¿Cómo debiera ser la Auditoría técnica que establece el R.D. 1720/2007 de desarrollo de la LOPD?

Antes de cerrar el año y pendiente del ya tradicional post de revisión del año 2011 y el de análisis de tendencias para el 2012, quiero referenciar el material que he publicado a través del blog de Inteco con reflexiones sobre cómo debiera ser la auditoría del Titulo VIII del R.D. 1720/2007.

Este año ha sido un año duro en el ámbito LOPD dado que la crisis siempre hace que aparezcan los oportunistas y los pícaros que tratan de lucrarse de la ignorancia o el desconocimiento de la gente. En este sentido, la Asociación Española de Profesionales de la Privacidad ha tenido que luchar contra las llamadas  "Empresas de coste cero" que venden servicios de consultoría camuflados bajo subvenciones de formación a través de la Fundación Tripartita.
Estas empresas han empezado con los servicios de adecuación/adaptación pero seguro que pronto extenderán sus garras hacia la auditoría obligatoria establecida por los artículos 96 y 110. Para luchar contra esta "lacra" la única arma es la información y la explicación de qué debieran ser considerados servicios correctos.

Con este objetivo he publicado los dos siguientes artículos que aparecen en el blog de Inteco:

• ¿Cómo debe ser la Auditoría técnica que establece el R.D. 1720/2007 de desarrollo de la LOPD? (Parte I)
• ¿Cómo debe ser la Auditoría técnica que establece el R.D. 1720/2007 de desarrollo de la LOPD? (Parte II)

A continuación anexo el texto integro de ambas partes para el que quiera realizar una lectura continuada del mismo.

Ante la reiterada preocupación del sector profesional de la privacidad sobre la ausencia de consenso respecto a cómo debe ser realizado el proceso de auditoría establecido por los artículos 96 y 110 del R.D. 1720/2007, creo adecuado explicar en este post en qué debe consistir el proceso de auditoría, cuál es su finalidad, qué resultados deben esperarse y cuáles son las mejores prácticas a la hora de planificar, desarrollar y realizar un informe de auditoría del Título VIII del R.D. 1720/2007 de desarrollo de la LOPD.
Para una adecuada lectura de este documento deben tenerse en cuenta dos advertencias:

1. Este post se limita de forma exclusiva a la auditoría del cumplimiento de las medidas de seguridad establecida en los artículos 96 y 110, por lo que no se contempla en la realización de este proceso aspecto alguno que no esté relacionado con la valoración del funcionamiento de las medidas de seguridad descritas en el Título VIII del R.D. 1720/2007.
2.  Este post no pretende establecer los criterios o técnicas a emplear. Simplemente describe la importancia y necesidad del proceso de auditoría, su finalidad y qué es entendido pudieran ser buenas prácticas en la realización de estas actividades.

¿Qué es una auditoría de sistemas de información? 

La auditoría de sistemas de información tiene como misión ser un mecanismo de control interno para evaluar la CONFIANZA que se puede depositar en los sistemas de información basada en evidencias. Las actividades, procesos, tareas requieren de una revisión periódica para evaluar su funcionamiento y realizar los ajustes que sean necesarios. Las medidas de seguridad establecidas por el R.D. 1720/2007 establecen y determinan una serie de actividades periódicas que la organización debe realizar para garantizar la adecuada protección de la información de carácter personal que es procesada. Estos mecanismos de protección definidos por los procedimientos obligatorios deben estar documentados y forman parte del contenido del Documento de seguridad establecido por el Art. 88 del R.D. 1720/2007.Para entender este extremo emplearemos un símil ilustrativo. El mantenimiento y la revisión de todo vehículo requiere, una vez se alcanza ciertos años de funcionamiento, de una revisión periódica cada dos años realizada por la Inspección Técnica de Vehículos (ITV). Estos organismos de revisión realizan una serie de chequeos, comprobaciones y pruebas sobre diferentes elementos del coche con el objetivo de garantizar que está en las mínimas condiciones necesarias para seguir en circulación.  Este ejemplo sirve perfectamente para ilustrar la misión del proceso de auditoría ya que el proceso de revisión realizado en la ITV es una revisión sobre el funcionamiento del vehículo que tiene por objetivo establecer si el coche es apto, no apto o apto con deficiencias a subsanar como resultado de la información obtenida durante la batería de pruebas realizadas. Esta actividad de revisión es una auditoría formalizada y normalizada que comprueba de forma exhaustiva todos los elementos básicos del vehículo y determina el grado de confianza que el dueño del vehículo puede otorgar al mismo en relación a su seguridad y correcto funcionamiento.
De igual forma, la auditoría de sistemas de información es un proceso metódico de revisión que pretende conocer la eficacia y fiabilidad de los controles o mecanismos de seguridad instalados para evitar o reducir los riesgos que pudieran afectar al buen funcionamiento de los sistemas de información o alterar su seguridad.

