartir conocimiento e ideas a través de este blog así:
"Este es mi primer post de una serie de pequeños trucos y recetas, para hacer que usuarios inocentes o confiados no sufran el abuso de todos esos que navegan por la red con fines oscuros o ilícitos. 
Espero que los pequeños consejos que vaya dejando o las recomendaciones de software sean de ayuda para todos vosotros."



Aunque al principio la temática principal serían consejos sobre aplicaciones software y trucos que pudieran mejorar la seguridad del usuario, pronto se abrió el contenido hacia los aspectos que profesionalmente fueron formando parte de mi trayectoria centrada en la seguridad de la información y su gestión. Desde entonces este mundo ha dado muchas vueltas y el panorama futuro se anuncia prometedor. Las cosas se han ido profesionalizando, se ha normalizado la gestión de la seguridad en torno a las normas ISO 27000 y la complejidad de la gestión del riesgo va en aumento, con cada vez más preocupación por parte de gestores y responsables de las empresas por cuidar y salvaguardar sus activos. Aunque por desgracia la cultura de la prevención no forma parte de las prácticas habituales, la cotidianidad de los incidentes empieza a concienciar a la Dirección de las organizaciones sobre la importancia del tema y la necesidad de coger este toro por los cuernos.

Esperemos que pronto pueda normalizar la frecuencia de publicación y poder postear textos más elaborados y con más contenido, pensamientos y reflexiones. En breve subiré un documento con una idea que llevaba años planteándome y que he podido formalizar hace no mucho. El objetivo de mi trabajo ha sido intentar demostrar cómo algunas de las propiedades fundamentales de la seguridad de los activos de la organización están relacionadas con cómo están conectados los activos entre sí. La idea original surge del estudio de trabajos sobre análisis de redes sociales que entiendo son extrapolables a la seguridad de la información.
Una razón para la utilización de técnicas matemáticas y de grafos en el análisis de árboles de activos es que permite representar la descripción de una red de manera concisa y sistemática. El uso de métodos formales (particularmente matemáticos) en la representación de árboles de activos permite usar ordenadores en el análisis de la información. Esta nueva perspectiva puede ser una herramienta complementaria al estudio tradicional del riesgo que aporta un análisis estático de la organización basado en la arquitectura de los elementos que forman parte de la organización. El análisis del riesgo sin embargo contempla un análisis dinámico de la Entidad que estudia la organización respecto a su contexto, el alcance de amenazas posibles y las variaciones de estimación que pueden darse respecto a daños o vulnerabilidades a tenor de las circunstancias en las que la organización gestiona sus riesgos. Espero terminar pronto la ponencia y poderla colgar y compartirla con los lectores del blog.

Un saludo y gracias por estar leyendo estas líneas.

Javier Cao Avellaneda.






jueves, 6 de octubre de 2011 2 comentarios

Steve Jobs, 1955-2011.

Hoy es un día triste para el mundo porque desaparece un creador que con su visión práctica y simple de las cosas ha conseguido que las personas seamos capaces de relacionarnos con las máquinas de otras formas. Como los grandes artistas, su legado durará en el tiempo y sus inventos que ya han cambiado en parte nuestro día a día, ocuparán un ilustre lugar en la historía del desarrollo tecnológico.

Soy cliente y usuario del mundo Apple desde hace poco, no llega a dos años, pero cuando me siento delante del iMac de casa no veo un ordenador, veo un electrodoméstico que abre una puerta al mundo de la creatividad. Aplicaciones como iMovie, iPhoto, iDVD y otras más que vienen instaladas en el sistema operativo forman un ecosistema adecuado para crear. Cierto es que al trabajar a diario con ordenadores (todos Windows), el cambio de entorno  siempre me hace sentir que no estoy trabajando y eso en mi caso es importante porque intento desconectar al llegar a casa. Además, el uso que doy al iMac está relacionado con la gestión de fotografías, de música y video nada más así que sentarme delante es puro ocio. La navegación por Internet ya es algo que hago casi siempre desde el iPad. De hecho, su llegada a casa mató al pequeño netbook que había adquirido un año antes. Una vez que termino algún video recopilatorio de fotos  me siento en el salón a verlo a través del AppleTV. Llevo poco tiempo en el mundo Apple pero me ha cautivado por la belleza de lo sencillo. Además mi filosofía de adquisición de tecnología busca siempre la máxima amortización y desde que compré mi primer y único iPod hace 6 años, todavía no he tirado ningún cacharro y todos están plenamente operativos y nada obsoletos. En el ecosistema Apple todo encaja, todas las piezas aportan, todo se relaciona con todo. Y lo mejor es que de vez en cuando llega una actualización software y te cambia de aparato, como seguramente ocurra la semana próxima cuando instale iOS5 en mi iPhone e iPad o como ya me ha pasado con Lion en el iMac. La unión de hardware+software como un todo es una idea que pasó una factura cara hace tiempo a Apple pero que ahora obtiene muy buenos resultados. El precio es quizás el factor limitante pero supongo que la innovación tiene que amortizarse muy poco a poco a base de incrementar los costes de los productos. No soy fanático de marcas o empresas pero me seduce el diseño, el talento, la innovación y creatividad. 

Todo lo anterior perfectamente puede hacerse con otros sistemas operativos y otras aplicaciones como solía hacer estos últimos años pero la gran diferencia es que ahora ya no pierdo ni un minuto en ser administrador de mi iMac, yo sólo quiero ser un humilde usuario que pierde tiempo en hacer cosas, no en instalar y pelear con la configuración de las aplicaciones. Y desde mi llegada al mundo Apple así ha sido. El equipo es estable, sencillo y robusto. Por tanto los resultados del ingenio y talento de Steve Jobs los disfruto a diario en mi casa y en parte si han cambiado mi manera de ver la tecnología y han hecho realidad su sueño de cambiar el mundo.

Seguramente es pronto pero su último invento, el iPad, creo que será una auténtica revolución en el entorno educativo que durará generaciones. Los Tablet PC existían hace tiempo pero con escasa penetración en la sociedad. De nuevo su producto reinventa el sector y extiende la tecnología entre los menos tecnólogos.

Como homenaje final es adecuado recordar sus palabras en el discurso de graduación de la Universidad de Standford que tanto me marcaron la primera vez que las vi.


Nuestro mundo sería mucho mejor si los modelos e ídolos de la sociedad fueran gente como Steve Jobs y no los grandes y avariciosos brokers y traders de Wall Street. Hacer dinero y ser rico no es malo si es fruto del ingenio, la inteligencia y la creatividad, no producto de la especulación y de la intermediación sin aportar ningún valor a la sociedad.

Descanse en paz, Steve Jobs.
jueves, 29 de septiembre de 2011 0 comentarios

La APEP poniendo los puntos sobre las ies en materia LOPD para luchar contra el "coste cero".

