Tras la difusión de la noticia del "barrido informático", el mismo viernes toda la prensa se hizo eco de que ese "borrado de datos" es un supuesto delito. Como continuación a la noticia, quiero reflexionar ahora sobre algunas deficiencias obvias que se perciben en este asunto y que ponen de manifiesto una mala gestión en la seguridad de los sistemas de información de Moncloa.
Aunque por las noticias se ha sabido que dicho barrido fue encargado a una empresa especializada en destruir datos (imagino que se refiere a que se han utilizado técnicas de borrado seguro, de eliminación de datos que no permite la posterior recuperación), la primera cuestión que surge es, ¿Donde están las copias de seguridad de dichos sistemas de información?
Si bien es posible destruir de forma inmediata la información almacenada dentro de los sistemas, eliminar las copias de seguridad requiere la destrucción de todos los soportes utilizados durante meses para almacenar dicha información. Además, dichos soportes no deben guardarse nunca en el lugar donde se encuentran los sistemas de información a lo que respaldan. Por tanto, si tales hechos se hubieran producido, deberían aparecer ciertas evidencias físicas sobre el supuesto barrido.
También sorprende mucho la ausencia de logs de todas estas acciones y la importancia que debería tener ya actualmente la figura del auditor de sistemas de información. Si en la gestión económica siempre hay una segregación de funciones respecto a quien solicita y tramita, quién ejecuta el pago y quién fiscaliza el gasto, en los sistemas de información deberíamos empezar ya a disponer de estos tres roles o funciones de control segregados e independientes. Deberían existir siempre la figura del administrador de sistemas, el responsable de seguridad y el auditor, de forma que un sólo rol no sea todopoderoso para poder hacer cualquier cosa.
De esta manera, las actividades de "barrido informático" podrían haber contado con la autorización o el visto bueno del administrador, pero se habría topado con el responsable de seguridad que habría evitado la extralimitación de funciones del área de sistemas y al auditor que podría recoger las evidencias suficientes para realizar la oportuna denuncia si los hechos son constitutivos de delito.
Igual que estas figuras en la gestión del dinero nos parecen imprescindibles, en la gestión de información todavía no hemos adquirido la madurez necesaria como para entender que estos tres roles deben empezar a coexistir en nuestros sistemas de información (al menos, en los más importantes). Y es que realmente no somos conscientes de que la información anda muy descontrolada y su gestión carece muchas veces del control necesario.
De lo contrario, ¿qué confianza va a darnos la E-Administración si cualquier político es capaz de someter al personal tecnológico para que desaparezca información sin control? Tendremos que esperar a que ocurran "Gescarteras de información" o "Forum filatélicos de datos" para poner los controles necesarios?
Para terminar, quiero enlazar a las interesantes reflexiones que realiza Bruce Schneier sobre la importancia de la figura de la auditoría como órgano de control interno en Schneier on Security: Audit.
viernes, 19 de diciembre de 2008
Documentación de interés
2
comentarios
¿Dónde están las copias, matarile, rile, rile?
Noticias
6
comentarios
"Barrido" o "borrado" masivo informático. Una nueva profesión, los barrenderos informáticos.
A vueltas de la no regulación de nuestra profesión, he decidido usar el blog para denunciar todos los incidentes o situaciones donde se use la Informática como excusa.
Ultimamente la radio es mi principal fuente de información. Hoy de camino al trabajo no he podido sorprenderme más al escuchar un titular sobre la entrevista de Zapatero ayer en Cuatro. En diferentes periódicos, la noticia hace directamente referencia al hecho de un supuesto "Barrido informático" que eliminó datos.
En los diferentes medios se cubre la noticia como son El País, La Vanguardia, Público.
Estas cosas siempre me hacen gracia e indignan al mismo tiempo. La frase "barrido informático" de nuevo es la excusa por la que se desconocen unos hechos pero sin embargo, en ningún medio se aclara qué coj...s es un "barrido informático". A ver si entre todos lo logramos aclarar:
Voy a justificar por qué la opción a es la más probable.
Mi opinión particular es que debe tratarse de la Opción A, porque además, la opción B y C implica un delito recogido por el Código Penal dentro del Capítulo IX, «De los Daños», del Título XIII, «Delitos contra el patrimonio y contra el orden socioeconómico». En el artículo 264.2 que literalmente dice "
De todas formas, señores políticos, solo quiero dejar una advertencia.
