Mis servidores lo aguantan todo, todo, todo.
Spots agresivos pero no deja de ser una demostración técnica de robustez (siempre que el video no esté manipulado).
Reflexiones sobre la falta de concienciación: copias de seguridad
Cuando se toman decisiones sobre proteger algo, cualquier medida de seguridad debe responder a un por qué. El supuesto que se intenta evitar puede ser más o menos frecuente, más o menos posible, pero en cualquier caso, toda salvaguarda tiene como misión básica evitar una vulnerabilidad, reducir un impacto o ambas cosas a la vez.
Las medidas de recuperación, como es el caso de las copias de seguridad, pretenden que la organización pueda volver a la normalidad una vez que se ha producido un daño en el menor tiempo posible. Son actuaciones a posteriori cuando la amenaza ya se ha materializado y se debe reparar un daño. En el caso de las copias de seguridad hay dos preguntas básicas que responder:
- ¿Cuantos datos podemos perder? La respuesta condiciona la frecuencia con la que debemos hacer el backup.
- ¿En cuanto tiempo debemos volver a la normalidad? La respuesta condiciona qué infraestructuras serán necesarias para cuando el incidente ocurra poder continuar dando servicio. Define la estrategia de recuperación de la organización y depende básicamente del intervalo de tiempo disponible que es tolerable antes de volver a la normalidad.
Cuando una organización se plantea el diseño de un Plan de Continuidad de Negocio debe resolver estas cuestiones en base a las necesidades de negocio y las consecuencias que tengan los diferentes periodos de corte de servicio que pueda tolerar.
En el caso de las Pymes, es normal encontrar siempre mecanismos de copia de seguridad basados en la copia a soportes de la información. No suelen requerir más complicaciones técnicas puesto que uno o varios días de inactividad pueden ser tolerados. Sin embargo, lo que no es tan normal es que dicho mecanismo se ajuste a las necesidades de negocio. De nuevo se hacen cosas "de seguridad" sin garantizar el "objetivo de seguridad" por el que se hacen.
A estas alturas os preguntaréis qué errores se suelen presentar respecto a las tareas de copia de seguridad. Voy a intentar recopilar los más habituales.
- 1.- La estrategia de copias no se ajusta a las necesidades de negocio. La frecuencia con la que debe realizarse las copias de seguridad no es una decisión del departamento de informática. Es necesario saber cuánto de importante son los datos para cada departamento y qué consecuencias tienen las pérdidas de información en diferentes intervalos de tiempo: 1 hora, medio día, un día, una semana, dos semanas. Según la respuesta, la frecuencia de las copias deberá ajustarse pensando siempre en la peor de las situaciones. En algún caso he podido auditar que la decisión de la realización de las copias de forma semanal es tomada unilateralmente por el área técnica y resulta contraria a las necesidades de la organización respecto al respaldo de datos. Siempre hay que pensar en la peor de la situaciones respecto a la situación que podría causar una pérdida de datos. En el caso de una copia semanal que se realice todos los viernes, la peor de la situaciones es un incidente el día anterior a la realización de las copias por lo que la pérdida de datos asumida por la Organización llega a cuatro días. Sólo en los casos donde esto sea asumible o tolerable, las copias deberán tener dicha frecuencia.
- 2.- Las copias de seguridad no protegen todos los escenarios de contingencia. Las copias de seguridad son una medida de reacción ante un incidente y por tanto, deben servir para poder garantizar la continuidad de negocio en el peor de los escenarios. Otro tópico habitual que siempre se repite al auditar es que los soportes de almacenamiento de las copias se encuentran siempre en el mismo lugar donde están los equipos informáticos donde están los datos que se copian. En esta situación, las copias de seguridad nos protegen de contingencias como averías del equipo, cortes de suministro, errores en el copiado de datos, etc. Pero estos escenarios suponen que sólo se superaría un incidente que afecte al equipo donde están los datos. ¿Qué ocurre si el incidente es fuego en la sala de servidores? Pues que para esta situación las copias de seguridad no estarían protegidas y se perderían tanto los servidores como los soportes con los datos. Por tanto, para una medida que tiene como misión garantizar la continuidad de negocio, es imprescindible que las copias no se encuentren en el mismo lugar en donde están los equipos que contienen los datos a proteger.
- 3.- Las copias no se prueban. La tecnología no es infalible y los soportes se pueden estropear, o bien accidentalmente o bien por el uso. Por tanto, es importante garantizar que las copias de seguridad estarán utilizables para cuando hagan falta. Por tanto no es lógico que nos demos cuenta de que las copias han estado fallando precisamente cuando hemos perdido los datos originales y sin las copias lo habremos perdido todo. Es de sentido común pero como sabéis no es el común de los sentidos. Hay mil anécdotas de pérdidas de datos por este motivo.
- 4.- Cuando se intenta volver a la normalidad descubrimos que no disponemos de todo lo necesario. Todo plan o procedimiento debe estar documentado para que sea posible saber todo lo que hay que hacer en caso de necesitarlo. En general, la responsabilidad de las copias cae sobre el administrador del sistema que es personal técnico. Sin embargo, si las copias deben protegernos de toda posible contingencia es importante suponer que el día que las copias vayan a ser utilizadas es posible que el administrador de sistemas puede no estar disponible. Además, es necesario tener claro qué necesitamos para volver a la normalidad y sólo cuando hacemos simulacros es cuando descubrimos si tenemos o no todo bajo control. Ultimamente me estoy encontrando cosas como copias cifradas donde no se ha pensado que lo primero que es necesario es disponer del mecanismo de descifrado para utilizar la copia. Hay casos donde el método es simplemente cifrado simétrico pero esa clave sólo es conocida por el administrador y no está ni guardada ni escrita en ningún sitio. Por tanto, ya tenemos una situación potencial para la que no estaríamos protegidos que es un incidente donde el administrador sea también víctima del suceso y no se encuentre operativo. Otra situación puede ser la baja laboral de dicha persona que hace que la información histórica esté inaccesible también. De nuevo por seguridad (al cifrar los datos) se introduce una inseguridad (al no contemplar la nueva situación en los planes de recuperación).
