miércoles, 30 de diciembre de 2009 0 comentarios

Abandonar datos de carácter personal en la calle puede salir muy caro

Hoy quiero comentar una noticia reciente sobre una sanción de la Agencia de Protección de Datos. El caso se refiere a un médico que en su consulta particular cometió el error de abandonar muestras en la calle. Para desgracia de este médico, la negligencia no ha sido cometida en su trabajo como funcionario y al tratarse de una entidad privada, la sanción es económica y se eleva a los 60.101 euros por una infracción muy grave sobre el artículo 10, Deber de secreto de los datos de carácter personal.

El detalle de la noticia puede leerse en este enlace "La Agencia de Protección de Datos sanciona a un médico de Gijón por tirar envases de biopsias con datos personales" pero lo curioso de la situación es que un porcentaje altísimo de las consultas particulares que los médicos tienen en su domicilio incumple con la legislación en materia de protección de datos.
De mi propia experiencia personal (que por suerte es relativamente poca dado que no suelo tener que ir mucho al médico) siempre observo deficiencias muy básicas como no informar correctamente en las tomas de datos con las cláusulas correspondientes, la presencia de equipamiento informático sin las correspondientes medidas de seguridad.

Además, el vencimiento de los plazos de adaptación del R.D. 1720/2007 de desarrollo de la Ley 15/1999 de Protección de Datos de Carácter Personal hace que médicos que siguen pensando que la LOPD sólo aplica a los medios informáticos no estén considerando que sus fichas de pacientes en papel también tienen que tener medidas de seguridad (entre ellas, el famoso documento de seguridad donde se explican cuáles exactamente).

Todo ello pone de manifiesto la escasa concienciación que hay dentro del sector de la medicina privada y particular (las consultas en domicilios generalmente) de la severidad que tienen las sanciones de la Agencia de Protección de Datos cuando hay cualquier fuga de información. Obviamente, las inspecciones sólo se realizan cuando hay un incidente. Como en otros campos, la seguridad sólo se tiene en cuenta cuando hay problemas, pero en este caso, si eso ocurre, ya tienes sanción impuesta y el coste del incidente puede superar el precio de las medidas preventivas que son necesarias tener aplicadas. Como se suele decir, la letra con sangre entra.
viernes, 18 de diciembre de 2009 0 comentarios

El principio del eslabón más débil

La verdad es que hay veces que las noticias me dejan un poco flipado. No consigo entender cómo en el diseño de ciertos equipos, aplicaciones o incluso en este caso, armamento militar no se incluye como máxima principal el principio del eslabon más débil. Como ya pasó con el post de SITEL y su generación de evidencias que no eran válidas como prueba, en este caso la cosa todavía es más gorda teniendo en cuenta el coste que tienen los proyectos militares.

La noticia, original de EL PAÍS.com es contundente: Aviones espía norteamericanos, pirateados con un programa que cuesta 26 dólares.

Un ejemplo más de cómo en esto de la seguridad no se puede dejar ningún cabo suelto. Y mucho menos cuando además, el objeto en cuestión va a ser examinado, revisado y atacado por cualquiera de sus vulnerabilidades. Pensar que tu enemigo no está a tu altura o no lo intentará estar, es un mal análisis de la situación inicial. Como decía cierto anuncio de una empresa de tarjetas de crédito:
1.- "Que tengas un portatil para recibir imagenes de un avión no tripulado: 1.000 €"
2.- "Que tengas un avión no tripulado que permite espiar: 1.000.000 €"
3.- "Que te lo pirateen con un software de 26 € no tiene precio"
jueves, 17 de diciembre de 2009 4 comentarios

¿Por qué tienen éxito el phishing o el scam? Psicología de las víctimas de una estafa.

Siempre que abordamos cualquier intento de establecer medidas de seguridad debemos no perder de vista el factor humano, tanto desde la perspectiva del que va a tener que ponerlas en marcha como desde la perspectiva del que las va a sufrir como usuario. La psicología de la seguridad es un campo apasionante en el que intento profundizar más cada día y está relacionado con otras emociones tan comunes como el miedo.

El enlace que hoy quiero compartir es un estudio de la Universidad de Cambridge desde la perspectiva de la victima. ¿Es posible que se den determinadas circunstancias en donde seamos más vulnerables?. Parece que sí, podemos hablar del riesgo a ser estafado. En ciertos contextos podemos, sin darnos cuenta, caer en las manos del estafador. El estudio analiza diferentes tipos de estafa y establece siete principios de nos hacen picar con más facilidad. Estos son:
  • 1. El principio de la distracción:
    Mientras que usted está distraído por lo que considera de su interés, los estafadores pueden estar haciendo en ese momento algo que usted no note.

  • 2. El principio de obediencia social: La Sociedad nos educa y entrena para no cuestionar la autoridad. Los estafadores pueden aprovechar este "otorgamiento previo de confianza" o "nuestra anulación de la desconfianza" para hacer con usted lo que quieran.

  • 3. El principio del rebaño: Las personas más prudentes y desconfianzas bajan la guardia cuando todo el mundo parece asumir o compartir los mismos riesgos. ¿Seguridad en multitudes? No, si todos los que te acompañan están conspirando contra ti.

  • 4. El principio de falta de honradez: Cualquier cosa ilegal que hagas será usado en su contra por el defraudador, haciendo más difícil para usted para buscar ayuda una vez que te das cuenta que has podido ser estafado.

  • 5. El principio del engaño: Las cosas y las personas no son lo que parecen. Los estafadores saben cómo manipularte para que creas que son lo que no parecen.

  • 6. La necesidad y el principio de la codicia:Tus necesidades y deseos te hacen vulnerable. Una vez que los estafadores lo saben, pueden utilizarlo para poder manipularte.

  • 7. El principio de tiempo: Cuando usted está bajo presión por disponer de poco tiempo para tomar una decisión importante, se utiliza una estrategia de decisión diferente. Los estafadores pueden preparar una estrategia para envolverte y dirigirte a tomar una decisión menos razonable.


El estudio completo se puede consultar en Understanding scam victims: seven principles for systems security.

Tras leerlo me vienen a la memoria varias peliculas que tienen como argumento principal una gran estafa como pueden ser las series Ocean Eleven, ¿Cuantas de estas estrategias localizais en ellas? ¿Sorprendente, no?
martes, 15 de diciembre de 2009 0 comentarios

Caballo de troya al cuadrado

¿Qué es un troyano sobre un caballo de troya? Un troyaballo.
jueves, 10 de diciembre de 2009 0 comentarios

Campaña contra la pornografía infantil

Hay temas que no requieren comentarios, solo un apoyo unánime.

miércoles, 9 de diciembre de 2009 0 comentarios

Microsoft dando ejemplo en la nube mediante ISO 27001

Leo vía Joseba Enjuto una noticia sobre la implantación por parte de Microsoft de un sistema de gestión de la seguridad de la información sobre sus servicios en la nube.

Es una buena noticia por varios motivos. El primero es la consolidación de la norma ISO 27001 como una referencia en materia de seguridad de la información. Los estándares internacionales son buenas intenciones que normalizan un conjunto de criterios en base al conocimiento de los expertos que colaboran en su desarrollo. Sin embargo, su éxito debe darlo el mercado. Hasta que no se transforma en una herramienta de valor o de diferenciación y no goza del reconocimiento por parte de los demás, no son una referencia o estandar "de facto". En materia de seguridad es cierto que no existen códigos de buenas prácticas que sean tan generales o tan aplicables, pero que las grandes empresas apuesten por ellos siempre son un catalizador para el mercado. Esta vez España no queda atrás, dado que las principales empresas que lograron con éxito sus certificaciones ISO 27001 han sido los servicios TI de las grandes empresas de administración y gestión de sistemas de información bajo servicios de outsourcing. Por poner varios ejemplos, tenemos entre las grandes las siguientes referencias:

El resto de empresas que lo han logrado se pueden consultar en la Web ISO27001 Certificates aunque esta no es una Web oficial.

El segundo es ver cómo Microsoft desde hace ya algunos años (quizás desde la catarsis que supuso Milenium) ha decidido siempre apostar por la coherencia y contar las cosas desde el ejemplo. He asistido a presentaciones técnicas donde siempre muestran cómo lo hacen ellos primero y luego resuelven el problema en un cliente concreto. Creo que es una muy buena apuesta, dado que al ser los primeros en sufrir los problemas, son también los primeros en detectarlos y corregirlos. También es interesante ver cómo se abre a los nuevos tiempos y comparte una ingente información de gran calidad tanto a nivel técnico como a nivel estratégico. Y en esto de la nube no quieren quedarse tampoco atrás. En este nuevo escenario, como ya hemos comentado en este blog, la confianza es un elemento que aporta clientes, mostrar y sobre todo demostrar diligencia y seriedad son siempre un buen argumento comercial.
La noticia original, para aquellos que quieran investigar o buscar argumentos anti-Microsoft puede leerse en Microsoft seeks ISO security certification for its cloud services y para los más exigentes, incluso pueden revisar los post de este blog o leer este excelente whitepaper sobre cómo han logrado implantar la ISO 27001 donde también se dan muchos más detalles, incluso del alcance del SGSI.



Con dos cojones (con perdon), han publicado los alcances de todos los centros certificados en relación a los servicios de la nube. Esto si es tenerlos bien puestos.

