viernes, 31 de julio de 2009 8 comentarios

Pandemias y la continuidad del negocio

Este invierno se presenta chungo para muchas organizaciones. Además de la crisis y las consecuencias que están teniendo en las cuentas de resultados o los presupuestos, se atisba en el horizonte una nueva amenaza de carácter global. Se trata de un virus pero esta vez no es informático sino humano denominado H1N1, comunmente conocido por Gripe A,que puede tener importantes consecuencias en los procesos de negocio de aquellas empresas e instituciones que se pudieran ver afectadas por contagio de su personal. Dado que la primera medida a aplicar es el aislamiento, muchos centros de trabajo pueden ver cerradas sus instalaciones por cuarentena o puede que parte del personal tenga que quedarse aislada en sus casas si se dan casos de contagio.

Este es un post largo porque ya en su momento quise comentar que "continuidad de negocio" no es sólo pensar en situaciones de catástrofes o accidentes, sino que pueden darse otras amenazas que generen la indisponibilidad masiva de recursos o personas y por ello, requieran de un plan de reacción que sepa determinar las decisiones correctas pero tomadas en frío, cuando la crisis o la contingencia no se está produciendo.

A principios de este año, el laboratorio farmacéutico Roche organizó en Madrid unas charlas sobre continuidad de negocio. Si, habéis oído bien, un laboratorio farmacéutico hablando de continuidad de negocio.

¿Qué tienen que ver una cosa y la otra?

Pues bien, la cosa es que se tenía conocimiento desde hace tiempo que en algún momento de la historia se iba a producir una pandemia. Leer el folleto y veréis como la realidad se encarga de hacer verdad los peores vaticinios y más pronto de lo previsto.

El evento fue muy bien recogido en el blog de Edgard y Dani Puente, en este post en www.eddasec.es

Ya lo he comentado alguna vez pero es curioso el papel que juega un blog cuando se dejan ciertas reflexiones ancladas al tiempo. Sin embargo sorprende ver lo rápido que ciertas preocupaciones se hacen realidad. Tal como decía Edgard,
"Simplemente señalar que más vale empezar a tomarse este tema más o menos en serio. Ha quedado claro que la pregunta que debemos realizarnos no es si se producirá o no una pandemia, sino ¿CUANDO EMPEZARÁ "


Los que nos dedicamos a la seguridad parecemos siempre ser pajaros de mal agüero, advirtiendo de hechos desagradables que habría que contemplar. Somos los malos que tenemos que hacer reflexionar sobre riesgos que existen y que no queremos ver.

Bruce Schneier suele achacar las causas de la poca concienciación en temas de seguridad a las malas jugadas que nos juega la psicología a la hora de afrontar nuestros miedos. Podéis leer una extensa explicación en La psicología de la seguridad.

La revista Community CXO publicó ayer una extensa reflexión sobre el tema que podéis consultar también en Las pandemias y la continuidad del negocio. Es un tema ahora de moda dado que es una amenaza inminente que no ha sido contemplada como algo severo hasta ahora que hablamos ya de pandemia.

La cuestión principal en todo este tema sería la siguiente:
¿Qué hacemos si nos enfermamos todos y no podemos trabajar en las diferentes áreas de la Organización?. Estaríamos en una encrucijada que podría estar poniendo en riesgo la supervivencia de nuestro negocio, sin embargo, la continuidad del negocio sería una de las alternativas para evitar esta situación. ¿Hasta qué punto la continuidad del negocio nos puede apoyar y en qué escenarios?

En este documento que ya referenciaba Edgard hay una buena plantilla sobre qué cosas se tienen que definir y resolver para atacar una contingencia como esta.

Todo plan de continuidad de negocio debe responder a las cinco grandes preguntas:
  • ¿Qué?: Definir las partes de la organización que serán críticas en los primeros momentos y por tanto, que deberán volver a la normalidad lo antes posible.

  • ¿Quién?: Qué personas se tendrán que movilizar y en qué orden. ¿cuanta gente hará falta en las primeras horas, los primeros días y sobre todo, cómo se coordinará el tema para que no se de una situación caótica.

  • ¿Cuando?: ¿Qué ventanas de interrupción son tolerables? ¿En cuanto tiempo tenemos que volver a la normalidad? Todo esto viene definido por el Businnes Impact Analysis (BIA) que establece los valores para los dos parámetros relevantes en continuidad de negocio, el RTO y el RPO. Estos conceptos ya los expliqué en este post

  • ¿Como?: Qué tendremos que hacer para mitigar la contingencia, entrar en la fase de recuperación y por último, volver a la normalidad.

  • ¿Donde?: A qué lugares tendremos que acudir para poder hacer todo esto. Si las ubicaciones físicas principales están afectadas, hay que tener lugares alternativos donde poder desplegar el plan. ¿Qué pasa si no tengo mi Pc normal de trabajo o no se puede entrar al CPD? Todas estas cuestiones tienen que estar bien resueltas.