Es también demasiado frecuente que la documentación técnica que describe el proceso se encuentre en formato electrónico dentro de los servidores que supuestamente hay que recuperar y por tanto, en caso de incidente no estará consultable. Por tanto es necesario que en caso de incidente no haya ningún tipo de dependencia de uso de los equipos que habría que recuperar. De nuevo vuelve a ser básico que las instrucciones técnicas necesarias se puedan consultar y que estén disponibles. Para ello lo más lógico es que se encuentren junto a los soportes en un lugar diferente de la ubicación donde está la información a proteger.
Todo lo anterior no es que sea un gran esfuerzo o cosas demasiado complicadas. Son simplemente las cosas necesarias para que todo funcione. Sin embargo en el entorno Pyme es raro encontrar un sistema de copias consistente que realmente nos proteja de forma correcta de todas las situaciones que se pueden plantear, es decir, que cumpla correctamente el objetivo por el cual es necesaria.
Y después de todos estos comentarios, además hay que añadir que encima casi todas estas cosas son obligatorias cuando hablamos de datos de carácter personal en sistemas de información. En concreto, los artículos 94 y 102 del R.D. 1720/2007.
Tiene gracia que sea una ley la que obliga a las empresas a proteger su propia información pero es todavía más curioso que la única motivación que parece existir por parte de algunas organizaciones sea "esa fastidiosa ley de datos de carácter personal".
The covered topics include:
- Improving network discovery mechanisms
- Building a bootable BackTrack 4 thumb drive with persistent changes and Nessus
- Review: SanDisk Cruzer Enterprise
- Forgotten document of American history offers a model for President Obama's vision of government information technology
- Security standpoint by Sandro Gauci: The year that Internet security failed
- What you need to know about tokenization
- Q&A: Vincenzo Iozzo on Mac OS X security
- Book review - Hacking VoIP: Protocols, Attacks and Countermeasures
- A framework for quantitative privacy measurement
- Why fail? Secure your virtual assets
- Q&A: Scott Henderson on the Chinese underground
- iPhone security software review: Data Guardian
- Phased deployment of Network Access Control
- Playing with authenticode and MD5 collisions
- Web 2.0 case studies: challenges, approaches and vulnerabilities
- Q&A: Jason King, CEO of Lavasoft
- Book review - Making Things Happen: Mastering Project Management
- ISP level malware filtering
- The impact of the consumerization of IT on IT security management
Bernardo Quintero en su post del lunes titulado Momento Déjà vu pone de manifiesto cómo cuatro años después se repite una situación de la que ya había dado cuenta en año 2005. Y no es moco de pavo el tema dado que se trata de un PC de acceso a un entorno informático de un hospital, o sea, sometido a la LOPD casi seguro por tratarse de información de nivel alto sobre la que hay que garantizar el secreto del paciente. Seguro que tendrán que pasar algunas sentencias más como la del médico de Mallorca que ha sido condenado a 3 años de cárcel por acceder a la historia de un compañero para que entre cierto miedo en el cuerpo y así se tomen algo más en serio el cumplimiento de las medidas de seguridad.
La semana pasada Joseba Enjuto comentaba la noticia publicada en algunos foros respecto al estudio realizado para averiguar la fortaleza de las contraseñas que tiene como conclusión que "1234" sigue siendo la clave más utilizada.
Es curioso cómo este método de autenticación que demuestra a diario que no es eficaz sigue siendo el más utilizado por todos los sistemas de control de acceso. ¿Por qué?
Creo que quizás la única explicación que se puede dar a esta situación es simplemente que la autenticación basada en contraseñas es lo más barato y sencillo de implementar. Paradójicamente el método no se elige por la seguridad que proporciona sino porque es "lo más fácil" para quien vende el producto. Se podrían haber planteado métodos más robustos y originales de autenticación, algunos ya descritos en este blog, que mejorarían notablemente los resultados, la fiabilidad del proceso y garantizarían el cumplimiento del objetivo por el cual se plantea la medida.
Las contraseñas basadas en caracteres se enfrentan cada día más al aumento de la velocidad de cómputo que establece la frontera de lo "computacionalmente averiguable" más cerca. En este post se describe cuánto se tarda en averiguar las contraseñas de diferentes longitudes mediante ataques de fuerza bruta (probando todas las combinaciones posibles de caracteres). La siguiente tabla resume los resultados.
Aunque son bastantes los esfuerzos que se siguen haciendo por cambiar esta situación algo ocurre que los profesionales de la seguridad no estamos sabiendo identificar. Seleccionar una buena contraseña no es complicado pero hemos saturado y desbordado a los usuarios con controles de acceso para cada aplicación convirtiendo este método poco "humano" en algo engorroso y pesado que ha complicado la vida al usuario. Hemos trasladado el problema del que controla el acceso a quién debe ser controlado y encima queremos que sea eficiente en su ejecución, que se complique buscando contraseñas robustas y además ¡qué las recuerde!.
Muchos administradores de sistemas, conscientes de esta situación, son más cuidadosos y son ellos mismos los que generan las contraseñas y luego se las comunican al usuario. Estos super protectores de la información guardan evidentemente las password de todo el mundo por si algún día éstos las olvidan, poder volver a comunicarle la contraseña. Sin embargo, esto que se hace "por seguridad" destruye todo el objetivo por el cual se impone el control: la identificación y autenticación. Si una contraseña es conocida por más de una persona, se genera el repudio dado que siempre se puede alegar que no existe una única persona vinculada a una contraseña, la relación no es biunívoca.
Unos por defecto y otros por exceso no consiguen garantizar el objetivo por el cual se implanta el control de acceso. Hacemos cosas supuestamente por "seguridad" que para nada se justifican desde la perspectiva de "la seguridad" dado que no garantizan control. Y esta situación se extiende a otros usos de la información.
Sorprende mucho ver que ni siquiera por intuición, la gente no es capaz de hacer un básico "análisis de riesgos" ni en el ámbito doméstico ni en el ámbito profesional para plantearse qué tiene que hacer y por qué .