Estas son las políticas de transparencias que requiere la nube. Que sean los demás, un tercero quien establezca qué confianza mereces. Es mejor una revisión independiente. Lo "open..." puede o no ser transparente. Yo sinceramente, entre tener acceso al código o tener acceso a los planos, prefiero esto segundo. Me proporciona más información y me da más confianza. Estos documentos pueden ser revisados y entendidos sin grandes esfuerzos. Lo otro por ahora, que me demuestren que es una ventaja real porque cuando "mil ojos miran, ninguno examina". Hace tiempo leyendo el libro "The Tipping Point" comentaban una situación paradójica en relación al poder del contexto. Cuando ante una situación de emergencia hay varias personas presentes, ninguna socorre porque consideran que irá "el otro". Sin embargo, en la misma situación si estás solo, sales al rescate. ¿Por qué? Porque siempre queremos que los valientes sean otros... y con el acceso al código y la seguridad creo que pasa lo mismo. Es seguro porque se puede mirar, auditar y revisar, pero que lo haga otro. Yo sinceramente prefiero en estos casos, ver que existen certificaciones del tipo ISO 15408 donde se que alguien, que seguramente además sabe mucho, ya ha hecho ese trabajo.
miércoles, 2 de diciembre de 2009 4 comentarios

Si la música es empleo, ¿qué es la informática?

Los músicos se manifestaban ayer por los problemas que acucian a su sector. Este vídeo que colgó en su momento Paloma Llaneza realmente pone de manifiesto la realidad del problema y logra abrir un poco más los ojos sobre esa realidad que supone el beneficio que obtienen los que se lucran del sudor de otros.



Los músicos (los autores o creadores) tienen razón y hacen bien en defender su propiedad intelectual pero la evolución de la sociedad valora unos trabajos y deprecia otros. Un panadero del siglo XXI no gana lo que uno del siglo XIX. Lo mismo ocurre a un herrero, un soldador, un futbolista, etc. La sociedad cambia de criterio a la hora de atribuir mérito o valor a las cosas y lo que hoy genera ingresos, mañana puede estar completamente devaluado. Que se lo cuenten a los oficios que han desaparecido a día de hoy por los avances técnicos de nuestra sociedad. La tecnología tiene sus pros y sus contras. El empleo ni se crea ni se destruye, sólo se transforma. E igual que el esfuerzo y trabajo por elaborar y producir una nueva creación antes era un trabajo más artesanal y laborioso, no es lógico y razonable que se pretenda eternizar el precio cuando todos sabemos que los costes de producción han bajado y la complejidad de las actividades de producción se ha reducido (gracias al software por ejemplo).

Quizás la música vive un problema similar a la agricultura. El que sufre por crear o por plantar es quien tiene el mérito del trabajo y del sudor, pero el modelo productivo establecido hace que el dinero lo acaben ganando los intermediarios. Lo mismo que le ocurre a los agricultores con las distribuidoras y comercializadoras de sus productos les ocurre ahora a los músicos con las operadoras de servicios de telecomunicaciones. Quienes se benefician completamente del tráfico de información son los intermediarios, los que ponen las tuberías por las que circula su propiedad intelectual. Además al principio con cierto descaro usaban la descarga de estos contenidos como atractivo para lograr abonados a sus redes de interconexión.

Sin embargo, al leer su manifiesto me ha venido a la mente el relato de "El conde Lucanor" de Don Juan Manuel.

Había una vez dos hombre que eran muy ricos, pero por determinadas situaciones habían acabado los dos mucho mas pobres de lo que ellos nunca hubieran imaginado, estando uno buscando algo para comer, encontró una bolsa de altramuces empezó a comerlos y sintiéndose tan pobre comiendo esos altramuces tan amargos y tirando las cáscaras hacia atrás... empezó llorar, así dándose cuenta de que detrás de él había otro hombre todavía mas pobre que él porque el otro hombre estaba comiendo las cáscaras que él echaba.


Comprendo su situación pero cada gremio tiene sus problemas y el nuestro de la informática es otro de esos ignorados. Si la música es cultura y genera empleo, ¿qué es la informática para la sociedad de la información?

No me dedico al software aunque siempre me gustó resolver retos y problemas. Cuando estudiaba en la carrera algunos profesores comentaban que eramos los arquitectos del siglo XXI, que seríamos los cimientos de la "supuesta sociedad de la información". Sin embargo y paradójicamente en el máximo momento de desarrollo tecnológico parece que para la informática no cuentan las reglas de la responsabilidad atribuidas a comercializar productos en el mercado, no valen las regulaciones ni las normativas de fabricación, no valen los criterios de calidad ni de certificación de componentes. Es software y parece que no necesita garantías. (Se que esta afirmación no es cierta en todos los entornos, la aeronáutica, la medicina y otras áreas donde el software tiene un papel muy relevante para garantizar la vida de las personas no funciona bajo este paradigma de la no garantía y la no industrialización del software).

Sin embargo, me toca juzgar en mi trabajo la seguridad de la información y no deja de impactarme el ver como lo importante sigue siendo poner servicios o productos en marcha a cualquier precio, de cualquier forma, sea como sea aunque no sea seguro.

La siguiente parte del post utiliza reflexiones que ha volcado también Héctor Montenegro en su blog en contados textos. Creo que él mejor que yo puede hablar con más propiedad de la situación de la industria del software en España. Sus mejores post sobre este tema son:

El software cada vez tiene más importancia en nuestro día a día, cada vez es más responsable del buen funcionamiento de nuestros procesos de negocio, cada día es más relevante para lograr un bienestar en la sociedad de la información. Y en plena transición del papel a lo electrónico, empieza a ser necesario que las casas del software se construyan con planos, que los diagnósticos técnicos se realicen por parte de profesionales acreditados, que si cualquiera puede desarrollar y poner a disposición servicios basados en el software, también responda por ellos si estos han sido desarrollados con negligencia o con defectos en su fabricación. Porque la complejidad va en aumento y esto que estamos construyendo es un castillo de naipes. Cada pieza se apoya en otra y no tener garantías de cómo están los cimientos solo puede producir algo muy malo. Un día una pieza esencial caerá y todas las demás piezas irán detrás.

Por eso es posible hacer un manifiesto paralelo al elaborado por los músicos que también refleja la situación en la que se encuentra el software. Porque en el software también nos estamos acostumbrando al todo gratis y todo libre. Sin embargo, todas las aplicaciones no pueden entrar en este juego. Y además, las Administraciones Públicas están cometiendo un error muy grave cuando confunden "propiedad" con "oscuridad" o "acceso al código fuente" con "calidad del software".

Creo que para comparar el software con justicia no se puede atender únicamente al argumento del coste de licencia. Eso es una mira cortoplacista e ingenua. Me canso de oír en las Administraciones cuando se habla de las suites ofimáticas... hombre, ¡cómo vamos a pagar esa barbaridad por las licencias!

Y mi reflexión interna siempre es... es que vas a pagar una barbaridad más en productividad y rendimiento. No nos engañemos, muchos productos opensource y gratuitos imitan pero no inventan. Su única aspiración es hacer con código abierto lo que hace ya una aplicación comercial optimizada. Y por desgracia para ellos, los resultados no son los mismos. No trabaja igual el que imita que el que crea. El que tiene por objetivo mejorar en rendimiento que el que sólo aspira a tener una funcionalidad similar. Y detrás de todo eso hay un gran coste oculto que nadie mira o quiere mirar.

Claro que es uno de los sintomas que acechan a la productividad de nuestro país. Esta mañana estaba auditando un organismo que trabaja con Office2000. Un software de 10 años (que está plenamente operativo) pero que no incorpora muchas mejoras que hacen que a diario se pierdan varios segundos al día de cientos de funcionarios en hacer tareas que ahora en las nuevas versiones están a golpe de click (¿Es menor ese coste que lo que vale actualizar las licencias?)

El mercado debe juzgar a los productos por su mérito y por su productividad, no sólo por su forma de creación. Opensource no es sinónimo de calidad del software. Lo que es importante es que detrás de cada aplicación haya un responsable. Y aquel que confíe en un producto que le proporciona el acceso al código fuente, que también se haga responsable de lo que en esas líneas está escrito. Si funciona y es competitivo, chapó por el programador que haya decidido regalar su tiempo y aspirar a vivir de los servicios que genere ese producto. Pero si no funciona, que respondan por él aquellas personas que han decidido confiar en un profesional que pudo no estar capacitado para crear un producto con plenas garantías. Si somos valientes para ponerlo en producción y vendemos como garantía que el código se puede leer, seamos también valientes para responder por él. Si confiamos en las líneas de código de vete a saber quien en vete a saber donde, asumamos la responsabilidad que ello supone por tomar esa decisión dentro de nuestra organización. Para eso está la Comunidad, para dejar tranquilos a los responsables que confíen en ella y en su rigor a la hora de encontrar errores en ese código abierto. Y este baremo o criterio de exigencia, por supuesto, que se aplique también a los fabricantes comerciales del software. Todos deben trabajar con la misma profesionalidad y diligencia. Es necesario empezar a pensar en industrializar el proceso del software y dotarlo de los criterios de calidad, regulación y cumplimiento normativo que tiene cualquier otro elemento que forma parte de nuestra sociedad como bien de consumo.

Porque una sociedad del siglo XXI no se puede permitir basar su funcionamiento en elementos sin garantías. Es un contrasentido que tenga más fiabilidad una lavadora, un tostador o un cuchillo de cocina que se ven sometidos a normativas, a controles de calidad y a pruebas de fabricación que un desarrollo software que puede estar soportando servicios básicos de la sociedad del siglo XXI. Y tenemos un handicap en nuestra contra. La complejidad sigue aumentando y la interdependencia entre piezas sin garantías aumenta. Como digo, es un rascacielos construido con cimientos de barro que algún día tendrá problemas.
lunes, 30 de noviembre de 2009 0 comentarios

Todos los días son una buena oportunidad de mejora para lograr eficiencia

Hoy quiero contar una historia cotidiana con moraleja extrapolable a la seguridad y a cualquier otra disciplina. Todos los días tengo que desplazarme desde Cartagena a Murcia para ir al trabajo. Son aproximadamente unos 50 km diarios que hago dos veces al día. Desde hace unas semanas vengo aplicando al consumo de mi coche la filosofía de gestión basada en la mejora continua utilizando la información que obtengo las pruebas que he ido realizando. El ordenador del coche me proporciona información completa sobre bastantes parámetros: tiempo del trayecto, velocidad media, consumo medio, consumo instantáneo, kilometraje total,etc.