Como podéis ver, el Plan de Continuidad de Negocio es un esquema estructurado de toma de decisiones para situaciones en donde el tiempo es oro y no se puede improvisar. Muchas veces el estres, la presión o las situaciones nos superan y nos inducen a error. El Plan solventa todas estas cuestiones y la prueba del plan demuestra si funciona o no como está previsto. Por ello, probar el plan es casi más importante que tenerlo.

El blog Eddasec tiene muy buenas frases que resumen este hecho, os dejo algunas a continuación.
  • Cuanto más inseguro te sientes más seguro te haces

  • Confianza no es sinónimo de seguridad

  • La seguridad es directamente proporcional a los incidentes sufridos

  • Los PCN funcionan siempre antes de activarse, una vez activados ......

  • En seguridad no hay margen de maniobra

  • La anticipación es una buena aliada de la seguridad

  • Si el estado de seguridad absoluta existiese no harían falta las copias de seguridad.

  • De la seguridad a la inseguridad apenas hay distancias, a la inversa es todo un abismo.

  • Sentirse seguro es un error, sentirse inseguro es una virtud.

  • Tu controlas la seguridad pero la inseguridad te controla a ti.

  • Un incidente de seguridad no es un error sino una oportunidad de mejora.

  • El que siembra vientos, ¡¡¡ recoge tempestades!!!, en Seguridad también.


A estos podemos añadir que en Continuidad de Negocio se cumple otra máxima más:
“Quien hace, puede equivocarse. Quien nada hace, ya está equivocado”

Me han gustado mucho también los Diez Mandamientos de la Continuidad de Negocio que Claudia Diego enumera en la Revista CXO Comunity. Voy a citarlos literalmente porque no tienen desperdicio.
  • 1. No menospreciarás una Situación de Crisis/Contingencia: Es habitual efectuar la prueba de los planes en cada una de las áreas de la empresa y más común aún no avisar a la gente de que se trata de un testeo. No informar “la prueba” quita valor a la misma y el día que no lo sea, los pasos a accionarse no se ejecutarán en el orden y tiempo debidos. Esté preparado, el problema siempre es peor de lo que parece.


  • 2. No tomarás la Continuidad del Negocio en vano:
  • Comprenda las consecuencias de un escenario no previsto. Usted afrontará una situación de caos desconociendo qué hacer, cuándo hacerlo, cómo hacerlo y a quién contactar. Gestionar correctamente una situación de crisis resultará en una gran oportunidad para fortalecer la imagen y reputación de su empresa.

  • 3. Prevendrás lo Inesperado: Prepararse para lo inesperado es obtener el mejor resultado y lucir el estandarte de la organización que “todo lo puede”.


  • 4. No serás Arrogante: El error más común es la arrogancia sintetizada en la frase: “A mí, no me puede pasar”.


  • 5. Actuarás cada Ejercicio de Continuidad: Ejercitar su plan de continuidad de negocio involucra a toda la organización, de nada sirve que se testeen año a año los mismos escenarios integrados por los mismos sistemas y actuados por los mismos protagonistas los cuales no asumen el rol protagónico declarada una crisis.


  • 6. No carecerás de la Cadena de Comunicación: Actualice y practique su cadena de comunicación. Contar con un documento que no es validado y no es mantenido regularmente, no asegura “continuidad” en lo absoluto.


  • 7. No colocarás todos los huevos en una misma cesta: Contar con sistemas humanos redundantes es la máxima fundamental. Debe ser política habitual: 1. No permitir a dos altos ejecutivos viajar en un mismo avión, 2. Definir y entrenar dos backups por cada empleado definido en su plan de continuidad del negocio y 3. Establecer una formación cruzada entre departamentos.


  • 8. No mentirás ni levantarás falsos testimonios: Brinde una comunicación clara, no ignore la situación, es inútil mentir o permanecer callado. Defina los protagonistas claves y autorizados, para brindar la información fidedigna de la crisis a la que se enfrenta su compañía.


  • 9. No avisarás día y horario de la práctica de evacuación: Diseñe prácticas realistas, jamás avise el día y horario de las mismas, tenga por seguro que la evacuación no será total y que diez minutos previos de iniciarse, el 50% de la población abandonará la empresa.


  • 10. Conocerás las habilidades y debilidades de tu personal: Existen personas cuyo rendimiento es impecable pero ante una situación de estrés pueden tomar decisiones erróneas. Descubra los pros y contras de sus empleados. Identifique quién de ellos está mejor preparado para afrontar una situación de desastre.




Yo resumiría estos mandamientos en dos: "Evitar lo posible pero estar preparado para lo impredecible" o dicho de otra manera, "Esperar lo mejor pero prepararse para lo peor".