Buceando un poco por las noticias publicadas en su momento sobre este asunto, he dado con bastantes referencias interesantes:
Ultimamente la radio es mi principal fuente de información. Hoy de camino al trabajo no he podido sorprenderme más al escuchar un titular sobre la entrevista de Zapatero ayer en Cuatro. En diferentes periódicos, la noticia hace directamente referencia al hecho de un supuesto "Barrido informático" que eliminó datos.
En los diferentes medios se cubre la noticia como son El País, La Vanguardia, Público.
Estas cosas siempre me hacen gracia e indignan al mismo tiempo. La frase "barrido informático" de nuevo es la excusa por la que se desconocen unos hechos pero sin embargo, en ningún medio se aclara qué coj...s es un "barrido informático". A ver si entre todos lo logramos aclarar:
- Opción a (y más probable): En Moncloa el servicio de limpieza lo realiza personal informático porque tal como está el mercado es más rentable limpiar que programar.
- Opción b: El señor Aznar hizo un "del *.*" o "erase *.*" de su ordenador y eliminó todos los documentos que curiosamente sólo estaban en soporte electrónico.
- Opción c: El señor Aznar, como presidente de Gobierno disponía de la clave de administrador y eliminó todos los datos de todos los servidores.
Voy a justificar por qué la opción a es la más probable.
- En la opción B, hemos de suponer que esos documentos solo estaban en el ordenador del Sr. Aznar y por tanto, tenía privilegios suficientes para borrarlos. Por otro lado, si se trata de un Pc doméstico, es probable que el servicio de informática de Moncloa no hiciera copias de seguridad. En cualquier caso, si esta fuera la hipótesis correcta, ¿Cómo están esos documentos en soporte papel y publicados en un periódico? ¿Es que es el Sr. Aznar el responsable directo del envío de las únicas copias en papel?
- En la opción C, la asignación de privilegios excesiva podría haber permitido al Sr. Aznar un abuso de privilegios y por tanto, la destrucción de esa información. Pero...¿Qué pasa con las copias de seguridad? ¿Es que también fue capaz de borrar la información en esos soportes que supuestamente debe almacenarse durante varios años y que debe realizarse de forma diaria?
Mi opinión particular es que debe tratarse de la Opción A, porque además, la opción B y C implica un delito recogido por el Código Penal dentro del Capítulo IX, «De los Daños», del Título XIII, «Delitos contra el patrimonio y contra el orden socioeconómico». En el artículo 264.2 que literalmente dice "
«2. La misma pena se impondrá al que por cualquier medio destruya, altere, inutilice, o de cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos».Obviamente todos pensamos que lo que el Sr. Zapatero quiso decir ayer no es que el Sr. Aznar cometiera un delito relacionado con la destrucción de datos, por tanto y por descarte, el barrido tuvo que ser cosa de barrenderos informáticos.
De todas formas, señores políticos, solo quiero dejar una advertencia.
"La Informática que ustedes no quieren reconocer como Ingeniería no va a permitir que sea arrastrada por el lodazal de sus intereses para que sirva de coartada o excusa que les habilite o permita impunidad ante todo tipo de fechorías. Detrás de cada "fallo informático" siempre puede haber un "peritaje informático" y lucharemos para que todo este tipo de circunstancias sean aclaradas y sobre todo, sirvan para depurar responsabilidades."
Buceando un poco por las noticias publicadas en su momento sobre este asunto, he dado con bastantes referencias interesantes:
Europa Press, 25/05/2006
APEDANICA(Asociación para la Prevención y Estudios de Delitos, Abusos y Negligencias en Informática y Comunicaciones Avanzadas) ratifica ante un Juzgado de Madrid la querella contra Aznar por el borrado de archivos de La Moncloa
El presidente de la Asociación para la Prevención y Estudios de Delitos, Abusos y Negligencias en Informática y Comunicaciones Avanzadas (APEDANICA), Miguel Ángel Gallardo Ortiz, ratificó hoy ante el Juzgado de Instrucción número 9 de Madrid la querella presentada contra el ex presidente del Gobierno José María Aznar por el borrado de los archivos informáticos del Palacio de la Moncloa, tras el abandono del poder por el Gobierno del PP después de las elecciones generales de marzo de 2004.