En el ámbito del usuario doméstico, cuando amigos y conocidos me preguntan por qué aplicaciones de seguridad elegir o utilizar, siempre intento hacer ver que el esfuerzo depende básicamente de la importancia de lo que haya que proteger. Lo primero que suelo preguntar tiene que ver con las medidas de recuperación como son las copias de seguridad y la respuesta es siempre la misma:
- "Si, tienes razón, las tengo que hacer. A ver si un día de estos me pongo."
Pero ese día no llega nunca. Ni siquiera en aquellos que ya han tenido algún disgusto y han perdido fotos de cosas importantes, documentos de trabajo, etc. Cuando no se piensa ni siquiera en tener un plan de emergencia, no merece la pena plantear las acciones preventivas que son necesarias y menos los temas de mantenimiento preventivo. Todo aquello que el sistema no hace solo, el usuario ni se molesta.
Otras veces sorprende que el consejo sea la no protección. Recuerdo por ejemplo que se montó cierto revuelo cuando Bruce Schneier recomendó dejar la wifi abierta. Pues ya tenemos un caso donde su estrategia se ha demostrado altamente eficaz, como recoge la noticia "La Agencia de Protección de Datos absuelve a un usuario por tener la WiFi abierta"
Pero, ¿qué falla? ¿No percibe el usuario el valor de la información?
Creo que en general, no nos gusta plantearnos situaciones desagradables y por miedo preferimos suponer que "eso no me puede pasar a mi" aunque a veces la suerte no nos sonríe: se formatean discos con tesis doctorales, se pierden fotos y recuerdos de mucho tiempo, se destruyen documentos de trabajo de años por un accidente, se averían los soportes o discos y se pierde todo. Y normalmente no existe un plan B o cuando se intenta tirar de las copias te llevas la sorpresa de que hace demasiado tiempo que no se ha realizado una copia o de que el método de recuperación tampoco ha estado funcionando porque no se ha probado.
Este comportamiento doméstico es también extrapolable a las pequeñas y medianas empresas. Últimamente ando moviéndome entre Pymes intentando lograr que construyan sus pequeños y modestos SGSI pero es francamente desmoralizador. Y más cuando toca auditar el funcionamiento de lo más básico (antivirus, actualizaciones automáticas, control de acceso basado en privilegios) y ves que no funciona nada o no se configura nada. Toda la estrategia de seguridad está basada en solucionar el problema aunque hay veces que cuando se detecta ya no tiene solución. Es una filosofía apagafuegos que a menudo no dispone de un plan B, un plan de contingencias, para si algo falla al menos tener la garantía de volver a la normalidad o que el daño no sea muy alto. Y lo peor de todo es que parece no importar.
No puedo entender cómo en una pequeña empresa hay aparcados en la puerta varios audis, bmws, mercedes y luego, todo el soporte al sistema de información de esa mina de oro que genera tantos beneficios no deja de ser mas que un triste PC clónico situado en el suelo en zonas de paso donde lo mejor que puede pasar es que funcione.
De nuevo, se produce la misma situación que ya he planteado en el entorno doméstico. Preguntamos la valoración de la información para diferentes tipos de incidentes atendiendo a diferentes criterios (impacto económico, de imagen, legal, operacional, de daños a terceros, etc.) y siempre toda respuesta introduce la coletilla de "pero eso no puede pasar".
Esas afirmaciones no dejan de ser nada más que verdades de fe, porque nadie comprueba nada y porque no hay suficientes mecanismos preventivos de seguridad como para estar tranquilos al saber que las espaldas están bien cubiertas. Ni siquiera cosas tan básicas como la monitorización, los chequeos rutinarios, la actualización a cada fallo comunicado por el fabricante, nada de nada. Las únicas tareas de seguridad que se entienden son las de reparación o las de resolución de incidencias, el "apagar fuegos de toda la vida".
Y luego la vida nos demuestra que es muy frecuente que la ocurrencia de catástrofes siempre vengan generadas por una cadena de fallos pequeños y poco trascendentes que aliñados con un poco de mala suerte generan una bola de nieve que acaba devastándolo todo. Es la relación incidencia->incidente->accidente->catástrofe.
Es triste pero es lo que hay. Parece que sólo aprendemos a base de tropezar siempre en la misma piedra. Sin embargo, abundan las frases celebres que insisten en lo contrario.
- "Cada fracaso enseña al hombre algo que necesitaba aprender". Charles Dickens
- "La inteligencia consiste no sólo en el conocimiento, sino también en la destreza de aplicar los conocimientos en la práctica." Aristóteles.
- "No basta saber, se debe también aplicar. No es suficiente querer, se debe también hacer".Wolfgang Goethe
- "La mejor estructura no garantizará los resultados ni el rendimiento. Pero la estructura equivocada es una garantía de fracaso". Peter Drucker
Entrevista a Paloma Llaneza sobre la evidencia electrónica
Paloma Llaneza es una referencia en materia de seguridad de la información. Es Coordinadora del GT 1 del Subcomité 27 de AENOR (Comité espejo del internacional de ISO JTC 1/SC 27/WG 1 de gestión de la seguridad TI), donde se estudian y aprueban las normas NE en esta materia. Es también Coordinadora del WG6 del SC37, sobre legislación en materia de biometría. Incorporada desde su consitución al WG25 sobre ITIL.Es desde 2004 co-editora de la norma internacional ISO de Métricas de Seguridad de Gestión de Sistemas de la Información (ISO/IEC 27004).
Y ahora pisa fuerte en el terreno de la formalización de la evidencia electrónica y seguro que generará muy buenos frutos traducidos en forma de guía de buenas prácticas o en normas de Aenor. Asi que nos toca esperar impacientes los frutos del excelente trabajo que siempre realiza en todas las áreas que toca.
Jugar con los medios de comunicación como campaña turística
La historia va de la creación de un portal http://murciaencuentrasuestereotipo.com/ donde se presenta a Vladimir Karabatic, experto sociólogo cultural, para que ayude a encontrar un estereotipo que sirva para identificar nuestra Región.