¿Por qué es necesaria la auditoría de las medidas de seguridad del R.D. 1720/2007?

El R.D. 1720/2007 introduce en los artículos 97 y 100 da necesidad de auditar el “TÍTULO VIII. DE LAS MEDIDAS DE SEGURIDAD EN EL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL” del R.D. 1720/2007. Esta obligación queda establecida para los ficheros de datos de carácter personal que tienen que garantizar el cumplimiento de las medidas de nivel medio o alto. Conviene recordar que las medidas de seguridad establecidas por el Título VIII del Reglamento determinan los MINIMOS a garantizar. Ello quiere decir que la auditoría perfectamente puede ser planteada para ser realizada sobre ficheros de nivel básico si la Organización considera adecuado la ejecución de este proceso interno de revisión. Además, es necesario destacar que la auditoría aparece como una de las medidas de seguridad más del citado Titulo VIII. ¿Por qué es la auditoría una medida de seguridad? La respuesta es sencilla dado que este proceso de inspección y revisión permite detectar deficiencias antes de que éstas se produzcan. También la auditoría puede servir para averiguar si se han producido o no irregularidades en el uso de los sistemas de información. Es un mecanismo de ajuste que detecta el deterioro en la efectividad o rendimiento de las medidas de seguridad y asegura que el nivel de protección deseado se sigue garantizando.

¿Qué finalidad debe perseguir una buena auditoría de las medidas de seguridad del R.D. 1720/2007?

Tal como hemos comentado hasta este punto, la misión el proceso de auditoría es la búsqueda de todas aquellas deficiencias que pudieran suponer un problema real o potencial antes de que este se produzca. Por tanto, la auditoría es en sí misma una medida de seguridad de carácter preventivo que intenta evitar los daños antes de que éstos sucedan. También el proceso de revisión puede servir para introducir mejoras o indicar aquellos puntos que aun garantizando el cumplimiento de las medidas empieza a disminuir en su eficacia.Una buena auditoría debe suponer una revisión profunda y exhaustiva del funcionamiento de las medidas de seguridad que protegen los tratamientos de datos de carácter personal. Cuando mayor sea el trabajo de campo empleado en la revisión, más confianza podrá depositar la Organización en el correcto funcionamiento de las cosas, confirmado éste punto por los resultados obtenidos de la propia auditoría.El auditor tiene como misión principal emitir una opinión independiente y objetiva sobre este cumplimiento de tal forma que permita a los responsables correspondientes, tomar las medidas oportunas para subsanar las deficiencias identificadas, si las hubiera, y para satisfacerse internamente, o bien frente a terceros que pudieran estar relacionados, sobre el nivel de seguridad implantado.
El objetivo final de la auditoría es sustentar la confianza que merece el sistema auditado en materia de seguridad; es decir, calibrar su capacidad para garantizar la integridad, disponibilidad, autenticidad, confidencialidad y trazabilidad de los servicios prestados y la información de carácter personal que es tratada, almacenada o transmitida por la Organización  

Metodología de trabajo

El proceso de auditoría supone la realización de ciertas actividades que deben realizarse de forma metodológica y que permiten diseñar y organizar el trabajo de campo a realizar en la Organización de forma que sean alcanzados los objetivos planteados al realizar la auditoría. Podemos distinguir tres fases bien diferenciadas:·     

•     Pre auditoría.

