viernes, 28 de diciembre de 2012 3 comentarios

Carta a los Reyes Magos de un Responsable de Seguridad para el 2013

Dado el éxito que tuvo esta entrada el año pasado y visto que para pronósticos ya hay bastantes buenas Webs especializadas en hacerlos, voy de nuevo a escribir este año lo que sería mi carta a los Reyes Magos si fuera un "responsable de seguridad".
"Queridos Reyes Magos,
Este año, como en años anteriores he sido bueno y he logrado que en mi organización no haya ocurrido ningún incidente. Mis compañeros no lo valoran pero he tenido que trabajar mucho para que esto sea así. Sin embargo y muy a pesar mío, este año ha sido especialmente duro porque me han complicado mucho más la vida y me estan haciendo sudar la camiseta a diario. Supongo que al igual que atendéis mis deseos, también escucháis los de mis jefes y compañeros. Yo se que no lo hacen con mala intención pero a ellos les has traído en este 2012 sus "nubes" y les regalasteis todo tipo de gadgets que para mi se han convertido en mis peores pesadillas bajo las siglas "BYOD" y "Cloud computing". Así que de nuevo tengo que pedir algunas cosas para este año 2013 que empieza. Mi lista es la siguiente:
  • Este año necesito refuerzos muy importantes desde los servicios jurídicos. En otros departamentos se están planteando ya el migrar algunos servicios hacia entornos más versátiles utilizando la "cloud computing" pero nadie es capaz de valorar con la debida prudencia cómo hacer que esto no sea un salto al vacío irreversible y sobre todo, que atienda al cumplimiento de los requisitos legales que rigen en nuestro país. De este tema me preocupan dos cosas: a largo plazo, no deberíamos ser presa de nuestros proveedores y deberíamos tener un plan B por si los servicios en esta modalidad no cumplen con nuestras necesidades, poder saltar a otro proveedor o dar marcha atrás y usar de nuevo nuestros entornos.  A corto plazo, que firmemos acuerdos que me proporcionen garantías jurídicas solventes en caso de problemas para que litigiar si el proveedor no está a la altura no sea una pesadilla. Por tanto, necesito que mis compañeros de jurídico me ayuden  y valoren si las condiciones del servicio satisfacen la legislación en materia de protección de datos, controlen que se firman los correspondientes acuerdos de encargo de tratamiento, determinen si es pertinente o no el ámbito jurísdiccional en el que se resolverán los conflictos en caso de problemas y sobre todo, definan si las garantías y renuncias de responsabilidad del proveedor son pertinentes o asumibles. Yo les echaré una mano para establecer los acuerdos de nivel de servicio y junto con mis compañeros de sistemas determinaremos los usos deseados y las posibles penalizaciones a trasladar al proveedor si no se cumplen los niveles de servicio acordados.
  • En relación con el salto a la "cloud computing" necesito también la ayuda de mis compañeros de sistemas. Tenemos que definir en estos entornos cual va a ser nuestra política de backup y sobre todo, cuál sería nuestro plan de continuidad de negocio en el caso de que el proveedor por lo que fuera nos dejara tirado. No me hace mucha ilusión perder control total de los datos por lo que aplicando la regla básica de la prudencia "Si algo puede ir mal, irá peor", quiero tener alguna garantía de supervivencia en caso de que la trasferencia del riesgo falle. Si el proveedor se hunde no quiero verme atado a él y caer en el mismo pozo... o al menos, quiero tener datos suficientes como para poder reconstruir los sistemas de información. Nunca falla nada... hasta que falla, pero mi misión en mi organización en el contexto de la Cloud computing ya no es en este caso evitarlo, sino garantizar que habrá una salida para nosotros llegado el momento.
  • A mis compañeros de trabajo que traen todo tipo de gadgets a la oficina y que me piden conectividad "anywhere" y "anytime" les pido un poco de cordura. Yo no soy el árbitro o el malo de la película sino simplemente el observador que avisa o advierte del peligro que se asume o corre. En este sentido, antes de poder hacer algo al respecto necesitaría que la Dirección me aclare cómo quiere atajar el problema y hasta donde lo desea controlar. La información está ya tan distribuida o es tan sencillamente dispersable que mantenerla bajo control es un auténtico quebradero de cabeza. Sin embargo hay unos mínimos que la organización debe decidir y que al menos estos, debieran cumplirse pero no porque sea una decisión de seguridad sino porque son necesidades de negocio o porque la legislación no lo permite. Por tanto y dado que yo no puedo velar de forma operativa porque los datos no se pierdan, tengo que apelar a su responsabilidad para que entiendan de una puñetera vez que la información tiene valor y por tanto, no se puede llevar de cualquier forma y en cualquier dispositivo. Según se decida, ciertas cosas deberán ir protegidas o no podrán salir de la organización.
  • En relación al Bring Your Own Device (BYOD) necesito que la Dirección tome una decisión al respecto y que establezca la posición corporativa y las normas de uso que autoriza respecto a este tema. Como ya he dicho antes y les explico a mis compañeros, el Área de Seguridad no es árbitro de nada. Simplemente es responsable de velar porque se cumplan las restricciones. No somos nosotros los que debemos decidir que si y qué no. Y seguramente muchos usuarios de buena fe están usando estos servicios para hacer mejor su trabajo pero ello no justifica que “ellos” asuman unos riesgos/decisiones que  no les corresponden. Porque si por lo que fuera uno de esos documentos acaba en manos ajenas no será el personal en cuestión con nombre y apellidos el cuestionado sino su organización y por extensión, mi trabajo. Por eso es necesario una vez tomadas las decisiones al respecto, definir cual sería el procedimiento disciplinario a aplicar una vez definidas las normas. Entre todos tenemos que buscar ese “difícil punto de equilibrio” entre lo razonable y lo prudente. 
  • En materia de cumplimiento y LOPD, poco tengo que solicitaros. Como dicen por aquí, "virgencita que me quede como estoy". Se que se avecinan cambios en cuanto vayan dando la forma definitiva al futuro reglamento europeo pero al menos en mi caso, me conformo con que la gente vaya asumiendo las diferentes tareas que hemos asignado para garantizar que cuidamos bien el cumplimiento. Yo volveré a realizar campañas de concienciación sobre el tema para que mis departamentos más críticos como son personal y marketing tengan claras las reglas del juego y conozcan los protocolos internos que hemos pactado para atender derechos, comunicar incidencias y cumplir con las medidas de seguridad.  
  • Como ya deseo final tengo que pedir para mi departamento unas mejores herramientas que me permitan mejorar la gestión general de la seguridad y relacionar las necesidades de Dirección con la vigilancia activa de lo que circula en la red. El año 2012 ha sido bastante movidito en cuanto a malware y su vertiente más peligrosa, los APT. A ello se suma que se amplia el alcance de  esta lacra tecnológica y se añaden los dispositivos móviles por lo que la problemática se hace mayor y más dispersa. Por tanto, me gustaría empezar a desplegar mi estrategia de monitorización proactiva y disponer de herramientas que me permitan tener "inteligencia de red" para poder detectar comportamientos anómalos o extraños y que pueda al menos reaccionar en el menor tiempo posible. Y si ya queréis bordarlo, me gustaría que estas herramientas SIEM pudieran hablar con mis herramientas de análisis y gestión del riesgo para que ambos mundos se fueran sincronizando. Desde el mundo SIEM podría tener información que alimentara mis indicadores y métricas de gestión y control de la seguridad. Desde mis herramientas de análisis de riesgos me gustaría poder volcar el valor de los activos sobre los CI que definen la  infraestructura de los sistemas de información de forma que cada vez que cualquier área tenga que modificar un elemento de configuración, tenga presente el posible impacto y valor que para el negocio tiene ese elemento. De esta forma, todos empezaremos a hablar el mismo lenguaje, el que tiene que importarnos a todos que es la relevancia que cada elemento tiene en los procesos de negocio. Por lo que voy conociendo, a principios de este año se anunciará un producto así que junta la parte operativa con la de gestión así que solo espero cierto mínimo presupuesto para poder empezar a implantarlo porque será vital para que pueda avisar a tiempo.

En fin, queridos Reyes. Se que éste es un año difícil porque nadie tiene presupuesto para nada porque a todos nos toca apañarnos con lo que tenemos pero sin herramientas a veces se complica mucho hacer bien nuestro trabajo."


miércoles, 12 de diciembre de 2012 3 comentarios

Big data y LOPD, ¿Enemigos íntimos?

Llevo un tiempo desaparecido del blog porque este último mes ha sido bastante intenso de trabajo. Se suma que he estado también investigando sobre la problemática del Big data porque tenía una intervención en el Congreso “La privacidad, ¿un lastre para la innovación tecnológica?” donde se plantearon los posibles retos jurídicos que deberán ser resueltos en los próximos años para garantizar esto que seguimos llamando "privacidad" y que además durante este tiempo también se han publicado algunas reflexiones interesantes como la posteada por Enrique Dans en "¿Realmente existe la privacidad?" que hacían conveniente esperar un tiempo para también publicar un contenido más completo.

Tengo que confesar que preparando la charla tenía claro que quería ilustrar qué se estaba cocinando en los laboratorios de I+D+i de empresas muy grandes que tienen por objetivo mejorar nuestra calidad de vida y hacer progresar el avance tecnológico. Sin embargo no supe enfocar realmente cuales podrían ser los problemas de los futuros escenarios que se están planteando porque entiendo que el término privacidad está cambiando en nuestra sociedad. Joseba Enjuto también aportaba una interesante reflexión en "Faldas y privacidad" para comentar el cambio en la percepción de este concepto que pueden tener los nativos digitales que precisamente no entienden su existencia sin la presencia en redes sociales.

Metiéndonos ya de lleno en el fondo de la cuestión, si este año ha sido el del "cloud computing" parece que el año que viene será el del "Big data". Por este término se debe entender según establece la Wikipedia, "sistemas que manipulan grandes conjuntos de datos (o data sets). Las dificultades más habituales en estos casos se centran en la captura, el almacenado, búsqueda, compartir, análisis y visualización. La tendencia a manipular ingentes cantidades de datos se debe a la necesidad en muchos casos de incluir los datos relacionados del análisis en un gran conjunto de datos relacionado, tal es el ejemplo de los análisis de negocio, los datos de enfermedades infecciosas, o el combate con el crimen organizado."