Del análisis de datos, la lectura de las especificaciones del vehículo y las variaciones de mis comportamientos durante las pruebas he conseguido comprobar cuales son los consumos óptimos en los diferentes tramos del trayecto. De esta manera es posible una gestión eficiente que maximiza el kilometraje que realizo con el mínimo consumo. Las siguientes gráficas intentar representar de forma simbólica los datos obtenidos.


En el caso del coche he podido comprobar que puedo hacer varios kilómetros a cero consumo dejando que la inercia y la energía potencial se transformen en energía cinética a coste cero tanto a la ida como a la vuelta. En llano y a 110 km el consumo se estabiliza entre 3,5 l/km y 4l/km. Con todo esto puedo estirar un deposito lleno por encima de los 1000 km. O sea, he logrado subir y bajar a Murcia tres días más que antes de empezar el experimento. Todo esto tiene también sus consecuencias, tardo unos 10 minutos más pero compensa. Eran resultados esperables leyendo la documentación del vehículo pero en ciertos tramos, el consumo no aumenta a mayor velocidad porque el motor no sube de revoluciones sino que aprovecha la inercia del descenso de unas montañas que hay en el camino.


De la misma forma aplicamos esta filosofía a sistemas de información. Como siempre, el primer paso es diseñar una buena red de sensores que proporcionen los mejores datos que podamos recoger. Lo ideal es tener hardware o software especifico que proporcione ya informacion procesada y no solo datos que haya que tratar. El objetivo es extaer conocimiento de todo ello para saber que ocurre en nuestros sistemas y así tomar decisiones sobre posibles estrategias.


La gráfica obtenida por el coche y el kilometraje es similar a otra que hemos obtenido en un cliente tras reducir la ventana de atención a virus informáticos. Tengo pendiente recuperar los apuntes de la asignatura de "Dinámica de Sistemas" de tercero de carrera porque creo que en estos momentos puedo sacarle bastante provecho profesional a aquellos conocimientos que adquirí en aquel entonces, cuando te sentías poderoso por ser capaz de ponerle ecuaciones a cualquier problema basado en ajustar todo tipo de sistemas (Demográficos, económicos y por qué no ahora, de seguridad).
Y mucho más interesante y una futura línea de investigación, poder establecer modelos predictivos de comportamiento sobre entornos sometidos a incertidumbre que es preciso controlar.

Es sorprendente lo curiosas que son las cosas cuando se analizan en base a datos. La intuición a veces nos juega malas pasadas y creemos que las cosas se comportan de determinada forma hasta que la realidad se encarga de demostrar lo contrario. Esto es básicamente lo que en entornos profesionales se denomina telemetría y permite a los mecánicos afinar el coche al comportamiento optimo. La gestión de la seguridad de la información persigue el mismo objetivo. Establecer diferentes indicadores que permitan disponer de la "telemetría" que nos proporcionan los sistemas como firewalls, antivirus, ips, servidores de correo. Es necesario conocer el comportamiento de las cosas para tomar buenas decisiones. Es una actividad clave por ejemplo en la Formula 1. Y lo curioso es que esto de la telemetría es aplicable a todo entorno donde se puedan recoger datos y posteriormente analizarlos para obtener conclusiones. Maligno ya nos ilustró sobre cómo aplica la telemetría para medir la calidad de sus exposiciones. En un texto más desarrollado de Gonzalo Alvarez Marañón se cuenta la importancia de la retroalimentación tras un evento, el "feedback" que dicen los ingleses para poder mejorar.

Todo se puede mejorar, pero es necesario siempre antes un proceso de establecer metas, determinar objetivos y esperar a ver resultados. En base a ellos ya se pueden tomar decisiones. Todos los días la realidad nos proporciona un montón de situaciones en las que actuar, todo puede hacerse de otra forma, tratando de minimizar recursos y obteniendo mejores o similares resultados. En ello va el secreto de la eficiencia y la consecuente productividad. Esto es lo que deben enseñar en la escuela para empezar a cambiar el "modelo productivo". Primero un cambio de mentalidad y enfoque y después una aplicación a toda la realidad. Si no enseñamos a medir y juzgar, si no creamos gente auto crítica con afán de superación, sólo buscaremos el lograr los objetivos por los premios que por ello puedan obtener, no por convencimiento en hacer las cosas bien. Quizás esté algo contaminado por las situaciones que he podido vivir en la ejecución de proyectos de implantación de ISO 27001 subvencionados, pero tengo la convicción de que los premios para hacer las cosas bien deben ser un refuerzo positivo, no un fín en sí mismo. Hay muchas empresas que se apuntan a esto de la seguridad por moda, por tener "un sello más" sin creer profundamente en el objetivo y en los beneficios que ello supuestamente les va a proporcionar. Y los SGSI que hemos montado así, por desgracia tienen fecha de caducidad. En cuanto no hay premio o subvención, acaban por abandonarse. Y ello va muy vinculado con lo anterior, hacer las cosas por un premio o por imagen no es el cambio necesario para alcanzar la productividad. Las modas que no se interiorizan, que no logran transformanse en hábitos o conductas se abandonan a las primeras de cambio.

Muchas veces el secreto del éxito y donde está la innovación surge de pensar de forma diferente o tratar de resolver un mismo problema con otro enfoque. En el caso de la seguridad, la medición y la gestión de la eficacia es un campo por explorar que ahora la nueva ISO 27004 plantea aunque como toda norma, solo define como marco de procesos. Que cada uno aplique la norma a su criterio.
miércoles, 25 de noviembre de 2009 4 comentarios

Ofertas 3x2

El día a día nos plantea cosas que por cotidianas a menudo no solemos reflexionar. Sin embargo, a menudo nos pasan desapercibidos errores que pueden tener gran trascendencia aunque le demos poca importancia.

Hoy en un centro comercial haciendo la compra de todos los días ha sucedido algo típico. En una oferta descuento de 3x2, al mirar la cuenta el descuento no aparecía aplicado. Estas cosas son comunes pero sólo se detectan si el cliente se preocupa de revisar la cuenta. De alguna manera todos confiamos en el buen hacer del centro comercial y consideramos que no son posibles los errores. Sin embargo, no es la primera vez que me ocurre algo así. Evidentemente la cajera no tiene nada que ver en este tipo de situaciones dado que son los lectores de códigos los encargados de asignar un precio al producto.
Una vez que he procedido a la reclamación con la cajera, nos ha remitido a la Caja central del hiper. Tras mostrar los tres productos ofertados en el folleto de la publicidad, ha podido comprobar que efectivamente en su base de datos uno de los precios era incorrecto. Como es habitual, han reconocido el error y han procedido a dar la diferencia no descontada.

¿Qué ha podido fallar? Evidentemente el problema principal está en la introducción de precios en la base de datos. La cuestión es cómo en productos que salen en la publicidad y son anunciados como ofertas 3x2 tienen luego en las bases de datos un precio incorrecto. ¿No hay comprobaciones previas para cotejar que las ofertas publicitadas son reales?

También me queda la duda sobre el protocolo que se sigue una vez identificado el error. No he podido ver qué hacían en caja central tras devolvernos el dinero pero lo más correcto sería notificar la incidencia y que alguien actualice el precio correcto en la base de datos. De lo contrario, este hecho pasaría de ser un error accidental y aislado a un evento intencionado y de carácter más grave que podría esconder detrás una manera de generar beneficios con prácticas engañosas.
viernes, 20 de noviembre de 2009 0 comentarios

(IN)Secure Magazine 23

Ya está disponible el número 23 de la revista (IN)Secure Magazine. Los contenidos de este número son:

- Microsoft's security patches year in review: A malware researcher's
perspective
- A closer look at Red Condor Hosted Service
- Report: RSA Conference Europe 2009, London
- The U.S. Department of Homeland Security has a vision for stronger
information security
- Q&A: Didier Stevens on malicious PDFs
- Protecting browsers, endpoints and enterprises against new Web-based
attacks
- Mobile spam: An old challenge in a new guise
- Report: BruCON security conference, Brussels
- Are you putting your business at risk?
- Why out-of-band transactions verification is critical to protecting
online banking
- Study uncovers alarming password usage behavior
- Q&A: Noise vs. Subversive Computing with Pascal Cretain
- Elevating email to an enterprise-class database application solution
- Ask the social engineer: Practice
- Report: Storage Expo 2009, London
- Jumping fences - the ever decreasing perimeter


La revista puede obtenerse aquí.
jueves, 19 de noviembre de 2009 0 comentarios

Curso sobre continuidad de negocio en Murcia.

Aunque un blog no tiene un alcance local, creo interesante para los lectores de la zona del levante dar a conocer la convocatoria de una próxima formación en materia de gestión de la continuidad de negocio basada en la norma BS 25999.

Ya he escrito mucho sobre este tema y basta con pulsar en la etiqueta dedicada a esta parte de la seguridad para encontrar todos los artículos.

La estrategia básica de la seguridad debe ser la prevención. Sin embargo, siempre es necesario disponer de un Plan B por si tenemos problemas. La gestión de la continuidad de negocio tiene como objetivo, pensar en frío para reaccionar en caliente.

El curso lo imparte una asociación sin ánimo de lucro para el fomento, estudio y aplicación de la seguridad y el control de los sistemas de información en Murcia, a la cual pertenezco desde su fundación. Tratamos de hacer que ciertos temas, eventos y formación que son algo habitual en ciudades grandes como Madrid, Barcelona o Valencia sean también accesibles para los que vivimos cerca de "Murcya".
lunes, 16 de noviembre de 2009 1 comentarios

La nube, "Ojos que no ven, corazón que no siente".

