miércoles, 25 de mayo de 2011 0 comentarios

Cumplimiento del Esquema Nacional de Seguridad con tecnologías Microsoft

Hoy tengo buenas noticas. Vía el twitter de Hector Montenegro me he enterado que Microsoft, como viene siendo tradicional respecto al cumplimiento legal, ha publicado un excelente libro (Descargable de forma gratuita en la Red en este enlace ) sobre cómo garantizar el cumplimiento del R.D. 3/2010 de desarrollo del Esquema Nacional de Seguridad mediante tecnologías Microsoft.



A falta de poder realizar una lectura en profundidad que ya es mi primera tarea en el To-do de estos días, por lo que he podido mirar por encima, tiene muy buena pinta. Precisamente llevo este último mes completamente sumergido con el ENS elaborando un plan de adecuación y hoy habíamos terminado el diagnóstico diferencial del grado de cumplimiento siguiendo la guía 808 - Verificación del cumplimiento de las medidas en el Esquema Nacional de Seguridad. Este libro va a ser de gran ayuda seguro porque muchas de las medidas que son completamente razonables siempre plantean problemas de implementación. Suele ser habitual encontrarse en AA.PP. también que la gestión de usuarios y equipos esté delegada en Directorio Activo por lo que el libro va a resolver muchas cuestiones técnicas a muy bajo nivel.

En mi caso, entiendo que para elaborar el informe de deficiencias es necesario que la Organización valore, siguiendo la guía de auditoría y no la guía de implantación, cual es el porcentaje de cumplimiento, con el objetivo de generar un plan de actuación que logre implantar las medidas al 100% generando así las evidencias suficientes para justificar el cumplimiento. La sensación general cuando hablamos de seguridad de la información en AA.PP. es que falta un largo camino por recorrer. En general, cuando cuentas las medidas de seguridad todo el mundo las valora como razonables, deseables, etc... pero son consideradas más deseos que requisitos. Además, por desgracia, la seguridad de la información no cuenta como área con personal propio y estas movidas o caen a la gente de sistemas o a la gente de comunicaciones, personas que ya de por si tienen a sus espaldas bastante trabajo. A ello se suma la actual coyuntura económica que pone bastante dificultades a la viabilidad de los proyectos necesarios para que el cumplimiento sea garantizado.

En cualquier caso, hoy toca alabar a Microsoft por esta excelente iniciativa que va a facilitar mucho a los responsables de TI de muchas organizaciones el resolver la problemática relacionada con el cumplimiento. Por desgracia los consultores les decimos lo que habría que hacer y les asesoramos en cuales son los motivos y los objetivos a lograr. Microsoft como fabricante además les va a decir en este libro cómo lograrlo y hacerlo real.

Quien a estas alturas no tenga muy localizado de qué estoy hablando, os dejo también el enlace a la Web del Centro Criptológico Nacional donde se están publicando las diferentes guías de ayuda a la puesta en marcha del CCN.

Al Centro Criptológico Nacional también hay que alabarle el esfuerzo por concretar y asesorar a las AA.PP. en el duro camino de implantar seguridad de la información. En este caso además, el CCN no ha permitido con la publicación de estas guías que exista ambigüedad interpretativa y ha marcado unas directrices claras respecto al qué hacer y por qué. En algunas organizaciones se ven estos temas como de otra galaxia pero al igual que la LOPD, esto es legislación y por tanto, de obligado cumplimiento.
miércoles, 11 de mayo de 2011 1 comentarios

La irresponsabilidad del Estado en materia de e-Administración.

En el argumentario de todos los anuncios y publicaciones en materia de Administración electrónica siempre aparece la palabra "Confianza". Incluso en la redacción de la Ley 11/2007 como en los desarrollos reglamentarios, las medidas y mecanismos de seguridad se imponen por esa necesidad de crear las condiciones adecuadas para que la tramitación electrónica tenga el marco adecuado de forma que goce de las garantías suficientes para crear confianza por parte de los ciudadanos.

La confianza en los sistemas de información se construye de varias formas: por un lado con la regulación de unas medidas mínimas de protección y por otro, con la creación de aplicaciones y procesos de gestión que garanticen los requisitos de seguridad necesarios para poder evidenciar dicha "confianza". En este sentido y afectando a las aplicaciones, el Inteco elaboró en castellano los perfiles de protección para el uso del DNI-e de forma que toda aplicación que vaya a usar este potente mecanismo de identificación y autenticación lo haga con las premisas y garantías necesarias para acreditar un uso correcto y eficiente. Estas acciones se encarcan, auditan y certifican con la norma ISO 15408 conocida vulgarmente como "Criterios Comunes" de los que ya he hablado anteriormente.

Cual es mi sorpresa estos días cuando descargando el cliente del programa PADRE para la Renta 2010 me encuentro en la necesidad de descargar también el cliente @Firma.




Para un "Ingeniero en Informática" en relación a un producto software es muy duro leer cosas como las que aparecen en la dichosa cláusula del cliente @Firma y que por deformación profesional suelo mirar por curiosidad.
No sería la Informática una Ingeniería si todos los desarrollos realizados gozaran de esta impunidad para asumir responsabilidades por las líneas de código creadas. Sin embargo, t
tal como muestra la captura de pantalla que adjunto a modo de evidencia y citando literalmente, se establecen las siguientes premisas en este módulo denominado "cliente @Firma" utilizando para firmar digitalmente:
  • " El cliente @Firma se provee en su  estado actual y sin garantías de ningún tipo".
  • " El Gobierno de España y su personal no tendrá responsabilidad alguna que surja del uso del cliente @Firma o que se relacione con su uso. Su único derecho o recurso legal ante cualquier problema o disconformidad con el cliente @Firma es dejar de usarlo de inmediato".
Obviamente esta redacción casi seguro tiene como origen el famoso "Copia y pega" que seguro habrá hecho el Departamento Técnico que desarrolla la aplicación. Digo esto porque cualquier abogado que se precie sabe que esta redacción posiblemente no respete la legislación vigente dado que el Estado no puede  proporcionar servicios sin garantía. Además, si tuviera que actuar como perito de parte en un problema con este cliente, como la cláusula también deja bien claro que la propiedad intelectual corresponde al Gobierno de España, no creo que sea dificil también atribuirle la responsabilidad civil subsidiaria que pudiera derivarse de los resultados desastrosos de esa "propiedad intelectual" puesta en ejecución sobre un servidor. Además, como estas dichosas cláusulas no las lee nadie, seguro debieron pensar que algo así pasaría o pasa completamente desapercibido.
Sin embargo, resulta paradógico ver cómo por un lado tratan de hacerse las cosas bien y exigir a las aplicaciones la certificación ISO 15408 para demostrar "confianza" y por otro, para algo ciertamente importante y que supone uno de los procesos telemáticos más utilizados por los ciudadanos, vemos como se desarrollan aplicaciones que lo primero que te dicen es que no se hacen responsables de nada. Además, este módulo se supone que es con el que se garantiza la autoría, lo que lleva a pensar en manos de qué código fuente estamos al realizar una de las actividades más relevantes como es la notificación telemática del impuesto sobre la renta. Otro ejemplo más de la "deuda técnica" con la que seguramente tendremos que enfrentarnos en unos años.

¿Cómo queremos crear "confianza" en la Administración electrónica con estas incoherencias? Es un hilo que dejo abierto a comentarios. Espero que al dar cierta difusión a esa aberración de EULA, al menos se preocupen en modificar el texto y maquillarlo un poquito.
 
;