He tenido que esperar a tener terminada la transformación del powerpoint que usé en el Congreso al formato Prezi porque empleé varios vídeos de Youtube que si hubiera subido a Slideshare o cualquier otro visualizador de powerpoint se habrían perdido. En este caso, los vídeos son esenciales para ilustrar en qué consiste el uso de estas tecnologías y cómo puede eso afectar a la privacidad.




Tras dejar reposar algunas de las reflexiones planteadas en la presentación, creo bajo mi humilde opinión que las tecnologías de Big data van a ser bastante disruptivas y van a cambiar muchas cosas tanto por enfoque como por resultados. Como informático además veo en estas tecnologías el cumplimento de uno de los grandes deseos y santos griales de nuestra profesión  La ingeniería informática (informática significa información automática) es una disciplina que pretende la construcción de procesos y sistemas que llevan a la transformación de datos en información. Nuestra carrera a veces se confunde con las herramientas que se emplean pero el sentido de nuestra profesión está sobre todo orientado a establecer entornos que permitan la generación de conocimiento en base al procesado de datos que se transforman en información tras ser tratados.
Las tecnologías de Bigdata realmente son una evolución de las tecnologías de "business inteligence" que se pueden complementar con otras fuentes de información para obtener nuevos datos y nuevas informaciones.

En relación a la privacidad, creo que podemos hablar de la existencia de determinados riesgos potenciales que será la realidad la que se encargue de confirmar si acaban produciéndose o bien terminan siendo controlados o regulados. En relación al marco legislativo en materia de protección de datos creo que habría que plantearse una evolución de conceptos atendiendo a estos criterios:

  • ¿Tiene sentido hablar de "datos de carácter personal" o tenemos que elevar el concepto al de "información de carácter personal"? Parece lo mismo pero no lo es y lo intento ilustrar con un ejemplo. Imaginemos que se tiene un fichero vinculado a mi persona donde esta mi nombre, mi usuario y las coordinadas GPS vinculadas a mi posición a lo largo del tiempo durante unos días. Visto de esta forma, efectivamente todos esos elementos  son "datos" vinculados a mi y por tanto de carácter personal. Imaginemos que ahora, aplicando tecnologías de Big Data, añadimos a ese fichero una capa de posicionamiento geográfico que nos sirve para conocer de cada una de esas coordenadas GPS a qué tipo de sector o negocio pertenece o qué tipo de barrio o zona de la ciudad es (zona de negocios, zona de bares, zona de tiendas, etc.). ¿Realmente ese fichero de datos sigue siendo "solo eso" o hemos conseguido "correlacionar datos" para poder inferir o deducir "informaciones nuevas" que transforman lo que se puede saber sobre mi persona.? Yo sinceramente creo que se produce esto segundo y por tanto, al añadir un conjunto de datos no personales que sirven para "etiquetar o colorear" los datos existentes conseguimos más que la suma de las partes originales.
  • ¿Tenemos que empezar a hablar de "datos suministrados por el afectado" y "datos inferidos o calculados"? Esto es básicamente importante porque afectaría al deber de información dado que al usuario habría que indicarle que ciertos datos que vaya a suministrar serán transformados en información que permitirá la explotación de otras finalidades. De nuevo trato de ilustrar el caso con un ejemplo. Imaginemos que yo al supermercado de la esquina le proporciono mis datos para que me entregue una tarjeta de fidelización y use una aplicación en el teléfono que permita conocer sus ofertas y que siga a su usuario en redes sociales. Ellos me informan que van a introducirlos en un fichero y me solicitan consentimiento para poder procesar esta información además de añadirse como un follower a nuestra cuenta en Twitter por ejemplo. ¿Está correctamente informado el afectado si la cláusula legal informa de qué se va a hacer con los datos directamente recogidos por el afectado? Yo creo que sería necesario que la finalidad explícitamente indique que además de la información recogida directamente de él, se van a utilizar otras fuentes externas que van a permitir otra serie de cuestiones con el objetivo de poder personalizar mejor la oferta de productos o servicios en base a un perfil más exacto de esa persona como potencial consumidor.
Tal como se comentaba en las reflexiones finales del Congreso, creo que ha llegado el momento de establecer ciertos principios esenciales que la tecnología debe respetar si o sí, a pesar de que su evolución siempre sea más rápida que la legislación que regula su uso. En este sentido, el marco de protección estaría formado por tres pilares esenciales e inamovibles:
  • Principios de protección reconocidos por la legislación en materia de protección de datos y que deben conservar el deber de informar, el deber de otorgar consentimiento, la calidad de los datos, la seguridad y la relación de los terceros en los tratamientos.
  • Los derechos de los afectados, como elemento esencial para seguir conservando la capacidad para decidir sobre la información que se genera en torno al afectado.
  • Privacy by design como marco de diseño básico de toda tecnología que tenga por objetivo el uso o la explotación de datos de carácter personal.
Es evidente que el mundo de la privacidad puede formar parte de nuevos modelos de negocio y ello supone que existirán presiones de ciertos lobbies para intentar relajar o al menos disminuir los requisitos de protección que el marco actual garantiza. De hecho, los cambios van muy rápido. Cuando hice la presentación tuve que recurrir a un ejemplo puesto en las jornadas que la Fundación Telefónica realizó en Barcelona para hablar de Big Data. Hace una semana se anunciaba un acuerdo entre Telefónica y Seguros Generali  para el desarrollo de un nuevo seguro que usa un GPS para recoger información sobre el asegurado y de esa forma, poder ajustar y calcular mejor la póliza de debe pagar en base a su perfil de riesgo. Obviamente ciertos negocios van a conocer tanto al cliente que van a poder realizar ofertas muy interesantes y atractivas que conseguirán seducirlo como cliente. Obviamente esas ventajas tienen como sacrificio la perdida de cierta privacidad dado que ambas empresas van a conocer demasiada información sobre el cliente (Ponerse a imaginar lo que se puede deducir de una persona si sabes qué lugares frecuenta , en qué horarios, si respeta o no las normas de tráfico siempre, etc.). Nada de esto tiene por qué suponer incumplimientos de LOPD si las cosas se hacen de forma correcta y se respeta la LOPD y todos sus principios. Sin embargo, surge ahora un nuevo poder y como le dice el tio Ben a Spiderman, "un gran poder implica una gran responsabilidad". Una cosa sería que el asegurado sacrificara cierta parte de su privacidad por obtener una reducción en el precio de la póliza y otra muy distinta es que luego esa información fuera cedida a terceros que hicieran otros usos y para otras finalidades. Imaginemos en procesos de investigación por pleitos o divorcios, etc... 
Este tipo de actuaciones serían irregulares en el marco LOPD pero ¿y si la recompensa es mucho mayor que la sanción por la infracción? ¿Puede ser rentable incluso no cumplir la LOPD? 


martes, 23 de octubre de 2012 4 comentarios

El Tsunami tecnológico que no pudimos evitar (Actualización)

Este post quiero dedicarlo a mi fuente de inspiración, la mesa redonda "Encuentro de blogueros de seguridad 2012" del evento ENISE de Inteco donde no he podido estar y donde estos cinco compañeros blogeros y "monstruos de la seguridad" a los que admiro han sabido transmitir con precisión cual es la sensación que tenemos los profesionales de la seguridad y sobre todo, nuestras inquietudes respecto a lo que habría que hacer y no estamos afrontando. Los figuras han sido Alonso Hurtado @ahurtadobueno, Samuel Linares @Infosecmanblog, Román Ramírez @patowc, Antonio Ramos García @antonio_ramosga y Pablo Teijeira @JpabloTG han expuesto desde diferentes puntos de vista (economista, abogado, informático, consultor, fabricante medidas de seguridad) qué cosas deberían empezar a preocuparnos.
[Actualización]
Inteco hoy ya permite el acceso a las diferentes charlas y mesas redondas en la dirección http://6enise.webcastlive.es/ . En concreto, la Mesa de bloggeros a la que estaba invitado pero no pude asistir, puede verse en este enlace. [/Actualización]