Como reacción el Ministerio de Sanidad ya está trabajando en ello y aunque no podemos decir que se esté pensando en planes de continuidad de negocio, al menos si se contemplan algunas actividades para hacer que el impacto sea más leve de lo que podría. Cuando se den personas enfermas en empresas, el Ministerio de Sanidad aconseja "distanciamiento social" para evitar más contagios. Para ello ha elaborado una GUÍA PARA LA ELABORACIÓN DEL PLAN DE ACTUACIÓN DE LAS EMPRESAS O CENTROS DE TRABAJO FRENTE A EMERGENCIAS COMO LA PANDEMIA DE GRIPE que podéis descargar aquí.

La pregunta que todo el mundo nos podemos hacer sería ¿Es para tanto? Sin caer en el alarmismo, es una amenaza que hay que contemplar y sobre la que no podemos predecir cual será su evolución. Si pronto aparece la vacuna, seguro que la preocupación disminuye. En cualquier caso, en esta Web se está haciendo un seguimiento al día de los casos que se van identificando actualizándose a diario.

De nuevo podemos ver como es la "seguridad de la información" y en concreto, la "gestión de la continuidad de negocio" la parte encargada de hacer que todo funcione correctamente para salvaguardar al negocio. No podemos hablar de ROI porque no sabremos nunca qué habría pasado de no hacer nada pero es evidente que existe un riesgo asociado a esta amenaza que podría causar un impacto socioeconómico serio y extenso.

"Cabe tener presente que la no asistencia de los trabajadores a su puesto de trabajo puede ocurrir a todos los niveles, bien asociado a la enfermedad como a la necesidad de cuidar a los miembros de la familia enfermos o fallecimientos en algunos casos", según explica la Guía.

Los empresarios también deben conocer que la diseminación de la enfermedad puede ser rápida e imprevisible. Sanidad avisa de que el nuevo virus tiende a expanderse en diferentes periodos -durante los cuales ocurren los brotes epidémicos- por lo que "la gran mayoría de la población podría enfermar". Sin embargo, la Guía señala que la no asistencia al trabajo dependerá de la magnitud que alcance finalmente la epidemia.

Las empresas tienen que tener en cuenta que algunos servicios se podrían interrumpir. No se puede descartar que las autoridades sanitarias internacionales recomienden algunas intervenciones, que tengan relación con viajes.

Por todo ello, los empresarios deben ser conscientes de que el cierre de empresas o centros de trabajo por periodos prolongados pueden causar un daño socioeconómico importante. Sanidad advierte que la paralización de empresas esenciales también podría perjudicar las cuentas de las sociedades privadas, y que incluso, sin llegar a este extremo, el mismo distanciamiento social también afectará a los números. Unas cifras que las compañías deberán tener previstas.

Todo este extenso post viene a colación de que tengo entre manos la BS 25999-1 que estable cómo construir un sistema de gestión de la continuidad de negocio (SGCN). Por definición un plan de continuidad no acaba hasta que no es probado, pero un SGCN trata de garantizar que la Dirección apoye estas iniciativas, defina cuales son sus requisitos de disponibilidad y sobre todo, introduce la mejora continua sobre todo este proceso, con el objetivo de garantizar su fiabilidad y funcionamiento.

En este documento que ya referenciaba Edgard hay una buena plantilla sobre qué cosas se tienen que definir y resolver para atacar una contingencia como esta vinculada a pandemia.

Y para quien pueda pensar que las precauciones son exageradas o excesivas, solo tenemos que mirar al pasado. Podéis consultar también las consecuencias que ya sufrió España en la pandemia de gripe de 1919.
jueves, 30 de julio de 2009 6 comentarios

Ya sois más de 2000 lectores vía RSS

Lo siento pero hoy toca un post filosófico. Aunque no suelo darle mucha importancia al tema de las estadísticas del blog y tampoco publico con ningún objetivo amortizador o lucrativo, hoy he podido comprobar que las suscripciones vía RSS superan ya los 2000 usuarios.

Las cifras redondas siempre hacen a uno reflexionar y en este caso, cada vez soy más consciente de la responsabilidad que se adquiere al tener a tantos lectores visitando el blog con asiduidad.

Espero seguir aportando cosas al escenario de la seguridad de la información y que la calidad de mis textos logre seguir manteniendo estas cotas. Como creyente convencido de la "mejora continua", deseo también recibir vuestras críticas para poder hacer aquellas correcciones que permitan al blog ser mejor cada día.

Tengo pendiente investigar por qué Feedburner no envía el texto completo del feed pero estoy en ello ya algún tiempo y no doy con la tecla...

No quiero perder la oportunidad de recomendar ver la entrevista que le hicieron ayer a Rafael Nadal en TVE-1 donde desnuda que hay detrás de un gran campeón. Básicamente cualidades que deberían ser ejemplo y modelo para todos los que aspiramos a ser grandes profesionales: humildad, sacrificio, constancia, ilusión y trabajo, mucho trabajo. Levantarse cada día pensando en positivo, analizando cómo se pueden hacer las cosas cada día mejor. Todo ello manteniendo el dificil equilibrio entre la faceta profesional y la faceta personal. La serenidad llega cuando ambas cosas se equilibran. Podéis disfrutar de ella en Entrevista Nadal TVE-1.