Esta es la fase inicial del trabajo y permite al auditor conocer el entorno, contexto y sistemas de información que van a ser revisados durante la auditoría. En esta fase, la Organización y el auditor deben establecer cuál será el alcance a auditar, los ficheros de datos de carácter personal incluidos en la revisión, los niveles de seguridad de dichos ficheros, las dependencias de la Organización que deberán ser visitadas y la duración de la auditoría a contratar. Este último extremo condiciona la ejecución de la auditoría y según el volumen de trabajo que haya que realizar en la auditoría insitu, puede requerir la ampliación del equipo auditor de forma que se garantice la revisión de todos los puntos a contemplar en el tiempo previsto.En esta fase, el auditor debe preparar sus papeles de trabajo, documentos que le ayudarán en la ejecución in situ de la auditoría y que contienen información propia sobre qué cuestiones hay que revisar, qué tipo de pruebas debe contemplar en las comprobaciones técnicas pertinentes y qué preguntas debe realizar tanto al personal de la Organización como al responsable de seguridad. Estos papeles de trabajo del auditor actúan de registro, para no olvidar revisar ningún proceso o actividad importante y se preparan de antemano las preguntas o lista de comprobaciones que se quieren realizar. Dado que el R.D. 1720/2007 no es modificado de forma frecuente, lo habitual es que la empresa auditora tenga prediseñados unos papeles de trabajo base que debe adaptar a la Organización a auditar una vez    Para ello, suele ser habitual agrupar la revisión de los artículos del R.D. 1720/2007 en programas que aglutinan bajo un nombre todos aquellos artículos del R.D. que determinan una misma medida de seguridad que según el nivel deben satisfacer más o menos requisitos.Es habitual que para el diseño de esta documentación, el auditor solicite a la empresa auditada el Documento de Seguridad de los ficheros incluidos en el alcance, dado que en él se encuentra una descripción del tipo de ficheros, de los sistemas de información y de las medidas de seguridad que la Organización debe estar aplicando en la protección de los datos de carácter personal. El auditor parte de esta información inicial para el diseño de las pruebas técnicas que permitan verificar el nivel de cumplimiento de lo escrito en el documento de seguridad. También permite adecuar y configurar el equipo auditor si por el carácter de las pruebas a realizar o de los sistemas incluidos sea necesario contar con personal técnico de apoyo al auditor que permita la ejecución con éxito de las pruebas de auditoría contempladas o la recogida de información de forma directa en la Organización auditada.Con toda esta información ya procesada, el auditor puede diseñar el programa detallado de auditoría y enviar a la Organización cual será la planificación prevista durante los días que dure la auditoría in situ. Ello también permite a la Organización conocer cuál será el trabajo de campo que se realizará y planificar o adecuar los horarios y la disponibilidad del personal que será entrevistado o que deberá atender al auditor durante los días de auditoría.·        

• Auditoría in situ o ejecución de la auditoría.

Esta es la fase crucial de todo el proceso dado que es donde el auditor recoge las evidencias de auditoría, esto es, aquella información que será empleada posteriormente para argumentar y demostrar el cumplimiento o no cumplimiento de las medidas de seguridad. El auditor, como se ha dicho ya, debe proporcionar una opinión profesional, independiente y objetiva del funcionamiento de las medidas de seguridad. Por tanto, toda afirmación que incluya en su informe debe basarse en datos, hechos u observaciones como explícitamente establece el punto 2 del Artículo 96. Auditoría.“2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.”Por tanto, en esta fase el auditor debe ir recopilando toda aquella información que ha establecido previamente en la fase de pre auditoría como necesaria y que sirva para contrastar o comprobar el correcto funcionamiento de las medidas de seguridad. De esta forma, el auditor también deja rastro de su propio trabajo y permite posteriormente a la Organización evaluar la exhaustividad y profundidad del trabajo de campo realizado por el propio auditor. Este mecanismo de transparencia del proceso de auditoría es otro de los pilares en los que se cimienta la confianza que se puede depositar sobre la auditoría realizada.Según la complejidad del entorno, el tiempo disponible para el proceso de auditoría y el tamaño del equipo auditor, es posible que la ejecución de ciertas pruebas no puedan revisar de forma completa y exhaustiva todos los registros de ejecución o rastros de funcionamiento de las medidas de seguridad. En estos casos, es preciso recurrir al muestreo de auditoría que permite la selección de ciertas muestras y extrapolar las conclusiones observadas en ellas para el resto de elementos de la población. El muestreo introduce cierto margen de error en la realización de conclusiones pero permite adecuar la revisión al tiempo disponible para el proceso de auditoría. En todo caso, este margen de error puede ser previamente definido lo que condicionará los tamaños de las muestras a examinar.
Una vez finalizada esta fase, el auditor debe contar con todas aquellas evidencias de auditoría que ha obtenido de la realización de pruebas técnicas, entrevistas, inspección visual de las instalaciones y dependencias así como de la revisión de todos aquellos documentos que hayan sido solicitados a lo largo de la ejecución de la auditoría.·     