Voy a tratar de resumir las constantes reflexiones que durante la charla bullían en mi cabeza mediante el siguiente relato.
"Diario de un consultor de seguridad de la información. Hoy es 23 de octubre de 2020 y ya puedo contar lo que hemos tenido que padecer durante estos dos últimos años.
23 de octubre de 2018. Este fue el día 0, el comienzo de una nueva era en la evolución de la humanidad. Tras unos pocos años de respiro tras una crisis económica global que vino como un tsunami, la tecnología fue una segunda ola con impactos devastadores. Para poder explicar qué paso trataré de hablaos un poco de la situación anterior al día 0, el Pearl Harbour cibernético. La sociedad del año 2012 iba muy acelerada. Los cambios eran continuos y muy rápidos lo que daba poco tiempo a reflexionar sobre la evolución del contexto y entorno que se estaba produciendo. Las redes sociales lo habían inundado todo, las empresas veían en las nuevas tendencias tecnológicas basadas en la cloud y la virtualización las oportunidades para lograr una reconversión tecnológica y poderse adaptar a los cambios. De repente habíamos descubierto que la información en si mismo es una materia prima que llevabamos años recolectando pero que no habíamos sabido explotar. Las tecnologías incipientes relacionadas con el big data ahora nos permitian tranformar datos en información y con ésta lograr conocimiento que mejoraba los rendimientos y resultados de los negocios. Parecía que estabamos por fin sabiendo surfear la ola de las tecnologías de la información y dirigirnos con rumbo acertado hacia la optimización de los procesos de negocio para lograr la máxima eficiencia que jamás habíamos conocido. Sin embargo, y pese a las advertencias de algunos profesionales de la seguridad de la información  de aquella época, la gran ola llegó para arrasar con todo. Durante los años anteriores, principios de 2010, se empezaba a advertir como una nueva realidad lo que ya se venía anunciando en los años 90. Cuando el mundo del crimen organizado aterrizara en el ciberespacio las cosas se iban a poner muy feas.
Y tuvo que pasar para que nos creyeran al verlo con sus propios ojos. No habíamos hecho las cosas a tiempo y no habíamos querido frenar aquella vorágine evolutiva que nos llevaba a un ritmo trepidante, modificando nuestras organizaciones continuamente sin preguntarnos si quiera si todo aquello tenía unos cimientos adecuados para aguantar tanto peso.  Lo cierto es que algunas cosas se habían intentado. Teníamos una legislación muy básica en materia de protección de datos que obligaba a establecer al menos los mecanismos más elementales de protección. Posteriormente llegaron casi al mismo tiempo las regulaciones en materia de Administración electrónica para el sector público y la legislación en materia de infraestructuras críticas. Pero no íbamos a cambiar, venimos de una cultura latina donde siempre las cosas de seguridad están en un segundo plano, donde el "nunca pasa nada" era la frase consuelo que hacía de venda en los ojos para mirar a otro lado. La informática nunca quiso ser vista como una  ingeniería. Aunque en las facultades se formaba a profesionales para que aplicaran metodologías de desarrollo, se validaran los programas, se formalizaran las pruebas, en definitiva, se creara un producto robusto y estable, aquello penalizaba la rentabilidad de las empresas del software y no era la práctica habitual. Solo las grandes ya habían descubierto que esa manera de generar código era la única viable para dar soporte al ciclo de vida del software. La crisis también tuvo bastante que ver porque fue la cazuela perfecta en donde cocinar todos estos ingredientes: excusas por falta de recursos, saltos al vacío para ahorrar costes y mirar a la nube como la panacea de las TI, carencias de normas de regulación tecnológica que al menos forzaran a unos procesos de desarrollo y fabricación de tecnologías más robustos y sobre todo, la extensión general de que las responsabilidades no son aplicables a las tecnologías de la información y que el "error informático" es un ente sin nombres y apellidos que siempre está en todas las consecuencias pero que no tiene un padre que determine cual es la causa y sobre todo el culpable. En todos los productos tecnológicos era una práctica habitual que aparecieran las cláusulas de "irresponsabilidad" que son todas aquellas cláusulas de responsabilidad que empezaban diciendo "este producto se entrega como está y el fabricante no se responsabiliza de nada". 
Contado ahora en el 2020 suena a locura pero en aquellos años era habitual. No habíamos aprendido que de igual forma que para la fabricación de vehículos, electrodomésticos y edificios debían primar en los criterios de diseño la seguridad, en la tecnología se hacía la vista gorda y nadie preguntaba nada si aquello se ponía a funcionar y no daba muchos problemas. Y esa invisibilidad de la amenaza, esa falta de criterio del cerebro humano para predecir amenazas invisibles y sobre todo, no naturales, que no generan miedo porque es complejo predecir los peligros físicos, visibles y tangibles que nos pueden ocasionar tuvo como efecto un engaño, una ilusión de la seguridad, una falta de percepción del riesgo indirecto que sin saberlo estábamos asumiendo. La ola del tsunami se había empezado a levantar pero nadie fue capaz de adivinar hasta que altura llegaría. Es una ley de la naturaleza, la selección natural. Lo cruel es que esta vez se aplicaba sobre nuestra especie y además por fenómenos provocados por nosotros mismos. Nuestra incapacidad para detectar los peligros que generaba el incremento de complejidad en los sistemas que estábamos construyendo y sobre todo, la interdependencia de muchos de ellos entre si, no nos permitieron ver que todo nuestro ciberespacio era un conjunto de fichas de dominó puesto en fila una tras otra y que en cuanto alguien con intenciones concretas y dañinas tirara la primera piedra, el resto caerían sin control y freno. No habíamos ni siquiera previsto cortafuegos entre piezas para que al menos los sistemas críticos no cayeran todos de golpe.
A estas alturas os preguntaréis qué fue lo que ocurrió. Pues vino a pasar que una de esas piezas de la fila del dominó cayo y debido a la alta dependencia que habíamos alcanzado de la tecnología, llegó una situación de caos total que tuvo consecuencias físicas muy graves. La causa podría  haber sido otra cualquiera, seguramente los daños habrían sido diferentes pero las consecuencias para la humanidad, similares. En los años 2011 y 2012 ya se habían producido los primeros incidentes serios de amenazas APT en sistemas industriales. El malware había evolucionado y su sofisticación ya era importante. Las estrategias antimalware seguían evolucionando pero existía ya una industria del Zero-Day que alimentaba bases de datos de vulnerabilidades que ni siquiera ya gestionaban los fabricantes. El día D para producir el Pearl Harbour cibernético se estuvo cocinando durante meses. En una primera fase, se estuvo propagando por la red un malware complejo, sin actividad aparente y sin patrones de tráfico predecibles. Se enmascaraba bien entre el ruido del tráfico habitual de cualquier organización y por tanto, no había sido detectado. Tampoco tenía actividad visible por lo que en esta fase su objetivo era simplemente la dispersión. Cual plaga en esta primera fase solo pretendía crecer y extenderse. En una segunda fase y ya como un elemento común en la red de usuarios de PC y tablets, este malware se transformó y mutó su código para rediseñarse y poderse propagar en lo que sería su objetivo final, los sistemas SCADA. Para ello, hubo un intenso trabajo de inteligencia que se dedicó a recorrer las redes sociales más conocidas y profesionales con el objetivo de localizar aquellos profesionales vinculados a sectores industriales donde pudieran existir estos sistemas SCADA vulnerables. La infección de equipos de usuarios era selectiva y vinculada al perfil profesional del infectado. El malware se instalaba, rastreaba cualquier tipo de dato de carácter personal que permitiera identificar al dueño del ordenador y consultaba su perfil en las redes sociales para decidir si se quedaba o saltaba a otro equipo. Siempre como regla general se instalaba en cualquier dispositivo USB conectado a ese hardware porque era la forma más facil de seguir contaminando el mundo. En una tercera fase, pocos minutos antes de la hora D, las 00:00 del  23 de octubre del 2018, el malware modificó la configuración de los sistemas de referencia horaria y en aquellos sistemas informáticos que empleaban la sincronización basada en GPS alteró los parámetros para apuntar al sistema bajo el control de atacante. A las 00:00 del día D, el malware modificó la referencia horaria de todos los sistemas infectados haciendo viajar en el tiempo a todos los equipos hasta el año 2038, el conocido como Y2K38 que era conocido pero del que todavía no se había empezado a remediar nada dado que quedaban 18 años por delante. Este problema afectaba a los programas que usaban la representación del tiempo basda en POSIX que se basa en contar el número de segundos transcurridos desde enero del 1970 a las 00:00:00.  Era una lacra de diseño de sistemas antiguos que nunca había sido modificada porque nadie había podido pensar que fuera a generar consecuencias tan desastrosas. Ese día, a las 00:00:00 los sistemas de control de infraestructuras críticas como la energía eléctrica, el sistema de posicionamiento global GPS, el control de la cadena de suministro de gas y petróleo dejaron de funcionar produciendo como efecto en cascada la caída del suministro eléctrico en ciudades. Ya disfrutábamos del Internet de las cosas y en el ámbito doméstico la mayoría de aparatos dejaron de estar operativos. Además, los sistemas alternativos y redundantes también padecían dicho fallo y no pudieron ponerse en servicio. Se había tratado siempre de proteger la primera linea de defensa, la cadena de suministro operativa pero en el problema del Y2K38 nadie había mirado tampoco si los sistemas alternativos podrían superar este error. 
Después de aquello y tras algunos meses para poder volver a la normalidad todo cambió. Los políticos, responsables de grandes corporaciones y los grandes accionistas de las importantes multinacionales entendieron que el mundo había sido construido sobre la tecnología e Internet, pero que sus cimientos eran simples palillos apoyados en tierras movedizas que no daban garantía de nada. Todo cambió. Entendieron entonces que la inseguridad no era un tema de costes sino de impactos. No estaba en cuestión el acierto en los criterios de tolerancia al riesgo sino de supervivencia de la humanidad. Ese fue el día en el que por fin se entendió que la tecnologia necesitaba la misma seguridad industrial que el resto de elementos que hasta esa fecha habían sido empleados para la construcción del mundo. Ya no era importante el poner en servicio sino garantizar que todo producto era diseñado para resistir y que además superaba determinadas pruebas de estrés y resiliencia. Y los cambios que hubieron que hacer no fueron tan complejos. Simplemente se prohibieron las cláusula de irresponsabilidad del software. Todo fabricante de cualquier producto tecnológico, software o servicio TI debía superar procesos de homologación y validación industrial previo a su comercialización, asumiendo el fabricante el coste de la inseguridad generada si era demostrado que el sistema tenía fallos que no habían sido gestionados. Además, se obligaba a todo fabricante a suministrar planes de mantenimiento y actualización de sus productos frente a posibles vulnerabilidades descubiertas y a no superar una ventana de tiempo de un mes para la resolución y cierre de estas vulnerabilidades. Obviamente el sector TI sufrió bastante con estos cambios, pero como cuenta la "teoría de la evolución" solo los fuertes sobrevivieron. Justo o injusto, no podíamos permitirnos la existencia de débiles en la cadena de suministro TI que volvieran a hacernos pasar por otro día D. Se tuvo que sacrificar la velocidad y la vorágine de nuevos avances por una mayor estabilidad, sosiego y sobre todo, valoración de los riesgos que estos nuevos entornos estaban contemplando. Ese día dió la razón a todos aquellos que ya habían venido anunciando que lo que se veía en los escenarios de la seguridad informática eran solo la punta del iceberg de los problemas reales que podría suceder. Y tuvo la humanidad de nuevo que vivir un nuevo Titanic TI para darse cuenta de que esos icebergs, pese a querer borrarlos o ignorarlos, estaban ahí y podían tumbar toda nuestra tecnología. Ese día el ser humano volvió a aprender que prevenir el riesgo siempre es más barato que recuperarse de impactos por no haberlo evitado, que la seguridad es un elemento intrínseco en el proceso de diseño y que las cosas deben pensarse con criterios de seguridad, es decir, no pensar cual sería el uso adecuado y funcional del producto sino cuestionarse dado un entorno, cual sería el eslabón más débil  por donde nos querían atacar. Emplear la psicología de la seguridad en todo momento donde lo que siempre está en cuestión no es si el sistema trabaja correctamente sino valorar por donde podría fallar o en dónde podría ser vulnerable. Una mentalidad defensiva basada en la evidencia de que si tiene una IP, podrá ser accesible en algún momento para personas con no buenas intenciones.
De nuevo la naturaleza nos daba muestras claras de que nos aplicaban las mismas leyes que en la selección natural."La cebra tiene que ser más rápida que el más rápido de los leones pero el león tiene que ser más rápido sólo que la más lenta de las cebras". Esta vez, los leones de la inseguridad nos habían ganado la partida porque no quisimos parar las máquinas a tiempo, frenar un poco para mejorar la resiliencia de nuestros avances tecnológicos porque habríamos desacelerado o frenado la vorágine de la innovación. Y como el ser humano no fue capaz por si mismo de autoprotegerse, tuvieron las matemáticas del caos que entrar en acción y demostrar que en sistemas complejos, un pequeño aleteo de una mariposa en Nueva York puede producir un tsunami en la costa de Japón.