Me quiero sumar a los post de algunos compañeros blogeros que están planteando el tema de moda, la seguridad en la nube.

Son lecturas recomendadas los textos de Joseba Enjuto, Sergio Hernando, Jaime Robles y el artículo de Cnet.

También me gusto mucho el artículo de la Revisa SIC titulado Cloud Computing ¿Nubarrones en La Nube? de Mariano J. Benito Gómez donde se hacia una aproximación a la seguridad en la nube basado en un análisis de riesgos, contemplando los pros y contras desde esta perspectiva. Es la manera más correcta y completa de enfocar la seguridad, identificando de forma holística qué supone el nuevo escenario y qué riesgos tenemos que contemplar.

Sin embargo, todos parecemos compartir esta sensación que se detecta de que "la nube mola" o "la nube es la panacea" a todo lo referido a la seguridad.

No se trata de poner pegas o problemas. Simplemente toda decisión o apuesta por la nube debe contemplar lo que se ve y lo que no se ve. En relación a la contratación de este tipo de servicios, es básico e imprescindible que se tenga claro lo que se contrata y lo que ocurrirá si nuestro prestador en la nube tiene problemas. Delegar riesgo no significa eliminarlo sino transferirlo. Seguimos siendo responsable de todo aquello que está en la nube pero toda la gestión está subcontratada. Por tanto y de cara a garantizar la continuidad de negocio, es básico saber en qué situación se encuentra nuestro prestador en la nube. Porque la psicología nos juega una mala pasada y como se suele decir "ojos que no ven, corazón que no siente". Sin embargo, cuando vienen los problemas, habrá que dar respuestas y estas no van a poder ser "la nube tiene la culpa" o "no somos los únicos afectados" o "es que Moooglex ha fallado" como si cualquiera de estas razones justificara que no podamos hacer nada.





Voy a poner un ejemplo para ilustrar esta situación. Todos tenemos contratados seguros para muchas cosas (casa, coche, nuestra propia persona,etc.). Sin embargo, hasta que no se plantea una situación que nos obliga a recurrir a ellos no nos damos cuenta de cual es la cobertura real de que disponemos y cómo es realmente nuestra compañía. En este tipo de contratos existen diferentes cláusulas que eximen al asegurador de proteger al asegurado en determinadas circunstancias. Incluso en los casos donde el seguro es "Todo riesgo" existen cláusulas que realmente establecen que no es exactamente cierta esa frase. Por deformación profesional suelo leer este tipo de cosas y uno es consciente de que en determinadas circunstancias vas a tener que hacer frente al incidente sin ningún tipo de protección.

En muchas ocasiones, cuando estás reclamando al seguro que asuma un incidente es cuando empieza una trifulca entre asegurador y asegurado para establecer si realmente las cláusulas te dan la cobertura que demandas. Es cuando surgen esas desagradables circunstancias en donde las cláusulas se interpretan de forma retorcida para hacer que el asegurador no asuma la responsabilidad y costes del incidente. En esos momentos es cuando la letra pequeña se hace gigante y uno se arrepiente de no haber meditado bien qué hacía cuando contrató. El problema es que el incidente ya se ha producido y no es momento de arrepentimiento sino de soluciones y de salir del problema como sea.

En la nube ocurre igual. Son servicios que no vemos y aunque van a ofrecer garantías suficientes de su buen funcionamiento, realmente la fiabilidad de los servicios se obtiene cuando compruebas que también están bien preparados para las circunstancias difíciles. Como ya comenté cuando hablaba de dónde colocar un CPD, los niveles TIER III y TIER IV contemplan cortes de servicio muy pequeños que permiten a cualquier empresa estar tranquila respecto a la disponibilidad de los servicios. Quiero recordar que:
  • Tier III.Porcentaje de Disponibildad:99.982%, Porcentaje de indisponibilidad:0.018%, Tiempo de parada al año: 1.57 horas.

  • Tier IV.Porcentaje de Disponibildad:99.995%, Porcentaje de indisponibilidad:0.005%, Tiempo de parada al año: 52.56 minutos.


Pero además de la disponibilidad de los servicios, según la naturaleza de las actividades de la Organización, también puede ser necesario considerar otros aspectos de la seguridad como qué ocurre si hay un incidente que afecta a la confidencialidad de los datos o a la alteración intencionada de nuestra información por parte de un tercero. En fin, como siempre, la única protección preventiva que se puede establecer es la seguridad jurídica que proporciona un buen contrato y estas cosas deben hacerse siempre teniendo claro que se necesita primero y qué nos suministra el proveedor después. El que compra sin saber qué adquire, es candidato luego a tener problemas. Como ejemplo real de este tipo de situaciones, podemos analizar los servicios ofrecidos por Google Postini services. El funcionamiento de este servicio sólo requiere cambiar los registros MX correspondientes a los servidores de correo para que apunten a sus centros de datos. Estos, a su vez, tratan y filtran el flujo de datos y, acto seguido, lo devuelven al cliente. Es un ejemplo claro de servicio especializado y externalizado completamente. Sin embargo, las cláusulas contractuales de este tipo de servicios, como suelen ser generales y pueden no cubrir las necesidades particulares de muchas organizaciones. Podéis leerlas aquí. En estas situaciones es donde las empresas pequeñas pueden tener dificultades. Su poder negociador es mínimo contra entes tan grandes como Google hacen que ni se planteen contratos a medida. Por tanto, son lentejas o las tomas o las dejas (pese al incremento de riesgos que ello pueda suponer).

Para solventar todas estas cuestiones, podemos como siempre recurrir a la norma ISO 27002, que establece en relación a los servicios externos dos tipos de estrategias: definir bien el servicio a contratar y hacer un seguimiento de la prestación que el proveedor realiza. En el post La subcontratación del riesgo ya comenté de forma más detallada todos estos aspectos.
domingo, 8 de noviembre de 2009 11 comentarios

SITEL, ¿Quién vigila al policía?

Quiero apuntarme a la polémica mediática generada sobre el Sistema Integrado de Interceptación de Telecomunicaciones (SITEL). Es obvio que el lodazal de la política usa estos temas tan serios como arma de erosión del contrario pero al menos hemos de aprovechar que se plantea ante el escaparate mediático para reflexionar sobre ello.

Un sistema tan intrusivo y poderoso como SITEL puede ser el oráculo del siglo XXI. Es demasiada tentación como para no estar regulada y sobre todo restringida. Y en seguridad de la información hay un potente control compensatorio contra este tipo de tentaciones, la auditoría como mecanismo de seguridad.

A ello se suma otro hecho curioso. El sistema ataca una de las propiedades especiales de la seguridad, la confidencialidad. Se da la particularidad que cualquier violación de la misma no deja huella sobre el elemento interceptado. Una escucha no altera el mensaje original y el incidente pasa desapercibido hasta que hay constancia del compromiso de la información. Por tanto, son sucesos indetectables hasta que se tiene conciencia de ello y a veces, cuando ya es demasiado tarde. Pensemos en toda la problemática bancaria vinculada a la suplantación de identidad por el robo de credenciales de acceso. Uno se da cuenta del incidente cuando el dinero de su cuenta desaparece (y aun así percibe sólo las consecuencias que produce el ataque, pero no en sí mismo el ataque).

Por tanto, un sistema como SITEL debe poseer unos requisitos de auditoría que permitan saber con total certeza quién, cuándo y cómo ha podido usar este artificio de forma que también se garantice que el policía esté vigilado. Es un control compensatorio y disuasorio para quien quiera abusar de tanto poder. Úsalo que al menos dejarás registro y si el uso es fraudulento, sabremos quien ha sido.

Y como apuntan los chicos de AEDEL, lo importante es disponer de esta información pero también que ésta sea recolectada con garantías jurídicas suficientes como para ser una prueba válida en caso de conflicto. Porque de lo contrario, estamos ante un escenario peligroso. Un arma de captación de información que no deje rastro de su uso o que permita a quien la maneja borrar las huellas de su utilización es una herramienta que aporta grandes beneficios y muy pocos riesgos para quien quiera abusar de ella. Un gran panopticón del Estado sin control de los jueces.

Por otro lado, es también curioso otro hecho que empieza a ser común en esto del uso de la tecnología de la información cuando llega al campo de la judicatura. Tenemos información pero no tenemos pruebas. Tal como se comenta en la noticia de Europa Press el fiscal del Tribunal Superior de Justicia de Madrid (TSJM) comenta que la información que se obtiene con este sistema se vuelca en un DVD "sin firma digital", sin nadie que certifique el contenido y si alguien lo impugna "no hay manera de probar la autenticidad de la grabación". Por ello, advierte de que los datos de SITEL no sirven como prueba en un procedimiento judicial porque podrían invalidar el proceso.

Con todo ello, solo cabe hacerse una sencilla pregunta. ¿Para qué sirve SITEL?
Si recopila o intercepta información pero no es válida como prueba en un juicio.

Y desde la perspectiva técnica, otra mucho mas grave. Si SITEL fue diseñado como un sistema informático integrado de interceptación legal de telecomunicaciones de ámbito nacional y utilización conjunta por las Direcciones Generales de Policía y Guardia Civil y una dotación de 300.000.000 pesetas (1.803.030 euros) ¿Cómo se olvidaron en los requisitos técnicos del sistema el hacer válida como evidencia digital toda información recabada con este sistema?
jueves, 5 de noviembre de 2009 0 comentarios

¿Qué sabe Google de mi? Esta pegunta ya tiene respuesta...

Un compi de trabajo me ha comentado en la tertulia del café el anuncio de Google por mejorar la transparencia de cara al miedo que genera su acumulación de datos.

Que mejor política de privacidad que dar al usuario el control total sobre toda su información para que pueda decidir qué quiere guardar y qué borrar.

