viernes, 19 de diciembre de 2008

¿Dónde están las copias, matarile, rile, rile?

Tras la difusión de la noticia del "barrido informático", el mismo viernes toda la prensa se hizo eco de que ese "borrado de datos" es un supuesto delito. Como continuación a la noticia, quiero reflexionar ahora sobre algunas deficiencias obvias que se perciben en este asunto y que ponen de manifiesto una mala gestión en la seguridad de los sistemas de información de Moncloa.

Aunque por las noticias se ha sabido que dicho barrido fue encargado a una empresa especializada en destruir datos (imagino que se refiere a que se han utilizado técnicas de borrado seguro, de eliminación de datos que no permite la posterior recuperación), la primera cuestión que surge es, ¿Donde están las copias de seguridad de dichos sistemas de información?
Si bien es posible destruir de forma inmediata la información almacenada dentro de los sistemas, eliminar las copias de seguridad requiere la destrucción de todos los soportes utilizados durante meses para almacenar dicha información. Además, dichos soportes no deben guardarse nunca en el lugar donde se encuentran los sistemas de información a lo que respaldan. Por tanto, si tales hechos se hubieran producido, deberían aparecer ciertas evidencias físicas sobre el supuesto barrido.

También sorprende mucho la ausencia de logs de todas estas acciones y la importancia que debería tener ya actualmente la figura del auditor de sistemas de información. Si en la gestión económica siempre hay una segregación de funciones respecto a quien solicita y tramita, quién ejecuta el pago y quién fiscaliza el gasto, en los sistemas de información deberíamos empezar ya a disponer de estos tres roles o funciones de control segregados e independientes. Deberían existir siempre la figura del administrador de sistemas, el responsable de seguridad y el auditor, de forma que un sólo rol no sea todopoderoso para poder hacer cualquier cosa.

De esta manera, las actividades de "barrido informático" podrían haber contado con la autorización o el visto bueno del administrador, pero se habría topado con el responsable de seguridad que habría evitado la extralimitación de funciones del área de sistemas y al auditor que podría recoger las evidencias suficientes para realizar la oportuna denuncia si los hechos son constitutivos de delito.

Igual que estas figuras en la gestión del dinero nos parecen imprescindibles, en la gestión de información todavía no hemos adquirido la madurez necesaria como para entender que estos tres roles deben empezar a coexistir en nuestros sistemas de información (al menos, en los más importantes). Y es que realmente no somos conscientes de que la información anda muy descontrolada y su gestión carece muchas veces del control necesario.

De lo contrario, ¿qué confianza va a darnos la E-Administración si cualquier político es capaz de someter al personal tecnológico para que desaparezca información sin control? Tendremos que esperar a que ocurran "Gescarteras de información" o "Forum filatélicos de datos" para poner los controles necesarios?

Para terminar, quiero enlazar a las interesantes reflexiones que realiza Bruce Schneier sobre la importancia de la figura de la auditoría como órgano de control interno en Schneier on Security: Audit.

2 comentarios:

Anónimo dijo...

Con lo cual habría que preguntarse. ¿ Es cierta, realmente, esa información ?

junan,

Anónimo dijo...

a los abogados que llevamos la denuncia contra el borrado y que hemos pedido la reapertura del caso nos ha parecido muy interesante tu información y base para pedir diligencias de investigación si el juez finalmente hace lo que debe.
Jose Luis Mazón y Nani Martínez Segado
jlmazon@gmail.com
nanisegado@gmail.com

 
;