Llegado este momento, perfectamente podrían encenderse las luces del cine, levantarnos e irnos a casa. Sin embargo y seguramente con otras hipótesis, muchas de las cuestiones aquí planteadas podrían ser reales en estos años o años futuros. A los profesionales de la seguridad de la información, que somos como los mecánicos de la Formula1 respecto al funcionamiento de la organización que sería el propio coche, se nos pide a diario que detectemos anomalías y problemas estructurales pero no parando el coche en boxers sino cuando está circulando en plena carrera. En esos escenarios, siempre somos una molestia porque no estamos para aportar valor sino para garantizar que el coche llegue a meta. Sin embargo, de no hacer bien nuestro trabajo, lo que corre peligro es la vida del piloto. Es nuestro contexto, es nuestro entorno y es nuestra misión seguir detectando y alertando de las consecuencias que podrían producirse. No nos gusta ser los aguafiestas en las empresas... pero, y valga como reflexión la actual crisis económica, ahora nos preguntamos todos por qué nadie nos avisó. Quizás si lo hicieran pero nadie quiso parar la música en plena fiesta de bonanza económica. Además, el ser humano no puede cambiar tan rápido. Nuestro cerebro lleva siglos evolucionando y no es capaz de plantearse amenazas virtuales, invisibles, intangibles. No es capaz de calibrar las consecuencias de fenómenos en cascada hasta que no hay signos visibles de peligro. Se siguen invirtiendo ingentes cantidades de dinero en seguridad para el mundo físico pensando en proteger un perímetro de un territorio cuando en el subsuelo, por el inframundo, los países eliminaron hace años sus fronteras para interconectarse entre sí a Internet. En un mundo global y conectado, los atacantes no vendrán por la superficie montados en tanques... lo harán desde los sillones de su casa o de los edificios gubernamentales donde trabajen usando su PC. Y además por varios motivos: son más dificiles de detectar, es más barato el desarrollo de operaciones y sobre todo, asumen menos riesgos físicos. Si el ataque no prospera las víctimas son cero porque simplemente no se logra la intrusión. No hay un desgaste o deterioro para el atacante que de nuevo puede volverlo a intentar por otro lugar o en otro momento. Sólo tiene que esperar a buscar el sistema-cebra más lento, en este caso, el menos parcheado, vigilado y protegido.
Ojalá que este texto quede solo en relato, que ese dia D siga siendo algo fictício y que la IN-seguridad de la información jamás cueste una vida humana. Sin embargo, los datos y las diferentes noticias del día a día a los que estamos vigilando y siguiendo la evolución de esta nueva realidad no nos llevan a ser muy optimistas. El malware se extiende y cada vez a sectores más críticos. Hace unos días se publicó la noticia de la  preocupación que hay ya por el salto del malware a los dispositivos médicos, software normalmente cerrado, sin actualizaciones y con sistemas operativos antiguos y sin parchear que podéis consultar en  Computer Viruses Are "Rampant" on Medical Devices in Hospitals. Esto empiezan ya a ser palabras mayores al igual que todo aquello que afecta a infraestructuras críticas. Esperemos que en estos temas no sigamos usando la cultura del "escaparate" donde sólo nos preocupamos por aparentar y no realmente solucionar las cosas. Esperemos no aplicar la misma filosofía que se emplea con la legislación tecnológica basada en el "CUMPLI-MIENTO", entendido como decir que se cumple aunque sea mentira. El mundo del cibercrimen es una realidad, sólo hay que mirar un par de post atrás para ver el documental de En portada.



  Y para finalizar este extenso post,  lo más curioso es que una historia similar  ya había sido escrita para explicar otro fenómeno descontrolado del poder del hombre basado en la ficción de poder volver a crear dinosaurios en base a su ADN. En este caso, el papel de agorero que anunciaba los riesgos lo había asumido, bajo las teorías de las matemáticas del caos y el no control de la naturaleza, el papel de Malcom. Quiero extractar a continuación el párrafo en cuestión donde el matemático del Caos, Malcolm comenta con el dueño del Parque, Hammond por qué la naturaleza no puede ser controlada y cómo había sobredimensionado el poder de la ciencia:
 “—¿Sabe qué es lo que tiene de malo el poder de la ciencia? —prosiguió—. Que es una forma de riqueza heredada. Y ya sabe usted cuan imbécil es la gente congénitamente rica. Nunca falla. —¿De qué está hablando? —preguntó Hammond. Harding hizo un gesto, indicando delirio. Malcolm le lanzó una mirada. —Le diré de qué estoy hablando —contestó—: La mayor parte de las distintas clases de poder exigen un gran sacrificio por parte de quien quiera tener ese poder. Hay un aprendizaje, una disciplina que dura años. Cualquiera que sea la clase de poder que se busque. Presidente de la compañía. Cinturón negro de karate. Gurú espiritual. Atleta profesional. Sea lo que sea lo que se persiga, hay que ponerlo en el tiempo, en la práctica, en el esfuerzo, hay que sacrificar muchas cosas para lograrlo. Tiene que ser muy importante para uno. Y, una vez que se alcanza, es el poder de uno mismo; no se puede delegar: reside en uno. Es, literalmente, resultado de nuestra disciplina. Ahora bien: lo interesante de este proceso es que, en el momento en que alguien adquirió la capacidad de matar con sus manos, también maduró hasta el punto en que sabía cómo utilizar ese poder. No lo utilizaría de manera imprudente. Así que esa clase de poder lleva una especie de control incorporado: la disciplina de conseguir el poder cambia a la persona, de manera que esa persona no hace mal uso de su poder. Pero el poder científico es como la riqueza heredada: se obtiene sin disciplina. Una persona lee lo que otras hicieron, y da el paso siguiente. Puede darlo siendo muy joven. Se puede progresar muy de prisa. No hay una disciplina que dure muchas décadas. No hay enseñanza impartida por unos maestros: se pasa por alto a los viejos científicos. No hay humildad ante la Naturaleza. Sólo existe la filosofía de hacerse-rico-pronto, hacerse-un-hombre-rápido. Engañar, mentir, falsificar, no importa. Ni para uno ni para sus colegas. Nadie nos critica: nadie tiene pautas. Todos intentan hacer lo mismo: hacer algo grande, y hacerlo rápido. Y, como uno se puede levantar sobre los hombros de los gigantes, se puede lograr algo con rapidez. Uno ni siquiera sabe con exactitud qué ha hecho, pero ya informó sobre ello, lo patentó y lo vendió. Y el comprador tendrá aún menos disciplina que el científico: el comprador simplemente adquiere el poder, como si fuera cualquier bien de consumo. El comprador ni siquiera concibe que pueda ser necesaria disciplina alguna. Un maestro de karate no mata gente con las manos desnudas; no pierde los estribos y mata a su esposa. La persona que mata es la que no tiene disciplina, no tiene restricciones, y que salió y adquirió su poder como una dosis de droga. Y ésa es la clase de poder que la ciencia fomenta y permite.”
jueves, 11 de octubre de 2012 3 comentarios

Decimo cumpleaños de mi blog "apuntes de seguridad de la información".

El tiempo pasa volando y cuando uno deja encima rastro de ello, todavía se evidencia de forma más fácil. "
Hoy se cumplen 10 años de mi primer y escueto post donde compartía mi intención de comentar y explicar todo aquello que fuera encontrando interesante en materia de seguridad de la información. En aquel momento profesional las cosas con más actividad en nuestro sector venían de la mano de una joven LOPD que empezaba a plantearse en las organizaciones porque la seguridad de la información todavía era muy joven. Ya eran referencia las normas BS7799 (Partes 1 y 2) pero de sistemas de gestión de seguridad de la información y sobre todo, sobre análisis de riesgos que era mi especialidad solo hablabamos unos pocos locos que creíamos/veíamos que la seguridad es un cimiento importante de la sociedad que estamos construyendo donde todo se basa en la gestión de información. Como otros aniversarios, me habría gustado poder hacer algo especial con algún contenido interesante que estoy cocinando pero los cambios de mi vida personal y mi actividad docente me dejan muy poco tiempo. Y eso que gracias a aplicar metodologías como "Getting Things Done" (GTD) puedo decir que hago una gestión eficaz del tiempo. En cualquier caso, si he podido al menos actualizar y mejorar la estética del blog para que empiece estos siguientes diez años con una nueva fachada. Siempre he tenido claro que me preocupaba más el contenido que la fachada al igual que he evitado incluir publicidad que ensucie al blog. Aquí seguiré día a día compartiendo reflexiones y localizando hechos o datos relevantes entre el ruido continuo de informaciones que todos los días tenemos que procesar. Espero que sigamos leyéndonos otros diez años más.
"Este es mi primer post de una serie de pequeños trucos y recetas, para hacer que usuarios inocentes o confiados no sufran el abuso de todos esos que navegan por la red con fines oscuros o ilícitos. Espero que los pequeños consejos que vaya dejando o las recomendaciones de software sean de ayuda para todos vosotros.
El espíritu de mi primer post sigue más vivo que nunca. Mucho más si contemplamos como nuevos ingenios y sistemas se ponen en marcha que pueden suponer un abuso si las personas no están debidamente informadas o concienciadas respecto a los riesgos que corren. Este blog sólo me ha traído alegrías en estos 10 años. Más de 700 entradas y sobre todo, muchos enlaces y datos procesados que me han permitido adquirir un conocimiento en la materia que alimenta a su vez la necesidad de compartir toda esta información. En los tiempos que corren donde todo se ve negativo, creo que todos debemos hacer una reflexión personal y tener claro que los males vienen de fuera pero las soluciones deben salirnos desde dentro. Un proverbio ruso dice "¡Que limpia estaría la ciudad si todo el mundo barriera su puerta", Gandhi decía que "todo camino comienza por un paso" y Berto Pena, hablando de gestionar la vida con eficacia acaba siempre sus podcast con la frase "Y que es lo próximo que vas a hacer". Yo tengo claro que un gran cambio global empieza por un pequeño e insignificante cambio local, así que seguiré compartiendo conocimiento porque saber sin que eso enriquezca o aporte al resto no tiene para mi mucho sentido. El siglo XX habrá sido el de los grandes secretos y la reserva de información para jugar con ventaja. El siglo XXI va a ser el de la colaboración y el trabajo en equipo. La sociedad está muy interconectada y el todo siempre será mucho más que la suma de las partes. Al menos, es lo que yo creo. Necesitamos creatividad, optimismo y pasión por lo que hacemos. Necesitamos innovación y sobre todo, eficiencia. Más Ferranes Adriá y Rafaeles Nadales y menos casos de "cultura del pelotazo" basados en el éxito momentaneo sobrevenido por la aparición en algún cutre programa de televisión.
viernes, 5 de octubre de 2012 0 comentarios

