jueves, 29 de septiembre de 2011 0 comentarios

La APEP poniendo los puntos sobre las ies en materia LOPD para luchar contra el "coste cero".

Si bien no soy socio (todavía) de la APEP (Asociación Profesional Española de Privacidad), si que he seguido con interés y proximidad el nacimiento y crecimiento de esta asociación desde sus comienzos. Entre sus más ilustres miembros hay mucho murciano y compañero de charlas de SICARM de estos últimos años.

Este post tiene un solo objetivo: dar difusión al documento que han elaborado para establecer y definir qué es o qué debe ser un servicio de consultoría en materia de la LOPD. Tenía entre los borradores de "post congelados" comentar la problemática de la "LOPD-Coste cero" y la estafa que supone abusar del desconocimiento de las empresas para vender motos relacionadas con el cumplimiento de la normativa en protección de datos pero ya es más pertinente comentar el texto de la APEP.

La idea es sencilla, el cumplimiento de la LOPD es un proceso continuo que requiere de actividades puntuales como puede ser la declaración de los ficheros o la elaboración del documento de seguridad y de una serie de procesos internos que se deben ejecutar cuando sea pertinente y que velan por diferentes aspectos, entre otros los más esenciales como :

  • Atender los derechos ARCO de los afectados.
  • Garantizar las medidas de seguridad que protegen los sistemas de tratamiento de estos datos.
  • Establecer las adecuadas relaciones contractuales con los terceros que puedan tratar datos de nuestros ficheros.
  • Adecuar el dibujo legal declarado ante la AEPD frente a los cambios en el uso de los datos que se pudieran realizar una vez que se modifiquen finalidades, tipos de datos recogidos, etc.
  • Otras.
En este sentido, no se acaba nunca al igual que ocurre con otras áreas de la seguridad y prevención. Se deben mantener unos mínimos y eso es un esfuerzo constante. Por tanto, todos estos "Servicios de consultoría" que venden una "actuación puntual" o una "adecuación/adaptación" y hacen entender el problema como la simple inscripción de los ficheros ante la AEPD o la elaboración del famoso Documento de seguridad simplemente no sirven para nada.
 ¿Por qué? Sencillo. Si la AEPD viene a visitarte será por alguna denuncia sobre unos hechos ocurridos que han lesionado los derechos de los afectados o comprometido la seguridad de los datos. En estos casos, la inspección de la AEPD tratará de investigar qué ha ocurrido y esclarecer las causas y los responsables. Las actuaciones puntuales de "declaración de ficheros" y "elaboración del documento de seguridad" son sólo el primer paso del camino pero para demostrar la "protección de los datos de carácter personal" hay que enseñar el trabajo continuo por garantizar el correcto funcionamiento de las actividades relacionadas con la protección misma. Por tanto, se necesitan "evidencias" o "registros" de lo que diaria, semanal o mensualmente se va haciendo para evitar que ocurran incidentes.

La APEP, con muy buen criterio está tratando de pelear contra esta "prostitución del mundo de la consultoría en materia LOPD" de la mejor manera posible: tratando de informar de lo que se considera un servicio adecuado y completo para dejar claro quien está vendiendo "un traje nuevo al emperador en materia LOPD". Es una manera de combatir en positivo esta lacra que carece de la profesionalidad necesaria para tratar siempre de hacer un trabajo completo y correcto. Claro que la lacra también vive de unos "clientes" que ven en la LOPD otra pega administrativa más, que los datos de carácter personal les importan tres pepinos y que la protección de la información de sus clientes no les preocupa lo suficiente como para hacer el esfuerzo que la ley impone. Prefieren asumir el riesgo y hacer frente a las multas que la AEPD pueda ponerles (porque creen realmente que nunca les tocará a ellos). 

El contenido del manifiesto de la APEP se puede leer y consultar en esta dirección. Solo queda dar felicitaciones a la APEP por establecer estas "buenas prácticas respecto a lo que deben ser servicios de consultoría para la adaptación a la LOPD.










martes, 13 de septiembre de 2011 0 comentarios

Reflexiones sobre el caso DigiNotar

La estrella de incidentes de seguridad de la semana pasada de la llevó la PKI Diginotar. Aunque ya hay colgadas en la red múltiples reflexiones, yo quiero añadir un par de puntos de vista más a contemplar. Para el que no sepa de qué va el incidente, recomiendo leer los post de "Security by default", "Reflexiones sobre Diginotar" y de Hispasec "Otro certificado falso de Google" y "Conversaciones sobre certificados digitales, seguridad y pornografía".