La noticia aparece en ADN y ha sido presentada dentro de la 31 Conferencia Internacional de Autoridades de Protección de Datos y Privacidad.
Todo un golpe de efecto ante la preocupación que en estas jornadas se está levantando por la privacidad.
A partir de ahora, a la pregunta ¿Qué sabe Google de mi? todos vamos a tener una misma respuesta. Mira en www.google.com/dashboard.

Cada usuario podrá visualizar y controlar la información asociada a sus cuentas de Google. Desde Google Dashboard podrán ver en un sólo lugar un resumen de la información disponible de todos los productos de Google que estén utilizando. Podrán también manejar esa información y cambiar los parámetros en forma rápida y sencilla.

"Pensamos en este producto como un gran paso para darle a los usuarios transparencia y mayor control sobre sus datos y esperamos que este producto ayude a moldear el formato de toda nuestra industria en el futuro," dijo Alma Whitten, Ingeniera en Software para Privacidad y Seguridad. "Es importante que la gente sepa qué datos tiene online y que los pueden manejar y configurar de acuerdo a sus preferencias, Google Dashboard ayuda a que esto sea una realidad."




Puede que despues de todo lo que se ha dicho y especulado sobre el tema, el lobo no sea tan fiero como lo pintan, ¿o sí?. Tras este anuncio solo queda una cosa, vamos a auditar qué sabe realmente Google de nosotros, que seguro que nos llevamos alguna sorpresa que otra.
0 comentarios

Publicado el séptimo informe Security Intelligence Report (Enero-Junio 2009) de Microsoft

Se ha anunciado la publicación del séptimo boletín del servicio Malware Protection Center denominado Microsoft Security Intelligence Report (SIR). Estos documentos
proporcionan una información esencial sobre las tendencias y situación real en el panorama de amenazas, vulnerabilidades, malware y su evolución.

No suelen tener desperdicio y sirven para tomar una perspectiva más completa del tema. Como los informes se van publicando por semestres, también son un apoyo en la medición de la evolución de este tipo de amenazas. Como resultados más destacados del informe, tenemos:
En los Estados Unidos, el Reino Unido, Francia e Italia, los troyanos constituyeron la categoría principal de amenaza; en China, prevalecieron diversas amenazas basadas en explorador y específicas del idioma; en Brasil, fue más generalizado el malware contra la banca en línea; por último, en España y Corea, dominaron los gusanos, seguidos de amenazas contra jugadores en línea.

Del séptimo informe me quedo con un hecho bastante relevante. Ya se pone de manifiesto cómo la aplicación de buenas prácticas en materia de seguridad (ISO 27001, COBIT o PCI SCC) está logrando mitigar este tipo de amenazas o reduciendo su impacto en aquellos países que las están utilizando. Otra prueba más de la importancia de la gestión sobre las medidas tecnológicas. Quien no tenga claro a estas alturas sobre la necesidad de identificar y gestionar el ciclo de la vulnerabilidad está cogiendo demasiadas papeletas para el sorteo de un incidente de seguridad. Y quien tienta a la suerte al final puede llevarse un premio.

El informe puede ser descargado aquí y está disponible en 10 idiomas.
martes, 3 de noviembre de 2009 1 comentarios

Séptimo cumpleaños

Con un par de semanas de retraso, quiero conmemorar ya el septimo aniversario de este blog que empezó como un medio personal de masticar las noticias y digerir los conocimientos en materia de seguridad que se han ido produciendo. Este lugar es un buen reflejo y fuente de evidencias del cambio de orientación que se ha producido en esta disciplina, cada vez más relevante en las organizaciones.
Es muy significativo el incremento del interés por la norma ISO 27001:2005 y la certificación de muchas organizaciones como medio de acreditar una preocupación en la protección de la información.


En tiempos de crisis, las dificultades siempre han de verse como nuevas oportunidades y en este caso, son las tecnologías de la información las que deben ayudar en el proceso de optimización de las actividades, más con menos, o más y mejor.

Como novedades de este último año quiero destacar el cambio de aspecto a la estética del blog y hoy la introducción de twitter como mecanismo interactivo con vosotros los lectores (aunque soy bastante novato y no sé que partido voy a poder sacarle a esto).
viernes, 30 de octubre de 2009 0 comentarios

Ya es oficial, ISO 27004 nueva norma vinculada a la medición de la seguridad

Paloma Llaneza, con gran alegría por ser en parte madre de la criatura nos anuncia que ya tenemos oficialmente una nueva norma dentro del marco ISO 27000.

La nueva norma, oficialmente denominada "Information technology -- Security techniques -- Information security management -- Measurement" viene a sofocar uno de los grandes abismos que existen en el proceso de construcción de un SGSI. Ya he comentado muchas veces que certificarse con ISO 27001 es establecer que las cosas se vigilan dentro de un marco de gestión y que existen procesos de mejora continua sobre el funcionamiento de las medidas de seguridad. Sin embargo, gestionar bien no implica tener buena seguridad. Obviamente ayuda mucho tener un marco de gestión y revisión continua pero es sólo una condición necesaria, no suficiente.

Esta nueva norma establece criterios para la medición del estado de la seguridad. Es aquí donde los datos y las evidencias deben poner al SGSI en su sitio. Es cuando los resultados nos proporcionan información sobre cual es la situación real de las medidas y si están o no funcionando de acuerdo a los objetivos planteados. Por eso es tan importante la publicación de esa norma. Es la única manera de valorar si tanta gestión de la seguridad está sirviendo para algo, y esos hechos avalados por resultados y datos concretos que se están midiendo.

Por tanto, un SGSI certificado y todo que no logre unos buenos resultados en sus indicadores será solo un adorno, dado que habrá una bonita gestión pero con ello no se estará logrando satisfacer los objetivos planteados.



Estas reflexiones ya las plantee de forma más extensa en el post SGSI virtuales en su momento. Os resumo lo que en aquel momento comentaba respecto a las métricas.

La medición debe servir para cuestionarnos continuamente en base a logs, datos y registros si las medidas de seguridad están funcionando bien. Hemos visto que es esencial establecer unos objetivos relevantes para la seguridad de la organización. Pues igual de crítico es establecer un buen conjunto de indicadores que sirvan para evidenciar que las cosas funcionan y podemos dormir tranquilos. Esta información, desde la perspectiva de la gestión, es la más crítica dado que es la base de la retroalimentación del sistema, los datos que se utilizan para hacer ajustes. Por tanto, debemos disponer de sensores de diferente naturaleza y con diferentes objetivos: medir la evolución de la ejecución del plan, valorar el rendimiento y funcionamiento de las medidas de seguridad, vigilar el entorno por si se vuelve más hostil y es necesario modificar la valoración de las amenazas, etc. Cuando se audita, al revisar el análisis de riesgos, mirar qué objetivos tiene el SGSI y en qué indicadores se basa ya te puedes hacer una idea de si tienes delante un SGSI real o virtual. ¿Por qué? Muy sencillo, si la información utilizada por las actividades de gestión es mala, la propia gestión es mala. Si las decisiones no están enfocando los verdaderos problemas y no se está vigilando lo que es importante, el ciclo PDCA da vueltas pero no aporta valor a la Organización. Tener un SGSI dando vueltas de mejora continua produce beneficios pero si quien tiene el timón del barco no sabe dónde tiene que ir, dificilmente podrá lograr llegar a puerto. Serán las incidencias que se vayan registrando las que nos pongan de manifiesto estos hechos pero de nuevo se reacciona en base a fallos, y esa no es la idea principal.
martes, 27 de octubre de 2009 1 comentarios

Llega el antivirus de Microsoft

Microsoft salta al mundo de la protección malware con Microsoft Security Essentials, que además es gratuito para todos aquellos poseedores de licencia original de su sistema operativo.

Microsoft Security Essentials proporciona protección en tiempo real contra virus, spyware y otros tipos de software malintencionado para el entorno del PC doméstico. Es simple de instalar y usar y se mantiene siempre actualizado para que tengas la seguridad de tener tu PC siempre protegido con la tecnología más reciente. Es fácil saber si tu PC es seguro: cuando el color indicado es verde, está protegido. Es así de simple.

Habrá que ver frente a las primeras oleadas de malware cómo reacciona y se comporta. Es bien seguro que con el apoyo de Microsoft Malware Protection Center (MMPC) será un apoyo que proporcione información en tiempo real sobre qué especímenes están circulando.
lunes, 26 de octubre de 2009 0 comentarios

Fuentes públicas no son fuentes accesibles al público

En materia de protección de datos, lo que se puede hacer o no con este tipo de datos está perfectamente definido. Esto viene a colación de algunos servicios online que os quiero dar a conocer y que de alguna manera pueden confundir a la gente entre lo que es dato público y dato utilizable por venir de una fuente accesible al público.

Para ello, siempre en toda la legislación lo primero que hemos de hacer es entender bien qué dicen las definiciones. En este caso, el artículo 3 determina:
Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.

Están proliferando un nuevo tipo de servicios que podríamos denominar metabuscadores, muy centrados en objetivos que se dedican a recolectar información de otros buscadores y recolectores de información. Para que véais un ejemplo concreto, podéis consultar la web www.123people.es o www.dateas.com.

A simple vista, parece un recolector de la información "pública" de una persona, utilizando para ellos fuentes como Google, Linkedin, Facebook, etc.

Sin embargo, una cosa es que "el dato esté accesible al público" y otra muy distinta es "que el dato pueda ser utilizado por ser público". A menudo me llegan consultas relacionadas con este asunto. Entiendo que es difícil comprender cómo si una dirección de correo electrónico está en Internet no pueda ser utilizada por cualquier desconocido para ser recolectada. Sin embargo, hemos de ser conscientes de que precisamente para evitar este tipo de situaciones es para lo que está nuestra querida Ley 15/1999 de Protección de Datos de Carácter Personal. Esta regulación limita el uso de información de carácter personal vinculada a varios conceptos:
  • Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.

  • Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

  • Finalidad: para qué van a ser utilizados los datos.

  • Deber de informar: que el afectado sepa quién tiene su información, qué va a hacer con ella y dónde puede ejercer sus derechos si lo desea.


Aunque este tipo de servicios nos pueden proporcionar direcciones de correo que están en Internet, esta información para poder ser tratada por una empresa debe previamente cumplir otros requisitos siendo el más básico el de informar a la persona afectada de que esa información va a formar parte de un fichero y en algún caso, puede requerirse también su consentimiento previo antes de poder dar de alta ese dato. Por tanto, aunque la información pueda ser fácil de localizar, existen restricciones en su uso.

Cualquier persona que entienda que cierta empresa tiene un dato suyo sin su consentimiento, puede ejercer cualquiera de sus derechos o solicitar a la Agencia Española de Protección de Datos para que los tutele. Si en el proceso de recolección de información no se siguen los pasos correctos, se corre el riesgo de sanción cuya cuantía dependerá un poco de qué tipos de datos se hayan recogido, de cómo y de qué se haya hecho con ellos. Por ilustrar algunos casos ya sancionados, podéis ver el caso de Tick Tack Ticket que fué sancionada con 30.001 € por enviar correos electrónicos con fines comerciales sin consentimiento a cerca de 40.000 direcciones de e-mail.
En este caso, se solicitaba a particulares que facilitaran direcciones de
correo electrónico de sus contactos para remitirles comunicaciones comerciales sin
el consentimiento lo que constituye una práctica ilegal. La empresa sancionada, dedicada a la venta de entradas de eventos y espectáculos por Internet, promocionó un concurso en el que para optar al premio había que introducir en un formulario las direcciones de correo electrónico de todos sus contactos y envió los mensajes sin el consentimiento de los titulares de las cuentas de correo, sin existir relación contractual, ni ofrecer un medio para oponerse a la utilización de sus datos con fines comerciales.

En relación a este tipo de situaciones, me gustaría referenciar las reflexiones de Eddasec sobre la extimidad y el video que apunta Paloma Llaneza sobre la "correlación de eventos conocidos y publicados" y cómo estos pueden ser usados en nuestra contra. el video es de la gente de la revista satírica The Onion.


Police Slog Through 40,000 Insipid Party Pics To Find Cause Of Dorm Fire
jueves, 15 de octubre de 2009 3 comentarios

La regulación del photoshop

Hace tiempo ya comenté el peligro que tiene la manipulación interesada de la fotografía cuando aparecieron imagenes alteradas con una pruebas de misiles en Irán. Ahora vuelve a la actualidad por las noticias sobre la posible regulación del uso de herramientas de "retoque fotográfico" en algunos países.

Y es que el tiempo ha demostrado que estas aplicaciones como el photoshop han pasado de ser una ayuda para corregir imperfecciones técnicas a ser manejadas para crear realidades muy distintas. Y claro, tanta potencia era demasiado tentadora para el mundo de la moda que vive de crear ilusiones y fantasías sobre las que proyectar nuestros deseos.



Hemos visto como una herramienta de ajuste se ha convertido en sí mismo en una herramienta de creación y modificación. Las cosas ya no tienen por qué hacerse bien dado que en post-producción van a tener arreglo. Realmente es una ventaja de la fotografía digital sobre la analógica. Sin embargo, el abuso de estas tecnologías para perfeccionar la realidad tiene que finalmente acabar siendo regulada.

No es correcto que se venda como real algo que es pura ilusión y fantasía. Al igual que uno cuando va al cine ya sabe si la historia es ficción o un drama, cuando uno admira una fotografía debería saber si es natural o modificada. En este sentido, entiendo que hay dos tipos de manipulaciones que son de distinta valoración. Una cosa es alterar el color, el brillo, la escena, el balance de blanco, es decir, la escena o las características de la imagen y otra muy distinta manipular las formas, eliminar rasgos del físico, borrar arrugas, adelgazar michelines, alterar el contenido o modificar su físico.

Estas alteraciones que manipulan la realidad creo que sí deberían ser advertidas por parte del medio donde aparezcan, etiquetando la foto de alguna forma que haga que el observador sea consciente de que lo que ve no es la realidad. Sobre todo pensando en gente que puede idealizar ese tipo de imagenes que no son ni serán nunca alcanzables.

Algo tan sencillo como etiquetar con la palabra "falso" o "fake" haría que las espectativas respecto a la foto no idealizaran imagenes que son solo una ilusión.

La polémica ha sido causada por la aberrante y exagerada manipulación realizada por la marca Ralph Lauren en una de sus modelos. Lo preocupante es que se traslade hacia la población adolescente que el éxito como modelo se logra con formas así aunque por suerte esta exagerada alteración ha sido descubierta.



La prensa y la opinión pública empieza a cuestionar la legitimidad de tanto abuso y la perversión que este tipo de herramientas ha generado en el mundo de la publicidad. Las noticias plantean la posible regulación en varios paises poniendo Coto a la dictadura del Photoshop.
Es cierto que a las personas nos gusta evadir la realidad pero lo que hacemos actualmente es autoengañarnos queriendo ver ilusiones pero pensando que son la realidad. Creo que la nueva película de James Cameron titulada Avatar tratará de esta mezcla de realidad y ficción.

Como curiosidad, existe un blog denominado PhotoshopDisasters que recoge también patinazos históricos en el manejo de esta herramienta.
miércoles, 14 de octubre de 2009 0 comentarios

La ciudad anti-Google

Revisando entre los enlaces que había guardado como borrador para postear cosas interesantes de este verano, he recuperado un anuncio curioso de una nueva iniciativa de Google.

Sinceramente, la primera vez que lo leí pensaba que la cosa iba de guasa o podría deberse a una campaña de marketing viral. Se trata de Google Opt-Out Village, una ciudad donde uno tiene solamente garantizada una cosa, la privacidad y la protección frente al propio Google.

Esta ciudad de la intimidad tiene un video colgado en Youtube donde explican en qué consiste todo esto.



Sin embargo, recurriendo a fuentes más solventes como Businessweek.com, podemos descubrir que se trata de una broma irónica que ha realizado la propia gente de Google para parodiar a todos los detractores que ven en la multinacional una gran amenaza. Contra ellos Google ha reaccionado con la única arma posible, la máxima transparencia e información sobre sus entresijos a través del Centro de privacidad de Google. Además, es posible deshabilitar el rastreo publicitario de Google si el usuario lo desea. Para ello, podéis consultar cómo Inhabilite la publicidad basada en intereses.

Hoy todo parece exagerado, pero quizás dentro de unos años, la cosa no tenga tanta guasa. Este tipo de situaciones recuerdan a otras películas que en su momento eran sólo ciencia ficción y que hoy no distan tanto de la realidad, como Enemigo Público o La Junga 4.
viernes, 9 de octubre de 2009 0 comentarios

Videos educativos sobre certificados digitales y factura electrónica

He podido encontrar un par de videos muy didácticos sobre los temas de moda, la factura electrónica y el uso de los certificados digitales. Corresponden a una iniciativa dentro de plan avanza dentro de las catalogadas como "pildoras multimedia"






Para quien quiera contenidos más específicos, en Murcia hace un año se desarrolló una iniciativa a través de un portal denominado e-Factura donde en Firma-e elaboramos varios videos sobre todas las partes del proceso relacionado con la gestión de la factura electrónica.
viernes, 2 de octubre de 2009 0 comentarios

Jornadas SYTE 10.09 en Murcya sobre e-Administración

En Murcia andamos muy activos con los retos jurídicos y tecnológicos de la e-Administración y una asociación a la cual pertenezco, Murcia, Control y Auditoría (www.MURCYA.org) organiza un evento que puede ser de interés para todos los que os podáis desplazar a la Región.



Para más información o inscripciones, se pueden seguir los siguientes enlaces:
lunes, 28 de septiembre de 2009 2 comentarios

Los retos de seguridad de la e-Adminstración

Ultimamente llevo publicando bastantes artículos y reflexiones sobre la Administración Electrónica. Estamos en un momento clave para el Estado, donde por primera vez se plantea el reto de utilizar eficientemente las tecnologías de la información para lograr productividad, agilidad, transparencia, ahorro económico y otras muchas ventajas más pero tengo la sensación de que estamos dejando pasar un tren que pagaremos muy caro en el siglo XXI. Este tipo de situaciones son únicas y hablar de la adecuada adaptación del Estado al uso de las tecnologías de la información tiene varios aspectos ineludibles que debieran plantearse y que quedaron reflejados en la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.

El problema es que la política no debe solamente preocuparse en recoger en la legislación unos preceptos sino también proporcionar recursos para que se hagan realidad. Todos los ciudadanos estamos cansados de leyes que se incumplen sistemáticamente o regulaciones que son sólo un brindis al sol. El examen real de la acción política debe ser la transformación de la realidad tras el establecimiento de la legislación. Tenemos claros ejemplos de éxito en las cifras de los accidentes de tráfico de estos últimos años. La legislación no se ha quedado en texto, ha logrado cumplir objetivos y las estadísticas (como medidoras de la realidad) demuestran con hechos la eficacia del regulador.

Leyendo el blog de Julián Valero y una noticia que me llegaba hoy por correo sobre la "inseguridad del DNI-E" se me acumulan reflexiones sobre el camino que lleva esto de la Administración electrónica.

Es curioso también ver como gremios no relacionados, como informáticos y juristas, empezamos a coincidir en el diagnóstico, cada uno desde su orilla.
  • Los jurístas están preocupados porque la transición a lo digital no pierda la seguridad jurídica del proceso tradicional. Ningún juez tiene problemas a la hora de entender y valorar que ha podido pasar en un caso relacionado con la tramitación en soporte papel.

