domingo, 27 de septiembre de 2009

El click que llevó a las hijas de ZP a Internet

Este fin de semana la polémica política de turno tiene por origen una foto de los Obama y la Familia ZP. Sin entrar en el debate político centrado más en las formas o la pertinencia de dicha foto, quiero reflexionar sobre el origen, la causa que da pie a estos hechos.

Quizás lo cotidiano de algunas acciones hace que no reflexionemos sobre su trascendencia, importancia y responsabilidad. Cuando vamos conduciendo por ejemplo, damos por hecho que mantenemos con pulso firme el volante, sin ser conscientes que si en algún momento dejamos de hacerlo o realizamos un movimiento no adecuado a cierta velocidad podría producirnos la muerte. Es un riesgo constante y continuo que nuestra conciencia trata de mitigar para que el miedo no se apodere de lo cotidiano. Ello no afecta ni altera para nada la existencia de esa amenaza, simplemente es la manera que tiene el ser humano de convivir con ella. Los ciudadanos de San Francisco están expuestos a terremotos pero sus vidas no se ven condicionadas por estos hechos, hasta que se tengan que enfrentar a ellos si alguna vez sucede algo.

Todo esto viene a colación de la siguiente reflexión: "Todos los clicks de ratón no son iguales". Cuando uno se dedica a la seguridad de la información tiene como axioma la protección de tres propiedades fundamentales: disponibilidad, confidencialidad e integridad. Sin embargo, cada una de ellas platea problemáticas diferentes por la esencia de su naturaleza.
  • La disponibilidad nos lleva a pensar en qué ocurre si hay una ausencia de servicios o datos y cómo lograr volver a la normalidad en el menor tiempo posible.

  • La integridad nos plantea la fragilidad de lo electrónico y cómo es necesario medidas de precintado de la información para detectar la alteración.

  • La confidencialidad siempre ha sido la propiedad estrella de la seguridad, tanto que muchas veces cuando se nombra la seguridad sólo se piensa en la confidencialidad. Ello se debe a que esta es una propiedad sin marcha atrás. Una vez rota no tiene reparación posible. A mi gusta en cursos, para ser más gráfico y didáctico, comparar la confidencialidad con la virginidad, una vez que la pierdes ya no volverás a tenerla jamás.


El origen de la polémica de este fin de semana tiene unos responsables claros. Las personas encargadas de la Web de la administración americana que decidieron maquetar la noticia y anexar la foto de los Obama junto a los Zapatero sin considerar que las hijas, como menores, tienen en la legislación española una protección especial para evitar dañar su intimidad. Como comentaba al principio, al pulsar el botón sobre "Publicar" estas personas no eran conscientes que estaban lanzando al aire "millones de folios" que nunca sabrán donde habrán caído. Si tras ese click descubre un error, podrás lanzar esos millones de hojas de nuevo, pero los que ya estaban en el aire del lanzamiento anterior no podrán ser recogidos. Es por ello que ya circulan por la red las fotos sin proteger de las hijas del Presidente del Gobierno. Esas caras ya no están pixeladas y no podrán pixelarse porque no se puede conocer quién tiene la foto sin proteger y sobre todo, qué uso a partir de ahora hará de ella. Toca ahora luchar contra los buscadores, las cachés, y todo usuario que tenga en su disco duro la dichosa foto, o sea, una misión imposible como ya demuestra la Red.



Y enganchando con mi primer apunte sobre la cotidianidad y la disminución de la sensación del riesgo, quiero hacer otro comentario. Hay profesiones que conviven con situaciones parecidas y por ello no relajan sus mecanismos de protección. Todos tenemos en mente por ejemplo, los protocolos de actuación en un hospital para hacer diagnósticos o cómo cuando un piloto de un avión comercial se sienta en su puesto, recoge un checklist y metódicamente empieza una por una a realizar las comprobaciones necesarias para saber que está todo bajo control. De esta forma, esta actividad obliga al ejecutor a pensar, al menos durante un segundo sobre si ha completado o no esa tarea, asumiendo la responsabilidad que pudiera derivarse del marcar que está hecho si realmente no fuera así.

