viernes, 28 de diciembre de 2012 3 comentarios

Carta a los Reyes Magos de un Responsable de Seguridad para el 2013

Dado el éxito que tuvo esta entrada el año pasado y visto que para pronósticos ya hay bastantes buenas Webs especializadas en hacerlos, voy de nuevo a escribir este año lo que sería mi carta a los Reyes Magos si fuera un "responsable de seguridad".
"Queridos Reyes Magos,
Este año, como en años anteriores he sido bueno y he logrado que en mi organización no haya ocurrido ningún incidente. Mis compañeros no lo valoran pero he tenido que trabajar mucho para que esto sea así. Sin embargo y muy a pesar mío, este año ha sido especialmente duro porque me han complicado mucho más la vida y me estan haciendo sudar la camiseta a diario. Supongo que al igual que atendéis mis deseos, también escucháis los de mis jefes y compañeros. Yo se que no lo hacen con mala intención pero a ellos les has traído en este 2012 sus "nubes" y les regalasteis todo tipo de gadgets que para mi se han convertido en mis peores pesadillas bajo las siglas "BYOD" y "Cloud computing". Así que de nuevo tengo que pedir algunas cosas para este año 2013 que empieza. Mi lista es la siguiente:
  • Este año necesito refuerzos muy importantes desde los servicios jurídicos. En otros departamentos se están planteando ya el migrar algunos servicios hacia entornos más versátiles utilizando la "cloud computing" pero nadie es capaz de valorar con la debida prudencia cómo hacer que esto no sea un salto al vacío irreversible y sobre todo, que atienda al cumplimiento de los requisitos legales que rigen en nuestro país. De este tema me preocupan dos cosas: a largo plazo, no deberíamos ser presa de nuestros proveedores y deberíamos tener un plan B por si los servicios en esta modalidad no cumplen con nuestras necesidades, poder saltar a otro proveedor o dar marcha atrás y usar de nuevo nuestros entornos.  A corto plazo, que firmemos acuerdos que me proporcionen garantías jurídicas solventes en caso de problemas para que litigiar si el proveedor no está a la altura no sea una pesadilla. Por tanto, necesito que mis compañeros de jurídico me ayuden  y valoren si las condiciones del servicio satisfacen la legislación en materia de protección de datos, controlen que se firman los correspondientes acuerdos de encargo de tratamiento, determinen si es pertinente o no el ámbito jurísdiccional en el que se resolverán los conflictos en caso de problemas y sobre todo, definan si las garantías y renuncias de responsabilidad del proveedor son pertinentes o asumibles. Yo les echaré una mano para establecer los acuerdos de nivel de servicio y junto con mis compañeros de sistemas determinaremos los usos deseados y las posibles penalizaciones a trasladar al proveedor si no se cumplen los niveles de servicio acordados.
  • En relación con el salto a la "cloud computing" necesito también la ayuda de mis compañeros de sistemas. Tenemos que definir en estos entornos cual va a ser nuestra política de backup y sobre todo, cuál sería nuestro plan de continuidad de negocio en el caso de que el proveedor por lo que fuera nos dejara tirado. No me hace mucha ilusión perder control total de los datos por lo que aplicando la regla básica de la prudencia "Si algo puede ir mal, irá peor", quiero tener alguna garantía de supervivencia en caso de que la trasferencia del riesgo falle. Si el proveedor se hunde no quiero verme atado a él y caer en el mismo pozo... o al menos, quiero tener datos suficientes como para poder reconstruir los sistemas de información. Nunca falla nada... hasta que falla, pero mi misión en mi organización en el contexto de la Cloud computing ya no es en este caso evitarlo, sino garantizar que habrá una salida para nosotros llegado el momento.