El titular del Juzgado de Instrucción número 9 de Madrid, Mario Pestana Pérez, incoó diligencias previas en junio de 2004 para aclarar si existió delito en el citado borrado de archivos a raíz de una denuncia interpuesta por el abogado murciano José Luis Mazón, en la que también pidió investigar al Ministerio del Interior, cuyo titular era entonces Ángel Acebes, por un "volcado" de documentos relacionados con los atentados del 11-M.
La querella presentada por APEDANICA se refiere a los mismos hechos recogidos en la denuncia del abogado Mazón, quien está personado en la causa como acusación popular junto con la abogada Encarnación Martínez, que también presentó otra querella criminal sobre el mismo contenido. Ratificada la denuncia y las dos querellas presentadas por estos hechos, el juez Pestana se pronunciará en los próximos días sobre si las admite a trámite o no.
BORRADO DE ARCHIVOS
En concreto, el abogado murciano interpuso una denuncia el 14 de diciembre de 2004, en la que cita dos noticias publicadas por el diario "El País" el 13 de diciembre de 2004 en las que se informaba de que una empresa cobró 12.000 euros por eliminar archivos informáticos y sus respectivos copias de seguridad de La Moncloa, mientras que en el Ministerio del Interior se realizó un "volcado" de documentos sobre los atentados del 11 de marzo de 2004 en Madrid.
Asimismo, añade que durante la comparecencia ante la Comisión de investigación del 11-M, el presidente del Gobierno, José Luis Rodríguez Zapatero, "ratificó la citada información" al señalar que los archivos informáticos, incluidas las copias de seguridad, fueron destruidos en los días posteriores a los atentados.
Mazón señala en su denuncia que, aunque Rodríguez Zapatero manifestó entonces que no pediría responsabilidades por los hechos, "la aplicación del Código penal en un Estado de Derecho no está sometido al principio de oportunidad". Agrega que "nadie, ni el Gobierno ni el Poder Judicial, puede otorgar dispensas penales que impidan la investigación de una conducta sospechosamente delictiva.
Europa Press, 26/02/2005
La Abogacía del Estado estima que no hay datos suficientes para saber qué tipo de documentos destruyó el Gobierno Aznar
La Abogacía General del Estado establece que los datos aportados por la subdirección informática de Presidencia del Gobierno son "manifiestamente insuficientes" para determinar la naturaleza de los documentos destruidos por el gabinete del anterior jefe del Ejecutivo, José María Aznar, antes de abandonar La Moncloa. Además, en el informe elaborado al respecto por los servicios jurídicos del Estado, al que tuvo acceso Europa Press, se recomienda además que se paguen los gastos derivados del proceso de destrucción de documentación.
El citado informe fue elaborado a petición del actual Director del Gabinete de la Presidencia, José Enrique Serrano, para conocer los trámites a seguir ante una serie de operaciones de destrucción de documentos y de borrado de los sistemas informáticos, "realizadas en fecha inmediatamente anteriores a la toma de posesión" del nuevo Ejecutivo. Después, el Grupo parlamentario de IU lo solicitó en el Congreso de los Diputados.
Así, el equipo de José Luis Rodríguez Zapatero formulaba consulta respecto a dos aspectos concretos: Al hecho del borrado en sí mismo, con la posible desaparición de documentos oficiales de la Administración, y las facturas que, por una actividad de este tipo, han sido presentados por algunas empresas.
TRES HIPÓTESIS DE TRABAJO
Ante esto, los servicios jurídicos del Estado establecen en su informe distintas hipótesis de las responsabilidades que se pudieran derivar de la destrucción de documentos del Gobierno, dependiendo de si se tratara de documentos originales, copias de originales o informes o borradores de un partido político.
"Hay que afirmar que si la mencionada destrucción y borrado afecta a documentos personales o con carácter general, a documentos ajenos o extraños a la estricta área de funciones o competencias de la Presidencia del Gobierno (documentos personales, documentos del partido político que sostenga al Gobierno, documentos del Presidente en su condición de líder del partido...), nada habrá de decirse de la destrucción-borrado realizada por ser una actividad neutra desde la óptica el examen de los intereses generales", se especifica.
Como segunda hipótesis, se señala que si la destrucción o borrado atañe a documentos de carácter administrativo u oficial que constituyan "copias almacenadas en archivos o sistemas informáticos" de otros documentos originales que estén en poder de la Administración, "la conducta realizada será igualmente neutra".