•     Realización del informe de auditoría.

El resultado final del proceso de auditoría debe quedar plasmado en el informe de auditoría que incluye la conclusión del auditor respecto del funcionamiento de las medidas de seguridad y constata los hechos, datos u observaciones en los que se basa dicha conclusión. Llegado este punto, el auditor debe examinar y valorar las evidencias obtenidas y seleccionar aquellas que considera relevantes en la demostración del cumplimiento o no cumplimiento del funcionamiento de las medidas de seguridad. El informe debe proporcionar al auditado una imagen fiel y real de cuál es la situación de las medidas de seguridad revisadas y si suponen o no un incumplimiento del citado Reglamento.

"Privacy by design", nos jugamos mucho.

Hoy se ha celebrado en Murcia el Seminario La incidencia en la normativa española sobre protección de datos personales de la proyectada reforma en la Directiva en la que he tenido el gusto de participar como ponente en la sesión de la tarde.

El tema asignado era la "Privacy by design" de la que había leído alguna cosa en blogs pero sobre el que no había todavía podido profundizar. Sin embargo, estas dos últimas semanas recopilando información y reflexiones para la presentación he podido ser consciente del gran cambio que esconden estos tres términos y que pudiera suponer un antes y un después en materia de protección de datos y en el diseño de sistemas y productos tecnológicos en general. Para tratar de contextualizar estos hechos, viajemos durante unas líneas al futuro y pensemos en cómo serán las cosas en unos años, pongamos 20 por ejemplo.

"Suena el despertador. Te levantas y tras la ducha matutina te diriges a la cocina a prepararte un rico desayuno. Abres la nevera y tras coger la mortadela y la leche, la voz sintética de tu nevera te dice:

- Buenos días, señor Cao, Le notifico que ayer envié la orden del pedido mensual de leche a su centro comercial. Le llegará en breve la factura de compra porque en mi inventario interno tengo registrado que la botella que acaba de coger es la última. Además, he podido consultar la información de Google Health y acaba de recibir los resultados de su analítica, por lo que le aconsejo que cambie la mortadela por pechuga de pavo que tiene menos grasa y mejorará su colesterol.

 Vaya, mi nevera parece mi madre. ¿Cómo hemos podido llegar a esto?"

Estamos en un momento de cambio. La transición a IPv6 empieza y cada vez será más cotidiano que electrodomésticos ahora pasivos puedan ser proactivos y puedan autogestionarse o al menos, planificar ciertas decisiones en base a un conjunto de parámetros que podremos introducir en su sistema. Además, todos estos elementos formarán seguramente un todo dentro del centro de control domótico de tu casa y el usuario podrá predefinir ciertas reglas o decisiones basadas en la correlación de eventos que vayan siendo recogidos por los diferentes electrodomésticos. ¿Y cómo los electrodomésticos detectarán eventos o cambios de estados? Seguramente las tecnologías RFID aportarán la capacidad de generar información sobre transiciones de estado basándose en nuestro comportamiento normal en casa. Cuando vayas a la nevera a coger algo, el sistema podrá conocer cual es el número de unidades restantes de ese producto, si debe o no realizar alguna notificación respecto a la reposición de stock. Si además dispone de otras informaciones podrá valorar la acción del sujeto y recomendar cambios de decisión.