El tema de las PKI es personalmente uno de los que más me encienden. Este mecanismo de seguridad utilizado extensamente como medio de generación de confianza no puede ser entendido como aspectos puramente técnicos relacionados con la generación y distribución de certificados. El éxito y robustez de estas infraestructuras se basan en la fortaleza de los tres elementos esenciales: personas, procesos y tecnología.
Ya postee extensamente sobre esta problemática cuando en marzo de este año fue conocido el problema con la PKI Comodo en el post "Incidente de Comodo, reflexiones sobre el uso de entidades de certificación". En aquel incidente, lo que acabó comprometida fue la autoridad de registro, una pieza clave en toda la infraestructura porque es la parte que acredita la identidad para que se genere y otorgue a un tercero un certificado.

El caso DigiNotar sin embargo es todavía mucho más grave. Como resultado del incidente ha acabado comprometida la Entidad Raíz de Certificación, lo que supone que todos los certificados generados por dicha empresa pasan a estar revocados. Esto, para una PKI es lo más grave que puede suceder dado que anula todos los certificados expedidos y supone que todos los navegadores coloquen este certificado raíz en la lista de certificados revocados.

Las tres reflexiones al respecto que quiero apuntar son:
  • Una empresa cuyo proceso de negocio se fundamenta en la seguridad es la que menos puede permitirse un incidente, porque además del daño en imagen, acaba con su modelo de negocio. En este caso casi seguro que acabará sucediendo esto segundo porque DigiNotar ahora parte como PKI con el reto de recuperar la confianza y volver a ser admitida como un certificado raíz válido en los navegadores. Además, es difícil vender seguridad si no se da ejemplo.
  • Es incompresible e intolerable que piezas tan delicadas y críticas de la infraestructura de confianza que suponen las PKI puedan estar gestionadas y administradas en las condiciones en las que revela el informe de FoxIT sobre el incidente que puede ser consultado en esta dirección. Las conclusiones no pueden ser más claras: mala política de contraseñas con passwords debiles, falta de parcheo en equipos, la CA Raíz en línea, etc... demasiadas papeletas compradas para que no les tocara el gordo del hacking. Quizás el fallo más grave de Diginotar que puede acabar hundiendo a la empresa es haber tenido el certificado raíz en linea, obligando a todos los navegadores a revocar el certificado raíz porque lo razonable es emplear entidades subordinadas para generar los certificados de forma que si hay cualquier problema se revocan los certificados de la rama de la entidad subordinada detectada pero la Entidad de certificación puede seguir operando.
  • Las PKI son una pieza esencial en la sociedad del siglo XXI por así decirlo son el tercero en quien se delega la confianza de verificar que los dominios y las empresas son quienes dicen ser. Por tanto, todos (Usuarios y empresas) transferimos ciertos riesgos al buen hacer de estas empresas que prestan como servicio esa verificación de identidad y otorgan confianza. Debieran plantearse controles más estrictos sobre todas las empresas que son prestadores de servicios de certificación porque el compromiso de cualquiera de ellas pone en peligro la seguridad basada en el uso de certificados digitales. Aunque el post de Hispasec "Conversaciones sobre certificados digitales, seguridad y pornografía" cuenta bien que es complejo poder emplear un certificado falso para comprometer la seguridad del protocolo https, también es cierto que el fallo en cualquier PKI pone en peligro a cualquier certificado de cualquier organización porque puede ser perfectamente suplantado pasando desapercibido para el usuario. Además genera una sensación al usuario final de intranquilidad debido a que las precauciones habituales que se recomiendan para verificar que estás en el sitio correcto y que todo marcha bien en este caso no serían suficientes. Quizás una de las medidas de presión que pudiera establecerse sobre toda Empresa que se dedique al mundo de los certificados digitales sera la auditoría continua. En cualquier momento en cualquier lugar pueden aparecer unos auditores para valorar el funcionamiento de tu PKI y si no se cumplen los requisitos, perder la "licencia" de ser prestador por no garantizar suficiente seguridad. De esta forma, el poder ser inspeccionado en cualquier momento puede generar suficiente tensión como para no relajar las medidas necesarias.
miércoles, 7 de septiembre de 2011 6 comentarios

La complejidad y su gestión para la supervivencia de las organizaciones del siglo XXI.