Esta campaña que intentaba generar marketing viral ha llegado un demasiado lejos. La intención es crear la atención mediática necesaria para justificar el pastizal que ha costado y que la propia Web se encarga de ir registrando en este enlace.
Sin embargo en este juego se han cruzado varias rayas:
- Se elaboró una nota de prensa con información falsa.
- Se introdujo en la Wikipedia una entrada falsa con la biografía del propio personaje
- Se ha creado una Web falsa con la biografía del profesor.
Evidentemente la gracia de este tipo de cosas es que se descubran tarde para salir después a jactarse de la poca profesionalidad de los periodistas que no contrastan la información. En este caso además, la propia Consejería ha tenido que rectificar pronto tanto la entrada de Wikipedia ha sido borrada como la nota de prensa oficial retirada del portal (Claro que siempre puede encontrarse la información cacheada que es la nota que he podido enlazar).
Sin embargo en pocos días se ha destapado el pastel y el lío que se ha montado es gordo. Los periódicos locales como La Opinión o La Verdad La Verdad están bastante enfadados por haber sido utilizados como transmisores de esta campaña siendo víctimas de engaño.
"A primera hora de la tarde, y requerido por La Verdad, el consejero admitió, sin embargo, que todo era un montaje, y que ha utilizado a los medios de comunicación, como parte de «una campaña muy innovadora, que responde a la necesidad de mejorar la imagen de la Región». Pedro Alberto Cruz señaló que la susodicha campaña le parece «lícita y novedosa», y añadió que «puede incluso llegar a ser premiada, por lo que tiene de rompedora, y probablemente sea motivo en el futuro de tesis doctorales». El consejero comentó asimismo que se trata de «una campaña muy innovadora, que responde a la necesidad de llamar la atención en tiempos difíciles», al tiempo que admitió que Karabatic no existe, sino que es un elemento de ficción»."
Este tipo de juegos están parece ahora muy de moda. La semana pasada Wyoming fue centro de atención por haber colado una broma a Intereconomía.
Este no dejaría de ser un caso más de marketing viral de no haber sido por el hecho de que para dar más credibilidad ha sido la propia Consejería la que ha tenido que mentir en una nota de prensa oficial. Una cosa es la crítica que puede hacerse a los medios por no confirmar sus fuentes o por usar fuentes de poca fiabilidad como podría ser ahora Wikipedia y otra muy distinta dar información oficial falsa.
En el blog Malaprensa se recoge la información y se critica esta "innovadora" iniciativa que no deja de ser un Rodolfo Chikilicuatre puesto al servicio de una Consejería.
Creo que la innovación y la creatividad no deben llegar a justificar el "todo vale" con tal de llamar la atención. No sería lícito que por ejemplo el Gobierno mintiera al publicar ciertos datos estadísticos sobre la economía para mejorar el optimismo de los ciudadanos, nos confundiera en nuestro propio beneficio con la información que nos proporciona cuando hacemos la Renta, etc.
El caso es que empiezan a ser frecuentes estas "contaminaciones de contenidos intencionadas" para lograr el minuto "Youtube" pero lo peor es que para ello se utilicen a Webs o medios como la Wikipedia que ven colateralmente dañada su credibilidad por la ausencia de controles respecto a la información que se publica. De un Organismo oficial no podemos estar dudando sobre cuando se miente y cuando se dice la verdad. Con este tipo de cosas no se puede jugar y menos utilizar medios oficiales para garantizar el éxito de la iniciativa.
KeyLemon, acceso al PC por la cara...
El producto está descargable de forma freeware para entornos domésticos en la dirección KeyLemon
¿Podrá soportar España 4.000.000 de bajas de clientes de banda ancha?
Recojo el testigo de GobiernoTIC. Yo tengo claro que seré uno de ellos. Sustituiré mi ADSL de casa por una conexión móvil en el operador donde pueda pagar por ancho de banda utilizado y si no encuentro opciones incluso lo mismo acabo por la desconexión doméstica y usar Internet sólamente en el trabajo. No es coherente que existan tarifas "planas" de conexión a Internet para móviles por unos pocos euros (3 como máximo limitadas a un ancho de banda pequeño) y yo en mi casa tenga que pagar 40€ y encima no poder llevarla a donde quiera ni usar P2P para descargarme torrents con imagenes iso, documentación, musica creative commons, etc.Cerca de cuatro millones de ciudadanos no pueden acceder a la banda ancha en España en función de su sitio de residencia; a este indicador negativo para el desarrollo de la Sociedad de la Información en España, se le podrían sumar bajas masivas de clientes del Adsl más lento y caro de Europa.
Las entidades representativas de la comunidad internauta, los profesionales y los consumidores informáticos en España estiman en cuatro millones la cifra de clientes de banda ancha -Adsl y cable-modem- que podrían darse de baja, si finalmente se confirma el acuerdo que RedTel las sociedades de gestión de los derechos de autor, abanderadas por la Sgae, para que en España se dé tres avisos antes de desconectar o ralentizar la conexión a Internet por usar redes P2P. A la disminución de ingresos se sumarían las posibles indemnizaciones que podrían derivarse por incumplimiento de contrato de las operadoras y las sanciones aplicables en base a los artículos 8 (”Restricciones a la prestación de servicios y procedimiento de cooperación intracomunitario”) y 11 (”Deber de colaboración de los prestadores de servicios de intermediación”) de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, modificado por la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información.
Mientras las operadoras de telecomunicaciones tratan de sortear la crisis, las sociedades de gestión de los derechos de autor, intentan conseguir prebendas para las empresas productoras de contenidos tratando de convencer a todo el mundo de que el intercambio de archivos entre particulares por Internet es un acto delictivo y que supone fuertes pérdidas al sector de entretenimiento.
Sin embargo tanto la fiscalía como las sentencias dictadas establecen que el intercambio de archivos con copyright restrictivo por redes P2P no es un delito y no es punible de ninguna forma cuando se trata de archivos públicos o bajo licencias copyleft (la mayoría de los casos).