Hasta aquí, sinceramente todo parecen ventajas. ¿Dónde está el problema? La amenaza se plantea cuando no se determine dónde está la frontera respecto a la gestión y acceso de esa información. Si el usuario tiene el control de todo esto y es él quien decide qué quiere que sepa su centro comercial, qué información de su estado de salud debe procesar Google, qué datos no será recogidos aunque tengan identificadores RFID, etc, la privacidad seguirá bajo el control del afectado. Pero si los sistemas de información domóticos y domésticos se diseñan para incrementar los beneficios de las empresas potencialmente interesadas en esa información, sin contemplar restricciones y tratando más de hacer un análisis proactivo de demanda de bienes para disminuir los costes de marketing o satisfacer necesidades creadas sobre el cliente la cosa pintará mal. Porque en estos casos, los intereses creados por las empresas pueden pervertir o condicionar la toma de decisiones o el asesoramiento, y en vez de buscar el beneficio del afectado pueden simplemente atender a los intereses comerciales de las compañías suministradoras.

¿Y cómo está relacionado esto con la "Privacy by design"?

Este término establece 7 principios básicos que deben orientar el diseño y desarrollo de sistemas y tecnologías que traten datos de carácter personal. Son los siguientes:

1. Proactivo, no Reactivo; Preventivo no Correctivo
El enfoque de Privacidad por Diseño (PbD por sus siglas en Inglés) está caracterizado por medidas proactivas, en vez de reactivas. Anticipa y previene eventos de invasión de privacidad antes de que estos ocurran. PbD no espera a que los riesgos se materialicen, ni ofrece remedios para resolver infracciones de privacidad una vez que ya ocurrieron – su finalidad es prevenir que ocurran. En resumen, Privacidad por Diseño llega antes del suceso, no después.

2. Privacidad como la Configuración Predeterminada
Todos podemos estar seguros de una cosa – ¡Lo predeterminado es lo que manda! La Privacidad por Diseño busca entregar el máximo grado de privacidad asegurándose de que los datos personales estén protegidos automáticamente en cualquier sistema de IT dado o en cualquier práctica de negocios. Si una la persona no toma una acción, aún así la privacidad se mantiene intacta. No se requiere acción alguna de parte de la persona para proteger la privacidad – está interconstruida en el sistema, como una configuración predeterminada.

3. Privacidad Incrustada en el Diseño
La Privacidad por Diseño está incrustada en el diseño y la arquitectura de los sistemas de Tecnologías de Información y en las prácticas de negocios. No está colgada como un suplemento, después del suceso. El resultado es que la privacidad se convierte en un componente esencial de la funcionalidad central que está siendo entregada. La privacidad es parte integral del sistema, sin disminuir su funcionalidad.

4. Funcionalidad Total – “Todos ganan”, no “Si alguien gana, otro pierde”
Privacidad por Diseño busca acomodar todos los intereses y objetivos legítimos de una forma “ganar-ganar”, no a través de un método anticuado de “si alguien gana, otro pierde”, donde se realizan concesiones innecesarias. Privacidad por Diseño evita la hipocresía de las falsas dualidades, tales como privacidad versus seguridad, demostrando que sí es posible tener ambas al mismo tiempo.

5. Seguridad Extremo-a-Extremo – Protección de Ciclo de Vida Completo
Habiendo sido incrustada en el sistema antes de que el primer elemento de información haya sido recolectado, la Privacidad por Diseño se extiende con seguridad a través del ciclo de vida completo de los datos involucrados – las medidas de seguridad robustas son esenciales para la privacidad, de inicio a fin. Esto garantiza que todos los datos son retenidos con seguridad, y luego destruidos con seguridad al final del proceso, sin demoras. Por lo tanto, la Privacidad por Diseño garantiza una administración segura del ciclo de vida de la información, desde la cuna hasta la tumba, desde un extremo hacia el otro.

6. Visibilidad y Transparencia – Mantenerlo Abierto
Privacidad por Diseño busca asegurar a todos los involucrados que cualquiera que sea la práctica de negocios o tecnología involucrada, esta en realidad esté operando de acuerdo a las promesas y objetivos declarados, sujeta a verificación independiente. Sus partes componentes y operaciones permanecen visibles y transparentes, a usuarios y a proveedores. Recuerde, confíe pero verifique.