Un saludo a todos y mil gracias. Es reconfortante pensar que uno escribe para un público interesado en estos temas.



PD: La próxima celebración será pronto cuando cumpla las 1000 entradas y posiblemente coincida con el cierre del año.
sábado, 25 de julio de 2009 4 comentarios

La ciberseguridad española, sin orden ni concierto

Tenía pendiente comentar una noticia de esta semana donde el Consejo Nacional Consultor sobre CyberSeguridad (CNCCS), una organización privada y sin ánimo de lucro fundada por Panda Security, S21Sec, Hispasec Sistemas y Secuware anuncia que apoya la iniciativa parlamentaria que propone la creación del Plan Europeo de CyberSeguridad en la Red.

Esta noticia ha sido recogida en un amplio reportaje por El País en el artículo ¿Quién cuida de la ciberseguridad española?

Lo triste de todo esto es que las miras cortoplazistas de la política siempre nos hacen llegar tarde a todo. Mucho cambio de modelo productivo e incentivar el I+D+i, pero quitando las palabras bonitas de la retórica política, luego por detrás como siempre no hay acciones de calado. España vive del Turismo, pero parece que esta filosofía está impregnada en otros sectores. Se hacen las cosas para la galería, para el escaparate y el qué dirán sin creer en la necesidad de hacer las cosas bien por la propia responsabilidad y los beneficios de la mejora continua. Todo tiene una mira en el corto plazo y aquellas reformas estructurales necesarias para asegurar que a largo plazo no tendremos problemas, siempre quedan postergadas.

Y esto mismo es lo que parece ocurrir en la ciberseguridad. Se desarrollan actividades en la operativa y como mucho en la táctica, pero hay poco de estrategia, poco de diseño y definición de objetivos que garanticen que a largo plazo estaremos en el lugar adecuado. En este país parece que siempre tiene que pasar algo gordo, con daños muy cuantiosos o que supongan un escándalo político para que se decidan tomar cartas en el asunto.

Han tenido que ser las empresas nacionales más relevantes en materia de seguridad las que han avisado a la clase política de que este tren de la ciberseguridad no se puede perder. El Consejo Nacional Consultor sobre CyberSeguridad (CNCCS) ha presentado una moción en el Senado que contiene tres vías de actuación principales:
1. Impulsar un Plan Europeo de Cyberseguridad en la Red en el marco de la Unión Europea durante la Presidencia de España 2010.
2. Definir un Plan Estratégico de Seguridad Nacional que sea referente y ayude a trabajar de forma continua en los modelos de prevención.
3. Implantar en INTECO un laboratorio de certificación de sistemas de gestión de infraestructuras críticas que permita elaborar un catálogo de empresas y productos certificados, tanto de España como de la Unión Europea.

Seguro que en la plantilla de algún ministerio hay algunos funcionarios que tienen entre sus atribuciones estar pensando en este tipo de cosas, pero como en el sector público no hay objetivos ni rendimiento de cuentas, el no hacer nada pasa absolutamente desapercibido. Antes era el Ministerio de Administraciones Públicas quien lideraba, a través del Consejo Superior de Informática, todos estos temas. En sus años más productivos, vieron la luz la metodología MAGERIT, el documento de Criterios de Seguridad, Normalización y Conservación de la Información y algunas otras cosas relacionadas con la normalización de la seguridad en las tecnologías de la información. Sin embargo, llevamos ya más de cinco años en el dique seco, a excepción de los esfuerzos del INTECO por concienciar de la relevancia que tendrá la seguridad de la información en el futuro.

De nuevo son los sectores privados más estratégicos los que están haciendo bien los deberes. La Directiva sobre infraestructuras críticas pone ciertos puntos sobre las ies en esta materia y fuerza a empezar a reflexionar sobre la importancia que tiene garantizar que ciertas infraestructuras funcionarán en la peores circunstancias. Muchas de estas cosas ya se ponen de manifiesto en la situación actual. La crisis hace que se agudice el ingenio, pero de los "buenos" y de los "malos". En este post ya hice referencia a la Directiva Europea 2008/114/CE de "infraestructuras críticas europeas" (ICE) .

Y que nadie se confunda. Hablar de ciberseguridad no es sólo plantearse hipótesis remotas y fantasiosas por si en algún momento un grupo de hackers decide darse una excursión por nuestros sistemas informáticos, hablar de seguridad es plantearse qué ocurriría si por desgracia un fin de semana se le prende fuego a un CPD de una administración pública o si tenemos una oleada de virus informáticos que afectan al parque de PC de las ventanillas de atención al ciudadano. Son cosas más terrenales y mundanas que normalmente no se tienen resueltas.