Si bien no soy socio (todavía) de la APEP (Asociación Profesional Española de Privacidad), si que he seguido con interés y proximidad el nacimiento y crecimiento de esta asociación desde sus comienzos. Entre sus más ilustres miembros hay mucho murciano y compañero de charlas de SICARM de estos últimos años.

Este post tiene un solo objetivo: dar difusión al documento que han elaborado para establecer y definir qué es o qué debe ser un servicio de consultoría en materia de la LOPD. Tenía entre los borradores de "post congelados" comentar la problemática de la "LOPD-Coste cero" y la estafa que supone abusar del desconocimiento de las empresas para vender motos relacionadas con el cumplimiento de la normativa en protección de datos pero ya es más pertinente comentar el texto de la APEP.

La idea es sencilla, el cumplimiento de la LOPD es un proceso continuo que requiere de actividades puntuales como puede ser la declaración de los ficheros o la elaboración del documento de seguridad y de una serie de procesos internos que se deben ejecutar cuando sea pertinente y que velan por diferentes aspectos, entre otros los más esenciales como :

  • Atender los derechos ARCO de los afectados.
  • Garantizar las medidas de seguridad que protegen los sistemas de tratamiento de estos datos.
  • Establecer las adecuadas relaciones contractuales con los terceros que puedan tratar datos de nuestros ficheros.
  • Adecuar el dibujo legal declarado ante la AEPD frente a los cambios en el uso de los datos que se pudieran realizar una vez que se modifiquen finalidades, tipos de datos recogidos, etc.
  • Otras.
En este sentido, no se acaba nunca al igual que ocurre con otras áreas de la seguridad y prevención. Se deben mantener unos mínimos y eso es un esfuerzo constante. Por tanto, todos estos "Servicios de consultoría" que venden una "actuación puntual" o una "adecuación/adaptación" y hacen entender el problema como la simple inscripción de los ficheros ante la AEPD o la elaboración del famoso Documento de seguridad simplemente no sirven para nada.
 ¿Por qué? Sencillo. Si la AEPD viene a visitarte será por alguna denuncia sobre unos hechos ocurridos que han lesionado los derechos de los afectados o comprometido la seguridad de los datos. En estos casos, la inspección de la AEPD tratará de investigar qué ha ocurrido y esclarecer las causas y los responsables. Las actuaciones puntuales de "declaración de ficheros" y "elaboración del documento de seguridad" son sólo el primer paso del camino pero para demostrar la "protección de los datos de carácter personal" hay que enseñar el trabajo continuo por garantizar el correcto funcionamiento de las actividades relacionadas con la protección misma. Por tanto, se necesitan "evidencias" o "registros" de lo que diaria, semanal o mensualmente se va haciendo para evitar que ocurran incidentes.

La APEP, con muy buen criterio está tratando de pelear contra esta "prostitución del mundo de la consultoría en materia LOPD" de la mejor manera posible: tratando de informar de lo que se considera un servicio adecuado y completo para dejar claro quien está vendiendo "un traje nuevo al emperador en materia LOPD". Es una manera de combatir en positivo esta lacra que carece de la profesionalidad necesaria para tratar siempre de hacer un trabajo completo y correcto. Claro que la lacra también vive de unos "clientes" que ven en la LOPD otra pega administrativa más, que los datos de carácter personal les importan tres pepinos y que la protección de la información de sus clientes no les preocupa lo suficiente como para hacer el esfuerzo que la ley impone. Prefieren asumir el riesgo y hacer frente a las multas que la AEPD pueda ponerles (porque creen realmente que nunca les tocará a ellos). 

El contenido del manifiesto de la APEP se puede leer y consultar en esta dirección. Solo queda dar felicitaciones a la APEP por establecer estas "buenas prácticas respecto a lo que deben ser servicios de consultoría para la adaptación a la LOPD.










martes, 13 de septiembre de 2011 0 comentarios

Reflexiones sobre el caso DigiNotar

La estrella de incidentes de seguridad de la semana pasada de la llevó la PKI Diginotar. Aunque ya hay colgadas en la red múltiples reflexiones, yo quiero añadir un par de puntos de vista más a contemplar. Para el que no sepa de qué va el incidente, recomiendo leer los post de "Security by default", "Reflexiones sobre Diginotar" y de Hispasec "Otro certificado falso de Google" y "Conversaciones sobre certificados digitales, seguridad y pornografía".

El tema de las PKI es personalmente uno de los que más me encienden. Este mecanismo de seguridad utilizado extensamente como medio de generación de confianza no puede ser entendido como aspectos puramente técnicos relacionados con la generación y distribución de certificados. El éxito y robustez de estas infraestructuras se basan en la fortaleza de los tres elementos esenciales: personas, procesos y tecnología.
Ya postee extensamente sobre esta problemática cuando en marzo de este año fue conocido el problema con la PKI Comodo en el post "Incidente de Comodo, reflexiones sobre el uso de entidades de certificación". En aquel incidente, lo que acabó comprometida fue la autoridad de registro, una pieza clave en toda la infraestructura porque es la parte que acredita la identidad para que se genere y otorgue a un tercero un certificado.

El caso DigiNotar sin embargo es todavía mucho más grave. Como resultado del incidente ha acabado comprometida la Entidad Raíz de Certificación, lo que supone que todos los certificados generados por dicha empresa pasan a estar revocados. Esto, para una PKI es lo más grave que puede suceder dado que anula todos los certificados expedidos y supone que todos los navegadores coloquen este certificado raíz en la lista de certificados revocados.