Quizás algunas de estas prácticas deberían empezar a ser trasladadas al mundo tecnológico, a aquellas actividades que no permiten errores y donde el daño en caso de fallo será irrecuperable. Son habituales las noticias vinculadas con "errores" y "protección de datos personales" donde la sanción se debe a que por descuido se difunde una información protegida. En todos estos casos, un sencillo checklist que haga reflexionar al responsable de ejecutarla sobre lo que tiene entre manos sea suficiente para que las cosas se hagan con el cuidado que merece.

Ello da pie a otro de los debates del siglo XXI sobre si Internet es o no un medio de comunicación y qué responsabilidades deben tener los autores que suben información a la Web. Yo tengo claro que a nivel de internauta, poco se puede exigir mientras no se viole el Código Penal. Sin embargo, cuando hablamos de Webs Oficiales, que representan a una Entidad las cosas sí deberían cambiar. Si quieren vender confianza y que los clientes o ciudadanos nos fiemos de lo que una Web publica, deben de formalizarse los requisitos para no poder repudiar una información publicada y prohibir ciertas actuaciones que supongan pasarse de la raya o jugar con la fiabilidad o credibilidad de una Web institucional, algo que ya ocurrió en mi comunidad autónoma como pude comentar en "Jugar con los medios de comunicación como campaña turística"

En este caso, el responsable de la publicación Web (que debería sobre todo ser conocedor de la transcendencia del contenido más que de su forma) debería verificar antes de pulsar el boton "publicar" cosas como:
Checklist previo a la publicación online de contenidos:
  • Limpieza de comentarios y revisiones.

  • Limpieza de metadatos

  • Creación de la versión no manipulable y firma digital del contenido

De esta forma, esta actividad obliga al ejecutor a pensar, al menos durante un segundo sobre si ha completado o no esa tarea, asumiendo la responsabilidad que pudiera derivarse del marcar que está hecho si realmente no fuera así.

Leyendo el Esquema Nacional de Seguridad he encontrado que estos hechos se toman en serio y que las medidas de seguridad son claras y pertinentes según el nivel de protección de la información a tratar. Pero al menos aparecen cosas como:
  • Firmar digitalmente la información, siendo el signatario la parte que se hace responsable de la misma.

  • Obligación de disponer de una Política de Firma Electrónica que establezca el rango de potestades.

  • Sello de tiempo para aquella información que pudiera ser considerada una evidencia electrónica en el futuro(Obligado solo para el máximo nivel de seguridad)

  • Limpieza de documentos antes de la publicación, la eliminación de los famosos metadatos, comentarios, revisiones y otros datos que han sido causa ya de algunos incidentes notorios por violaciones de la confidencialidad. El propio esquema insiste en que esto será especialmente relevante cuando el documento vaya a ser difundido en un servidor Web público o cualquier otro repositorio de libre acceso.



Si todo esto empieza a formar parte de nuestra nueva cultura del manejo de información y lo incorporamos a las rutinas del día a día, serán medidas que veamos como habituales y por tanto, no sean más que una de las acciones del trabajo de dar difusión a la información a través de la Web. El mismo hábito que colocarse el cinturón de seguridad al sentarse en el coche. Quizás algunas de estas prácticas deberían empezar a ser trasladadas al mundo tecnológico, a aquellas actividades que no permiten errores y donde el daño en caso de fallo será irrecuperable. Son habituales las noticias vinculadas con "errores" y "protección de datos personales" donde la sanción se debe a que por descuido se difunde una información protegida. En todos estos casos, un sencillo checklist que haga reflexionar al responsable de ejecutarla sobre lo que tiene entre manos sea suficiente para que las cosas se hagan con el cuidado que merecen.

5 comentarios:

Daryl dijo...