Aunque olvidé colgar el cartel de vacaciones, comienza ya el nuevo curso blogero. Y para empezar quiero comentar algunas cuestiones que este verano han estado dando vueltas en mi cabeza. Como suele ya ser tradición en mi suelo aprovechar el periodo vacacional para leer y sobre todo cosas de otras temáticas o áreas de conocimiento que también me atraen como la psicología, la productividad personal o la antropología. Aunque espero pronto poder publicar algunas de las conclusiones de mis lecturas, me quiero centrar en los últimos incidentes notorios y públicos de hacking que han puesto encima de la mesa más de una vez los términos ciberguerra o ciberdefensa y esta nueva sensación de guerra tecnológica. Además, hace unos días leí en Aerópago21 la entrada ¿Contra quién estamos luchando? que terminó de inspirarme este texto.
La última reflexión que dejé en el tintero trataba de comprender el por qué de la poca trascendencia que sigue teniendo la seguridad de la información en las organizaciones, cuando estamos ya en el siglo XXI y la denominada "Sociedad de la información o el conocimiento". Esa
Sinceramente creo que nos encontramos en un punto de inflexión, por el que han pasado otras disciplinas o ciencias como la arquitectura, la ingeniería, la medicina donde se pasa el proceso primitivo y basado en el conocimiento aplicado a la formalización e industrialización de actividades, lo que conlleva la necesidad de normalizar y estructurar tareas que deben afectar a los sistemas de información. No somos conscientes de la complejidad que hemos construido y que rodea ya nuestro día a día porque toda esa maquinaria funciona casi sin errores como una orquesta perfectamente organizada donde hay pocos desafines. Sin embargo, detrás de ese resultado puede simplemente darse la casualidad o quizás la suerte de distrutar de la ausencia de problemas. El error es pensar que esta situación es prorrogable de forma indefinida, que es una estrategia para el medio y largo plazo y que el que no ocurra nada en el presente es garantía de que no ocurrirá nada en el futuro. Para explicarme mejor creo ilustrativo hacer un paralelismo con un supuesto basado en otra problemática. Imaginemos que somos nombrados Responsables del mantenimiento e infraestructuras urbanisticas de una ciudad. Como ejemplares ingenieros disponemos de todos los conocimientos necesarios y nos toca la labor de garantizar el buen funcionamiento de todos los servicios. Sin embargo, fruto de la carencia de unas buenas prácticas y una falta de disciplina, nos encontramos con las siguientes sorpresas:  
  • No se dispone del plano de la ciudad.
  • No hay mapas de las canalizaciones y tuberías que atraviesan el suelo de la ciudad.
  • No existe un inventario de los recursos a gestionar.
  • Se desconoce el estado de cada uno de esos recursos, los contratos de mantenimiento, los periodos de revisión, etc.
  • No se dispone de la lista de contacto para el mantenimiento de las infraestructuras.
La ciudad funciona sin problemas y este responsable de mantenimiento vive relativamente bien mientras no hay problemas. En este escenario, ¿qué puede hacer un buen gestor de infraestructuras ante una incidencia? Posiblemente un milagro para poder resolverla y seguramente con bastante dosis de suerte o pericia. Si el responsable de mantenimiento logra ir apagando fuegos, la ciudad no valorará su esfuerzo y no reconocerá su destreza porque en semejante situación ese responsable es un héroe.
Ahora, pasemos al área de TI de cualquier organización mediana o grande. 
  • ¿Existe y está documentada la arquitectura de red? (Los planos de la ciudad)
  •  ¿Hay diagramas de las interconexiones de la organización con elementos externos  (Mapas de las canalizaciones y tuberías)
  • ¿Se conocen el número de dispositivos conectados en la red de la organización?
  • ¿Se disponen de listas de contacto para el mantenimiento técnico del equipamiento?
  • ¿Existe un inventario de los activos y elementos de configuración de la organización?
  • ¿Se conoce el estado de cada uno de esos recursos, los contratos de mantenimiento, los periodos de revisión, etc.?
  • ¿Se evalua el estado de las versiones software instaladas y se aplican los parches que correspondan en las versiones vulnerables?
Yo auditando puedo contar con los dedos de una mano los sitios donde he visto este tipo de documentación y procesos de gestión operativa para su mantenimiento.