Las tres reflexiones al respecto que quiero apuntar son:
  • Una empresa cuyo proceso de negocio se fundamenta en la seguridad es la que menos puede permitirse un incidente, porque además del daño en imagen, acaba con su modelo de negocio. En este caso casi seguro que acabará sucediendo esto segundo porque DigiNotar ahora parte como PKI con el reto de recuperar la confianza y volver a ser admitida como un certificado raíz válido en los navegadores. Además, es difícil vender seguridad si no se da ejemplo.
  • Es incompresible e intolerable que piezas tan delicadas y críticas de la infraestructura de confianza que suponen las PKI puedan estar gestionadas y administradas en las condiciones en las que revela el informe de FoxIT sobre el incidente que puede ser consultado en esta dirección. Las conclusiones no pueden ser más claras: mala política de contraseñas con passwords debiles, falta de parcheo en equipos, la CA Raíz en línea, etc... demasiadas papeletas compradas para que no les tocara el gordo del hacking. Quizás el fallo más grave de Diginotar que puede acabar hundiendo a la empresa es haber tenido el certificado raíz en linea, obligando a todos los navegadores a revocar el certificado raíz porque lo razonable es emplear entidades subordinadas para generar los certificados de forma que si hay cualquier problema se revocan los certificados de la rama de la entidad subordinada detectada pero la Entidad de certificación puede seguir operando.
  • Las PKI son una pieza esencial en la sociedad del siglo XXI por así decirlo son el tercero en quien se delega la confianza de verificar que los dominios y las empresas son quienes dicen ser. Por tanto, todos (Usuarios y empresas) transferimos ciertos riesgos al buen hacer de estas empresas que prestan como servicio esa verificación de identidad y otorgan confianza. Debieran plantearse controles más estrictos sobre todas las empresas que son prestadores de servicios de certificación porque el compromiso de cualquiera de ellas pone en peligro la seguridad basada en el uso de certificados digitales. Aunque el post de Hispasec "Conversaciones sobre certificados digitales, seguridad y pornografía" cuenta bien que es complejo poder emplear un certificado falso para comprometer la seguridad del protocolo https, también es cierto que el fallo en cualquier PKI pone en peligro a cualquier certificado de cualquier organización porque puede ser perfectamente suplantado pasando desapercibido para el usuario. Además genera una sensación al usuario final de intranquilidad debido a que las precauciones habituales que se recomiendan para verificar que estás en el sitio correcto y que todo marcha bien en este caso no serían suficientes. Quizás una de las medidas de presión que pudiera establecerse sobre toda Empresa que se dedique al mundo de los certificados digitales sera la auditoría continua. En cualquier momento en cualquier lugar pueden aparecer unos auditores para valorar el funcionamiento de tu PKI y si no se cumplen los requisitos, perder la "licencia" de ser prestador por no garantizar suficiente seguridad. De esta forma, el poder ser inspeccionado en cualquier momento puede generar suficiente tensión como para no relajar las medidas necesarias.
miércoles, 7 de septiembre de 2011 6 comentarios

La complejidad y su gestión para la supervivencia de las organizaciones del siglo XXI.

Aunque olvidé colgar el cartel de vacaciones, comienza ya el nuevo curso blogero. Y para empezar quiero comentar algunas cuestiones que este verano han estado dando vueltas en mi cabeza. Como suele ya ser tradición en mi suelo aprovechar el periodo vacacional para leer y sobre todo cosas de otras temáticas o áreas de conocimiento que también me atraen como la psicología, la productividad personal o la antropología. Aunque espero pronto poder publicar algunas de las conclusiones de mis lecturas, me quiero centrar en los últimos incidentes notorios y públicos de hacking que han puesto encima de la mesa más de una vez los términos ciberguerra o ciberdefensa y esta nueva sensación de guerra tecnológica. Además, hace unos días leí en Aerópago21 la entrada ¿Contra quién estamos luchando? que terminó de inspirarme este texto.
La última reflexión que dejé en el tintero trataba de comprender el por qué de la poca trascendencia que sigue teniendo la seguridad de la información en las organizaciones, cuando estamos ya en el siglo XXI y la denominada "Sociedad de la información o el conocimiento". Esa
Sinceramente creo que nos encontramos en un punto de inflexión, por el que han pasado otras disciplinas o ciencias como la arquitectura, la ingeniería, la medicina donde se pasa el proceso primitivo y basado en el conocimiento aplicado a la formalización e industrialización de actividades, lo que conlleva la necesidad de normalizar y estructurar tareas que deben afectar a los sistemas de información. No somos conscientes de la complejidad que hemos construido y que rodea ya nuestro día a día porque toda esa maquinaria funciona casi sin errores como una orquesta perfectamente organizada donde hay pocos desafines. Sin embargo, detrás de ese resultado puede simplemente darse la casualidad o quizás la suerte de distrutar de la ausencia de problemas. El error es pensar que esta situación es prorrogable de forma indefinida, que es una estrategia para el medio y largo plazo y que el que no ocurra nada en el presente es garantía de que no ocurrirá nada en el futuro. Para explicarme mejor creo ilustrativo hacer un paralelismo con un supuesto basado en otra problemática. Imaginemos que somos nombrados Responsables del mantenimiento e infraestructuras urbanisticas de una ciudad. Como ejemplares ingenieros disponemos de todos los conocimientos necesarios y nos toca la labor de garantizar el buen funcionamiento de todos los servicios. Sin embargo, fruto de la carencia de unas buenas prácticas y una falta de disciplina, nos encontramos con las siguientes sorpresas:  
  • No se dispone del plano de la ciudad.
  • No hay mapas de las canalizaciones y tuberías que atraviesan el suelo de la ciudad.
  • No existe un inventario de los recursos a gestionar.
  • Se desconoce el estado de cada uno de esos recursos, los contratos de mantenimiento, los periodos de revisión, etc.
  • No se dispone de la lista de contacto para el mantenimiento de las infraestructuras.
La ciudad funciona sin problemas y este responsable de mantenimiento vive relativamente bien mientras no hay problemas. En este escenario, ¿qué puede hacer un buen gestor de infraestructuras ante una incidencia? Posiblemente un milagro para poder resolverla y seguramente con bastante dosis de suerte o pericia. Si el responsable de mantenimiento logra ir apagando fuegos, la ciudad no valorará su esfuerzo y no reconocerá su destreza porque en semejante situación ese responsable es un héroe.
Ahora, pasemos al área de TI de cualquier organización mediana o grande. 
  • ¿Existe y está documentada la arquitectura de red? (Los planos de la ciudad)
  •  ¿Hay diagramas de las interconexiones de la organización con elementos externos  (Mapas de las canalizaciones y tuberías)
  • ¿Se conocen el número de dispositivos conectados en la red de la organización?
  • ¿Se disponen de listas de contacto para el mantenimiento técnico del equipamiento?
  • ¿Existe un inventario de los activos y elementos de configuración de la organización?
  • ¿Se conoce el estado de cada uno de esos recursos, los contratos de mantenimiento, los periodos de revisión, etc.?
  • ¿Se evalua el estado de las versiones software instaladas y se aplican los parches que correspondan en las versiones vulnerables?
Yo auditando puedo contar con los dedos de una mano los sitios donde he visto este tipo de documentación y procesos de gestión operativa para su mantenimiento.

Los sistemas de información no son ajenos a los problemas que supone la gestión de tanta complejidad. Hay que pensar que cada dispositivo conectado a la red no es "sólo un cacharro". Ese hardware tiene seguro un sistema operativo y puede además disponer de aplicaciones instaladas. Todos estos productos software tienen versiones. A ello además debemos sumar la aparición de la virtualización que permite sobre un solo hardware la aparición de tantas máquinas virtuales (también con su sistema operativo, aplicaciones instaladas y correspondientes versiones).