Y lo que más me cabrea de todo esto es que además, la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos (LAECSP) fuerza a las Administraciones Públicas a trabajar con las tecnologías de la información para dar servicio al ciudadano. En su redacción aparecen de forma continua los tres términos que son pilares de la seguridad de la información: confidencialidad, integridad y disponibilidad.

Sin embargo, parece que entendemos por "Administración electrónica" dejar de tener los folletos en papel para ponerlos a disposición del ciudadano en una Web y que sea éste el pringao que tenga que gastar en tinta y papel para hacer lo mismo que antes pero con documentación electrónica. Lo que podría ser la mejor oportunidad que ha tenido la Administración Pública por revisar la "BURRO-cracia" que hace lentos, caros e improductivos muchos de los servicios de la Administración Pública, parece que puede quedar en colgar en Webs formularios electrónicos.

Y como ejemplos de esta desastrosa situación en este nuevo área de conocimiento, además de los estudios oficiales que se realizan al respecto, valgan tres aspectos que pueden ser representativos de lo dicho:
  • Continuidad de negocio: En toda mi trayectoria profesional y ya llevo unos añitos, todavía no he visto ningún organismo público (Ni entidad local, ni regional ni nacional) y pequeña o mediana empresa que tenga al menos diseñado y probado qué haría si su CPD se fuera a tomar viento. Cosas que parece que son imposibles pero que no se pueden improvisar si un día el incidente se presenta. Lo que ocurre es que en la estrategia cortoplazista, estar preparado para contingencias graves no encaja y es mejor meter la cabeza bajo tierra para poder seguir durmiendo tranquilo.

  • Cumplimiento de la legislación en materia de protección de datos: La situación tanto de Administraciones Públicas como de empresas al respecto es también desalentadora. Se entiende como agresión una legislación que intenta que la información sea correctamente tratada y adecuadamente protegida. Sólo es necesario ver los informes del INTECO respecto al grado de cumplimiento tanto de Administraciones Públicas como de Empresas para ver que es una ley que en general todo el mundo se pasa por el forro. Las empresas algo menos porque tienen la temida amenaza de la sanción, lo que hace por costes que se planteen hacer algo al respecto.

  • Seguridad de la información en Universidades: Son pocas las carreras que han introducido el nuevo panorama normativo en sus asignaturas. Es raro ver en los planes de estudio temarios para dar a conocer las buenas prácticas en la gestión de las tecnologías de información representadas por normas como ISO 20.000, ISO 27.000 o los estándares de mercado como ITIL o COBIT. Las empresas que nos dedicamos a la seguridad de la información nos las vemos y nos las deseamos para encontrar candidatos ya formados que incorporar a nuestros proyectos, lo que hace que el rendimiento de los nuevos empleados no supere el 25% en el primer año. En las titulaciones se enseñan aspectos tecnológicos concretos como criptorgrafía y protocolos de seguridad pero no se dota de los conocimientos necesarios en la capa de gestión, en la manera o forma de afrontar los problemas y de estructuras las tareas.


Quizás no me ha salido un post muy estructurado pero ha sido bastante terapéutico, como una sesión de psicólogo, para describir lo triste del panorama actual y que esperemos que la clase política solucione pronto. Esperemos que no sólo entiendan que la solución pasa por gastar dinero. Es necesario desarrollar reglamentación en muchas de las leyes ya redactadas y sobre todo, asignar competencias y responsabilidades respecto a la seguridad de la información. La figura del Responsable de Seguridad de una Organización debe ser un puesto relevante, como lo puede ser el Director de RR.HH o el Financiero. Quizás la única justificación a este estado de ánimo se deba al resultado de ver cómo las empresas que se han adherido al proyecto de subvención del INTECO para la norma ISO 27001 se han tomado el tema y a las últimas auditorías del R.D. 1720/2007 que he realizado. No se si estoy muy pesimista pero podéis dar vuestra opinión al respecto a través de los comentarios por si es una sensación personal o algo generalizado.
viernes, 17 de julio de 2009 2 comentarios

Phishing al Ministerio de Economía y Hacienda

Las Administraciones Públicas no suelen ser víctimas frecuentes de casos de phishing pero estos días anda circulando un correo electrónico que tiene como intención estafar a usuarios usando como excusa una devolución de impuestos.

El texto del correo es más o menos el siguiente:

De: Ministerio de Economia y Hacienda [mailto:informacion.fiscal@meh.es]
Enviado el: martes, 14 de julio de 2009 13:29
Para: undisclosed-recipients
Asunto: Devolucion de impuestos Numero 2009ES2918291X2/164

Estimado Solicitante,
2009 - Devolucion de impuestos calculo

Despues del ultimo calculo anual de su actividad fiscal hemos determinado que usted es elegible para recibir un reembolso de impuestos de 284.23 euros.
Su numero de devolucion de impuestos: 2 7 9 0 2 1 6 8 1 5, por favor rellene el formulario de pago se adjunta en el correo electronico.
Por favor, envie el reembolso de impuestos y permitir que nos 3ra-9no dias habiles, a fin de proceso.