  • Los informáticos estamos preocupados porque la transición a lo digital garantice la corrección en el procesamiento de los datos y la seguridad de la información.


Sin embargo tenemos síntomas de que esto no está siendo así en muchos casos. A ello se suma la complejidad de todo este mundo interconectado, donde por primera vez se requieren conocimientos de disciplinas muy distintas trabajando de forma conjunta para entre todos aportar una solución holística al problema.

El análisis desde la perspectiva del diseño de procesos que debe hacerse de la seguridad de la información requiere de un enfoque peculiar. Como ya comenté en su día en el post "Dentro de la Mente Torcida del Profesional de Seguridad" Bruce Schneier lo expresa muy claramente: "la seguridad requiere una mentalidad peculiar. Los profesionales de la seguridad -al menos los buenos- ven el mundo de manera diferente. No pueden caminar en una tienda sin notar cómo podrían robarla. No pueden usar una computadora sin preguntarse acerca de las vulnerabilidades de seguridad. No pueden votar sin imaginarse cómo votar dos veces. Simplemente, no lo pueden evitar. Esta manera de pensar no es natural para mucha gente. No es natural para los ingenieros. La buena ingeniería implica pensar sobre cómo las cosas están hechas para funcionar; la mentalidad en seguridad involucra pensar sobre cómo las cosas pueden estar hechas para fallar. Esto implica pensar como un atacante, un adversario o un criminal. No tienes que explotar las vulnerabilidades para encontrarlas, pero si no ves el mundo de esa manera, nunca notarás tantos problemas de seguridad."

Y con esta forma de razonar, estoy sinceramente preocupado como profesional por la situación que plantea la e-Adminsitración. Quizás por venir asesorando al sector banca puedo decir que "cuando veas las barbas de tu vecino pelar, pon las tuyas a remojar". Es ingenuo pensar que una vez que los procesos administrativos se canalicen por Internet no vaya a haber problemas. El ánimo de lucro es una poderosa motivación y el fraude será el origen de los males que acechen a la Administración electrónica, como ya lo es de los problemas que sufre la Administración tradicional.
¿Acaso no hay fraude en el IVA, la Renta, las subvenciones, en general en las gestiones administrativas habituales?

La Administración Electrónica puede contribuir en mucho a poner freno a estas situaciones pero tengo la sensación de que realmente parece que no queremos aprovechar estas ventajas. Es como si supieramos que estas medidas serán eficaces y que al sistema no le interese tanta efectividad. Sólo hay que ver, como prueba del éxito de los radares de tráfico cómo éstos han acabado siendo boicoteados. ¿Por qué? Porque son infalibles para el objetivo para el que han sido diseñados y por tanto, lo único que queda por hacer para vulnerar su seguridad es intentar destruirlos.

Internet no cambia los problemas, solamente los medios necesarios para causarlos.
Los técnicos que sabemos de esto nos vemos entre la espada y la pared: por un lado no queremos transmitir miedo porque si las cosas se hacen bien no tiene que haber problemas pero por otro, odiamos el absurdo juego político de vender humo cuando detrás realmente no hay ni por asomo la seguridad que se intenta vender.
De esta primera situación ya tenemos la primera víctima, el DNI-e. Aparece cuestionado como "inseguro" cuando esa afirmación no es del todo exacta.
Confundimos el todo por la parte y el mecanismo por la utilización que se hace de él.
El "USO del DNI-E" supone la relación de tres piezas: [soporte electrónico]<->[aplicación]<->[ciudadano]. Los fallos de seguridad por ahora vienen de las interacciones soporte<->aplicación y aplicación<->ciudadano. En sí mismo, la tarjeta electrónica del DNI-e si es segura, tal como demuestra la certificación ISO 15408 otorgada por el CCN. Lo que no es seguro es cómo las aplicaciones usan el DNI-e. Ya hace un par de años se hacían demostraciones técnicas de estos hechos. El tema es muy sencillo: la firma electrónica no es para nada un proceso similar a la firma manuscrita. Cuando firmamos algo, el usuario lo único que hace es indicar un pin que da acceso al sistema operativo a la clave privada del certificado para que la aplicación firme unos datos. Si la aplicación da el cambiazo a los datos, el ciudadano ni se entera.
¿Solución?
Siguiendo el principio del eslabón más debil, la seguridad debe ser igual de consistente en las tres piezas que forman parte de este proceso. En ello se trabaja desde hace tiempo.
Lo primero que se hizo es garantizar que el soporte electrónico donde se iban a guardar los datos de firma electrónica sea seguro. Pero esto es solo garantizar el buen funcionamiento de una de las piezas. Lo siguiente es ahora garantizar que deben ser seguras son las aplicaciones y el transito de información con la tarjeta electrónica. Por ello el esfuerzo del INTECO por publicar los Perfiles de protección en castellano.
Todo esto fue objeto de una explicación más extensa en los dos post ISO 15408 y el DNI-e, PP para el desarrollo de aplicaciones Parte I y Parte II. Sin embargo, ¿Quién entonces se va a molestar en garantizar que su aplicación usará bien el DNI-e?

El último de los problemas se planteará cuando siendo las aplicaciones sean seguras y el soporte también. Entonces la picaresca pondrá su objetivo en el ciudadano que no ha sido debidamente informado y formado sobre la utilización de estos medios. ¿Por qué desde el principio no se repartieron los folletos indicando en qué consiste el DNI-e?

Llevamos tanto tiempo haciendo las cosas mal que ahora va a ser muy complicado cambiar la forma de trabajar. Ni siquiera el Esquema Nacional de Seguridad puede que lo consiga. A nivel teórico es perfecto y propone un buen modelo de seguridad pero la realidad es que no dejará de ser más que un brindis al sol, como lo es actualmente el R.D. 1720/2007 en el titulo VIII de medidas de seguridad. ¿Qué consecuencias tendrá para una Administración Pública el incumplimiento del Esquema Nacional de Seguridad? ¿No tiene también consecuencias el incumplimiento de la Ley de Protección de Datos y a pesar de ello sigue sin cumplirse?

Es frustrante ver cómo si las cosas se hacen bien desde el diseño se evitan los problemas pero las miras cortoplacistas de la política no entienden estas premisas y van a apagar fuegos siempre, arreglando las cosas sobre la marcha cuando los daños ya se han sufrido.
domingo, 27 de septiembre de 2009 5 comentarios

El click que llevó a las hijas de ZP a Internet

Este fin de semana la polémica política de turno tiene por origen una foto de los Obama y la Familia ZP. Sin entrar en el debate político centrado más en las formas o la pertinencia de dicha foto, quiero reflexionar sobre el origen, la causa que da pie a estos hechos.

Quizás lo cotidiano de algunas acciones hace que no reflexionemos sobre su trascendencia, importancia y responsabilidad. Cuando vamos conduciendo por ejemplo, damos por hecho que mantenemos con pulso firme el volante, sin ser conscientes que si en algún momento dejamos de hacerlo o realizamos un movimiento no adecuado a cierta velocidad podría producirnos la muerte. Es un riesgo constante y continuo que nuestra conciencia trata de mitigar para que el miedo no se apodere de lo cotidiano. Ello no afecta ni altera para nada la existencia de esa amenaza, simplemente es la manera que tiene el ser humano de convivir con ella. Los ciudadanos de San Francisco están expuestos a terremotos pero sus vidas no se ven condicionadas por estos hechos, hasta que se tengan que enfrentar a ellos si alguna vez sucede algo.

Todo esto viene a colación de la siguiente reflexión: "Todos los clicks de ratón no son iguales". Cuando uno se dedica a la seguridad de la información tiene como axioma la protección de tres propiedades fundamentales: disponibilidad, confidencialidad e integridad. Sin embargo, cada una de ellas platea problemáticas diferentes por la esencia de su naturaleza.
  • La disponibilidad nos lleva a pensar en qué ocurre si hay una ausencia de servicios o datos y cómo lograr volver a la normalidad en el menor tiempo posible.

  • La integridad nos plantea la fragilidad de lo electrónico y cómo es necesario medidas de precintado de la información para detectar la alteración.

  • La confidencialidad siempre ha sido la propiedad estrella de la seguridad, tanto que muchas veces cuando se nombra la seguridad sólo se piensa en la confidencialidad. Ello se debe a que esta es una propiedad sin marcha atrás. Una vez rota no tiene reparación posible. A mi gusta en cursos, para ser más gráfico y didáctico, comparar la confidencialidad con la virginidad, una vez que la pierdes ya no volverás a tenerla jamás.


El origen de la polémica de este fin de semana tiene unos responsables claros. Las personas encargadas de la Web de la administración americana que decidieron maquetar la noticia y anexar la foto de los Obama junto a los Zapatero sin considerar que las hijas, como menores, tienen en la legislación española una protección especial para evitar dañar su intimidad. Como comentaba al principio, al pulsar el botón sobre "Publicar" estas personas no eran conscientes que estaban lanzando al aire "millones de folios" que nunca sabrán donde habrán caído. Si tras ese click descubre un error, podrás lanzar esos millones de hojas de nuevo, pero los que ya estaban en el aire del lanzamiento anterior no podrán ser recogidos. Es por ello que ya circulan por la red las fotos sin proteger de las hijas del Presidente del Gobierno. Esas caras ya no están pixeladas y no podrán pixelarse porque no se puede conocer quién tiene la foto sin proteger y sobre todo, qué uso a partir de ahora hará de ella. Toca ahora luchar contra los buscadores, las cachés, y todo usuario que tenga en su disco duro la dichosa foto, o sea, una misión imposible como ya demuestra la Red.