7. Respeto por la Privacidad de los Usuarios – Mantener un Enfoque Centrado en el Usuario
Por encima de todo, la Privacidad por Diseño requiere que los arquitectos y operadores mantengan en una posición superior los intereses de las personas, ofreciendo medidas tales como predefinidos de privacidad robustos, notificación apropiada, y facultando opciones amigables para el usuario. Hay que mantener al usuario en el centro de las prioridades.


La otra reflexión que he podido extraer de todo esto es que parece ya plantearse si es necesario establecer ciertas restricciones al desarrollo tecnológico. Hasta la fecha, la tecnología es un fórmula uno que avanza sin parar, sin restricciones, sin límites, sin reglas tratando de producir mejoras en el día a día aunque estas muchas veces sean necesidades fictícias o creadas para satisfacer ciertos intereses.

En el "Privacy by design" se pone fin al "todo vale". Se determina que es necesario antes de la construcción de un nuevo aparato o servicio pensar en qué impacto potencial tiene para la privacidad. Es lo que se llama un "Privacy Impact Analysis (PIA)" que es una reflexión respecto a la finalidad de lo que se va a construir y las consecuencias posibles que pudiera tener para la privacidad del usuario. Obviamente esto no va a gustar a muchos modelos de negocio, actuales o futuros y la presión por evitar o minimizar la aplicación de este criterio de diseño sea importante. Por eso el titulo del post acaba con la coletilla "nos jugamos mucho". Porque ante una filosofía basada en la explotación voraz de información en beneficio de las grandes empresas orientadas a maximizar sus beneficios y una filosofía basada en el interés del afectado y el control a su gusto de su privacidad atendiendo a sus criterios o intereses, se crearán tensiones importantes que condicionarán seguramente los desarrollos reglamentarios de los marcos de protección de datos.
Habrá que ver si finalmente la futura directiva o cualquier otra regulación a nivel mundial defiende el interés de las personas o se somete a los intereses de los "mercados". Habrá que ver si es el hombre quien domina la tecnología o creamos un segundo Dios (La economía ya es el primero) que somete al hombre.

A continuación os dejo la presentación que he empleado para exponer estas conclusiones en un formato nuevo y experimental para mi pero a la vez innovador y atractivo por sus nuevas posibilidades. Tratando de huir de la "muerte por Powerpoint" de las filosofías tradicionales de presentación, he decidido probar el servicio "Prezi.com" que sinceramente y tras un periodo breve de adaptación mental en cuanto a la estructuración de contenidos, me ha parecido útil para reflejar una navegación basada en conceptos y no en la linealidad que proporciona el Powerpoint.

Postdata: Para los que hayáis visto en el ejemplo un pelín de exageración, en la presentación se acaba con un ejemplo real que supone un primer paso en esa linea.

Tratando de formalizar el análisis de seguridad sobre árboles de activos.

Tal como adelantaba en el post anterior, este verano he perdido bastante tiempo tratando de investigar sobre las posibles aplicaciones de las teorías de análisis de redes sociales a la seguridad de la información. Eran ideas que me rondaban hace años por la cabeza y que por fin he podido desarrollar y formalizar en un documento.

He tenido que estudiar conceptos de teoría de grafos y determinar qué criterios de medición de redes pueden ser relevantes a nuestro campo de estudio. 

En teoría de redes sociales se da una premisa que es bastante importante y que sin embargo no es aplicable a seguridad de la información: todos los nodos son iguales. Sin embargo, cuando construimos un árbol de activos, según la naturaleza del elemento, su relevancia puede ser mayor. También, en redes sociales lo que se analiza es la fluidez de la comunicación entre nodos, mientras que lo que yo he pretendido estudiar son las relaciones de dependencia en materia de seguridad.

En fin, por no enrollarme mas os resumo el contenido del texto y adjunto un enlace para su descarga dado que lo he licenciado como Creative Common. Si me gustaría recibir vuestro feedback respecto a si véis viable que esta linea de trabajo pueda finalmente ser aplicada para la formalización de análisis de seguridad de la información. Una de mis conclusiones tras el estudio es que este tipo de análisis puede tener sentido en el estudio de la continuidad de negocio y en la protección de infraestructuras críticas, dado que permite identificar nodos que aíslan o mutilan la funcionalidad de la organización.