Saludos cordiales,
JORGE DE JUSTO
Agente de la Oficina de Credito de Impuestos informacion.fiscal@meh.es
901 33 55 33


El Ministerio de Economía y Hacienda ha publicado en su pagina inicial el aviso del timo como podéis consultar aquí.

Aunque se facilita un número de teléfono y dirección de correo electrónico “creíbles” la cantidad de información que se solicita y sobre todo, la petición de los datos de la tarjeta de crédito necesarios para realizar compras online debería hacer sospechar a todos los usuarios.

En cualquier caso siempre doy el mismo consejo ante este tipo de soluciones. La medida de seguridad más sencilla es buscar el "Asunto" del correo en Google y ver qué tipo de resultados genera. Si es un caso de phishing detectado, aparecerán como primeras páginas noticias contando este hecho. Es un método sencillo que suele funcionar en un alto porcentaje de los casos (Siempre que lo recibamos cuando hayan pasado unos días desde el inicio de la oleada de los primeros correos o se trate de un correo antiguo que vuelve a circular).
martes, 7 de julio de 2009 0 comentarios

La información en redes sociales también pasa factura

La moda de las redes sociales empieza ya a pasar factura a algunas personas. La noticia que salta a la luz tiene que vez con el futuro nombramiento del jefe del MI6, (los servicios de inteligencia ingleses) que han visto como la mujer del candidato John Sawers ha publicado demasiada información sobre su familia en Facebook, lo que podría suponer en el futuro un problema de seguridad.

El perfil de la mujer de John Sawers además estaba autorizando el acceso a cualquier internauta, por lo que se podía ver información sobre la familia y amigos más íntimos de la pareja e incluso conocer el domicilio del matrimonio y las direcciones de sus hijos.

La noticia puede ser leída con más detalle en Facebook pone en jaque al próximo jefe del MI6

Este tipo de situaciones ponen de manifiesto también lo complicado que empieza a ser el controlar qué información se publica sobre uno mismo. Es conocido que las empresas de selección de personal y búsqueda de recursos humanos empiezan a usar las redes sociales como una nueva herramienta. Aunque existen redes sociales con un perfil más profesional como podrían ser "Linkedin" o "Xing", es evidente que Facebook o Myspace también cuentan.

Como confiesa en este artículo Puri Marroquín, directora general de Quorum Internacional, "lo más importante de este fenómeno es que la información que puedes conseguir es distinta a la conseguida por otros canales". La misma responsable también indica "Algunos de los mejores talentos que hemos fichado ha sido leyendo sus blogs técnicos, donde demuestran tener las cualidades que buscamos".

Y si bien cierta información o actividad personal puede tener su recompensa, como puede ser el caso de disponer de un blog, en otros casos la información que se obtiene de uno si ser directamente la fuente que la proporciona puede perjudicar, como le ha ocurrido al posible jefe del MI6.

Personalmente manejo con bastante recelo este tipo de redes sociales más orientadas a facetas personales. Ya he tenido una muy mala experiencia con el uso de un teléfono móvil que permite alimentar la agenda con las fotos de Facebook. En una opción algo confusa, pensé que permitía buscar dentro de Facebook qué contactos de mi agenda tenían foto y así asignarla a sus datos. Sin embargo, lo que hizo realmente Facebook fue identificar todas las direcciones de correo de mi agenda y solicitarles amablemente que me dieran de alta como amigo, fueran o no estos, usuarios de Facebook. Conclusión, he estado haciendo de maldito spammer de Facebook durante algún tiempo, mientras no he podido encontrar en donde CO..NES tenía que entrar para poder ver por qué seguía cada mes enviando invitaciones en mi nombre. Yo recibía de mi mismo unas seis invitaciones en cada una de las cuentas personales de que dispongo.

También este hecho me ha servido para realizar un pequeño experimento. Con este pequeño empujón inicial, me he visto enlazado por conocidos directos y por conocidos de conocidos. Creo que en un futuro no muy inmediato me daré de baja de este servicio, pero impresiona ver la cantidad de información que la gente vuelca en este portal. En parte parece que volvemos a esa cultura del pueblo, donde todo el mundo quiere saber del vecino y donde todo vecino quiere que se sepa de él, cuando las cosas le van bien.

Otro tipo de caso habitual también lo expuso Samuel Parra en su blog con el caso de las felicitaciones en prensa donde se pueden enviar fotos de conocidos que salen luego publicadas en el periódico. El texto de su entrada se puede leer Tu foto puede salir publicada en ciertos periódicos sin tu consentimiento. Si no quieres que se sepa tu edad, ¿Por qué los demás tienen derecho a revelarla?
lunes, 6 de julio de 2009 2 comentarios

El gobierno … de TI

José Manuel Fernández Domínguez, autor de uno de los primeros blogs que comentaron la problemática de implantación de los SGSI y actualmente gerente del área de Consultoría de Negocio de PricewaterhouseCoopers ha vuelto a la blogesfera con un excelente artículo sobre algo que pronto empezará a rondar por los departamentos de informática, el GOBIERNO TI.