Esta ingente cantidad de activos, no pueden ser mantenidos y operados de forma diferente a cómo son tratadas otras infraestructuras físicas del mundo real que adquieren el mismo nivel de complejidad. Lo que viene ocurriendo es que nuestras "ciudades digitales", los sistemas de información, han crecido de forma exponencial intentando satisfacer las necesidades de negocio, han multiplicado sus activos y han sido y siguen siendo gestionados mediante filosofías apagafuegos (causado esto último muchas veces por la falta de concienciación de la Dirección sobre la importancia del área TI en sus organizaciones y las necesidades de recursos que ello requiere, aunque esto será objeto de otro post). Y ese globo de riesgo se infla e infla e infla hasta que un día, por la menor de las estupideces explota y deja al descubierto las graves deficiencias de gestión y operación TI que esa organización tenía. 
Los casos de hacking más conocidos han tenido como origen o causa principal la existencia de servicios o aplicaciones vulnerables por la falta de mantenimiento preventivo y de actualización de aplicaciones o sistemas. Y como ya comenté en otro post, "El pastor tiene que vigilar con 100 ojos cada una de sus ovejas, pero el lobo solo tiene que identificar, seleccionar y atacar a la más debil en el mejor momento y condiciones para tener éxito". Y en parte es lo que está ocurriendo en el ciberespacio. Hay muchos pastores dueños de sus sistemas de información que no son conscientes que en Internet hay muchos lobos, no conocemos cuantos pero existir existen. Y cuando te dan un zarpazo y se comen a una de tus ovejas, eso ya no tiene solución. El pastor ha vivido tranquilo mientras no han aparecido los lobos en el ciberespacio pero cuando han hecho su entrada le ha pillado totalmente desprotegido.

Y si te llamas Sony y afecta a tu plataforma de juego online tiene una factura de 171 millones de dolares. Y si te llamas Inteco, afecta a tu plataforma de formación y te dedicas a la seguridad tiene un daño en imagen importante. Y si te llamas Empresa A y supone la revelación de datos de carácter personal  puede acabar en una sanción de la Agencia Española de Protección de Datos también considerable.

Hace unos días en una presentación sobre el Esquema Nacional de Seguridad comentaba que el marco operacional del ENS trata de empezar a concienciar a los responsables TI de las AA.PP. sobre la importancia de las actividades de la planificación, explotación y monitorización de los sistemas de información. Se me ocurrió nombrar las siglas ITIL y rápidamente las caras cambiaron. Había nombrado las palabras prohibidas. ITIL no es más que la necesaria formalización e industrialización de los procesos de gestión y operación TI que son esenciales para la gestión de toda esta complejidad. Estamos en el área de sistemas ahora teniendo que convencer de la importancia de estas metodologías como cuando hace 20 años cuando empezaba la carrera nuestro profesor de programación comentaba la importancia de las metodologías de desarrollo y la famosa crisis del software.
ITIL nace para racionalizar costes, maximizar la productividad y reducir los cortes de servicio. Aquí hay un resumen de su historia para el que tenga curiosidad. Obviamente en aquellos sitios donde los administradores y personal técnico son anárquicos, hacen las cosas cuando creen adecuado, no están encorsetados en procedimientos, no comprenden que son herramientas para dar soporte a procesos de negocio y dentro de lo que cabe, no tienen muchos problemas o incidencias, las siglas ITIL son el problema. Sin embargo, como comentaba en esa reunión, ITIL para ellos es una amenaza o la solución. Y digo esto porque dentro de unos años, estos departamentos que trabajan con esta filosofía de ausencia de gestión de la complejidad tendrán enfrente unos servicios gestionados en la nube que si emplean estas metodologías de trabajo y garantizan unos servicios, costes y rendimientos muy superiores harán pensar al área financiera o de dirección el liquidar el departamento TI para pasar a subcontratarlo. Para Dirección ese milagro de hacer que todo funcione sólo será analizando en términos de coste y servicio.
viernes, 8 de julio de 2011 0 comentarios

La dificultad del ser humano para la gestión del riesgo tecnológico

En el blog de Inteco he dejado algunas reflexiones sobre el por qué creo que sigue costando tanto ver la necesidad de la seguridad de la información por parte de los perfiles de Dirección. El artículo completo se puede leer en esta dirección del Observatorio del Inteco. A continuación resumo los principales puntos:
  • 1. Modelos de negocio de las organizaciones: Toda organización puede ser vista como un gran proceso que recibe ciertas entradas y genera ciertas salidas. En este sentido, la cadena de valor de la organización viene dada por los procesos de transformación de las materias primas (sean bienes tangibles o intangibles) en resultados económicos. Fruto de la evolución hacia la sociedad de la información y el conocimiento, cada vez son más las organizaciones cuyo modelo de negocio se basa en el procesado de información como materia prima para la entrega de productos que son resultado de aglutinar o procesar dicha Información. Pensemos en las empresas de servicios TI como Google, Facebook, Linkedin o en fabricantes de productos software como Microsoft o Apple. En estos casos, el valor está asociado al coste de producción o construcción de servicios y muy vinculado con la propiedad intelectual necesaria para poderlos elaborar. Primera dificultad para nuestra mente en relación a juzgar el valor de la información.