Documental sobre Ciberguerra y Ciberterrorismo

Que me perdone Chema Alonso, pero creo importante hacer difusión de contenidos de concienciación y voy a "copiar y pegar" parte de su texto para publicar rápido este post. Ayer por la noche emitieron en TVE el programa En Portada dedicado a la Ciberguera, el Ciberespionaje y el CiberTerrorismo y os lo quiero dejar aquí para que lo veáis.
Además coincido con su valoración. Con una estética muy trabajada, y entrevistas intenta explicar conceptos sobre este mundo, que puedan ser entendidos por todos. Sé que para los que sigáis la actualidad de este mundo no será muy novedoso, pero la verdad es que merece la pena verlo, así que os lo dejo aquí por si se os escapó. Además, me encantó ver a AlienVault en el centro de control de la Guardia Civil. Se echó en falta entrevistas a los profesionales españoles de gran nivel que podían haber hablado sobre el tema, pero supongo que sería difícil seleccionar a unos pocos aunque el propio Chema Alonso habría representado perfectamente a todos ellos porque es uno de los más mediático y pedagógicos expertos que tenemos.
martes, 18 de septiembre de 2012 2 comentarios

¿Está la tecnología llevando a la privacidad al peligro de extinción en el mundo digital?

Que Internet esta cambiando el mundo es una obviedad. Sin embargo, muchas veces la velocidad con la que se producen nuevas aplicaciones, servicios y usos de la tecnología no nos permiten meditar de forma serena sobre que importancia tienen los nuevos hábitos que vamos adquiriendo en nuestro día a día y cómo esto altera las rutinas de nuestra sociedad. Si la historia universal está segmentada por cambios significativos que han modificado a la cultura o la sociedad, quizás estemos ahora en el fin de la edad contemporánea e iniciando la edad de la información.

Quizás tenga que pasar algún tiempo antes de que seamos capaces de valorar que Internet produjo un antes y un después en la historia universal del ser humano. Sin embargo, hablamos de información como término general siendo importante destacar que según el nivel de abstracción al que nos estemos refiriendo, se pueden distinguir entre dato, información y conocimiento dado que tienen importancias diferentes y es muy relevante tener claro esta segmentación de conceptos. Si en la sociedad industrializada las materias primas eran transformadas en productos que a su vez producían valor y dinero, en las industrias de la información son los datos los responsables de generar este valor que posteriormente se monetiza y transforma en dinero. En estos nuevos modelos de negocio, los datos son un activo en el mismo sentido que las materias primas, y pueden convertirse en valor para la compañía. Hechas estas aclaraciones previas vamos a contextualizar todo esto al mundo de la privacidad. Las personas seguimos creyendo que suministramos algunos datos cuando completamos formularios de recogida que nos solicitan las empresas. Muchas veces podemos ser conscientes de qué aspectos de nuestra vida estamos compartiendo o qué información puede ser obtenida al procesar los datos suministrados. Por ejemplo, cuando en una promoción suministramos nombres, apellidos, dirección y teléfono de contacto para participar en un sorteo, estamos revelando los datos necesarios para permitir nuestra localización en caso de ser premiados y como mucho, permitiendo el envío de publicidad a nuestro domicilio con los artículos de la empresa o grupos de empresas a las que hemos consentido el tratamiento de esta información. Podemos decir que nuestra privacidad se ve mínimamente invadida y somos conscientes en todo momento de ello. Sin embargo a veces no es tan intuitivo y sencillo ver que tras ciertos datos aportamos más información de la que en primera instancia podemos ser conscientes que estamos suministrando. Veámoslo con un sencillo ejemplo bajo el supuesto de usar una aplicación de fotografía que ha tenido mucho éxito en el mundo de los Smartphone como puede ser Instagram (Compañía recientemente comprada por Facebook por mil millones de dólares). Los dispositivos móviles como origen de datos permiten la captura de imágenes, sonidos, texto y aportan como datos complementarios la fecha y hora en el que estos se producen y cuando se tiene activa, la geoposición. Estos datos complementarios o meta-datos pueden aportar mucho valor a la hora de procesar información de usuarios finales.
Para verlo más claro, volvamos a la segmentación de los conceptos dato, información y conocimiento sobre el ejemplo de usar esta aplicación.
  • Datos: imagen capturada por el dispositivo móvil con la fotografía procesada por la aplicación Instagram. 
  • Información: a dicha foto se le añade un contexto que puede ser el momento en el tiempo en el que se realiza, la geoposición donde ha sido tomada y el nombre del usurario registrado en Instagram que sube al portal la foto. Incluso si la geoposición no se proporciona, servicios como Google Goggles son capaces de procesar la información e inferir de ella de qué puede tratarse (ya sea un texto, un paisaje, un cuadro, etc.) 
  • Conocimiento: si empezamos a pensar en procesar de forma aislada todos los datos de un usuario podemos lograr correlacionar diferentes informaciones que pudieran servir para conocer mucho más a esa persona. Para ello, sobre la información original debieran hacerse una serie de cálculos y tratamientos que nos permitirán inferir más información y por tanto, alcanzar cierto nivel de conocimiento sobre dicho usuario.
Son viables y posibles razonamientos del siguiente estilo:
  • Calcular las distancias entre las posiciones de las distintas fotos para averiguar el número de kilómetros que recorre este usuario y con qué diferencia de tiempo. Si por ejemplo toma fotos en New York el lunes, en Roma el miércoles, en Londres el jueves, etc… de forma continua podríamos suponer que se trata de una persona que viaja continuamente y además lo hace por grandes ciudades. 
  • Si disponemos de una importante base de datos complementaria que nos indiquen las zonas comerciales más exclusivas de cada ciudad y cotejamos si las geoposiciones de dichas fotos se encuentran en estas áreas, podríamos empezar a deducir que se trata de una persona con un poder adquisitivo alto.
  • Si además consultamos si dicho usuario dispone de cuentas en Linkedin, Facebook, Tuenti, … y analizamos con qué personas se relaciona, se podría perfectamente localizar el sector al que pertenece y deducir de ello también su poder adquisitivo. 
Este ejemplo puede servir para demostrar que además de los simples datos que creemos suministrar, pueden existir otros datos “obtenibles” o “deducibles” del contexto en el que se produce la generación de dichos datos o de la forma en la que éstos se generan (metadatos asociados a la información original). Estos nuevos datos pueden ser casi más relevantes o interesantes para la empresa que los recoge que los directamente suministrados, que simplemente hacen de materia prima para ser posteriormente transformados en elementos de valor. Y es en estos casos donde a priori es complejo conocer en qué medida se va a ver invadida nuestra privacidad. Valgan como muestra los diferentes casos donde personas han sido despedidas por colgar fotos en Facebook, por realizar ciertos comentarios en Twitter, etc.

Sirva de muestra este video que mi compañero Angel Juan me ha pasado vía Twitter.


Tal como se ha expuesto, es complejo que la actividad diaria de una persona conectada a Internet no deje rastro visible que no sea posible posteriormente procesar y por tanto, nos hemos convertido en caracoles digitales que vamos dejando pistas de qué consultamos, qué visitamos, qué hacemos y en algunos casos, de qué sentimos. Y todos estos datos se centran en aspectos relacionados con las personas como potenciales compradores, como sujetos con poder adquisitivo al que hay que tratar de convencer para que adquieran productos o servicios. Y para ello la mejor forma de hacerlo es tratando de conocer al máximo posible al sujeto en cuestión analizando en la medida de lo posible y sometidos siempre a las restricciones de la legislación vigente en materia de protección de datos de carácter personal, los aspectos más relevantes que puedan servir para garantizar el éxito de la venta. Por tanto, explorar y exprimir la esfera de la privacidad será para muchas empresas, el nuevo oro del siglo XXI. Y eso implica de forma directa o indirecta para nosotros, los comunes afectados, que veremos cada día más proliferar nuevas tecnologías que tienen por objetivo arrinconar o reducir a su mínima expresión nuestra privacidad.

Para que todo lo anterior sea posible es necesario un cómplice, el afectado o persona física que suministra los datos. Es más, no es necesario una persona sino miles, cuantos más mejor de forma que el volumen de datos en posesión de la empresa sea lo suficientemente importante como para ser atractivo para los tiburones del mercado de la publicidad. ¿Y cómo logran atraer a sus víctimas para que proporcionen datos? De forma sencilla, mediante aplicaciones atractivas e interesantes que aportan valor a la persona que las utiliza sin pedir contraprestación económica a cambio. Hasta la fecha estábamos acostumbrados a pagar con dinero por usar aplicaciones software o servicios en la red que eran proporcionados por empresas cuyas fuentes de ingresos eran precisamente las licencias de esos productos. Sin embargo y gracias al mundo de la publicidad, una nueva estrategia ha sido posible, las “aplicaciones freemium”. Son servicios o aplicaciones “gratuitas” que podemos usar a nuestro antojo aunque habitualmente suponen el registro en la empresa que proporciona el producto. Los modelos de negocio de "lo gratuito" están basados ya no en intercambios monetarios por servicios sino en remuneración en información. Es similar al objetivo de las tarjetas de fidelización de toda gran superficie que cambia puntos o descuentos por registrar nuestras compras. No le damos importancia y no podemos estimar quizás su valor, pero seguro que detrás hay mucho dinero contante y sonante porque el mundo de la publicidad online se mueve cada vez más rápido y las empresas están deseosas de conocer al máximo a sus potenciales clientes para adecuar mejor sus precios o servicios y seguramente como consumidores somos más predecibles de lo que nos creemos.