Los sistemas de información no son ajenos a los problemas que supone la gestión de tanta complejidad. Hay que pensar que cada dispositivo conectado a la red no es "sólo un cacharro". Ese hardware tiene seguro un sistema operativo y puede además disponer de aplicaciones instaladas. Todos estos productos software tienen versiones. A ello además debemos sumar la aparición de la virtualización que permite sobre un solo hardware la aparición de tantas máquinas virtuales (también con su sistema operativo, aplicaciones instaladas y correspondientes versiones).

Esta ingente cantidad de activos, no pueden ser mantenidos y operados de forma diferente a cómo son tratadas otras infraestructuras físicas del mundo real que adquieren el mismo nivel de complejidad. Lo que viene ocurriendo es que nuestras "ciudades digitales", los sistemas de información, han crecido de forma exponencial intentando satisfacer las necesidades de negocio, han multiplicado sus activos y han sido y siguen siendo gestionados mediante filosofías apagafuegos (causado esto último muchas veces por la falta de concienciación de la Dirección sobre la importancia del área TI en sus organizaciones y las necesidades de recursos que ello requiere, aunque esto será objeto de otro post). Y ese globo de riesgo se infla e infla e infla hasta que un día, por la menor de las estupideces explota y deja al descubierto las graves deficiencias de gestión y operación TI que esa organización tenía. 
Los casos de hacking más conocidos han tenido como origen o causa principal la existencia de servicios o aplicaciones vulnerables por la falta de mantenimiento preventivo y de actualización de aplicaciones o sistemas. Y como ya comenté en otro post, "El pastor tiene que vigilar con 100 ojos cada una de sus ovejas, pero el lobo solo tiene que identificar, seleccionar y atacar a la más debil en el mejor momento y condiciones para tener éxito". Y en parte es lo que está ocurriendo en el ciberespacio. Hay muchos pastores dueños de sus sistemas de información que no son conscientes que en Internet hay muchos lobos, no conocemos cuantos pero existir existen. Y cuando te dan un zarpazo y se comen a una de tus ovejas, eso ya no tiene solución. El pastor ha vivido tranquilo mientras no han aparecido los lobos en el ciberespacio pero cuando han hecho su entrada le ha pillado totalmente desprotegido.

Y si te llamas Sony y afecta a tu plataforma de juego online tiene una factura de 171 millones de dolares. Y si te llamas Inteco, afecta a tu plataforma de formación y te dedicas a la seguridad tiene un daño en imagen importante. Y si te llamas Empresa A y supone la revelación de datos de carácter personal  puede acabar en una sanción de la Agencia Española de Protección de Datos también considerable.

Hace unos días en una presentación sobre el Esquema Nacional de Seguridad comentaba que el marco operacional del ENS trata de empezar a concienciar a los responsables TI de las AA.PP. sobre la importancia de las actividades de la planificación, explotación y monitorización de los sistemas de información. Se me ocurrió nombrar las siglas ITIL y rápidamente las caras cambiaron. Había nombrado las palabras prohibidas. ITIL no es más que la necesaria formalización e industrialización de los procesos de gestión y operación TI que son esenciales para la gestión de toda esta complejidad. Estamos en el área de sistemas ahora teniendo que convencer de la importancia de estas metodologías como cuando hace 20 años cuando empezaba la carrera nuestro profesor de programación comentaba la importancia de las metodologías de desarrollo y la famosa crisis del software.
ITIL nace para racionalizar costes, maximizar la productividad y reducir los cortes de servicio. Aquí hay un resumen de su historia para el que tenga curiosidad. Obviamente en aquellos sitios donde los administradores y personal técnico son anárquicos, hacen las cosas cuando creen adecuado, no están encorsetados en procedimientos, no comprenden que son herramientas para dar soporte a procesos de negocio y dentro de lo que cabe, no tienen muchos problemas o incidencias, las siglas ITIL son el problema. Sin embargo, como comentaba en esa reunión, ITIL para ellos es una amenaza o la solución. Y digo esto porque dentro de unos años, estos departamentos que trabajan con esta filosofía de ausencia de gestión de la complejidad tendrán enfrente unos servicios gestionados en la nube que si emplean estas metodologías de trabajo y garantizan unos servicios, costes y rendimientos muy superiores harán pensar al área financiera o de dirección el liquidar el departamento TI para pasar a subcontratarlo. Para Dirección ese milagro de hacer que todo funcione sólo será analizando en términos de coste y servicio.
 
;