  • 2. Modelo económico del valor: Vivimos en una sociedad capitalista donde el valor de las cosas debe ser materializado por el criterio monetario de su coste o de su estimación económica. Por tanto, la percepción del valor de las cosas utiliza un criterio basado en el precio o valor económico de los objetos. Ante la pregunta de qué vale más, si un servidor o un llavero USB, nuestro instinto juzgara que será más valioso el objeto más grande o el más complejo. Este modelo instaurado es quizás uno de los factores por los que no se valora de forma adecuada la “propiedad intelectual”, porque seguimos juzgando el precio por la valía de los objetos. Segunda dificultad de nuestra mente en relación a juzgar el valor de la información.
  • 3. Modelo operativo de las organizaciones: Las organizaciones recurren cada vez más al uso de las Tecnologías de la Información para dar soporte a sus actividades principales o primarias de negocio. Por tanto, el área TI es una actividad secundaria o de soporte según el modelo de valor de la cadena de Porter. Ello significa que existe una dependencia entre las actividades que generan valor y el buen funcionamiento de las piezas necesarias que están por debajo dando soporte a esos procesos productivos. Para las áreas directivas y no técnicas, las herramientas son las diferentes aplicaciones o sistemas como el correo electrónico que son necesarias para su día a día. Dadas sus carencias en conocimientos técnicos no son capaces de pensar en la cantidad de elementos técnicos que deben funcionar correctamente para que ellos no tengan ningún problema. Se abstraen completamente de la infraestructura TI que necesita su organización para poder funcionar. Y esta forma de ver al área técnica ahora se ha consolidado como un área creciente de negocio bajo las siglas "Cloud Computing" que viene a ofrecer un pago por servicios y uso de aplicaciones siendo un tercero el que asume el coste y la gestión de la infraestructura TI. Tercera dificultad para nuestra mente en relación a valorar la complejidad subyacente que da soporte al tratamiento de la Información.
  • 4. Modelo humano de gestión del miedo: Nuestra mente es un dispositivo esencial para garantizar nuestra supervivencia. La evolución ha entrenado a nuestro cerebro para que sea capaz de sobrevivir pero bajo un contexto basado en garantizar el alimento y la protección frente a depredadores. Nuestros antecesores tenían como actividades básicas el comer o subsistir y nuestros mecanismos de alerta o detección del peligro están vinculados a hechos físicos visibles, tangibles y sensitivos. Por tanto, nos da miedo aquello que fundamentalmente se produce por situaciones o escenarios de amenaza física como puedan ser terremotos, riadas, explosiones, incendios, etc. ¿Qué pasa entonces con las amenazas sobre la información?. Pensar en miedo ante una situación de hacking informático, un robo de datos o una suplantación de identidad es algo que al ser humano le cuesta bastante sentir. Solo son adecuadamente juzgadas estas situaciones cuando podemos establecer una relación directa causa-efecto entre los siguientes elementos: amenaza, activo, daño, consecuencias económicas o de otra naturaleza. Solo en aquellas situaciones donde tengamos cierta estimación del daño que supone un incidente relacionado con la información podremos sentir miedo y disparar por tanto los mecanismos de gestión del riesgo. Un hecho significativo que puede ilustrar esta cuestión es que muchas de las temáticas de ficción en cine ahondan sobre tramas donde el personaje principal sufre las consecuencias físicas debido a problemas sobre sistemas de información. Quizás el mejor ejemplo de este tipo de películas puedan ser “La jungla de cristal 4” o “Firewall”. Cuarta dificultad para nuestra mente respecto a la percepción del peligro en amenazas que afectan a la información dado que raramente somos capaces de valorar las consecuencias de un incidente con elementos que generen miedo sobre nuestra supervivencia.
  • 5. Modelo humano de gestión del riesgo: Nuestra mente es un dispositivo esencial en garantizar nuestra supervivencia. La evolución ha entrenado a nuestro cerebro para que capaz de sobrevivir pero bajo un contexto basado en garantizar la supervivencia física. Por tanto, el elemento esencial a la hora de tomar decisiones está fundamentado en el miedo que es una fuerza poderosa y con temor la toma de decisiones puede producir resultados nefastos. Por lo que parece, nuestro cerebro procesa el riesgo de dos maneras diferentes y complementarias:
  • La primera es intuitiva, emocional y basada en la experiencia. Este parece ser un mecanismo de supervivencia evolutiva. En presencia de incertidumbre, el miedo es una valiosa defensa. Nuestro cerebro reacciona emocionalmente pero sin realizar un análisis objetivo del riesgo potencial.
  • La segunda forma en mediante el análisis de riesgos: la utilización de probabilidad y estadística para anular, o por lo menos priorizar nuestro temor. Es decir, nuestro cerebro juega de abogado del diablo con su primera reacción intuitiva, y trata de justificar las probabilidades reales de que pase algo para tomar una decisión final.
Lamentablemente para nosotros el análisis de riesgos no es la parte que gana. La intuición o el miedo pueden abrumar fácilmente a la parte analítica, especialmente cuando nuestro cerebro en situaciones de miedo recupera imágenes grabadas en la memoria sobre catástrofes, accidentes o experiencias desagradables que quedan más fácilmente almacenadas por la memoria emocional. Por tanto, nuestro cerebro tiende a ignorar los riesgos que son difíciles de comprender o de percibir. Pero eso no hace que las probabilidades de ocurrencia disminuyan sino que simplemente nuestra percepción del riesgo cambie.

Como ejemplo de reflexión pensemos en cualquier organización. En general siempre nos encontramos con unas medidas básicas de seguridad física como son tener puertas y ventanas, disponer de alarmas presenciales, video vigilancia, etc. Si pensamos en los primeros tipos de engaño en relación a la percepción del valor, las organizaciones ya no solo tienen los puntos "físicos" de entrada a sus instalaciones sino que ahora hay medios lógicos de acceso como puede ser la página web, el correo electrónico, las conexiones remotas, etc. ¿Cómo están protegidos esos puntos de acceso a la Organización, de igual forma que los puntos de acceso físico? La respuesta común es que no. Las medidas de protección que nadie discute son aquellas que garantizan el valor tangible de los activos tangibles de las Organizaciones, es decir, sus edificios, sus instalaciones, sus oficinas, todo aquello que tiene un valor económico tangible y fácilmente estimable que justifica la ecuación de la seguridad en relación al coste de la protección y la inversión en prevenir daños.

Sin embargo, en los aspectos de seguridad lógica las cosas no están ni por asomo tan controladas. Quizás será necesario que la evolución se encargue de hacernos aprender a base de malas experiencias para que evolucionemos nuestros miedos con el fin de adecuarlos a las nuevas situaciones y circunstancias del siglo XXI.
jueves, 30 de junio de 2011 1 comentarios

Regulada la obligación de reconocer los incidentes de seguridad en la reforma de la Ley General de Telecomunicaciones.

Llevamos estos últimos meses leyendo mucho sobre intrusiones en sistemas de información, grupos organizados de hackers que amenazan a Organismos y Empresas y demás noticias que empiezan a ser cotidianas. Quizás la más relevante sea el caso Sony aunque en España también el Inteco ha sido víctima de hechos similares, todos ellos recogidos en el artículo de El País titulado "Intensa temporada Hacker"
Si bien ahora son populares, llevan fraguandose desde hace  mucho tiempo. Ya en la entrada "¿Qué elegir, gestionar vulnerabilidades o detectar ataques con IDS? comenté el cuadrante de amenazas que siempre hay que contemplar y que responde a esta frase que empleaba Joseba Enjuto mediante el juego de palabras "Lo que sé que sé, lo que sé que no sé, lo que no sé que sé y lo que no sé que no sé"
Quizás, la tónica general en materia de seguridad ha sido aplicar la filosofía "Ojos que no ven, corazón que no siente" hasta que viene un externo y te demuestra que por mucho que aprietes los ojos por no ver, "las vulnerabilidades están ahí fuera" como diría el Agente Malder de Expediente X. Lo que ya es notorio es el cambio general de tendencia respecto al objetivo y motivación de estos ataques que cada vez son más atractivos para los criminales que los perpetran y que generan unos (ingresos para el atacante/perdidas para el atacado) bastante significativos. La siguiente infografía representa el "Hall of fame" de los robos de datos más notorios de los últimos tiempos donde se aprecia el volumen de información robada en cada caso.


Esta otra infografía complementa a la anterior y hace un repaso rápido de la historia del Hacking, pudiendo verse aquí el incremento del coste económico de los ataques a lo largo del tiempo.


Esta tercera infografía relata en concreto el caso Sony PS3 donde al final de la misma podéis ver la estimación del coste del incidente de seguridad: 171millones de dolares gastados, una estimación de 24 Billones de dolares. El coste de las medidas de prevención no llega a 10.000 dolares. Por desgracia, este tipo de análisis del Return of Security Investment (ROSI) se hacen a posteriori y los financieros de las empresas no entienden de futuribles sino de hechos contrastados. En cualquier caso, la lección a aprender es clara.