"..tiene unos responsables claros. Las personas encargadas de la Web de la administración americana que decidieron maquetar la noticia y anexar la foto de los Obama junto a los Zapatero..".
Pues yo no los veo tan responsables. ¿Debe un responsable de una web conocer toda la legislación mundial, pais por pais, a la hora de cargar información?.
En este caso los responsables son otros: Los que no avisaron previamente sobre el carácter privado de unas fotos que fueron tomadas de forma publica y manifiesta durante un acto oficial: recepción a diversos mandatarios.
Pero el problema es más amplio ¿debe un responsable web comprobar siempre la legalidad de todos los documentos que le han sido suministrados por otros miembros de su organización, muchas veces, superiores suyos? ¿donde debe empezar la confidencialidad? ¿que ley se debe respetar: la del pais de la pagina web o la del sujeto de la información?.
Hay otro caso que nos afecta de manera inversa. En España se publican fotos de "presuntos" etarras cuando son detenidos en Francia. En Francia en cambio no se pueden publicar porque todavia no han sido juzgados ¿de que es responsable el encargado de la web del ministerio de interior cuando se publican las fotos?
Poca responsabilidad les veo yo a los americanos, por otra parte muy restrictivos a la publicación de fotos con menores. Simplemente aplicaron la práctica habitual: si un dirigente o cargo público se presenta con sus hijos (sean o no menores) en un acto público autoriza de forma explicita, salvo aviso en contra, a la publicación de las fotos y/o videos. Vease sino las fotos de la hijas de Obama y en España con los miembros menores de la familia real.

Javier Cao Avellaneda dijo...

Cuando puse "En este caso, el responsable de la publicación Web (que debería sobre todo ser conocedor de la transcendencia del contenido más que de su forma) debería verificar antes de pulsar el boton "publicar" cosas" quería expresamente indicar que quien tiene potestad para dar a conocer una información debe tener conocimientos suficientes para valorar jurídicamente esas consecuencias. Por tanto, no es un perfil técnico sino de gestión o incluso jurídico, dado que la información publicada puede tener igual transcencencia que cualquier otro documento firmado por la Organización.

Fernando Seco dijo...

El problema que destacas, Javier, es muy frecuente en otras facetas de la gestión de la seguridad. Es el problema de la delegación de responsabilidades en personal que no tiene la formación necesaria para asumirlas (y espero que se entienda bien mi comentario).

Daryl dijo...

Entiendo perfectamente lo que dices. Lo que intentaba explicar es que en organizaciones complejas (y las administraciones lo son) la figura del responsable único y con conocimientos suele estar diluida y/o mediatizada por la división de compentencias o por los protocolos de actuación y que una cosa que en su inicio era perfectamente legal y ajustada al procedimiento puede tener consecuencias inesperadas, todo el mundo empieza a recular y la culpa a final suele ser del técnico o de "un fallo técnico".
Y encima en este caso ha habido bastante hipocresia. Se ha invocado la Ley del menor para las hijas pero no para el hijo de Carla Bruni igual de menor y europeo. ¿se ha pedido responsabilidades a la agencia Efe por esa foto? ¿por que no se pixelo su cara?. Si tenemos que esperar las reacciones a posteriori, invocado leyes o diversas consecuencias politicas según el tipo de documentos publicados, mal vamos.

Daryl dijo...

Un apéndice. Mucho trabajo le queda al Esquema Nacional de Seguridad. Ahora mismo en la web oficial del ministerio del interior , en las notas de prensa, publican fotos con todos sus exif bien claritos. Por ejemplo hay unas de una operación de aprehensión de cocaína donde te lo dice todo: modelo de cámara, nikon por cierto, versión del photoshop empleada, velocidad, flash....y fecha. Datos técnicos sin importancia pensaran algunos. Pero (debo tener la mentalidad de Bruce Schneier) y ¿si la fecha de la cámara esta mál y no coincide con la de la captura? ¿Y sin por un casual no tienen licencia actualizada del photoshop? Le estas dando bazas a la defensa para alegar registros ilegales o colocación de pruebas. En todo caso, siembran dudas, y todo por un fallo (que no hace falta ley que te lo diga) facilmente evitable por ser conocido desde hace años.

 
;