  • A mis compañeros de trabajo que traen todo tipo de gadgets a la oficina y que me piden conectividad "anywhere" y "anytime" les pido un poco de cordura. Yo no soy el árbitro o el malo de la película sino simplemente el observador que avisa o advierte del peligro que se asume o corre. En este sentido, antes de poder hacer algo al respecto necesitaría que la Dirección me aclare cómo quiere atajar el problema y hasta donde lo desea controlar. La información está ya tan distribuida o es tan sencillamente dispersable que mantenerla bajo control es un auténtico quebradero de cabeza. Sin embargo hay unos mínimos que la organización debe decidir y que al menos estos, debieran cumplirse pero no porque sea una decisión de seguridad sino porque son necesidades de negocio o porque la legislación no lo permite. Por tanto y dado que yo no puedo velar de forma operativa porque los datos no se pierdan, tengo que apelar a su responsabilidad para que entiendan de una puñetera vez que la información tiene valor y por tanto, no se puede llevar de cualquier forma y en cualquier dispositivo. Según se decida, ciertas cosas deberán ir protegidas o no podrán salir de la organización.
  • En relación al Bring Your Own Device (BYOD) necesito que la Dirección tome una decisión al respecto y que establezca la posición corporativa y las normas de uso que autoriza respecto a este tema. Como ya he dicho antes y les explico a mis compañeros, el Área de Seguridad no es árbitro de nada. Simplemente es responsable de velar porque se cumplan las restricciones. No somos nosotros los que debemos decidir que si y qué no. Y seguramente muchos usuarios de buena fe están usando estos servicios para hacer mejor su trabajo pero ello no justifica que “ellos” asuman unos riesgos/decisiones que  no les corresponden. Porque si por lo que fuera uno de esos documentos acaba en manos ajenas no será el personal en cuestión con nombre y apellidos el cuestionado sino su organización y por extensión, mi trabajo. Por eso es necesario una vez tomadas las decisiones al respecto, definir cual sería el procedimiento disciplinario a aplicar una vez definidas las normas. Entre todos tenemos que buscar ese “difícil punto de equilibrio” entre lo razonable y lo prudente. 
  • En materia de cumplimiento y LOPD, poco tengo que solicitaros. Como dicen por aquí, "virgencita que me quede como estoy". Se que se avecinan cambios en cuanto vayan dando la forma definitiva al futuro reglamento europeo pero al menos en mi caso, me conformo con que la gente vaya asumiendo las diferentes tareas que hemos asignado para garantizar que cuidamos bien el cumplimiento. Yo volveré a realizar campañas de concienciación sobre el tema para que mis departamentos más críticos como son personal y marketing tengan claras las reglas del juego y conozcan los protocolos internos que hemos pactado para atender derechos, comunicar incidencias y cumplir con las medidas de seguridad.  
  • Como ya deseo final tengo que pedir para mi departamento unas mejores herramientas que me permitan mejorar la gestión general de la seguridad y relacionar las necesidades de Dirección con la vigilancia activa de lo que circula en la red. El año 2012 ha sido bastante movidito en cuanto a malware y su vertiente más peligrosa, los APT. A ello se suma que se amplia el alcance de  esta lacra tecnológica y se añaden los dispositivos móviles por lo que la problemática se hace mayor y más dispersa. Por tanto, me gustaría empezar a desplegar mi estrategia de monitorización proactiva y disponer de herramientas que me permitan tener "inteligencia de red" para poder detectar comportamientos anómalos o extraños y que pueda al menos reaccionar en el menor tiempo posible. Y si ya queréis bordarlo, me gustaría que estas herramientas SIEM pudieran hablar con mis herramientas de análisis y gestión del riesgo para que ambos mundos se fueran sincronizando. Desde el mundo SIEM podría tener información que alimentara mis indicadores y métricas de gestión y control de la seguridad. Desde mis herramientas de análisis de riesgos me gustaría poder volcar el valor de los activos sobre los CI que definen la  infraestructura de los sistemas de información de forma que cada vez que cualquier área tenga que modificar un elemento de configuración, tenga presente el posible impacto y valor que para el negocio tiene ese elemento. De esta forma, todos empezaremos a hablar el mismo lenguaje, el que tiene que importarnos a todos que es la relevancia que cada elemento tiene en los procesos de negocio. Por lo que voy conociendo, a principios de este año se anunciará un producto así que junta la parte operativa con la de gestión así que solo espero cierto mínimo presupuesto para poder empezar a implantarlo porque será vital para que pueda avisar a tiempo.