Sony PSN hack

Infographic by Veracode Application Security



Todo esto viene a colación por la introducción en la futura modificación de la Ley 32/2003, General de Telecomunicaciones de un par de apartados que merecen cierta mención porque aparece por primera vez la obligación de reconocer los incidentes de seguridad y de notificar a los potenciales afectados de estos hechos siendo sancionado el hecho de no hacerlo. Todo ello limitado por supuesto por el objeto de aplicación de esta ley aunque ya es un primer avance en el tema.

En los aspectos relativos al secreto de las comunicaciones y a la protección de datos de carácter personal, se hace una apuesta clara por un refuerzo de las obliga­ciones para alcanzar mayores niveles de seguridad en el tratamiento de los datos, extremando las cautelas en lo que se refiere al tratamiento y la protección de datos por parte de los operadores. En este sentido la nueva redacción dada al artículo 34 establece, además de la información a los usuarios de los riesgos potenciales de violación de sus datos personales, se introduce ahora la obligación, cuando se produzca una violación de datos personales, de informar a la Agencia Española de Pro­tección de Datos, que queda reforzada además como autoridad nacional de reglamentación para que pueda valorar el alcance de la violación e idoneidad de las medidas adoptadas por el operador.
Ello expresamente queda regulado por las modificaciones introducidas en la Ley General de Telecomunicaciones que en esta propuesta de Ley quedan redactadas como sigue:
«Artículo 34. Protección de los datos de carácter personal.
1. Sin perjuicio de lo previsto en el apartado 6 del artículo 4 y en el segundo párrafo del artículo anterior, así como en la restante normativa específica aplicable, los operadores que exploten redes públicas de comuni­caciones electrónicas o que presten servicios de comu­nicaciones electrónicas disponibles al público deberán garantizar, en el ejercicio de su actividad, la protección de los datos de carácter personal conforme a la legisla­ción vigente.

2. Los operadores a los que se refiere el apartado anterior deberán adoptar las medidas técnicas y de ges­tión adecuadas para preservar la seguridad en la explo­tación de su red o en la prestación de sus servicios, con el fin de garantizar los niveles de protección de los datos de carácter personal que sean exigidos por la Ley Orgánica 15/1999, de 13 de diciembre y su normativa de desarrollo y, en su caso, por la que se dicte en desa­rrollo de esta ley en esta materia. Dichas medidas incluirán, como mínimo:
a) La garantía de que sólo el personal autorizado tenga acceso a los datos personales para fines autoriza­dos por la ley.
b) La protección de los datos personales almace­nados o transmitidos de la destrucción accidental o ilí­cita, la pérdida o alteración accidentales o el almacena­miento, tratamiento, acceso o revelación no autorizados o ilícitos.
c) La garantía de la aplicación efectiva de una política de seguridad con respecto al tratamiento de datos personales.
3. En caso de que exista un riesgo particular de violación de la seguridad de la red pública o del servi­cio de comunicaciones electrónicas, el operador que explote dicha red o preste el servicio de comunicacio­nes electrónicas informará a los abonados sobre dicho riesgo y sobre las medidas a adoptar.
4. En caso de violación de los datos personales, el operador de servicios de comunicaciones electrónicas disponibles al público notificará sin dilaciones indebi­das dicha violación a la Agencia Española de Protec­ción de Datos. Si la violación de los datos pudiera afec­tar negativamente a la intimidad o a los datos personales de un abonado o particular, el operador notificará tam­bién la violación al abonado o particular sin dilaciones indebidas.
Lo previsto en el párrafo anterior será exigible una vez que mediante real decreto se establezca el conteni­do de las notificaciones dirigidas a los abonados o par­ticulares, así como los supuestos en que no será necesa­ria la misma. Asimismo, el real decreto podrá establecer los restantes requisitos de las notificaciones a las que se refiere el párrafo anterior en lo referente a su contenido y condiciones. Mediante real decreto podrá establecerse el formato y contenido del inventario. A los efectos establecidos en este artículo, se enten­derá como violación de los datos personales la viola­ción de la seguridad que provoque la destrucción, acci­dental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizados, de datos personales transmiti­dos, almacenados o tratados de otro modo en relación con la prestación de un servicio de comunicaciones electrónicas de acceso público.
5. Los operadores instaurarán procedimientos internos para responder a las solicitudes de acceso a los datos personales de los usuarios por parte de las autori­dades legalmente autorizadas. Previa solicitud, facilita­rán a las Autoridades competentes información sobre
esos procedimientos, el número de solicitudes recibi­das, la motivación jurídica aducida y la respuesta ofre­cida.»

Todo esto está muy bien, pero lo más interesante llega ahora, cuando se establecen las "motivaciones suficientes" para hacer que estas medidas se apliquen que como bien supondréis están justificadas bajo el concepto de ROSI (Return of Security Investment) o dicho de otra forma, por qué es más barato hacer las cosas bien que pagar las multas por no haberlas hecho.
Disposición final primera. Modificación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protec­ción de Datos de Carácter Personal.

Uno. Se añaden dos párrafos al apartado 2 del artículo 45 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal con la siguiente redacción:

«En el caso de que se trate de la infracción tipificada en el párrafo h) del apartado tercero del artículo 44 (Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen) y una ley impusiese al responsable del fichero o el encar­gado del tratamiento la obligación de notificar al afec­tado o a la Agencia Española de Protección de Datos la existencia de un fallo en la seguridad, sin haberse dado cumplimiento a esta obligación, la cuantía mínima de la sanción será de 60.000 euros. Si el incumplimiento al que se refiere el párrafo anterior fuera reiterado, la cuantía mínima de la san­ción será de 100.000 euros

Dos. Se añade un apartado 9 al artículo 45 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protec­ción de Datos de Carácter personal con el siguiente contenido:
«9. Lo dispuesto en los apartados 5 y 6 de este artículo será igualmente aplicable a las sanciones que la Agencia Española de Protección de Datos pudiera impo­ner de conformidad con lo dispuesto en la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Infor­
mación y de Comercio Electrónico y en la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.»
Dicho de otra forma, el coste de la no seguridad puede ser de 60.000€ por incidente que no sea notificado ante al AEPD (Independientemente de la sanción por incumplimiento del Artículo 9 Seguridad de los datos o 10 Deber de Secreto de la Ley 15/1999 de Protección de Datos de Carácter Personal). Si además no informas de las violaciones y lo haces de forma reiterada, te pueden caer hasta 100.000€ lo que da para destinar recursos a la gestión de vulnerabilidades técnicas y la prevención frente a ataques que pudieran suponer una violación de la confidencialidad de los datos. Por tanto, ya se puede empezar a hablar del ROSI bajo dos premisas: el coste del incidente o el coste de las sanciones.
miércoles, 1 de junio de 2011 0 comentarios

Primeros roces con el Esquema Nacional de Seguridad: pros y contras.