La industria tecnológica tiene claro que cuantos más datos sea capaz de recoger, más información y conocimiento será producido incrementándose así su valor económico. Y esta voracidad depredadora no tiene límite y no existen todavía mecanismos de control incorporados. Se empezaron recogiendo datos personales para la notificación postal y las gestiones comerciales, se evolucionó hacia el mundo de las redes sociales donde se recopilan datos sobre gustos y aficiones y el siguiente salto serán captar las emociones. Ya existen diseños de concepto como el “empathy model” de Blackberry que incorpora un sensor en forma de anillo para recoger mediciones del estado de algunos de nuestros parámetros biométricos y poder deducir así nuestro estado emocional. Cada uno de estos tipos de información supone cruzar una de las barreras protectoras de la privacidad y sabemos que la industria no tendrá límites mientras sea capaz de crear productos atractivos y vendibles. Nuestra única esperanza es una legislación con carácter internacional y una visión global del mundo que determine las fronteras que no se pueden cruzar en ningún país para evitar así que la privacidad se extinga cuando hacemos usos de elementos tecnológicos en nuestro día a día.
viernes, 27 de julio de 2012 9 comentarios

Identidad digital y reputación online, la gestión de la e-privacidad.

Las nuevas tecnologías están introduciendo cambios muy importantes en nuestra sociedad aunque al estar nuestra generación dentro de ellos quizás no podemos ver con perspectiva suficiente la trascendencia que están adquiriendo y tendrán en el futuro. Muchas de estas nuevas tecnologías tienen tal éxito que provocan cambios disruptivos, crean un antes y un despues de su existencia. Pongamos como ejemplo los interfaces táctiles que han eliminado de los dispositivos móviles y tabletas los teclados en menos de un año. Estos fenómenos que se producen en el diseño de productos también tienen un reflejo en el mundo de los servicios Internet. La famosa nube tiene como máximos exponentes los servicios de almacenamiento de información online como Dropbox o Evernote. Sin embargo, de todos estos cambios, el más relevante quizás para el ciudadano común tiene que ver con las redes sociales. Este fenómeno nuevo en cuanto a la dimensión sociocultural del ser humano y el calado en la gente común ha afectado a la forma en la que nos relacionamos y el desarrollo de la personalidad. Tanto es así que toda persona ahora tiene al menos dos personalidades e identidades: la real y la digital. Valga este blog como ejemplo. A mi personalmente este blog me ha permitido crear un espacio para la difusión de opiniones y conocimientos en la materia que luego han tenido consecuencias en el mundo físico muy gratas como por ejemplo, conocer en formación a gente que era seguidor del blog y poder intercambiar impresiones. Es quizás una forma de presentación que rompe muchas veces el hielo inicial de toda presentación.

Sin embargo, como todo filo de la navaja, esta nueva dimensión social online supone también un elemento a gestionar. Es necesario comentar que Inteco (quien si no iba a hacerlo) acaba de publicar una Guía para usuarios: identidad digital y reputación online que es imprescindible leer y cuyos contenidos deberían figurar ya en los planes docentes de nuestros queridos nativos digitales. Nuestros hijos no son del siglo XX, viven y han nacido en el siglo XXI y por tanto, deben adquirir las capacidades necesarias para sobrevivir en este nuevo entorno. En este nuevo contexto la reputación online forma parte del currículum de las personas y va a servir (como ya está ocurriendo) para valorar o juzgar aptitudes o capacidades. Por tanto, es un activo más que debe ser vigilado y gestionado. Yo, por compartir mi experiencia y conocimiento al respecto sigo unas sencillas reglas (Desde hace ya unos años, en concreto 10 que cumplirá este blog en octubre) que espero os puedan servir. Que conste que no soy comunity manager, social media ni nada por el estilo. Mi etiqueta es "simple usuario" de servicios Internet. Las reglas son las siguientes:
  1. El sentido común y tener siempre presente que aquello que subes, una vez publicado no podrá ser controlable (aunque lo borres, muchas veces ya existen copias locales que hacen que el contenido se perpetúe). Por tanto y a priori, aquello que cuelgo o publico tengo claro que quiero que esté ahí para el resto de mis días.
  2. Si tu controlas tu intimidad, no expongas la de los demás o dicho de otra forma, no hagas a los demás aquello que no te gustaría que te hiciesen a tí. En este sentido, solo hablo de mi y no implico a mis conocidos o familiares. Eso con especial atención respecto a mis hijos de los que no hay colgada ninguna foto en ninguna red social. 
  3. La mejor fuente de información eres tu mismo, por tanto, aquello que quieras que se sepa de tí procura siempre que venga también de ti.
  4. No exponerse más de lo deseado. Un axioma claro que tengo del uso de servicios de Internet es que afectan solamente a mi esfera profesional y por tanto, solo deben reflejar aspectos de mi faceta laboral. Como consecuencia de ello, el gran volumen de información que se puede encontrar en Internet sobre mi estará relacionado con la seguridad de la información. Para ello puedes probar servicios como  http://www.123people.es/s/javier+cao+avellaneda donde se puede tener una visión del nivel de exposición que has alcanzado y de los términos que están vinculados a tu persona.
  5. Es difícil controlar quien publica cosas sobre ti, pero es sencillo monitorizar de forma pasiva lo que aparece. Para ello te puedes ayudar de los servicios de alertas de Google. Tan sencillo como crear alertas que vigilen tu nombre o cadenas de tu nombre. En mi caso "Javier Cao Avellaneda" o "Javier Cao". 
  6. Vigilancia inteligente y actuación inmediata. Hay ahora una nueva tendencia en los servicios de Internet que permiten proactividad. Si no conoces www.Ifttt.com, te recomiendo que leas esto para saber como funciona. Dada la potencia de esta nueva herramienta, ahora la monitorización pasa a ser proactiva y tengo creadas reglas del tipo "Si me etiquetan en Facebook envíame un SMS", "si me nombran en twitter envíame un correo a gmail", etc... la potencia es tremenda pero hay que tener claro lo que se quiere.
  7. Ten como respaldo servicios profesionales (como eprivacidad  que comento más adelante) que sepan canalizar tus problemas por las vías jurídicas más adecuadas para que tus derechos de protección de datos o de defensa del honor o intimidad sean respetados, incluso en Internet.
Y a modo de anécdota pero muy relevante para el asunto tratado, hace una semana un familiar directo me comentó que sin saber por qué, vinculado a su nombre en Google aparecía una Web de opiniones personales sobre profesionales donde ciertos comentarios (que no acreditaban la identidad porque solo aparecía el nombre) afectaban a su reputación e imagen. Lo intuitivo fue ir al sitio en cuestión y consultar las clausulas legales de Protección de Datos dado que a priori esto era un caso de ejercer derechos de cancelación. Sin embargo, el principal problema no era tanto que la página existiera sino que además, ocupara las primeras posiciones en los resultados del buscador. Para ello, decidí consultar ya a profesionales en el tema, en concreto, a Samuel Parra y Verónica Alarcon de Eprivacidad.es para ver como dar solución al problema. Sus servicios son innovadores y muy necesarios ya en la actualidad dado que tienen como único objetivo proteger la intimidad, privacidad y buena reputación de ciudadanos en Internet. En menos de una semana han conseguido limpiar todos los enlaces no deseados y hacer que Google ya no contemple estos resultados. Para todos aquellos que pensábamos que estas cosas se llevan su tiempo, esto es una buena noticia dado que menos tiempo implica menos daño en imagen aunque esto en concreto también es mérito de e-privacidad.es.



martes, 17 de julio de 2012 4 comentarios

El BYOD del Ministro del Interior

El escenario de la seguridad corporativa anda muy revuelto en los últimos meses debido a la nueva problemática de seguridad planteada por los usuarios finales respecto al poder usar sus propios dispositivos que se simplifica con el acrónimo BYOD ("Bring your own device").
Esta nueva problemática no es más que el fiel reflejo del difícil equilibrio entre la seguridad y la operatividad productiva en la empresa.  El impacto de esta tendencia, que viene para quedarse porque están siendo las capas directivas las principales precursoras de esa necesidad depende también de las circunstancias particulares de cada organización y de cómo haya ido resolviendo los problemas de gestionar la seguridad corporativa en estos últimos años.

El BYOD creo que no plantea mayores riesgos que los ya existentes respecto al uso de portátiles y los riesgos de interceptación de comunicaciones o dispositivos de almacenamiento USB y los riesgos de extravío o pérdida. Sin embargo, ahora se añaden como restricciones las posibles limitaciones respecto de la aplicación de las políticas corporativas de seguridad sobre dispositivos que no son propiedad de la organización. Obviamente a mayor número de dispositivos que pueden contener información corporativa, mayor probabilidad del extravío de algunos de ellos con las correspondientes fugas de información.

La noticia sale hoy a primera plana con la noticia de la pérdida del Ipad del Ministro del Interior. Según los datos aportados por la noticia, se tuvo que montar un operativo para tratar de recuperar el dichoso dispositivo que fue extraviado en un viaje en Ave. Los dispositivos Apple incorporan una funcionalidad de localización si se tiene activo el servicio iCloud y la funcionalidad de localización. Parece ser que efectivamente todos estos servicios estaban configurados y se pudo conocer la posición del dichoso aparato.

Resulta curioso leer el trozo del artículo donde tratan de quitarle hierro al asunto demostrando que el problema estaba controlado.
"En ningún momento ha habido preocupación por los contenidos que tenía", señala un portavoz de Interior, ya que el iPad del ministro tiene importantes medidas de seguridad. Si no se mete la contraseña correcta, se destruye toda la información que lleva.
Curiosamente estas son las medidas de seguridad estándar que lleva este tipo de dispositivos cuando se activa la clave de acceso. En cualquier caso, también se permite el borrado remoto si se tiene activa la funcionalidad de localización, cuestión que en ningún momento se aclara si finalmente fue empleada. Sin embargo lo que a mi me sorprende es que el Ministro del Interior tenga activa la cuenta iCloud y el servicio de localización GPS dado que potencialmente podría permitir tenerlo localizado y controlado. Si además suponemos que se emplean los servicios habituales de Apple para tal efecto, con algo de ingeniería social podrían tratar de localizar la cuenta iCloud del Ministro para tratar de obtener acceso a ella y a toda su información. Y es aquí cuando se plantea otro problema de seguridad que es la dispersión de información en servicios de Cloud sobre entornos de alta confidencialidad que en cualquier caso y por comprometer la seguridad del Estado, no deberían usar servicios externos y no controlados por la propia Administración (Bajo la premisa de que sea el servicio de iCloud el que haya permitido la localización del dispositivo).