Las propias entidades de gestión de derechos de autor han reconocido en el “Informe de la industria de contenidos en España“, publicado por ASIMELEC, que no hay una bajada de ingresos en el sector y que solo la música tiene un retroceso en la venta a través del canal tradicional (aunque no se informa del aumento de ingresos por, entre otros, actuaciones en directo, descargas y publicidad).
Lo cierto es que las negociaciones que se están llevando a cabo bajo el auspicio del Ministerio de Cultura, pueden suponer que algunas de las empresas más solventes y con mayor capacidad tecnológica de España empiecen a perder clientes a marchas forzadas. Lo que repercutirá en su cuenta de resultados y en su capacidad de mantener el empleo.
Pero lo más grave es que un acuerdo de esta naturaleza atenta contra la libre competencia, frena en seco el acceso a la Sociedad de la Información en España menoscabando los derechos civiles de los ciudadanos y alejando aún más el derecho constitucional de acceso a la cultura y al conocimiento.
Firmado: Javier Cao y unas 9.500 firmas más (por el momento). Pon la tuya publicando el texto en tu blog.
¿Por qué lo llaman filtración cuando quieren decir negligencia?
En el Blog WonkaPistas estaba colgada la tabla con la estimación de voto de los diferentes partidos y se incluye el enlace para ver el resto de los resultados -entre los que estarían los sondeos preelectorales de los comicios vascos y gallegos.
La noticia que ayer fue recogida por diferentes medios, hoy cambia de contenido al dejar en tela de juicio al propio CIS.
Ayer algunos titulares clamaban por la apertura de una investigación para saber cómo se ha podido filtrar parte del último barómetro con intención de voto y ha sido el propio blogger WonkaPistas quién ha comentado cual ha sido su hazaña. Ni siquiera se ha tenido que molestar en hacer un extenso por con complejos detalles técnicos para explicar lo sucedido. Una simple y escueta nota ha sido suficiente:
ACTUALIZACIÓN (12-2-2009, 12:00). Siento el pequeño lío que se ha armado. Nada más lejos de mi intención pensar que algo así tiene importancia. No la tiene. Y mucho menos la tiene que el blog salga en los medios. No es razón para alegrarse, como creen algunos lectores. De hecho, yo no debería estar dando "primicias", sino aportando información y juicio razonado. Mal hecho por mi parte. De modo que no esperen más anotaciones como ésta.Libertad Digital proporciona en su artículo la secuencia de los hechos. El método es una mezcla de ingenuidad y desconocimiento técnico del funcionamiento de la Web por parte del que publica la información y la astucia del que la busca.
Repito que siento el lío y, en especial, me disculpo sinceramente con quien lleva ahora el CIS, por el tiempo que le he hecho perder y las molestias ocasionadas.
Actualización (12-2-2oo9, 13:00). Se me olvidaba. Que haya descubierto dónde colocan en la página del CIS las novedades fue pura chiripa, y no resultado de ninguna filtración ni de tener información privilegiada, ni nada de eso. De nuevo, no saquemos las cosas de quicio. Lo único que pasa es que la URL de las novedades tiene un patrón común que sólo varía en el número del estudio, por lo que no es nada complicado dar con la novedad antes de que se anuncie en la página inicial.
El CIS viene publicando los estudios en su Web. El sociólogo sólo tuvo que anotar la dirección donde se publicó el avance del anterior barómetro del CIS, que era:
http://www.cis.es/cis/opencms/ES/Novedades/Documentacion_2781.html
Supuso que el siguiente podría estar en http://www.cis.es/cis/opencms/ES/Novedades/Documentacion_2782.html y voilá, sistema reventado.
Entre los enlaces de esa página se puede acceder a los ficheros PDF con todos los datos. Ese enlace no aparecía en los menús del sitio web del CIS, pues el apartado de "Avances de resultados", que es donde aparece se publica, no tenía vinculado archivo todavía. Sin embargo, que no fuera accesible a través de la Web no significa que los técnicos del CIS no lo hubieran colocado en una carpeta PUBLICA accesible a través de Internet.
Evidentemente aquí ni hay filtración ni hay hacking ni nada de nada de nada. Simplemente es una negligencia técnica, al colocar en una zona pública un documento y pensar que por el hecho de no tener un hiperenlace apuntado al contenido, éste no es descargable. Es similar a lo que ocurre en algunas Webs que no desconfiguran el recorrido por directorios y que te permiten pasearte por la estructura de carpetas tan ricamente. Basta con poner en Google "Index of" y alé, todas las Webs con recorrido de directorios a tu alcance. Y si estas buscando dentro de un dominio especial, usas el tag de Google site:dominio.org y a bucear por los archivos. Esto es a lo que llaman también "Google hacking" pero que en sí mismo no es ninguna técnica sino la utilización inteligente de lo que ya está indexado y publicado.
Por tanto, no cuenten cuentos chinos, aquí lo que ocurre es que el responsable de subir contenidos a la Web no es consciente a nivel técnico de lo que hace y de cuales son carpetas públicas y cuales privadas. Por tanto, la azaña de este blogger fue simplemente pasar por delante del CIS, ver en el mostrador diferentes publicaciones y coger el folleto que estaba buscando aunque estuviera algo más escondido.
El CIS está sometido a la legisalación en materia estadística y tiene el deber de garantizar el secreto estadístico. Esta vez ha habido suerte dado que el estudio no revela datos de los encuestados. En ese caso, ¿Quién es aquí quien puede haber infringido la ley, el CIS o el blogger?
Estudios sobre la seguridad de la información
Admisibilidad legal de la información electrónica
En el blog de Julián Inza aparece publicada la noticia de que ya esta disponible la versión 2008 del Bristh Standard BS 10008 “Evidential weight and legal admissibility of electronic information”, cuyo título me he permitido traducir como “Valor probatorio y admisibilidad legal de la información electrónica”. Este estándar contiene los requesitos de de implementación de los sistemas de gestión de la información electrónica. Incluye los relativos al almacenamiento y transferencia de la información y hace referencia a aspectos relacionados con la autenticidad y la integridad de la información como una evidencia electrónica de las acciones gestionadas por los sistemas.
