lunes, 22 de marzo de 2010

Oiga, ¿es el enemigo? ¿Puede parar la guerra, por favor?

Estaba leyendo el blog de Samuel Parra sobre el problema de autenticación del portal de consulta de puntos de la DGT que explica en El sistema de consulta de puntos del carnet de conducir es ilegal, pero no lo van a cambiar.

Me llama mucho la atención las declaraciones realizadas a El Mundo de Luis de Eusebio, responsable de informática de la DGT en afirma que:

“Tráfico reconoce la vulnerabilidad del sistema actual pero no está dispuesto a cambiarlo. A pesar de la contundencia con que Protección de Datos describe cómo de expuesta está la información personal de millones de conductores en los archivos de la DGT, el organismo no se ve obligado desde un punto de vista jurídico a tomar medidas y, por otra parte, tampoco ve factible realizar nuevos cambios en el sistema.” Y añade:“El sistema actual de consulta fue aprobado en 2006 por la AEPD y que hasta ahora no se han conocido casos de suplantación de identidad de los conductores.”


Lo que me resulta curioso de todo esto es pensar que las soluciones solo vendrán tras la puesta en conocimiento de un incidente. Me sigue sorprendiendo comprobar lo cotidiano que es entender la seguridad de la información como "el arte de apagar fuegos" cuando es más que manifiesto que toda estrategia (y más cuando se habla de proteger la confidencialidad) pasa por la prevención y detección temprana.

Tras leerlo me ha venido a la mente una actuación de Gila sobre la guerra.



La versión actual de este sketch de Gila sería:
Responsable de informática (RI):"-Oiga, ¿son los hackers?"
Hackers(HK):"-Si, digame."
RI:"-¿Pueden parar el ataque un momento? Es que me están saturando la página Web y tengo aquí al jefe cabreado."
RI:"-¿Ustedes van a atacar mañana?"
HK:"-Si."
RI:"-¿A qué hora?, Es que mañana tenemos el fin de plazo de un impuesto y nos viene muy mal que la página esté caida."
HK:"-A las 11."
RI:"-Jolín, es la hora del desayuno. ¿Y no lo puede dejar para otro día?"
HK:"-Bueno, el domingo entonces."
RI:"-¿El domingo?, Hombre es el día de descanso del señor. Es que en ese horario ese día no hay nadie aquí para resolver incidencias. ¿Y va a ser muy duro el ataque?. Por cierto, ayer entró en nuestro sistema uno de ustedes, se copio la base de datos de ciudadanos y nos borró la que teníamos. ¿Nos la puede devolver? Es que hemos visto que es la única que tenemos porque las copias de seguridad no se hacen desde hace más de tres meses"

El sarcasmo de Gila parece ser una realidad en los pensamientos de algunos irresponsables de informática que esperan a ver los incidentes para pensar que habrá problemas. Una demostración empírica más de las máximas de la seguridad y del principio Backwards Maxim: Most people will assume everything is secure until provided strong evidence to the contrary--exactly backwards from a reasonable approach. (la mayoría de la gente asumirá que todo es seguro hasta que se les muestren evidencias significativas de lo contrario, justo lo contrario de lo que sugiere una aproximación razonable)

Sin embargo, luego se pasea Mr Bean por la Web y entonces se rasgan las vestiduras y todo el mundo se pregunta cómo pudo suceder. La seguridad es el arte de hacer las pocas tareas de operación de seguridad todos los días pero de forma contínua, sin bajar nunca la guardia.

1 comentarios:

Daryl dijo...

Hombre, viniendo de la DGT no me extraña. ¿si son laxos con la seguridad vial como no lo van a ser con la de la información?.
Por ejemplo, ellos siempre ha sabido cuales son los puntos con concentración de accidentes. No es su compentencia arreglar las vias pero es que tampoco informaban. Solo cuando una fuerte campaña ciudadana lo impuso empezó a salir esa información.
Espero que no pase lo que indica Parra en blog y que tengan las medidas adecuadas para detectar masivas consultas a la BBDD pero de lo no tengo dudas es que el fallo existente a quien beneficia es a las compañias de seguros. Ellas tiene acceso al carnet de conducir y pueden comprobar los puntos del cliente para ajustar el precio y características de la póliza o de su renovación.

 
;