En tercer lugar, formulan que si se examina la posibilidad de que las operaciones de destrucción y borrado vengan referidas a originales de los que no haya copia, se podría deducir responsabilidad administrativa por incumplimiento de la normativa reguladora del Patrimonio Documental --con su correspondiente sanción económica si el daño es cuantificable-- y responsabilidad disciplinaria exigible a los poseedores de documentos administrativos de acuerdo con la legislación del Patrimonio Histórico Español.
En cuanto a las posibles responsabilidades penales, desde la Abogacía del Estado se recuerda que el artículo 413 del Código Penal sanciona, en la custodia de documentos, a "la autoridad o funcionario público que, a sabiendas, sustrajere destruyere u ocultare, total o parcialmente, documentos cuya custodia le esté encomendada por razón de su cargo".
No obstante, en el informe recogido por Europa Press se resalta que el examen de la documentación enviada no permite llegar a una "idea cierta" y "ni siquiera aproximada" sobre el contenido de los documentos destruidos o borrados. "Y este dato fáctico es crítico para llegar a una conclusión jurídica razonada", se especifica.
Ayer nombraba la Ley de Secretos oficiales y hoy sale a la palestra en base a unas declaraciones del Ministro Moratinos que está preocupado e indignado por las continuas filtraciones de su Ministerio a la prensa. Parece que alguien si quiere tomarse en serio la palabra confidencial y está dispuesto a tomar las decisiones que considere oportunas para garantizar la correcta custodia de la información.
Parece un tema baladí pero es preocupante que a tan altas esferas, España vaya perdiendo papeles o "los papeles". El Ministerio de Exteriores, junto con el de Defensa e Interior forman tres patas muy importantes en la protección de la información sensible del Estado.
La noticia que aparece en varios medios como "La Ser", "El Mundo" o "Público" comenta precisamente cómo se plantea la reforma de la Ley que Secretos oficiales que ayer comentaba.
Aunque por lo que venía escuchando en la radio, todavía no tiene muy claro las acciones a tomar y baraja la implantación de protocolos de intercambios de información y custodia basados en modelos militares, lo suyo sería realizar un análisis de riesgos de la problemática del Ministerio. Sería un bonito proyecto que le permitiría identificar los requisitos de seguridad de sus actividades, y no solo los criterios de confidencialidad.
Tal como aparece en prensa, las medidas apuntan a una implantación de protocolos de intercambio de información. En concreto, todos estos aspectos pueden ser fácilmente resueltos si nos apoyamos en la norma ISO 27002:2005, en concreto en el objetivo de control 10.8 y unos buenos medios sería la implantación de los siguientes controles:
Lo recogido en prensa al respecto es:
Es también ejemplarizante que las fugas generen un proceso disciplinario y que supongan el cese del personal que la produce. Si no, sólo se anima a la impunidad y en seguridad de la información, ésto es siempre un mal precedente.
El problema es seguramente que otras veces es el propio Ministerio el interesado en realizar dichas filtraciones, aun a costa de la seguridad del Estado.
Parece un tema baladí pero es preocupante que a tan altas esferas, España vaya perdiendo papeles o "los papeles". El Ministerio de Exteriores, junto con el de Defensa e Interior forman tres patas muy importantes en la protección de la información sensible del Estado.
La noticia que aparece en varios medios como "La Ser", "El Mundo" o "Público" comenta precisamente cómo se plantea la reforma de la Ley que Secretos oficiales que ayer comentaba.
Aunque por lo que venía escuchando en la radio, todavía no tiene muy claro las acciones a tomar y baraja la implantación de protocolos de intercambios de información y custodia basados en modelos militares, lo suyo sería realizar un análisis de riesgos de la problemática del Ministerio. Sería un bonito proyecto que le permitiría identificar los requisitos de seguridad de sus actividades, y no solo los criterios de confidencialidad.