En España, contamos con el trabajo de AEDEL que también está moviéndose en esta línea como ya comenté en un post anterior.
Es habitual cuando estás revisando una declaración de aplicabilidad de un SGSI y llegas al control A.13.2.3 que la gente te mire con cara de pocker sin saber qué decir al respecto. En este sentido, lo que el control busca es claro: si hay problemas o indicios de delito, la Organización debe poder llevarlos hasta sus últimas consecuencias que pueden ser los tribunales. Dado que no para todo podemos evitar un incidente, es necesario que la Organización pueda de alguna manera "transferir" ese tipo de riesgos hacia la "seguridad jurídica" que da el poder esclarecer en un tribunal la inocencia o culpabilidad frente a unos hechos ocurridos en la propia organización así como depurar responsabilidades.
También es necesario que la Sociedad conozca la figura del perito informático, una persona cualificada que ayuda, o bien al Juez o bien a las partes, y que proporciona un informe pericial donde el técnico expresa su opinión profesional sobre la naturaleza de unos hechos y sus circunstancias. Al respecto, creo interesante dar a conocer que los Colegios Profesionales de Ingenieros en Informática han puesto a disposición de Empresas y ciudadanos unos "Cuerpos de Peritos Informáticos" que permiten solucionar en los tribunales todos aquellos asuntos donde el conflicto se presenta o bien por la utilización de sistemas de información o bien por su abuso. Para mostrar la seriedad de estas instituciones, sirva como ejemplo el Reglamento Interno del Cuerpo Oficial de Peritos del Colegio de la Región de Murcia.
Respecto al qué hacer para implantar este control, lo correcto es leerlo y mirar la guía de implantación en la norma ISO 27002 que para eso se elaboró.
Control: Cuando una acción contra una persona u organización después de un incidente de seguridad de la información implique medidas legales (tanto civiles como penales), deberían recopilarse pruebas, que deberían conservarse y presentarse de manera que se ajusten a las normas establecidas en la jurisdicción pertinente con respecto a las pruebas.
Guía de implantación:
Deberían desarrollarse procedimientos internos que deberían seguirse a la hora de recopilar y presentar pruebas con el fin de ejercer una acción disciplinaria dentro de una organización.
Por lo general, las normas para las pruebas abarcan:
a) la admisibilidad de la prueba: si la prueba puede usarse o no ante un tribunal;
b) el peso de la prueba: la calidad y la integridad de la prueba.
Para que la prueba sea admitida, la organización debería asegurarse de que sus sistemas de información cumplan algún estándar publicado o algún código de prácticas para la elaboración de pruebas admisibles.
El peso de la prueba entregada debería cumplir cualquier requisito que le sea aplicable. Para que una prueba tenga peso, un sólido seguimiento de la prueba debería demostrar la calidad y la integridad de los controles utilizados para proteger de forma correcta y coherente la prueba (p. ej. prueba de control del proceso) durante todo el periodo en que la prueba que debía recuperarse estuvo almacenada y fue procesada. Normalmente, un seguimiento será sólido si se establece en las siguientes condiciones:
- a) Para documentos en papel: el original se guarda de forma segura con un registro de la persona que encontró el documento, de dónde y cuándo lo encontró y de quién presenció dicho descubrimiento. Cualquier investigación debería garantizar que los originales no han sido alterados.
- b) Para información en medios informáticos: deberían realizarse imágenes o copias exactas (dependiendo de los requisitos aplicables) de cualquier medio extraíble y de la información en discos duros o en la memoria para garantizar su disponibilidad. Debería mantenerse un registro de todas las acciones llevadas a cabo durante el proceso de copia, y el proceso debería ser presenciado por otra persona. Los medios originales y el registro (si esto no es posible, por lo menos una imagen o copia exacta) deberían mantenerse en lugar seguro y no tocarse.
Los trabajos forenses deberían efectuarse exclusivamente en copias del material de prueba. Debería protegerse la integridad de todo el material de prueba. La copia del material de prueba debería estar supervisada por personal digno de confianza y debería registrarse la información acerca de dónde y cuándo se efectuó el proceso de copia, de quién llevó a cabo las actividades de copia y de qué herramientas y programas se utilizaron para ello.
Información adicional
Cuando se detecta por primera vez un evento de seguridad de la información, puede que no resulte evidente si dicho evento tendrá como consecuencia una acción legal. Por este motivo, existe el peligro de que se destruyan de forma intencional o accidental las pruebas necesarias antes de tomar conciencia de la gravedad del incidente. Es recomendable hacer uso de los servicios de un abogado o de la policía en las primeras fases de cualquier acción legal que se esté considerando, así como asesorarse de las pruebas necesarias.
Las pruebas pueden trascender los límites de la organización o la jurisdicción. En estos casos, debería garantizarse que la organización está autorizada a recopilar la información requerida como prueba. También deberían tenerse en cuenta los requisitos de otras jurisdicciones con el fin de maximizar las oportunidades de admisión en todas las jurisdicciones competentes.
Para quien no conozca la asociación PROTEGELES, desempeña la función de Nodo español de sensibilización dentro de la Red Europea INSAFE . Tanto la actividad como Nodo español de sensibilización sobre un uso seguro de Internet, como la Red Europea INSAFE, son directamente promovidas y co-financiadas por la Comisión Europea.
Entre los trabajos que Protegeles realiza en este campo en el proyecto Safenet II están los siguientes:
- Desarrollar campañas de formación en todo el territorio nacional, principalmente en el entorno escolar, dirigidas con carácter prioritario a los menores, pero también a otros públicos objetivo como son el colectivo de profesores y educadores y el de los padres.
- Desarrollar materiales didácticos que puedan ser utilizados tanto en las campañas en los colegios como en otras campañas. (Ej:Revista de publicación periódica CONECTATE).