En cualquier caso, el BYOD supone una reflexión seria para el mundo de la seguridad. Quizás esta tendencia supone un punto de inflexión respecto a las estrategias tradicionales que venían siendo utilizadas donde las tomas de decisiones se hacen en base a las necesidades de seguridad y el modelo de negocio pero teniendo al usuario como un "cliente/victima" de las imposiciones establecidas. El BYOD supone ahora tener que pensar y diseñar estrategias de seguridad bajo dos premisas importantes: "transparencia de las medidas" en el sentido de hacerlas lo más sencillas de utilizar para que no supongan una excesiva barrera de uso y "user center" en el sentido de que deben permitir o facilitar en la medida de lo posible la operatividad y acceso a los recursos corporativos para permitir a los empleados el trabajo desde cualquier lugar en cualquier momento. El BYOD es el triunfo de la movilidad materializado por la introducción de dispositivos tan sencillos de manejar como las tabletas que permiten disponer de un entorno de trabajo limitado pero suficientemente potente para poder resolver las cuestiones operativas más básicas como leer el correo, revisar documentación, elaborar escritos, etc.

En la problemática técnica para torear con el BYOD,  los riesgos se estratifican por diferentes capas y plantean cuestiones que tienen que ser resueltas desde perspectivas diferentes.

  • La protección física del propio dispositivo que debe tratarse desde la seguridad física con pautas sobre la custodia y uso de estos elementos en entornos inseguros.
  • La protección lógica del acceso y conexión a los sistemas de información corporativos, donde la autenticación toma ahora mayor relevancia dado que es el punto crítico para autorizar el acceso.
  • La conectividad del dispositivo desde lugares externos a los sistemas de información en donde el uso de protocolos de comunicaciones seguros deben evitar la interceptación de comunicaciones y  el robo de credenciales.
  • La protección lógica de la información que reside en el dispositivo donde la criptografía puede garantizar que frente a la pérdida o robo, no habrá fugas de información.
  • A esto pueden añadirse el uso de tecnologías proactivas en la detección y control del flujo de información como podrían ser los sistemas DLP de los que ya hablé hace unos años pero que no parecen haberse popularizado demasiado. 

La receta anterior además debe reforzarse con una intensa monitorización y una estrategia basada en la detección de anomalías a las que contribuyen las herramientas SIEM que cada vez van a adquirir más importancia y que serán el verdadero corazón de la seguridad en los próximos años. Realmente lo que ocurre es que la seguridad lógica copia la misma estrategia de la seguridad física y la detección de incidentes y la notificación para su resolución son la operativa común que mejor funciona. El modelo policial y la notificación de incidentes vía teléfonos 112 que empleamos en el mundo físico y que tan buenos resultados ofrece.



miércoles, 4 de julio de 2012 3 comentarios

¿Son seguras tus contraseñas? Compruébalo...

Las contraseñas junto con la criptografía son posiblemente unas de las primeras medidas de seguridad de la información que fue inventada por el ser humano. Tirando de la Wikipedia se puede leer como este método era empleado por los militares romanos y conocido como el famoso "santo y seña".

Con todo lo que han evolucionado las tecnologías en seguridad lo cierto es que este mecanismo de identificación y autenticación no ha encontrado todavía un relevo generacional que haya sido asimilado por los usuarios finales. Recuerdo en los años 2001 y 2002 como empezaba a hablarse mucho de las PKIs, certificados digitales y la autenticación fuerte como un sistema robusto y eficaz que acabaría con las contraseñas. También en aquel momento y para los entornos más criticos se empezaban a implantar los sistemas basados en tokens y en paswords de un solo uso (OTP).

Sin embargo y pese a ser un mecanismo de autenticación que no ofrece la mejor de las garantías, es el más barato y extendido. El problema principal no es tanto que las contraseñas sean malas sino que son tantos los entornos que nos obligan a usarlas que finalmente el número de contraseñas supera nuestra capacidad de memorización. En este sentido, han proliferado diferentes herramientas que ayudan a la gestión y custodia de contraseñas como Keepass. Con los últimos incidentes de Linkedin tan recientes, me ha parecido interesante recomendar un par de enlaces que sirven para medir la calidad de nuestras contraseñas. Estos sitios puntúan o valoran la complejidad y nos indican si dichas palabras son buenas o malas como contraseña. La fortaleza de una contraseña viene definida según la complejidad y el número de combinaciones posibles que habría que intentar para poderla reventar empleando técnicas de fuerza bruta (es decir, probando todas las posibles combinaciones de caracteres que se pueden formar) aunque normalmente los ataques contra las password emplean técnicas menos complicadas como diccionarios o variaciones heurísticas sobre palabras comunes.

Lo que es de vital importancia es no cometer los errores habituales y conocidos por los "chicos malos" que hacen vulnerable una mala contraseña. La siguiente infografía resume lo que NO hay que hacer o utilizar.


En cualquier caso, es didáctico comprobar cómo de robusta es una contraseña antes de seleccionarla para ser empleada. Hay dos buenos medidores que ilustran qué puntuación recibe una palabra que quiere ser empleada como password atendiendo a los criterios de complejidad que se identifican en su contenido.
Estos enlaces pueden ser muy pedagógicos en cursos de concienciación y formación de seguridad. Te indican qué tiempo sería necesario para adivinarla y  de esta forma sencilla podemos comprobar si realmente usamos contraseñas que superan unos mínimos niveles de calidad. También son interesantes conocer qué esfuerzos son necesarios para poder adivinar las contraseñas según la longitud de la misma y el juego de caracteres empleados.
Y por acabar con unas recomendaciones básicas que siempre se incluyen en cualquier curso de concienciación sobre seguridad, en mi primer post técnico en este blog allá por octubre de 2002 y hace ya la friolera de 10 años, establecí precisamente una serie de recomendaciones sobre password que hoy todavía están completamente en vigor.


Requisitos para la elección de claves de acceso de seguridad alta 
Todas las contraseñas del sistema deberán cumplir los siguientes requisitos: 
• Contener mayúsculas y minúsculas. 
• Contener dígitos y símbolos de puntuación además de letras. 
• Pueden incluir caracteres de control y /o espacios. 
• Deben ser fáciles de recordar para que no haya que escribirlas, pero no se deben emplear datos propios que puedan ser averiguados por terceros (teléfono, fecha de nacimiento, nombre de la pareja, etc.).. 
• Deben tener más de 8 caracteres. 

Sugerencias para la elección 
Como sugerencias a la hora de elegir contraseńas podemos recomendar: 


- Seleccionar frases que sean faciles de recordar porque es más sencillo memorizar una frase que palabras y además la longitud de caracteres superará los 8. 
- Tomar dos palabras cortas y combinarlas intercalando un carácter especial o un número como arbol?madera, ventana-casa, etc. - Coger palabras que forman una mala contraseña pero mezclaras con signos de puntuación como (perro->gato),
- Poner junto un acrónimo que le diga algo como nssadespa ( No Se Si Algo De Esto Servirá Para Algo), euldlm (En Un Lugar De La Mancha).

- Cambiar las vocales por los números que más se parecen (La A por 4, la E por 3, la I por 1, la O por 0 y la U por 7) y emplear sobre cualquier palabra (M7r13l4g0).


jueves, 21 de junio de 2012 2 comentarios

Personas, confianza y cloud computing

La reflexión de hoy va a ser breve porque ha sido un día intenso. Ayer casi por casualidad leí en el muro de Facebook de un compañero una reflexión sobre cuales son los pilares que usamos las personas para construir la confianza en otras personas. En palabras de Jose María Gasalla, conferenciante, escritor y profesor de la Deusto Business School, la confianza que dan, depositan o generan las personas se sustenta sobre 7 pilares:

  • Consciencia: entender a las partes implicadas y la situación en la que se encuentran.
  • Claridad: compartir la realidad y obviar resto.
  • Coherencia: predicar con el ejemplo, hacer a cabo aquello que piensas y dices.
  • Consistencia: dar cuerpo a los valores que te representan.
  • Cumplimiento: alcanzar con garantías los compromisos generados.
  • Competencia: representar la profesionalidad, hacer las cosas bien.
  • Coraje: ir más allá, hacer lo extraordinario. 
Hoy tocaba hablar con los compañeros de Isaca e Itsmf Valencia sobre la cloud en una mesa redonda y ayer pensaba si esto no sería aplicable también a la confianza en general que aplicamos sobre las cosas. En la mesa redonda la primera pregunta de Nuria Lago ha sido precisamente que qué pediríamos a una empresa en la cloud y mi instinto directamente ha respondido "Confianza". Aunque no se si he podido expresarlo bien, quiero compartir mi traducción de los pilares anteriores de la confianza cuando nos referimos a la cloud.
  • Consciencia: entender a las partes implicadas y la situación en la que se encuentran, es decir, que tanto cliente como prestador del servicio de cloud sean conscientes del rol que representan cada uno y de las delimitaciones de responsabilidad que deben establecerse en la prestación del servicio. De esa forma en caso de conflicto se conocerá la linea que separa la responsabilidad de las partes y se juzgará con mayor precisión quién cometió el error.
  • Claridad: compartir la realidad y obviar resto. Esto en este contexto debería ser traducido por transparencia y sería un ejercicio del prestador por informar e incluso poder representar los niveles de servicio mediante gráficas de forma que se pueda acreditar el cumplimiento. Algo como las gráficas de consumo a las que estamos tan acostumbrados en los recibos de luz, teléfono o gas pero llevado al contexto del SLA firmado con el proveedor de cloud.
  • Coherencia: predicar con el ejemplo, hacer a cabo aquello que piensas y dices. Esto estaría relacionado con ser ejemplo también en materia de gestión TI y disponer de las acreditaciones en materia de buenas prácticas más adecuadas para demostrar a tus clientes que eres capaz de hacerlo bien y además estás comprometido con la mejora continua.
  • Consistencia: dar cuerpo a los valores que te representan. En los temas de la cloud el término más adecuado podría ser resiliencia, es decir, la garantía de robustez del servicio para tener claro que si ocurriera algún incidente el proveedor dispone de un plan B para no dejarte tirado o al menos, que el RTO sea el pactado.
  • Cumplimiento: alcanzar con garantías los compromisos generados. Esto estaría también vinculado a la transparencia y sería la demostración mes a mes de los cumplimientos en las gráficas anteriores de los acuerdos de nivel de servicio o bien asumir las consecuentes penalizaciones en caso de cualquier incumplimiento.
  • Competencia: representar la profesionalidad, hacer las cosas bien. Fruto de la coherencia y de la aplicación de las buenas prácticas de Gobierno TI deberían llegar los resultados. Los sellos, si se cree en ellos y se aplican con rigor, deben lograr objetivos planteados y deben suponer una mejora progresiva de resultados.
  • Coraje: ir más allá, hacer lo extraordinario. Este sería quizás el término más dificil de ajustar pero que podría estar relacionado con buscar la excelencia y podría enmarcarse dentro de ese compromiso de mejora continua. Además, dada la volatilidad de las tecnologías que se emplean, un proveedor debe garantizar los servicios que ofrece en el día a día y pensar en los que querrá ofrecer o podrá mejorar en el futuro. Aquellos proveedores cloud que estén mirando siempre al futuro serán seguramente los que mejor se adapten a los continuos cambios en el área TI. Esa plasticidad o elasticidad que hace al bambú ser resiliente, ser capaz de adecuarse en todos los contextos y permanecer siempre recto.