Tal como aparece en prensa, las medidas apuntan a una implantación de protocolos de intercambio de información. En concreto, todos estos aspectos pueden ser fácilmente resueltos si nos apoyamos en la norma ISO 27002:2005, en concreto en el objetivo de control 10.8 y unos buenos medios sería la implantación de los siguientes controles:
- 10.8.1. Política de intercambio de información
- 10.8.2 Acuerdos de intercambio
- Soportes físicos en tránsito
- Mensajería electrónica
- Sistemas de información empresariales
Lo recogido en prensa al respecto es:
"Moratinos avanzó que este grupo de trabajo está analizando distintos "modelos europeos" en gestión y custodia de documentos, así como el modo de circulación de documentos que emplea la OTAN.
El jefe de la Diplomacia española consideró además que "probablemente habrá que revisar" la Ley de Secretos Oficiales para "garantizar" la seguridad de los textos y evitar filtraciones que, en su opinión, "debilitan" la gestión del Estado y del Gobierno.
Moratinos, que explicó que se ha decidido cesar al cónsul de España en Sao Paulo porque él mismo ha reconocido que filtró el informe, reiteró que su departamento aún investiga cómo desaparecieron los llamados 'papeles de Guantánamo' del Ministerio.
Por otra parte, el ministro no pudo avanzar qué tipo de medidas emprenderá contra Manuel Aguirre de Cárcer, el autor del informe 'muy secreto' desvelado por 'El País' que trasladaba la petición estadounidense sobre las escalas de los vuelos y actual embajador en misión especial para cuestiones de Desarme.
Moratinos precisó que hay un jefe inspector de la Carrera Diplomática encargado de este caso y que, cuando concluya su investigación, propondrá medidas."
Es también ejemplarizante que las fugas generen un proceso disciplinario y que supongan el cese del personal que la produce. Si no, sólo se anima a la impunidad y en seguridad de la información, ésto es siempre un mal precedente.
El problema es seguramente que otras veces es el propio Ministerio el interesado en realizar dichas filtraciones, aun a costa de la seguridad del Estado.
martes, 16 de diciembre de 2008
Noticias
0
comentarios
Lo que debe saber un terrorista, por Arturo Pérez-Reverte
Este fin de semana,como lector fiel a la columna de Arturo Pérez-Reverte en el suplemento XLSemanal, me ha llamado la atención su artículo. Escribe con tono sarcástico sobre el afán informativo de la prensa española y nuestros políticos y cómo esto aparte de no aportar mucho al ciudadano, sirve al terrorista para depurar sus métodos. Y es que Perez Reverte tiene mucha razón en que en estos casos, más información implica menos seguridad. Pero mejor leer su artículo en "LO QUE DEBE SABER UN TERRORISTA", de Arturo Pérez-Reverte.
Y es que parece que no entra dentro de nuestra cultura el tener y guardar secretos. Hace no mucho comentaba en un post "Cuando confidencial no significa nada" como es algo cotidiano que cierta información clasificada como confidencial sea publicada en prensa. Hoy profundizando un poco más en la materia, y recordando algunos apuntes de la metodología Magerit 2.0 cuando hablaba de la clasificación de la información me he dado una vuelta por la Ley 9/1968, de 5 de abril, reguladora de los Secretos Oficiales y su reglamento para ver cómo se contemplan los aspectos esenciales de gestión de la información: clasificación, traslado, almacenamiento, destrucción, desclasificación y todo parece estar bien definido.
Otra cosa es que la ley se incumpla, que en este país de eso también sabemos mucho.
Y es que parece que no entra dentro de nuestra cultura el tener y guardar secretos. Hace no mucho comentaba en un post "Cuando confidencial no significa nada" como es algo cotidiano que cierta información clasificada como confidencial sea publicada en prensa. Hoy profundizando un poco más en la materia, y recordando algunos apuntes de la metodología Magerit 2.0 cuando hablaba de la clasificación de la información me he dado una vuelta por la Ley 9/1968, de 5 de abril, reguladora de los Secretos Oficiales y su reglamento para ver cómo se contemplan los aspectos esenciales de gestión de la información: clasificación, traslado, almacenamiento, destrucción, desclasificación y todo parece estar bien definido.
Otra cosa es que la ley se incumpla, que en este país de eso también sabemos mucho.
miércoles, 10 de diciembre de 2008
ISO 27001/27002
2
comentarios
Estado de situación de la serie ISO 27000 a fecha 10 de diciembre 2008
A continuación voy a listar el conjunto de normas publicadas o en proceso de elaboración de la serie ISO 27000 a fecha 10 de diciembre de 2008. Estos resultados son fruto de una consulta a la Web de ISO.org en relación al área de trabajo del Subcomité 27 del JTC 1 - IT Security techniques.