- Llevar a cabo estudios en profundidad acerca de los hábitos de consumo de Internet y del resto de las tecnologías de información y comunicación que tienen los menores españoles, con la finalidad de informar acerca de los riesgos observados al público general, especialmente a los padres y educadores, y sensibilizar a la opinión pública.
- Campañas específicas en un ámbito concreto como el uso seguro de Internet, de la telefonía móvil, diversas formas de ocio digital como es el caso de los videojuegos, etc.
- Campañas formativas dirigidas a colectivos específicos como el de profesores.
- Preparación y contribución a la organización de grandes eventos y de talleres formativos.
- Organización y promoción junto con el resto de nodos de sensibilización europeos de la red Insafe del Día Internacional de la Internet Segura.
- Presencia continua en medios de comunicación informando a la sociedad española sobre la seguridad de los menores en el uso de estas nuevas tecnologías (Internet).
- Diseño y elaboración de material promocional y de merchandising de apoyo a las campañas.
- Elaboración y diseño de páginas Web temáticas: Videojuegos www.guiavideojuegos.es , campaña cibercentro amigo de la infancia www.cibercentroamigo.com, de apoyo en la campaña en colegios para menores www.exprimelared.com y educadores y padres www.enlaredprotegete.com, www.ciberfamilias.com, etc.
- Diseño y elaboración de contenidos apropiados para la infancia y de sitios y espacios seguros en la Red (www.portaldelmenor.es )
- Desde Internet existen sitios desde donde se promocionan formas de actuación e incluso estilos de vida muy perjudiciales para los menores. Ello ha llevado a Protégeles a la creación, organización y gestión de líneas de ayuda o “helplines”, para asistir profesionalmente a menores objeto de acoso escolar (“bullying” o “ciber-bullying”) www.acosoescolar.info o que padecen trastornos de conducta alimenticia como la anorexia y la bulimia www.anaymia.com , www.anaymia.eu y www.masqueunaimagen.com
Toda la información se puede encontrar en "Día Internacional de la Internet Segura".
Diez años de seguridad de la información
Aquella oferta de trabajo era mi primera actividad profesional tras la finalización de la carrera y me puso entre las manos la versión 1.0 de MAGERIT junto con el software desarrollado por Sema Group para dar soporte a la metodología. El año 1999 fue, en temas de seguridad, bastante movidito. Todo el mundo iba como loco con las pruebas para superar el año 2000. Algunas aplicaciones de gestión económica empezaban la migración hacia el Euro. Además, en verano de ese año se publica el R.D. 994/1999 con las medidas de seguridad para los sistemas automatizados de tratamiento de datos de carácter personal.
Aunque este post no pretende ser un resumen de batallas de un abuelo cebolletas, recuerdo que las primeras referencias por aquel entonces en "gestión de la seguridad" venían establecidas por las Guias NIST y los libros conocidos como Rainbow Series de la NSA, en concreto el famoso libro naranja.
En aquel momento, los criterios de seguridad de la información americanos eran la referencia aunque ya empezaba a ser famosa la norma BS-7799 con las buenas prácticas para la gestión de la seguridad de la información.
Recuerdo que había dos visiones enfrentadas donde por un lado, los americanos establecían sus criterios propios para todo lo suyo y por otro, se hablaba de gestión de la seguridad de la información en base al cumplimiento de buenas prácticas. Este mismo choque de enfoques se producía en los criterios de certificación de productos de seguridad, donde los americanos defendían los TCSEC y los europeos los criterios ITSEC. Finalmente ambos criterios acabaron unificados bajo los "Common Criteria" o ISO 15408.
Al finalizar el proyecto con Magerit no tuve más opción que desplazarme a Madrid para seguir currando con esa nueva y apasionante disciplina conocida como "análisis de riesgos de la seguridad de la información". Por suerte, tuve la oportunidad de entrar en la empresa Innosec, una empresa dedicada a seguridad informática donde Gustavo San Felipe, hoy CISO de Acens apostó por un profesional con experiencia en análisis de riesgos dado que eso del diseño de la seguridad basado en el análisis de riesgos lo veía como algo esencial en el futuro. Era la época de la venta masiva de firewalls, de los primeros antivirus perimetrales y del inicio de las redes privadas virtuales. Y en medio de tanto cacharro estaba yo por allí purulando y dando el follón respecto a lo importante que era escribir políticas de seguridad y el cumplimiento de la LOPD. Fruto de aquella época son dos artículos en la revista SIC sobre "análisis de riesgos" e ISO 15408.