Abstract:

Las tecnologías de la información son un elemento esencial para el funcionamiento de nuestra sociedad y cada vez más muchas actividades y servicios dependen de la robustez, fiabilidad y seguridad de los sistemas de información que dan soporte a servicios tan esenciales como la sanidad, la educación, la defensa, la Administración electrónica, etc. Por tanto, los sistemas de información son un cimiento indispensable en el funcionamiento y desarrollo de nuestra civilización moderna, la denominada sociedad de la información y el conocimiento.

Un axioma básico de la seguridad de la información es el principio de cohesión que establece que "la seguridad es tan fuerte como el más débil de sus eslabones". El presente trabajo pretende aportar una nueva perspectiva en el estudio y análisis de la seguridad desde un punto de vista estático y basado en modelos matemáticos de la teoría de grafos que permitan identificar la presencia de debilidades estructurales que pueden poner en riesgo el funcionamiento de los sistemas de información por la propia arquitectura y conectividad de los diferentes tipos de elementos que constituyen el sistema de información. Supone extrapolar la aplicación de estas teorías en el análisis de redes sociales y otras estructuras modeladas mediante grafos al área de seguridad de la información con el objetivo de poder diagnosticar y reconocer potenciales problemas derivados de las relaciones establecidas entre los elementos que constituyen la Organización y los sistemas de información que dan soporte a todos sus procesos. Esta nueva visión supone un complemento al análisis de riesgos, la técnica habitualmente empleada en el estudio de los requisitos de seguridad que necesita un sistema de información y donde se contempla además de la estructura del sistema de información, el análisis de las amenazas posibles y la posibilidad de que éstas se manifiesten determinando así el nivel de riesgo a asumir.

Texto integro: Análisis topológico de sistemas de información.

Noveno cumpleaños del blog + teoría de grafos aplicada a la seguridad

Tal día como hoy con un escueto texto expresaba mi intención de compartir conocimiento e ideas a través de este blog así:

"Este es mi primer post de una serie de pequeños trucos y recetas, para hacer que usuarios inocentes o confiados no sufran el abuso de todos esos que navegan por la red con fines oscuros o ilícitos. 

Espero que los pequeños consejos que vaya dejando o las recomendaciones de software sean de ayuda para todos vosotros."

Aunque al principio la temática principal serían consejos sobre aplicaciones software y trucos que pudieran mejorar la seguridad del usuario, pronto se abrió el contenido hacia los aspectos que profesionalmente fueron formando parte de mi trayectoria centrada en la seguridad de la información y su gestión. Desde entonces este mundo ha dado muchas vueltas y el panorama futuro se anuncia prometedor. Las cosas se han ido profesionalizando, se ha normalizado la gestión de la seguridad en torno a las normas ISO 27000 y la complejidad de la gestión del riesgo va en aumento, con cada vez más preocupación por parte de gestores y responsables de las empresas por cuidar y salvaguardar sus activos. Aunque por desgracia la cultura de la prevención no forma parte de las prácticas habituales, la cotidianidad de los incidentes empieza a concienciar a la Dirección de las organizaciones sobre la importancia del tema y la necesidad de coger este toro por los cuernos.

Esperemos que pronto pueda normalizar la frecuencia de publicación y poder postear textos más elaborados y con más contenido, pensamientos y reflexiones. En breve subiré un documento con una idea que llevaba años planteándome y que he podido formalizar hace no mucho. El objetivo de mi trabajo ha sido intentar demostrar cómo algunas de las propiedades fundamentales de la seguridad de los activos de la organización están relacionadas con cómo están conectados los activos entre sí. La idea original surge del estudio de trabajos sobre análisis de redes sociales que entiendo son extrapolables a la seguridad de la información.

Una razón para la utilización de técnicas matemáticas y de grafos en el análisis de árboles de activos es que permite representar la descripción de una red de manera concisa y sistemática. El uso de métodos formales (particularmente matemáticos) en la representación de árboles de activos permite usar ordenadores en el análisis de la información. Esta nueva perspectiva puede ser una herramienta complementaria al estudio tradicional del riesgo que aporta un análisis estático de la organización basado en la arquitectura de los elementos que forman parte de la organización. El análisis del riesgo sin embargo contempla un análisis dinámico de la Entidad que estudia la organización respecto a su contexto, el alcance de amenazas posibles y las variaciones de estimación que pueden darse respecto a daños o vulnerabilidades a tenor de las circunstancias en las que la organización gestiona sus riesgos. Espero terminar pronto la ponencia y poderla colgar y compartirla con los lectores del blog.