Lo que hoy quiero contar son mis primeras impresiones ya algo más fundadas tras unos meses trabajando a diario con el R.D. 3/2010 de desarrollo del Esquema Nacional de Seguridad. Este post va a ser como contar el diario de una relación tras unos meses de convivencia. Bueno, empecemos.Los primeros contactos fueron ya hace un par de años con la publicación del borrador y las primeras impresiones fueron ya objeto de una primera impresiones en el post "Esquema Nacional de Seguridad, las Administraciones Públicas se ponen las pilas en la materia". Poniendo en contexto el ENS respecto a la legislación que regulaba la seguridad de la información para Administraciones Públicas, el R.D. 3/2010 es una auténtica R-evolución. Por un lado, establece un marco de trabajo correcto, alineado con las normas internacionales que se van publicando en la materia dentro de la serie ISO 27000 y por otro, establece unos criterios mínimos y esenciales que todo Organismo debe contemplar para tener sus sistemas de información en unas mínimas condiciones. Por tanto, el ENS es un impulso a la seguridad que afecta a Administraciones Públicas y a otras entidades de derecho privado que se relacionan con ellas. Dejando claro de antemano que supone una ayuda, ahora empiezo ya con las primeras reflexiones basadas en los esfuerzos de desarrollo e implantación del R.D. 3/2010.


Lo que me gusta.
Las primeras virtudes son existenciales y tienen que ver con la regulación de los denominados "Principios básicos". Estos se contemplan en el Capitulo II y se extienden desde el Artículo 4 al Artículo 10. Todos ellos son auténticas apuestas estratégicas de cuales deben ser los pilares que deben regir la gestión de la seguridad y determinan aspectos tan relevantes como:
  • Seguridad como proceso holístico: todas las partes suman y por tanto, la seguridad debe verse como un proceso integral de protección que contemple todos los aspectos relacionados: físicos, lógicos, organizativos, jurídicos, de gestión y seguimiento, etc.
  • Seguridad basada en la prevención, detección y reacción: Es básica la proactividad para evitar incidentes y mitigar más las vulnerabilidades que los daños.
  • Gestión basada en riesgos: es necesario analizar los riesgos para determinar y decidir si las medidas son suficientes o requieren de mejoras. La gestión del riesgo debe ir proporcionando como beneficio el incremento de la madurez de los controles y la evolución lógica hacia la mejora continua. Todo ello con el soporte de otro principio básico que es la reevaluación periódica para verificar que el grado de control de los riesgos es el esperado y que las medidas de seguridad funcionan tal como se tiene previsto.
  • Lineas de defensa: Las Administraciones Públicas ya contemplan como principio de diseño que deben ser capaces de resistir porque serán atacadas desde agentes externos o internos. Por tanto, la seguridad debe ser un principio a contemplar desde el diseño de los sistemas de información para contar con las medidas y controles adecuados que eviten posibles incidentes.
  • Segregación de funciones en las tareas de operación y seguridad: Este principio es esencial para evitar la acumulación de privilegios y disponer de personal que pueda hacer labores de control interno sobre las áreas técnicas implicadas en el desarrollo y operación o explotación de los sistemas de información. Por tanto, aparece un área control interno que debe velar por el correcto funcionamiento de las cosas y el cumplimiento de la legislación vigente.
Todos estos principios se desarrollan en el Capitulo III a través de los "Requisitos mínimos". Estos van desde el artículo 11 al 30 y desarrollan diferentes aspectos esenciales para poder garantizar que los principios básicos se encuentran correctamente aplicados. De ellos, merecen ser destacados especialmente los siguientes artículos:
  • Artículo 12- Organización e implantación del proceso de la seguridad, donde se indica que debe establecerse una política que debe identificar unos claros responsables de velar por el cumplimiento. Detras de todo esto debe haber "PERSONAS" que hagan cosas en relación con las "RESPONSABILIDADES" atribuidas. Si algo contribuye en mucho a la seguridad es determinar quién tiene que hacer qué para que no exista la sensación de que la seguridad se gestiona sola y que "alguien se encarga" aunque eso sea sólo una sensación que no se concreta en nadie físico.
  • Artículo 15. Profesionalidad, donde viene a decir que quien se dedique a estos temas debe saber lo que tiene entre manos. Además, como puntilla se dice que las Administraciones Públicas deben exigir a sus terceros que cuenten con unos niveles de seguridad adecuados en relación a los servicios prestados, o sea, deben acreditar que gozan de ciertos niveles de seguridad.
  • Artículo 19. Seguridad por defecto, otro elemento esencial que debe empezar a formar parte de la cultura de la seguridad que debe implantarse en las áreas TI de las AA.PP. Las cosas se protegen antes de ser expuestas en los entornos de producción.
  • Artículo 23. Registro de actividad, donde determina la necesidad de disponer de trazas y registros de auditoría que permitan la investigación frente a incidentes y lo que es quizás más importante, la depuración de responsabilidades.
  • Artículo 26. Mejora continua del proceso de seguridad. Este es quizás un guiño del ENS para que las AA.PP. se planteen establecer un SGSI como marco de gestión del cumplimiento del R.D. 3/2010 siendo la ISO 27001 la norma certificable que demuestra el cumplimiento de ese compromiso por la mejora.
Personalmente creo que el quíd de la cuestión respecto a cómo se cumplen estos requisitos mínimos queda establecido por el artículo 27 que voy a copiar integramente.
Artículo 27. Cumplimiento de requisitos mínimos.
1. Para dar cumplimiento a los requisitos mínimos establecidos en el presente Real Decreto, las Administraciones públicas aplicarán las medidas de seguridad indicadas en el Anexo II
  1. Los activos que constituyen el sistema.
  2. La categoría del sistema, según lo previsto en el artículo 43.
  3. Las decisiones que se adopten para gestionar los riesgos identificados.
2. Cuando un sistema al que afecte el presente Real Decreto maneje datos de carácter personal le será de aplicación lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, y normativa de desarrollo, sin perjuicio de los requisitos establecidos en el Esquema Nacional de Seguridad.
3. Los medidas a las que se refieren los apartados 1 y 2 tendrán la condición de mínimos exigibles, y podrán ser ampliados por causa de la concurrencia indicada o del prudente arbitrio del responsable de la seguridad del sistema, habida cuenta del estado de la tecnología, la naturaleza de los servicios prestados y la información manejada, y los riesgos a que están expuestos.
Por tanto, todos estos requisitos son concretados en el Anexo II donde se encuentra el listado de medidas de seguridad que deben servir para garantizar dichos requisitos. Como se puede ver, el criterio de selección de "LO MÍNIMO" a aplicar queda establecido en el siguiente orden por:
  1. El tipo de activo y su valoración de las dimensiones A-C-I-D-T
  2. La categoría que corresponde al sistema de información como valoración global de los activos que contiene y que siempre será asignada atendiendo al máximo valor de los activos.
  3. Las decisiones que se adopten en base a la gestión de los riesgos identificados en el proceso de análisis.
Toda esta parte filosófica y de establecimiento de las lineas estratégicas de trabajo me parecen perfectas y muy alineadas con la tendencia general que viene siendo consensuada como el marco de trabajo de la "gestión de la seguridad de la información".