Posteriormente Innosec fue adquirida por el Grupo Satec y pasé a formar parte del departamento de seguridad. Allí más de lo mismo. Empresa muy tecnológica que vendía tanto productos como instalación y configuración de equipamiento de seguridad pero que me tenía como recurso dedicado a los temas burocráticos de la seguridad, el papeleo inutil que eran las políticas, normas y procedimientos. Recuerdo intensamente las discusiones en las comidas sobre la importancia del análisis de riesgos para el diseño de las necesidades de seguridad aunque era un entorno muy técnico que no podía entender como podía haber cosas más importantes que un buen firewall o antivirus. Incluso muchas veces cuando me ponía radical y comentaba que algún día las empresas se certificarían en seguridad igual que se hacía para la calidad con ISO 9000, me veían como el freaky de las políticas y normas de seguridad que nunca sirven para nada. Todavía guardo por ahí un Powerpoint con un diseño de prototipo de herramienta para hacer análisis y gestión del riesgo. De aquella época, muy a mi pesar, me llevé puestas también algunas certificaciones de producto (CCSA de CheckPoint, TSCE de TrendMicro, MCP de Microsoft). Todo esto transcurrió entre el año 2000 a 2004. En materia de gestión de la seguridad de la información, ya estaba publicada ISO 17799:2000 y era una verdadera referencia respecto a qué era necesario considerar cuando se hablaba de "gestión de la seguridad de la información". Una vez cansado de hacer ofertas sobre diseño de políticas de seguridad y análisis de riesgos y tras finalizar un proyecto de diagnóstico del cumplimiento de la LOPD para un servicio de salud de una comunidad autónoma, decido que tenía que ejercer y bajar a la arena de los proyectos concretos relacionados con lo mio (gestión de la seguridad de la información). Un compañero del "CURSO SUPERIOR DE SEGURIDAD DE LA INFORMACIÓN, DE SISTEMAS Y DE REDES" de Belt Iberica me ofrece la oportunidad de dar un paso hacia Murcia y me bajo a Almería a trabajar para una empresa de servicios de una Entidad Financiera que tenía también un área de consultoría de seguridad de la información. El primer trabajo en esta nueva empresa consistió en la realización de un análisis diferencial contra ISO 17799:2000 y el desarrollo de una política corporativa de seguridad que sirviera de marco normativo para un conjunto de normas y procedimientos concretos. En esta empresa también tuve que currar bastante en materia de LOPD dado que la parte de medidas de seguridad intentábamos cubrirla como actividades integradas dentro de ISO 17799:2000 de la época. También, casi al final de esta época, se publica UNE 71502:2004 y me toca entrar ya de lleno en los sistemas de gestión de la seguridad de la información. Estuve impartiendo un cursos sobre UNE 71502 y la importancia de esto que ahora se podía certificar y que era la "gestión de la seguridad de la información". Todo esto transcurrió entre el año 2004 a comienzos del 2007. La verdad es que la publicación de ISO 27001:2005 nos pilló por sorpresa a todos, incluido AENOR. Se hablaba de una futura norma internacional certificable pero lo que en aquel momento se conocía es que cada país trabajaría con su propia norma dentro de su esquema interno de certificación para posteriormente hacer una norma común e internacional certificable. BS tenía su 17799-2, Aenor su UNE 71502 y otros países las suyas. Sin embargo, en 2005 se publica ISO 27001 que deja claro que debido a la importancia y las necesidades de normativa en esta materia, la norma internacional no podía esperar al 2008 que era para cuando se esperaba. Esto en España ha tenido como consecuencia los guisaguisados de los certificados UNE 71502 e ISO 27001 conviviendo un tiempo, hasta que se ha elaborado ya la UNE-ISO/IEC 27001:2007.
Finalmente (la historia ya está acabando), a mediados del 2006 me vuelvo a casa a trabajar en la consultora Firma, Proyectos y Formación S.L. dedicada en aquel momento a "protección de datos" que con mi incorporación, abre el área de "seguridad de la información". Y desde entonces hasta ahora, todos los proyectos han estado relacionados o bien con partes de un SGSI (sobre todo el análisis de riesgos, estudios diferenciales ISO 27002 o el desarrollo de marcos normativos de seguridad de la información) o bien con la construcción e implantación de SGSI, siendo actualmente la referencia más importantes la lograda hace un par de años por la Consejería de Agricultura de la Región de Murcia, primera Administración Pública que logró una certificación acreditada bajo esquema UKAS.
Espero que este breve repaso a estos diez años de trayectoria profesional hayan servido para pintar unas breves trazas de cómo ha ido evolucionando esto de la "gestión de la seguridad de la información" hasta alcanzar ya su cuota de relevancia dentro de las organizaciones.
Solo espero y deseo que el ansia y la motivación que supone "certificarse bajo ISO 27001" no acabe prostituyendo a la propia seguridad de la información.Montar la documentación necesaria para establecer un sistema de gestión de lo que sea es fácil (Sólo son necesarios los procedimientos generales que establece todo SG) pero gestionar un SGSI requiere de conocimientos de seguridad de la información (si no sabes de aquello que quieres gestionar, dificilmente podrás controlarlo). En próximos días escribiré un post sobre "SGSI enfermos desde el diseño" que extracta unas primeras impresiones/conclusiones basadas en mis experiencias de estas últimas semanas auditando como auditor interno a varias empresas que han montado su propio SGSI. Mis impresiones no son buenas aunque aquí la principal responsabilidad la tienen las entidades de certificación respecto a su criterio para otorgar o no una certificación. Yo, como auditor/consultor percibo que las nuevas versiones de ISO 27001:2005 tienen que establecer de forma más contundente requisitos formales respecto a:
- Criterios para que una metodología de análisis de riesgos sea correcta, fiable y completa.
- Unos mínimos criterios sobre la gestión de la eficacia que hay que hacer para conocer qué y cuanto hay que medir.
- Una nueva versión de la ISO 27002:2005 que incorpore nuevos objetivos de control y aglutine o agrupe controles dado que hay áreas que tienen relativamente pocos controles y otras que disponen de demasiados.
Por lo que estoy encontrándome al auditar, las cosas más comunes son:
- Metodologías de análisis de riesgos que suponen lo mismo que sacar el dedo y decidir al azar los principales problemas de seguridad.
- SGSI sin objetivos de seguridad o con unos indicadores que no sirven para nada para evaluar el cumplimiento de objetivos
- Hacer el análisis de riesgos de forma exhaustiva y detallada pero no volverlo a mirar más ni siquiera para elaborar el plan de tratamiento de riesgos
Y estoy seguro que luego muchas empresas lucirán con esplendor su magnífico sello "ISO 27001". De todas formas, aquí creo que es tonto autoengañarse y que el tiempo podrá a todo el mundo en su sitio. Quien gestione bien la seguridad evitará o detectará incidentes y no tendrá problemas reales con impactos reales. Aquellos que tengan un SG-SGSI (un sistema de gestión para engañar al sistema de gestión de la seguridad de la información) tendrá unos indicadores preciosos, unos procedimentos cojonudos pero andarán todo el día apagando fuegos y perdiendo datos, cuando no siendo multados por incumplir la LOPD. En este segundo caso, el sello no servirá para nada, dado que los incidentes seguirán produciéndose de igual manera y por tanto, no se beneficiarán de lo que supone una verdadera "gestión de la seguridad de la información". No saldrán de la cultura apagafuegos que tradicionalmente venía utilizándose en esta materia y para la que el SGSI se supone que es el mejor antídoto.
Para aquellos que estéis interesados y podáis asistir, la inscripción se realiza aquí.