El artículo publicado en la revista Computing se llama "La culpa la tiene el gobierno ... de TI", y contiene unas pautas básicas para que los modelos de gobierno de TI tengan las mejores perspectivas de éxito posibles. Son las siguientes:

-La Alta Dirección debe respaldar el modelo. Los directivos deben estar convencidos de su idoneidad y de sus beneficios. El respaldo debe ser sostenible en el tiempo, y no ‘flor de un día’, siendo conscientes del valor real que proporcionan las iniciativas de TI. A tal efecto, deben ser reportados periódicamente con información relevante sobre el desempeño y los beneficios. Un buen modelo repercutirá en resultados positivos, lo cual ayudará a la renovación continua de la confianza.

- Focalizar el modelo en la determinación de estrategias y la toma de decisiones. Constituyen la base para el Gobierno de TI. Por ejemplo, en situaciones de crisis, puede optarse por estrategias de reducción de costes y restricción de inversiones, o por fomentar inversiones de oportunidad para lograr condiciones ventajosas en determinados productos o servicios. Las estrategias y decisiones condicionan el devenir de la organización, por lo que los marcos de decisión y de responsabilidades deben quedar perfectamente definidos.

- El modelo debe ajustarse a la organización, y no la organización al modelo. Antes de la implementación de cualquier modelo, debe analizarse su alcance y las herramientas a nuestra disposición para el diseño. Podemos apoyarnos en metodologías o frameworks (COBIT, ITIL, ISO 38500, etc.), pero no debemos olvidar que el objetivo final es un ‘traje a medida’. Para ello, debe configurarse correctamente el Catálogo de Servicios de TI, y trabajar en la definición de los procesos y procedimientos que permitan el gobierno, la operación y el soporte de las TI, sin olvidar los roles y responsabilidades asociados.

- El modelo debe ser eminentemente práctico y operativo. De lo contrario, la experiencia dicta que no servirá para mucho, o que cada área terminará haciendo ‘la guerra por su cuenta’ hasta que se tomen medidas. No es necesario crear modelos muy teóricos o irrealizables, con múltiples comités y esfuerzos exagerados, sino garantizar que cumplen con su finalidad, que es facilitar el gobierno de las Tecnologías de la Información en nuestra compañía de forma normalizada y racional.


Un excelente artículo que plantea los principales factores que influyen en lograr el Buen Gobierno.

Para profundizar más en la materia, podéis consultar esta entrada anterior del blog y la presentación de Antonio Fernández Martínez, profesor titular de la Universidad de Almería, en el área de CC. de la Computación e Inteligencia Artificial que expuso de forma magistral toda esta nueva problemática sobre el Gobierno TI en una de las reuniones técnicas de la asociación murciana CTICRM a la cual pertenezco.
jueves, 2 de julio de 2009 1 comentarios

Prestadores de servicios de certificación "Juan Palomo"

Lo que hoy voy a relatar tiene que ver con los servicios de certificación electrónica que empiezan a ser ya tan habituales. En toda transacción a distancia, la confianza se basa en la comprobación de ciertas premisas previas al inicio de la transacción. En actividades telemáticas, los actores y el canal deben demostrar que son seguros antes de empezar a trabajar. La siguiente imagen podría representar estas tres partes: Entidad-canal-usuario.

Para solventar estos escollos fue para lo que se diseñaron y elaboraron los servicios de certificación electrónica. Como bien dice su nombre, lo que se hace es, de forma electrónica, certificar un hecho, circunstancia o entidad, de forma que quien certifica otorga cierta "confianza" que es válida para los demás. Para ello, la Entidad que certifica expide un certificado digital donde por así decirlo, "da fe" de unos hechos que ha podido constratar y por ende, firma digitalmente que ciertos datos son ciertos.

Todo esto no tendría sentido si cualquiera fuera una "entidad de certificación" puesto que la confianza que alguien así podría proporcionar no tendría ninguna relevancia. Serían certificados "Juan Palomo, yo me lo guiso, yo me lo como". Quedaría en manos de los usuarios de estos certificados el creerse o no que la información que la Entidad "Juan Palomo" es cierta.

Evidentemente, para lograr el objetivo de proporcionar confianza y sobre todo, en muchos casos, garantizar que la seguridad jurídica es completa es por lo que la Ley 59/2003, de 19 de diciembre, de firma electrónica se redactó.

Sin embargo parece que ciertos aspectos todavía pasan desapercibidos para muchos responsables y personal técnico. Quizás el interés por los servicios de seguridad que proporciona un servicio de certificación (básicamente autenticación, integridad, confidencialidad y no repudio) hace que este tipo de infraestructuras de certificación (denominadas comunmente PKI)sean montadas sin atender a los requisitos que la propia legislación incluyó en la prestación de este tipo de infraestructuras.