El estado de las normas se codifica en base a unos acrónimos que ISO tiene identificados y que son:
Como podréis comprobar en la siguiente relación de normas, hay bastantes ya en el Stage 40 y 50 lo que indica que pronto pueden ver la luz. La situación actual del marco internacional de normas ISO 27000 es:
El detalle de los diferentes escalones dentro de cada nivel o stage lo podéis consultar en Stages ISO.
El estado de las normas se codifica en base a unos acrónimos que ISO tiene identificados y que son:
- 1.PWI = Preliminary Work Item - initial feasibility and scoping activities
- 2.NP = New Proposal (or study period) - formal scoping phase
- 3.WD = Working Draft (1st WD, 2nd WD etc.) - development phase
- 4.CD = Committee Draft (1st CD, 2nd CD etc.)- quality control phase
- 5.FCD = Final Committee Draft - ready for final approval.
- 6.DIS = Draft International Standard - nearly there. Stage 40.
- 7.FDIS = Final Draft or Distribution International Standard - just about ready to publish. Stage 50.
- 8.IS = International Standard - published. Stage 60.
- 9. Under revisión. Stage 90.
Como podréis comprobar en la siguiente relación de normas, hay bastantes ya en el Stage 40 y 50 lo que indica que pronto pueden ver la luz. La situación actual del marco internacional de normas ISO 27000 es:
- ISO/IEC FCD 27000.
Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary. Stage:40.99 - ISO/IEC 27001:2005.
Information technology -- Security techniques -- Information security management systems -- Requirements. Stage:60.60 - ISO/IEC 27002:2005
Information technology -- Security techniques -- Code of practice for information security management. Stage:90.92 - ISO/IEC FCD 27003
Information technology -- Information security management system implementation guidance. Stage:40.20 - ISO/IEC FCD 27004.2
Information technology -- Security techniques -- Information security management -- Measurement. Stage:40.20 - ISO/IEC 27005:2008
Information technology -- Security techniques -- Information security risk management. Stage:60.60 - ISO/IEC 27006:2007
Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems. Stage:60.60 - ISO/IEC WD 27007
Guidelines for Information security management systems auditing. Stage:20.60 - ISO/IEC FDIS 27011
Information technology -- Information security management guidelines for telecommunications organizations based on ISO/IEC 27002. Stage:50.60 - ISO/IEC NP 27012
Information technology - Security techniques -- ISM guidelines for e-government services. Stage:10.99 - ISO/IEC NP 27032
Guidelines for cybersecurity. Stage:10.99 - ISO/IEC NP 27033
Information technology -- IT Network security.Stage:10.99 - ISO/IEC CD 27033-1
Information technology -- Security techniques -- IT network security -- Part 1: Guidelines for network security. Stage:30.60 - ISO/IEC WD 27033-2
Information technology -- Security techniques -- IT network security -- Part 2: Guidelines for the design and implementation of network security. Stage:20.60 - ISO/IEC WD 27033-3
Information technology -- Security techniques -- IT network security -- Part 3: Reference networking scenarios -- Risks, design techniques and control issues. Stage:20.60 - ISO/IEC NP 27033-4
Information technology -- Security techniques -- IT network security -- Part 4: Securing communications between networks using security gateways - Risks, design techniques and control issues. Stage:10.99 - ISO/IEC NP 27033-5
Information technology -- Security techniques -- IT network security -- Part 5: Securing Remote Access - Risks, design techniques and control issues. Stage:10.99 - ISO/IEC NP 27033-6
Information technology -- Security techniques -- IT network security -- Part 6: Securing communications across networks using Virtual Private Networks (VPNs) -- Risks, design techniques and control issues. Stage:10.99 - ISO/IEC NP 27033-7
Information technology -- Security techniques -- IT network security -- Part 7: Guidelines for securing (specific networking technology topic heading(s) to be inserted3) -- Risks, design techniques and control issues. Stage:10.99 - ISO/IEC NP 27034
Guidelines for application security. Stage:10.99 - ISO/IEC NP 27037
Information technology - Security techniques -- on Information security management: Sector to sector interworking and communications for industry and government . Stage:10.99
El detalle de los diferentes escalones dentro de cada nivel o stage lo podéis consultar en Stages ISO.
jueves, 4 de diciembre de 2008
Noticias
4
comentarios
Supuesto "fallo informático" cuesta una vida humana
Hoy leo con tristeza un titular de "El Mundo" donde se destaca "Un sindicato achaca a un fallo informático los errores en el crimen de A Lama".