En breve postearé un Seguridad y las nubes II con un análisis de pros y contras que había anotado fruto de los distintos documentos que había leído para preparar la mesa redonda de hoy, pero eso será ya para  otro día que esté mas fresco.






miércoles, 20 de junio de 2012 2 comentarios

Seguridad en la nube

La cloud computing es el tema de moda de este año y empiezan ya a publicarse estudios y documentos interesantes que tratan de enfocar el tema en materia de seguridad. Desde luego que la Cloud no sería posible sin una tecnología previa de gran importancia como es la virtualización pero además y como se comenta en casi todos los foros, no es algo nuevo. La "cloud computing" es un nuevo apellido a una serie de servicios tecnológicos que en los primeros tiempos del despliegue de Internet en España, cuando el principal negocio era el acceso y los proveedores de servicios ISP (Internet Service Provider), algunos ya planteaban nuevos modelos de uso de software basado en el alquiler ASP (Aplication Service Provider). En aquel primitivo escenario, el cliente se planteaba poder disfrutar del uso de una aplicación muy cara bajo regimen de alquiler y teniendo a su disposición un servidor (propio o compartido) alojado en un proveedor de acceso a Internet. Es evidencia de aquel momento y aquellos planteamientos un artículo que publicó mi jefe en Innosec, Gustavo San Felipe (Actual CISO en Acens) donde hablaba de la problemática de la seguridad en entornos donde los clientes compartían recursos y de las necesidades de garantizar servicios por parte del proveedor. Aquello era el año 2000 y se publicó en la Revista Nº40 de SIC.

Aunque el escenario ha cambiado, sobre todo incrementándose en complejidad, en el fondo se plantean las mismas inquietudes de aquel momento, la responsabilidad y confianza que se puede depositar en un servicio tecnológico remoto relevante.

A estas alturas ya han ido apareciendo diferentes documentos que merece la pena recopilar en este artículo y que sirven para tener una visión completa de cómo se plantea la problemática de la seguridad en la cloud computing.

1.- Estudio de riesgos en la Cloud de Enisa (En castellano). Son 140 folios con un estudio pormenorizado de los diferentes tipos de riesgos que la nube plantea en sus diferentes modalidades (IaaS, PaaS y SaaS). Es uno de los estudios más completos para tener una visión clara de los problemas que la nube plantea y cómo gestionar en ese contexto la seguridad.

2.- Estudio de la seguridad en la Cloud del BSI alemán (En ingles).  Son 70 folios del organismo aleman que establece los requisitos mínimos de seguridad que todo prestador debe satisfacer. Además, en este estudio, el análisis contempla criterios según las necesidades de disponibilidad o confidencialidad y las versiones de cloud públicas o privadas. Este documento es recomendado para los que se inician en el tema dado que en la introducción tiene una explicación detallada de los principales conceptos manejados bajo el término cloud así como las diferentes modalidades de servicios.

3.- Documento Enisa sobre como monitorizar los acuerdos de nivel de servicios en la nube prestados por terceros (En Ingles).  Son 64 folios con una definición marco de qué debe contemplar un SLA para servicios en la nube y cómo valorar por parte de un cliente la calidad del servicio prestado atendiendo a diferentes criterios (porque no solo la disponibilidad es suficiente en muchos casos). Esta guía de ENISA incluye  una descripción detallada de cada parámetro de seguridad a medir y cómo hacerlo. Los parámetros de seguridad a cubrir son: la disponibilidad del servicio; la respuesta a incidentes; la flexibilidad del servicio y la tolerancia de la carga; la gestión del ciclo de vida de los datos; el cumplimiento técnico y la gestión de la seguridad; la gestión de los cambios; el aislamiento de datos y la administración de los registros así como el análisis forense de seguridad de la información. 

4.- Documento de la AEPD y el Consejo General de la Abogacía donde habla del uso de la Cloud en despachos de abogados. (En castellano). Son 20 folios centrados en la problemática del uso de la cloud en el sector de la abogacía pero que es interesante e ilustrativo porque ha sido elaborando en colaboración con la Agencia Española de Protección de Datos (AEPD) y aporta su visión respecto a los requisitos legales de cumplimiento de la Cloud en el marco de la LOPD. Por tanto, de este informe se pueden deducir con carácter general qué cosas hay que exigir dentro del marco de cumplimiento en materia de protección de datos.

Del informe del BSI alemán me gusta este esquema gráfico de las cosas que están bajo el término "Cloud" y establece por un lado la arquitectura física y lógica de los sistemas de información y por otro las capas de gestión que el proveedor de servicio debe implementar. Bajo este contexto es obvio que los diferentes prestadores de servicio van a competir por el mercado intentando diferenciarse del resto y acreditando confianza. Para ello se están apoyando en la certificación de sus sistemas de información o servicios bajo las normas ISO 27001 (Seguridad de la información) e ISO 20000 (Gestión de servicios TI). Obviamente estas certificaciones sólo acreditan el cumplimiento de unos requisitos y la implantación de unas buenas prácticas de gestión TI aunque ello no tiene por qué suponer el logro de unos óptimos resultados (de la aplicación de esos marcos de gestión). En este contexto, la aparición de la reciente ISO 22300 también va a ser muy relevante dado que una de las cosas que más preocupan a los clientes en la cloud es que pasaría con sus datos en caso de una contingencia grave. Certificar un servicio en Cloud bajo la norma ISO 22300 al menos es un indicativo de que existen planes de continuidad de negocio y que se han probado. 

Mi reflexión/resumen de todo lo que voy leyendo al respecto es que las decisiones de saltar a la nube deben contemplar los siguientes factores:

  1. Modalidad de cloud a emplear. Decidir el salto a la nube que se quiere dar. Los saltos a las modalidades IaaS y PaaS son más reversibles que los saltos a la modalidad SaaS. Por tanto, garantizan más autonomía en caso de problemas con el prestador o permiten montar rápidamente un servicio alternativo si ocurriese algo. Para ello es importante también decidir cual es la política de backup y qué parte se debe sincronizar desde la Nube con la organización que contrata. Tener al menos los datos te salva en caso de problemas gordos para poder garantizar "continuidad de servicio".
     
  2. Definición de los términos y condiciones del servicio. El aspecto crucial de todo este asunto es también el proceso de contratación porque es cuando el prestador de servicios TI es flexible y se intenta amoldar al cliente. En este sentido, los contratos deben ser muy claros, concisos y concretos. El problema es cuando el proveedor TI es tan grande que es inflexible a las necesidades de clientes individuales. Además, es necesario hablar de penalizaciones porque un corte de X días tiene impactos no solo cuantificables por el coste del servicio sino también por las consecuencias de la ausencia del mismo aunque en la luz y el agua no se ven de esa forma.
  3. Legislación y cumplimiento: Esto debe ser contemplado desde dos perspectivas. Por un lado, el marco jurídico donde se resuelven los conflictos porque si los problemas se resuelven en EE.UU. y sus tribunales las cosas tienen un coste en caso de conflicto y legislación aplicable. La temida Patriot Act permite a los americanos meterle mano a todo tipo de cosas. Por otro, garantizando el cumplimiento del marco legal de aplicación al que externaliza el servicio. La LOPD habla de diligencia del responsable del fichero frente a la externalización y que impera por tanto tener garantías de cumplimiento con carácter previo a la contratación. Además, no solo habría que mirar el presente de la materia (Actual ENS en Administraciones Públicas y LOPD) sino también el futuro (Nueva directiva de privacidad de la Unión Europea). 

De todo ello se evidencia en el contrato de servicios de cloud deberá  tener varios ejes y que obviamente debe ser redactado por perfiles jurídicos muy bien asesorados por los perfiles técnicos que tienen claro lo que quieren regular. Un buen acuerdo de nivel de servicio debe concretar y determinar los siguientes puntos:
  • Introducción
  • Descripción técnica del servicio.
  •  Alcance
  • Roles y responsabilidades
    • Por parte del suministrador.
    • Por parte del cliente.
  • Operación del servicio
    • Solicitud.
    • Horas de operación
    • Tiempos de respuesta.
    • Mantenimiento y cambios
    • Contingencias e incidencias cubiertas por el acuerdo.
    • Procedimiento de escalado.
    • Medición del servicio y su calidad.
    • Notificación de incidentes en el prestador.
  • Políticas o Normas complementarias a garantizar (Donde encaja este anexo técnico).
  • Entrada en vigor y revisión del SLA.
    • Aprobador del SLA.
    • Revisor del SLA.
    • Penalizaciones por incumplimiento.


De cualquier forma es justo y necesario pensar que todas estas cuestiones surgen ahora por la novedad de este tipo de servicios y la ausencia de experiencias de uso por parte de los clientes. En estos momentos aparecerán cientos de servicios y proveedores bajo las siglas cloud y será el tiempo quien realice una selección natural y vaya manteniendo y haciendo sobrevivir a aquellos que gocen del prestigio y la confianza de sus clientes en base a su fiabilidad, robustez y seguridad. Cuando todo el mundo piensa que el salto a la nube es peligroso en base a los riesgos ya identificados y por la alta dependencia de este nuevo tipo de terceros, debería al mismo tiempo plantearse que la misma dependencia existe de los proveedores de suministros básicos como la luz o el agua y sin embargo a ellos no se le plantean tantas exigencias respecto a garantizar continuidad de servicio y justificar el cumplimiento de SLA. Un corte de suministro tiene un impacto similar en una empresa que la caída de los servicios de cloud o del proveedor de telecomunicaciones que nos permite alcanzar la cloud. Por tanto, por coherencia, a todos los eslabones de la cadena hay que pedirles idénticas garantías y robustez. En el tema de suministros básicos, la Ley de Protección de Infraestructuras Críticas ya está forzando a que la continuidad sea un tema resuelto. 




 
;