El objeto de la Ley 59/2003 es regular la firma electrónica, su eficacia jurídica y la prestación de servicios de certificación. En el artículo 2 de esta ley podemos leer: "Se denomina prestador de servicios de certificación la persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica" siendo un certificado electrónico, por el artículo 6 de esta ley también "Un certificado electrónico es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad".

Sin ser abogado, yo entiendo que cualquiera que quiera expedir certificados o prestar servicios de expedición de los mismos, entra dentro del objeto de esta ley. Es lógico pensar que la potestad para dar fé, aunque sea de uno mismo, no puede estar en manos de cualquiera. No tendrían sentido de ser así las labores de los notarios en los tramites actuales puesto que cualquier podría afirmar que lo que él dice es cierto. Sin embargo parece que en los temas electrónicos estas cosas no se ven tan claras.

Todo esto viene porque vengo encontrandome de forma algo frecuente, certificados digitales raíz de confianza expedidos por las propias empresas u organizaciones, o sea, auto-certificados digitales. La explicación técnica inmediata es que generar un certificado digital y montar una infraestructura de clave pública, a nivel técnico, es algo sencillo que viene incluso desde hace tiempo dentro de los servicios a instalar en los sistemas operativos Microsoft Windows 2000 Server y posteriores. Sin embargo, la seguridad que proporcionan estas infraestructuras están mas vinculadas a lo jurídico que a lo técnico, si las cosas se hacen correctamente.

La legislación no prohibe que cualquiera pueda ser un prestador de servicios de certificación, pero lo que si hace es establecer ciertos requisitos para que dichos servicios sean fiables y válidos. Entre dichas obligaciones están el informar de unos determinados aspectos y comunicar al Ministerio que ejerce como prestador, a efectos de ser incluida en la relación de prestadores prevista en el artículo 30.2 de la Ley 59/2003, de 19 de diciembre, de firma electrónica.
Aparte de estos datos se debe anejar a la solicitud copia compulsada o copia simple notarial de las escrituras de la sociedad, incluyendo los poderes de representación, así como copia compulsada del C.I.F. las políticas y las declaraciones de prácticas de certificación correspondientes, las modelos de contratos, así como cualquier otra información relevante sobre la prestación del servicio, que justifique el cumplimiento de las obligaciones impuestas, en cada caso, por la Ley 59/2003, de 19 de diciembre, de firma electrónica (p.e., contenido mínimo de los certificados reconocidos, acreditación del cumplimiento de la garantía exigida en el artículo 20.2).
    Datos obligatorios:
  • Nombre Comercial

  • Nombre o Razón Social

  • Domicilio social o del establecimiento permanente en España (Dirección donde esté efectivamente centralizada la gestión administrativa y la dirección de los negocios): Vía ,Población, Código Postal, Provincia

  • Teléfono

  • Datos de inscripción en registro público (Datos de registro donde haya adquirido la condición de persona jurídica. Ej: Registro Mercantil (cuando proceda): Identificación Registro, Tomo, Folio, Hoja, Número de inscripción, C.I.F., Nombre del Dominio de Internet (enlace).

Es lógico que si dan fe, que al menos estén localizables y se sepa quienes son.
    Datos no obligatorios:
  • Teléfono de información general.

  • Dirección Postal de información general (en caso de que sea diferente del domicilio social o del establecimiento permanente en España).

  • Dirección de correo electrónico de información general.

En relación a los servicios que vaya a prestar, a su vez, también deberá informar sobre:
    Datos obligatorios:
  • Categoría del servicio. Las categorías de servicios contempladas inicialmente son las siguientes:
  • Servicios de certificación basados en certificados reconocidos

  • Servicios de certificación basados en certificados no reconocidos

  • Otros servicios en relación con la firma electrónica - Servicios de validación temporal

  • Otros servicios en relación con la firma electrónica - Servicios de validación de certificados

  • Otros servicios en relación con la firma electrónica - Servicios de custodia

  • Otros servicios en relación con la firma electrónica - Otros servicios

  • Nombre del servicio

  • Descripción del servicio (Descripción en un número máximo de una página)

Todo esto viene porque sigo encontrandome Organismos Públicos que han generado su certificado raíz y que proporcionan enlaces hacia ellos para que el usuario se instale un certificado raíz que no cumple con estos requisitos legales y que por tanto, tampoco aparece en el listado de prestadores de servicios de certificación que el Ministerio publica.

Algunos casos ya los plantee en su momento en el post La e-Administración dando mal ejemplo Solo hay que buscar y aparecen entidades públicas nacionales y regionales que lucen un magnífico certificado digital del tipo "Juan Palomo, ellos se lo guisan, ellos se lo comen".
 
;