La noticia es recogida en otros medios con similar contenido, donde se destaca que el aparato GPS funcionó y generó la notificación de la posición al sistema de recogida de alarmas pero que el funcionario fue incapaz de poder gestionarla por no poder verificar la incidencia.
Como informático y como conocedor de los temas relacionados con la seguridad de la información, siempre me preocupa la poca conciencia que parece haber sobre la importancia tanto de la correcta instalación como de la gestión de un sistema de información. Lo que ya me pone los pelos de punta es pensar que quien adquiere un sistema como este, pensado para notificar una situación potencialmente peligrosa para una víctima de la violencia de género, no cuida hasta el último detalle para garantizar la fiabilidad del mismo. Y es que desgraciadamente en este caso, se vuelve a cumplir algunas máximas de la (in)seguridad:
Ya anteriormente en este blog he recogido algunas opiniones sobre lo preocupante que es ver el "fallo informático" como el comodín de la irresponsabilidad y lo relevantes que empiezan a ser ya algunos de estos fallos. Era de esperar que un error de un sistema informatico acabaría costando vidas humanas. Es más, en la metodología que utilizo para hacer análisis de riesgos contemplamos esta escala de valoración para identificar aquellos procesos donde un incidente de seguridad podría acabar con estos trágicos resultados. Es habitual que el entrevistado se asombre dado que la escala tiene en cuenta el número de victimas para contemplar su gravedad, pero que dentro de ciertos sectores parece un criterio inaplicable o exagerado.
En el post "Fallos informáticos, esos animalillos (gremlins) sin padre" ya apuntaba sobre la importancia que van a empezar a tener estos fallos a los que en general damos poca importancia y que socialmente aceptamos. Sin embargo este tipo de hechos deben y merecen ser esclarecidos y sobre todo, deben depurar responsabilidades. Que un sector no disponga de atribuciones profesionales no debe dar pie a la no profesionalidad de las personas que ejecutan o realizan estas actividades.
Esta vez, el Consejo de Colegios de Ingenieros en Informática, que últimamente anda movilizado por las cuestiones ya conocidas en relación a la regulación de la Ingeniería e Ingeniería Técnica en Informática, ha ofrecido peritos informáticos para determinar las causas del fallo y que se atribuyan responsabilidades y sobre todo, cambios para la mejora de este tipo de servicios tan críticos.Tal como explica la noticia:
Y es que una profesión debe estar a las duras y a las maduras. La misión del peritaje informático es esclarecer este tipo de situaciones y sobre todo, aprender de los incidentes. No debemos caer en el error de confundir los medios técnicos con la solución. Un sistema informático no es un conjunto de equipos, son también las personas que los administran y las que lo utilizan. La tecnología debe tener siempre unos objetivos y la gestión de los mismos debe verificar que éstos se alcanzan. En este caso, este sistema era un mecanismo de control con el objetivo de proteger a las victimas de la violencia de género de sus maltratadores. Si finalmente el objetivo no se ha logrado, puesto que hay un fallecido, se deben revisar de nuevo todo el funcionamiento para garantizar que realmente es una solución al problema planteado. De lo contrario, sólo estamos gastando dinero en hierro, silicio y cobre.
La noticia es recogida en otros medios con similar contenido, donde se destaca que el aparato GPS funcionó y generó la notificación de la posición al sistema de recogida de alarmas pero que el funcionario fue incapaz de poder gestionarla por no poder verificar la incidencia.
Como informático y como conocedor de los temas relacionados con la seguridad de la información, siempre me preocupa la poca conciencia que parece haber sobre la importancia tanto de la correcta instalación como de la gestión de un sistema de información. Lo que ya me pone los pelos de punta es pensar que quien adquiere un sistema como este, pensado para notificar una situación potencialmente peligrosa para una víctima de la violencia de género, no cuida hasta el último detalle para garantizar la fiabilidad del mismo. Y es que desgraciadamente en este caso, se vuelve a cumplir algunas máximas de la (in)seguridad:
- Backwards Maxim: La mayoría de la gente asumirá que todo es seguro hasta que se les muestren evidencias significativas de lo contrario, justo lo contrario de lo que sugiere una aproximación razonable.