Y enganchando con mi primer apunte sobre la cotidianidad y la disminución de la sensación del riesgo, quiero hacer otro comentario. Hay profesiones que conviven con situaciones parecidas y por ello no relajan sus mecanismos de protección. Todos tenemos en mente por ejemplo, los protocolos de actuación en un hospital para hacer diagnósticos o cómo cuando un piloto de un avión comercial se sienta en su puesto, recoge un checklist y metódicamente empieza una por una a realizar las comprobaciones necesarias para saber que está todo bajo control. De esta forma, esta actividad obliga al ejecutor a pensar, al menos durante un segundo sobre si ha completado o no esa tarea, asumiendo la responsabilidad que pudiera derivarse del marcar que está hecho si realmente no fuera así.

Quizás algunas de estas prácticas deberían empezar a ser trasladadas al mundo tecnológico, a aquellas actividades que no permiten errores y donde el daño en caso de fallo será irrecuperable. Son habituales las noticias vinculadas con "errores" y "protección de datos personales" donde la sanción se debe a que por descuido se difunde una información protegida. En todos estos casos, un sencillo checklist que haga reflexionar al responsable de ejecutarla sobre lo que tiene entre manos sea suficiente para que las cosas se hagan con el cuidado que merece.

Ello da pie a otro de los debates del siglo XXI sobre si Internet es o no un medio de comunicación y qué responsabilidades deben tener los autores que suben información a la Web. Yo tengo claro que a nivel de internauta, poco se puede exigir mientras no se viole el Código Penal. Sin embargo, cuando hablamos de Webs Oficiales, que representan a una Entidad las cosas sí deberían cambiar. Si quieren vender confianza y que los clientes o ciudadanos nos fiemos de lo que una Web publica, deben de formalizarse los requisitos para no poder repudiar una información publicada y prohibir ciertas actuaciones que supongan pasarse de la raya o jugar con la fiabilidad o credibilidad de una Web institucional, algo que ya ocurrió en mi comunidad autónoma como pude comentar en "Jugar con los medios de comunicación como campaña turística"

En este caso, el responsable de la publicación Web (que debería sobre todo ser conocedor de la transcendencia del contenido más que de su forma) debería verificar antes de pulsar el boton "publicar" cosas como:
Checklist previo a la publicación online de contenidos:
  • Limpieza de comentarios y revisiones.

  • Limpieza de metadatos

  • Creación de la versión no manipulable y firma digital del contenido

De esta forma, esta actividad obliga al ejecutor a pensar, al menos durante un segundo sobre si ha completado o no esa tarea, asumiendo la responsabilidad que pudiera derivarse del marcar que está hecho si realmente no fuera así.

Leyendo el Esquema Nacional de Seguridad he encontrado que estos hechos se toman en serio y que las medidas de seguridad son claras y pertinentes según el nivel de protección de la información a tratar. Pero al menos aparecen cosas como:
  • Firmar digitalmente la información, siendo el signatario la parte que se hace responsable de la misma.

  • Obligación de disponer de una Política de Firma Electrónica que establezca el rango de potestades.

  • Sello de tiempo para aquella información que pudiera ser considerada una evidencia electrónica en el futuro(Obligado solo para el máximo nivel de seguridad)

  • Limpieza de documentos antes de la publicación, la eliminación de los famosos metadatos, comentarios, revisiones y otros datos que han sido causa ya de algunos incidentes notorios por violaciones de la confidencialidad. El propio esquema insiste en que esto será especialmente relevante cuando el documento vaya a ser difundido en un servidor Web público o cualquier otro repositorio de libre acceso.



Si todo esto empieza a formar parte de nuestra nueva cultura del manejo de información y lo incorporamos a las rutinas del día a día, serán medidas que veamos como habituales y por tanto, no sean más que una de las acciones del trabajo de dar difusión a la información a través de la Web. El mismo hábito que colocarse el cinturón de seguridad al sentarse en el coche. Quizás algunas de estas prácticas deberían empezar a ser trasladadas al mundo tecnológico, a aquellas actividades que no permiten errores y donde el daño en caso de fallo será irrecuperable. Son habituales las noticias vinculadas con "errores" y "protección de datos personales" donde la sanción se debe a que por descuido se difunde una información protegida. En todos estos casos, un sencillo checklist que haga reflexionar al responsable de ejecutarla sobre lo que tiene entre manos sea suficiente para que las cosas se hagan con el cuidado que merecen.
lunes, 14 de septiembre de 2009 6 comentarios

Esquema Nacional de Seguridad, las Administraciones Públicas se ponen las pilas en la materia

Hace un par de meses escribía un largo post sobre la ausencia de estrategia en materia de seguridad que podéis leer en el post titulado "La ciberseguridad española, sin orden ni concierto".

En aquel momento Joseba Enjuto vía comentarios ya avanzaba algo sobre la redacción del Esquema Nacional de Seguridad y en mis investigaciones posteriores pude hacerme con un borrador que andaba circulando.

Esta semana Joseba Enjuto de nuevo nos anuncia la publicación del borrador de Real Decreto donde se define, ni más ni menos que el Esquema Nacional de Seguridad.

¿Qué es el Esquema Nacional de Seguridad?
  • Desarrolla el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos donde se habla de la seguridad en la utilización de medios electrónicos en esto de la Administración Electrónica.

  • Será una reglamentación de obligado cumplimiento dentro de las Administraciones Públicas para garantizar la seguridad informática de los tramites online, y por ende, la seguridad jurídica. Dado que la validez jurídica y robustez de los procesos administrativos recae en la informática, ahora es necesario garantizar que no habrá problemas jurídicos cuando todo se base en la tecnología




El cumplimiento de este reglamento evitará situaciones como las alguna vez denunciadas en este mismo blog.

¿Para qué servirá el Esquema Nacional de Seguridad?
  • La finalidad del Esquema Nacional de Seguridad es crear las condiciones necesarias para la confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

  • El Esquema Nacional de Seguridad introduce los elementos comunes que han de guiar la actuación de las Administraciones Públicas en materia de seguridad de las tecnologías de la información y aporta un lenguaje común para facilitar la interacción de las Administraciones Públicas, así como la comunicación de los requisitos de seguridad de la información de las mismas a la industria.


¿Qué tiene de nuevo?
  • Por lo que he podido leer, este Real Decreto son unos muy buenos cimientos para establecer una gestión de la seguridad dentro del ámbito de las AA.PP. Se basa en unos principios esenciales como son:

    1)Seguridad entendida como un proceso integral constituido por elementos técnicos, humanos, materiales y organizativos.

    2)Análisis y gestión de riesgos: El análisis y gestión de riesgos será parte esencial del proceso de diseño de la seguridad que deberá mantenerse permanentemente actualizado. La gestión garantizará el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables.

    3)Prevención, reacción y recuperación: La seguridad del sistema debe contemplar los aspectos de prevención, detección y corrección, para conseguir que las amenazas sobre el mismo no se materialicen o no afecten gravemente a la información que maneja, o los servicios que se prestan.

    4)Reevaluación periódica: Auditoría cada dos años del funcionamiento de las medidas de seguridad para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección, llegando incluso a un replanteamiento de la seguridad, si fuese necesario.


¿Qué estructura tiene?
  • El desarrollo trata de establecer por Real Decreto una serie de requisitos mínimos que las Administraciones Públicas han de garantizar en todo lo relacionado con la e-Administración. Para ello, se han basado en las normas existentes y establecen vía reglamento unos criterios únicos y mínimos con idéntica filosofía a lo que hace el R.D. 1720/2007 en relación al cumplimiento de las medidas de seguridad vinculadas a los datos de carácter personal.

  • El documento establece unos principios básicos de gestión y luego desarrolla un catálogo de medidas de seguridad que serán exigidas de forma proporcional a los distintos organismos atendiendo a un criterio de clasificación bajo, medio o alto según la valoración de la información.

  • Las medidas se organizan en base a áreas que tienen a su vez apartados y dentro se concretan las medidas. Al igual que en la norma ISO 27002, podemos hablar de bloque, objetivo de control y controles solo que este Real Decreto establece mínimos necesarios y auditables.


¿Cómo se definen las medidas de seguridad?
  • El Real Decreto establece un principio de proporcionalidad donde a mayores requisitos de garantizar seguridad mayores requisitos exigidos como medidas de seguridad.
    Para ello, las medidas se organizan en base a los siguientes aspectos:

    3 MARCO ORGANIZATIVO
    3.1 POLÍTICA DE SEGURIDAD
    3.2 NORMATIVA DE SEGURIDAD
    3.3 PROCEDIMIENTOS DE SEGURIDAD
    3.4 PROCESO DE AUTORIZACIÓN
    3.5 AUDITORÍAS DE SEGURIDAD

    4 MARCO OPERACIONAL
    4.1 PLANIFICACIÓN
    4.2 CONTROL DE ACCESO.
    4.3 EXPLOTACIÓN
    4.4 SERVICIOS EXTERNOS
    4.5 CONTINUIDAD DEL SERVICIO
    4.6 MONITORIZACIÓN DEL SISTEMA

    5 MEDIDAS DE PROTECCIÓN
    5.1 PROTECCIÓN DE LAS INSTALACIONES E INFRAESTRUCTURAS
    5.2 GESTIÓN DEL PERSONAL
    5.3 PROTECCIÓN DE LOS EQUIPOS
    5.4 PROTECCIÓN DE LAS COMUNICACIONES
    5.5 PROTECCIÓN DE LOS SOPORTES DE INFORMACIÓN
    5.6 PROTECCIÓN DE LAS APLICACIONES INFORMÁTICAS
    5.7 PROTECCIÓN DE LA INFORMACIÓN
    5.8 PROTECCIÓN DE LOS SERVICIOS


  • Cada organismo deberá elaborar una declaración de aplicabilidad y detallar la situación en la que se encuentra cada medida atendiendo a sus niveles de seguridad definidos.


¿Donde puedo obtenerlo?
 
;