Lo que no me gusta.
El primer gran problema es un tema de recursos. La seguridad por desgracia no se encuentra dentro de la cultura organizativa de las Administraciones Públicas (Al menos de las que conozco) y por tanto, este R.D. 3/2010 viene a sumar una serie de obligaciones que van a recaer sobre las áreas TI de las organizaciones que ya están bastante saturadas. Además, se añade el principio de la función diferenciada pero en general no existen "Responsables de seguridad" que tengan atribuida esa función como labor que suponga el 100% de su tiempo. Por tanto, la primera queja es que por desgracia este incremento de obligaciones no parece que venga con un incremento de los recursos y por tanto, va a costar ponerlo en marcha y más en los tiempos de crisis que han producido recortes en los presupuestos de todas las áreas TI.

El segundo gran problema son las categorías de los sistemas de información. En el ánimo de hacer sencilla la aplicación del R.D. se han establecido tres niveles de seguridad. Sin embargo, el hecho de tener que determinar un único valor para la categoría del sistema siendo éste el máximo valor de cualquiera de sus dimensiones "se carga" el principio de proporcionalidad. Si la intención es aplicar las medidas en base a los impactos o los riesgos, no tiene mucha coherencia que las medidas a aplicar se correspondan con un nivel Alto, Medio o Básico ignorando cuales son los valores de cada dimensión. Pongo un ejemplo para que se entienda claro. Si tenemos un activo que tiene una valoración Básica para la confidencialidad, integridad y disponibilidad pero Alto para la trazabilidad, ese activo tiene una valoración final de Alto. Según interpreto yo y establece así el Anexo I, la categoría final de este sistema de información será Alto. Por tanto, habrá que aplicar unas medidas de seguridad bastante fuertes a dimensiones del activo que realmente no tiene un valor de impacto alto, lo que contradice el principio de proporcionalidad que trata de poner más resistencia en las partes que son más importantes pero no generalizarlo para todo. Por tanto, esta necesidad de hacer sencilla la asignación de niveles contradice el aplicar más seguridad en las partes más importantes y puede incluso ir en contra de la filosofía basada en riesgo. Cuando un sistema tenga un activo de nivel alto, tendrá que aplicar TODAS las medidas del ENS y por tanto, será raro que además de ellas tenga que añadir alguna más para mitigar riesgos.

El tercer gran problema que además agrava mucho mas el tema de las categorías está en cómo se han establecido los criterios de valoración de los activos. En el Anexo I, punto 3 se determina que la valoración de los activos se realiza atendiendo al daño causado a la organización para:
  • alcanzar objetivos.
  • proteger activos a su cargo
  • cumplir con las obligaciones diarias de proporcionar servicios.
  • respetar la legislación vigente.
  • respetar los derechos de las personas.
Es lógico que en la valoración se contemplen aspectos legales, operativos, económicos o de carácter organizativo. Sin embargo, el gran problema está en la descripción que ha sido redactada para estas escalas de valoración en los tres niveles establecidos.
Por poner un ejemplo, a un responsable de servicio o responsable de información se le deberá preguntar qué consecuencias tiene un incidente que afectara a la confidencialidad. Por tanto, debe determinar si supone un perjuicio limitado, grave o muy grave. Sin embargo, la justificación de estos tres grados se corresponde con las siguientes frases:
  • BAJO: El incumplimiento formal de alguna ley o regulación, que tenga carácter subsanable.
  • MEDIO: El incumplimiento material de alguna ley o regulación, o el incumplimiento formal que no tenga carácter subsanable.
  • ALTO: El incumplimiento grave de alguna ley o regulación.
Estas frases abiertas y poco concretas por ser ausentes de contexto pueden dar lugar a diferentes interpretaciones y dificultan de forma extrema el seleccionar un valor que no dependa del criterio personal de quien valora. Además, los valores establecidos en las diferentes escalas deberían ser similares para que el nivel alto represente un tipo de incidente de gravedad similar en todas las escalas. Para representar esto segundo imaginemos que sobre un activo se diera un incidente que supusiera una infracción grave de la LOPD. Según el criterio de valoración sería un activo de nivel ALTO. Sin embargo, si miramos qué valores tiene el nivel alto en el resto de escalas tenemos la anulación de la capacidad de la organización para atender sus obligaciones o el perjuicio grave a un individuo de difícil reparación. No parecen del mismo rango los daños en las tres escalas y si a eso sumamos que por un problema de confidencialidad. Aun así, si consideramos que el hecho es grave, por el razonamiento anterior para proteger la confidencialidad del activo, se van a tener que aplicar medidas muy duras relacionadas con el resto de dimensiones.

El cuarto y quizás también muy relevante es que no se ha definido un organismo supervisión que vele por garantizar el cumplimiento ni se atribuye un régimen sancionador debido al incumplimiento. Al menos, para consuelo de todos, el Artículo 41. Publicación de conformidad establece lo siguiente:

Artículo 41. Publicación de conformidad.
Los órganos y Entidades de Derecho Público darán publicidad en las correspondientes sedes electrónicas a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del Esquema Nacional de Seguridad.
Según  se puede ver, todos los Organismos debieran decir en su sede electrónica cual es su declaración de conformidad respecto al cumplimiento del ENS y cualquier otro distintivo que acredite gestión de la seguridad como pudieran ser las certificaciones ISO 27001. En la Web del CCN-CERT hay incluso colgado un documento a modo de ejemplo de la redacción que debería tener esa declaración y que os animo a consultar en este enlace.  La base por la que se declara la conformidad con los requisitos esenciales del ENS, es la superación en conformidad de la evaluación efectuada, realizada por el Responsable de Seguridad, mediante la elaboración de un dictamen técnico en el que se señale, de forma expresa, que el sistema a que se refiere es conforme al Esquema Nacional de Seguridad.Esta información debiera estar colgada en la sede para que el ciudadano pueda comprobar que la Web de ese organismo goza de las medidas de protección adecuadas y por tanto, le genere la confianza que es el fin último por el que se ha desarrollado el ENS. Por tanto, no existe una Agencia supervisora que determine quién está en condiciones de dar servicios telemáticos y quien no pero al menos obliga a todas las AA.PP. a publicar una declaración donde digan que superan las medidas de seguridad. Por tanto, si hubiera un incidente se podría saber quién es el responsable en base a detectar qué medidas de las aplicadas fallaron.



Para terminar, os planteo un reto. Del directorio de Sedes que se publica en la Web del 060.es, mirar cuantas dan cumplimiento al citado artículo 41 y disponen de la publicación de conformidad. El listado está accesible aquí. Si encontráis alguna, indicarlo en los comentarios porque yo por más que busco, no encuentro...
 
;