- Segunda Ley de Schenier: el control será confundido irremediablemente con seguridad.
Ya anteriormente en este blog he recogido algunas opiniones sobre lo preocupante que es ver el "fallo informático" como el comodín de la irresponsabilidad y lo relevantes que empiezan a ser ya algunos de estos fallos. Era de esperar que un error de un sistema informatico acabaría costando vidas humanas. Es más, en la metodología que utilizo para hacer análisis de riesgos contemplamos esta escala de valoración para identificar aquellos procesos donde un incidente de seguridad podría acabar con estos trágicos resultados. Es habitual que el entrevistado se asombre dado que la escala tiene en cuenta el número de victimas para contemplar su gravedad, pero que dentro de ciertos sectores parece un criterio inaplicable o exagerado.
En el post "Fallos informáticos, esos animalillos (gremlins) sin padre" ya apuntaba sobre la importancia que van a empezar a tener estos fallos a los que en general damos poca importancia y que socialmente aceptamos. Sin embargo este tipo de hechos deben y merecen ser esclarecidos y sobre todo, deben depurar responsabilidades. Que un sector no disponga de atribuciones profesionales no debe dar pie a la no profesionalidad de las personas que ejecutan o realizan estas actividades.
Esta vez, el Consejo de Colegios de Ingenieros en Informática, que últimamente anda movilizado por las cuestiones ya conocidas en relación a la regulación de la Ingeniería e Ingeniería Técnica en Informática, ha ofrecido peritos informáticos para determinar las causas del fallo y que se atribuyan responsabilidades y sobre todo, cambios para la mejora de este tipo de servicios tan críticos.Tal como explica la noticia:
"El Consejo de Colegios de Ingenieros en Informática (CCII) pondrá a disposición de las partes interesadas sus peritos informáticos para determinar si el sistema informático funcionó o no correctamente en el caso de la muerte de una mujer el pasado fin de semana en Pontevedra. La organización se ofrece así a realizar un peritaje formal sobre la materia, con la finalidad de esclarecer la posible responsabilidad del fallo en el sistema informático de vigilancia de maltratadores y determinar las causas reales que lo motivaron. Con esta iniciativa pretenden evitar "que en un futuro se vuelvan a producir hechos similares, luctuosos y que generan una enorme alarma social. El CCII no tolerará que "la responsabilidad derivada de los hechos termine en un fallo del sistema informático".
Y es que una profesión debe estar a las duras y a las maduras. La misión del peritaje informático es esclarecer este tipo de situaciones y sobre todo, aprender de los incidentes. No debemos caer en el error de confundir los medios técnicos con la solución. Un sistema informático no es un conjunto de equipos, son también las personas que los administran y las que lo utilizan. La tecnología debe tener siempre unos objetivos y la gestión de los mismos debe verificar que éstos se alcanzan. En este caso, este sistema era un mecanismo de control con el objetivo de proteger a las victimas de la violencia de género de sus maltratadores. Si finalmente el objetivo no se ha logrado, puesto que hay un fallecido, se deben revisar de nuevo todo el funcionamiento para garantizar que realmente es una solución al problema planteado. De lo contrario, sólo estamos gastando dinero en hierro, silicio y cobre.
(A la memoria de María del Rosario Peso, de 57 años, víctima de la violencia de género. Mi más sentido pesame para los familiares.)
Ya se ha publicado el número 19 de la revista (In)Secure Magazine. En este número, se tratan los siguientes contenidos:
El número puede ser descargado en el siguiente enlace.
- The future of AV: looking for the good while stopping the bad
- Eight holes in Windows login controls
- Extended validation and online security: EV SSL gets the green light
- Interview with Giles Hogben, an expert on identity and authentication technologies working at ENISA
- Web filtering in a Web 2.0 world
- RSA Conference Europe 2008
- The role of password management in compliance with the data protection act
- Securing data beyond PCI in a SOA environment: best practices for advanced data protection
- Three undocumented layers of the OSI model and their impact on security
- Interview with Rich Mogull, founder of Securosis
El número puede ser descargado en el siguiente enlace.
Suscribirse a:
Entradas (Atom)