En fin, queridos Reyes. Se que éste es un año difícil porque nadie tiene presupuesto para nada porque a todos nos toca apañarnos con lo que tenemos pero sin herramientas a veces se complica mucho hacer bien nuestro trabajo."


miércoles, 12 de diciembre de 2012 3 comentarios

Big data y LOPD, ¿Enemigos íntimos?

Llevo un tiempo desaparecido del blog porque este último mes ha sido bastante intenso de trabajo. Se suma que he estado también investigando sobre la problemática del Big data porque tenía una intervención en el Congreso “La privacidad, ¿un lastre para la innovación tecnológica?” donde se plantearon los posibles retos jurídicos que deberán ser resueltos en los próximos años para garantizar esto que seguimos llamando "privacidad" y que además durante este tiempo también se han publicado algunas reflexiones interesantes como la posteada por Enrique Dans en "¿Realmente existe la privacidad?" que hacían conveniente esperar un tiempo para también publicar un contenido más completo.

Tengo que confesar que preparando la charla tenía claro que quería ilustrar qué se estaba cocinando en los laboratorios de I+D+i de empresas muy grandes que tienen por objetivo mejorar nuestra calidad de vida y hacer progresar el avance tecnológico. Sin embargo no supe enfocar realmente cuales podrían ser los problemas de los futuros escenarios que se están planteando porque entiendo que el término privacidad está cambiando en nuestra sociedad. Joseba Enjuto también aportaba una interesante reflexión en "Faldas y privacidad" para comentar el cambio en la percepción de este concepto que pueden tener los nativos digitales que precisamente no entienden su existencia sin la presencia en redes sociales.

Metiéndonos ya de lleno en el fondo de la cuestión, si este año ha sido el del "cloud computing" parece que el año que viene será el del "Big data". Por este término se debe entender según establece la Wikipedia, "sistemas que manipulan grandes conjuntos de datos (o data sets). Las dificultades más habituales en estos casos se centran en la captura, el almacenado, búsqueda, compartir, análisis y visualización. La tendencia a manipular ingentes cantidades de datos se debe a la necesidad en muchos casos de incluir los datos relacionados del análisis en un gran conjunto de datos relacionado, tal es el ejemplo de los análisis de negocio, los datos de enfermedades infecciosas, o el combate con el crimen organizado."

He tenido que esperar a tener terminada la transformación del powerpoint que usé en el Congreso al formato Prezi porque empleé varios vídeos de Youtube que si hubiera subido a Slideshare o cualquier otro visualizador de powerpoint se habrían perdido. En este caso, los vídeos son esenciales para ilustrar en qué consiste el uso de estas tecnologías y cómo puede eso afectar a la privacidad.




Tras dejar reposar algunas de las reflexiones planteadas en la presentación, creo bajo mi humilde opinión que las tecnologías de Big data van a ser bastante disruptivas y van a cambiar muchas cosas tanto por enfoque como por resultados. Como informático además veo en estas tecnologías el cumplimento de uno de los grandes deseos y santos griales de nuestra profesión  La ingeniería informática (informática significa información automática) es una disciplina que pretende la construcción de procesos y sistemas que llevan a la transformación de datos en información. Nuestra carrera a veces se confunde con las herramientas que se emplean pero el sentido de nuestra profesión está sobre todo orientado a establecer entornos que permitan la generación de conocimiento en base al procesado de datos que se transforman en información tras ser tratados.
Las tecnologías de Bigdata realmente son una evolución de las tecnologías de "business inteligence" que se pueden complementar con otras fuentes de información para obtener nuevos datos y nuevas informaciones.

En relación a la privacidad, creo que podemos hablar de la existencia de determinados riesgos potenciales que será la realidad la que se encargue de confirmar si acaban produciéndose o bien terminan siendo controlados o regulados. En relación al marco legislativo en materia de protección de datos creo que habría que plantearse una evolución de conceptos atendiendo a estos criterios:

  • ¿Tiene sentido hablar de "datos de carácter personal" o tenemos que elevar el concepto al de "información de carácter personal"? Parece lo mismo pero no lo es y lo intento ilustrar con un ejemplo. Imaginemos que se tiene un fichero vinculado a mi persona donde esta mi nombre, mi usuario y las coordinadas GPS vinculadas a mi posición a lo largo del tiempo durante unos días. Visto de esta forma, efectivamente todos esos elementos  son "datos" vinculados a mi y por tanto de carácter personal. Imaginemos que ahora, aplicando tecnologías de Big Data, añadimos a ese fichero una capa de posicionamiento geográfico que nos sirve para conocer de cada una de esas coordenadas GPS a qué tipo de sector o negocio pertenece o qué tipo de barrio o zona de la ciudad es (zona de negocios, zona de bares, zona de tiendas, etc.). ¿Realmente ese fichero de datos sigue siendo "solo eso" o hemos conseguido "correlacionar datos" para poder inferir o deducir "informaciones nuevas" que transforman lo que se puede saber sobre mi persona.? Yo sinceramente creo que se produce esto segundo y por tanto, al añadir un conjunto de datos no personales que sirven para "etiquetar o colorear" los datos existentes conseguimos más que la suma de las partes originales.
  • ¿Tenemos que empezar a hablar de "datos suministrados por el afectado" y "datos inferidos o calculados"? Esto es básicamente importante porque afectaría al deber de información dado que al usuario habría que indicarle que ciertos datos que vaya a suministrar serán transformados en información que permitirá la explotación de otras finalidades. De nuevo trato de ilustrar el caso con un ejemplo. Imaginemos que yo al supermercado de la esquina le proporciono mis datos para que me entregue una tarjeta de fidelización y use una aplicación en el teléfono que permita conocer sus ofertas y que siga a su usuario en redes sociales. Ellos me informan que van a introducirlos en un fichero y me solicitan consentimiento para poder procesar esta información además de añadirse como un follower a nuestra cuenta en Twitter por ejemplo. ¿Está correctamente informado el afectado si la cláusula legal informa de qué se va a hacer con los datos directamente recogidos por el afectado? Yo creo que sería necesario que la finalidad explícitamente indique que además de la información recogida directamente de él, se van a utilizar otras fuentes externas que van a permitir otra serie de cuestiones con el objetivo de poder personalizar mejor la oferta de productos o servicios en base a un perfil más exacto de esa persona como potencial consumidor.
Tal como se comentaba en las reflexiones finales del Congreso, creo que ha llegado el momento de establecer ciertos principios esenciales que la tecnología debe respetar si o sí, a pesar de que su evolución siempre sea más rápida que la legislación que regula su uso. En este sentido, el marco de protección estaría formado por tres pilares esenciales e inamovibles:
  • Principios de protección reconocidos por la legislación en materia de protección de datos y que deben conservar el deber de informar, el deber de otorgar consentimiento, la calidad de los datos, la seguridad y la relación de los terceros en los tratamientos.
  • Los derechos de los afectados, como elemento esencial para seguir conservando la capacidad para decidir sobre la información que se genera en torno al afectado.
  • Privacy by design como marco de diseño básico de toda tecnología que tenga por objetivo el uso o la explotación de datos de carácter personal.
Es evidente que el mundo de la privacidad puede formar parte de nuevos modelos de negocio y ello supone que existirán presiones de ciertos lobbies para intentar relajar o al menos disminuir los requisitos de protección que el marco actual garantiza. De hecho, los cambios van muy rápido. Cuando hice la presentación tuve que recurrir a un ejemplo puesto en las jornadas que la Fundación Telefónica realizó en Barcelona para hablar de Big Data. Hace una semana se anunciaba un acuerdo entre Telefónica y Seguros Generali  para el desarrollo de un nuevo seguro que usa un GPS para recoger información sobre el asegurado y de esa forma, poder ajustar y calcular mejor la póliza de debe pagar en base a su perfil de riesgo. Obviamente ciertos negocios van a conocer tanto al cliente que van a poder realizar ofertas muy interesantes y atractivas que conseguirán seducirlo como cliente. Obviamente esas ventajas tienen como sacrificio la perdida de cierta privacidad dado que ambas empresas van a conocer demasiada información sobre el cliente (Ponerse a imaginar lo que se puede deducir de una persona si sabes qué lugares frecuenta , en qué horarios, si respeta o no las normas de tráfico siempre, etc.). Nada de esto tiene por qué suponer incumplimientos de LOPD si las cosas se hacen de forma correcta y se respeta la LOPD y todos sus principios. Sin embargo, surge ahora un nuevo poder y como le dice el tio Ben a Spiderman, "un gran poder implica una gran responsabilidad". Una cosa sería que el asegurado sacrificara cierta parte de su privacidad por obtener una reducción en el precio de la póliza y otra muy distinta es que luego esa información fuera cedida a terceros que hicieran otros usos y para otras finalidades. Imaginemos en procesos de investigación por pleitos o divorcios, etc... 
Este tipo de actuaciones serían irregulares en el marco LOPD pero ¿y si la recompensa es mucho mayor que la sanción por la infracción? ¿Puede ser rentable incluso no cumplir la LOPD? 


 
;