Un saludo y gracias por estar leyendo estas líneas.

Javier Cao Avellaneda.

Steve Jobs, 1955-2011.

Hoy es un día triste para el mundo porque desaparece un creador que con su visión práctica y simple de las cosas ha conseguido que las personas seamos capaces de relacionarnos con las máquinas de otras formas. Como los grandes artistas, su legado durará en el tiempo y sus inventos que ya han cambiado en parte nuestro día a día, ocuparán un ilustre lugar en la historía del desarrollo tecnológico.

Soy cliente y usuario del mundo Apple desde hace poco, no llega a dos años, pero cuando me siento delante del iMac de casa no veo un ordenador, veo un electrodoméstico que abre una puerta al mundo de la creatividad. Aplicaciones como iMovie, iPhoto, iDVD y otras más que vienen instaladas en el sistema operativo forman un ecosistema adecuado para crear. Cierto es que al trabajar a diario con ordenadores (todos Windows), el cambio de entorno  siempre me hace sentir que no estoy trabajando y eso en mi caso es importante porque intento desconectar al llegar a casa. Además, el uso que doy al iMac está relacionado con la gestión de fotografías, de música y video nada más así que sentarme delante es puro ocio. La navegación por Internet ya es algo que hago casi siempre desde el iPad. De hecho, su llegada a casa mató al pequeño netbook que había adquirido un año antes. Una vez que termino algún video recopilatorio de fotos  me siento en el salón a verlo a través del AppleTV. Llevo poco tiempo en el mundo Apple pero me ha cautivado por la belleza de lo sencillo. Además mi filosofía de adquisición de tecnología busca siempre la máxima amortización y desde que compré mi primer y único iPod hace 6 años, todavía no he tirado ningún cacharro y todos están plenamente operativos y nada obsoletos. En el ecosistema Apple todo encaja, todas las piezas aportan, todo se relaciona con todo. Y lo mejor es que de vez en cuando llega una actualización software y te cambia de aparato, como seguramente ocurra la semana próxima cuando instale iOS5 en mi iPhone e iPad o como ya me ha pasado con Lion en el iMac. La unión de hardware+software como un todo es una idea que pasó una factura cara hace tiempo a Apple pero que ahora obtiene muy buenos resultados. El precio es quizás el factor limitante pero supongo que la innovación tiene que amortizarse muy poco a poco a base de incrementar los costes de los productos. No soy fanático de marcas o empresas pero me seduce el diseño, el talento, la innovación y creatividad. 

Todo lo anterior perfectamente puede hacerse con otros sistemas operativos y otras aplicaciones como solía hacer estos últimos años pero la gran diferencia es que ahora ya no pierdo ni un minuto en ser administrador de mi iMac, yo sólo quiero ser un humilde usuario que pierde tiempo en hacer cosas, no en instalar y pelear con la configuración de las aplicaciones. Y desde mi llegada al mundo Apple así ha sido. El equipo es estable, sencillo y robusto. Por tanto los resultados del ingenio y talento de Steve Jobs los disfruto a diario en mi casa y en parte si han cambiado mi manera de ver la tecnología y han hecho realidad su sueño de cambiar el mundo.

Seguramente es pronto pero su último invento, el iPad, creo que será una auténtica revolución en el entorno educativo que durará generaciones. Los Tablet PC existían hace tiempo pero con escasa penetración en la sociedad. De nuevo su producto reinventa el sector y extiende la tecnología entre los menos tecnólogos.

Como homenaje final es adecuado recordar sus palabras en el discurso de graduación de la Universidad de Standford que tanto me marcaron la primera vez que las vi.

Nuestro mundo sería mucho mejor si los modelos e ídolos de la sociedad fueran gente como Steve Jobs y no los grandes y avariciosos brokers y traders de Wall Street. Hacer dinero y ser rico no es malo si es fruto del ingenio, la inteligencia y la creatividad, no producto de la especulación y de la intermediación sin aportar ningún valor a la sociedad.

Descanse en paz, Steve Jobs.