Se habla cada día más de la seguridad —o inseguridad— relacionada con los dispositivos móviles que todos, en mayor menor medida, llevamos con nosotros en nuestro día a día. Sin duda, nos encontramos ante uno de los principales quebraderos de cabeza que en la actualidad comparten todos los responsables de seguridad, y previsiblemente seguirá siéndolo a medio plazo. Y aunque la amenaza no es nueva, conforme avanza la tecnología aumentan el riesgo y el impacto asociados a ella. Un ejemplo: si hace unos años, lo que podíamos perder (o lo que nos podían robar) era una agenda (de papel, de las de toda la vida), un bloc de notas o, a lo sumo, un par de diskettes, hoy podemos perder gigas de información en un simple lápiz de memoria USB, una detallada agenda electrónica con nuestros contactos, o incluso el portátil en el que tenemos almacenado todo nuestro trabajo.

Nadie pone en duda los beneficios que introducen en nuestro trabajo diario este tipo de dispositivos, pero igualmente nadie pone en duda los problemas de seguridad que nos pueden acarrear; ninguno de nosotros está exento de perder uno de estos gadgets (o chismes, en una posible acepción castellana), así que es imprescindible implantar controles que, en caso de robo o pérdida, minimicen el impacto para la organización. Para empezar, una buena salvaguarda es la definición de procedimientos, normativas, políticas o como les queramos llamar, para regular el uso de estos dispositivos. Estas normas deben marcar el tipo de datos que podemos almacenar en los mismos, las medidas de prevención básicas para evitar un compromiso (robo, pérdida o ataque), los pasos a seguir si dicho compromiso se produce, etc. Además, una medida técnica siempre recomendable es el cifrado de los datos almacenados: se trata de una medida barata y efectiva, que todos deberíamos implantar.

La semana pasada, durante una amena sesión de formación ISO 9001, me tacharon de “paranoico”, “fundamentalista”, y similares por defender los procedimientos duros de verificación (corrección y completitud) de Curriculum Vitae para las personas que van a entrar a formar parte de una organización, lo que se viene a llamar CV Screening; más en concreto, por defender la necesidad de asegurarnos de la completitud de un curriculum.

Mientras que las verificaciones destinadas a comprobar que una persona es lo que dice ser (si yo afirmo ser Ingeniero en Informática, debo aportar “algo” —un título original en este caso— que lo confirme) son comúnmente aceptadas, las que tienen por objeto comprobar que alguien es lo que no dice ser parece que chocan de frente con el derecho a la privacidad de las personas. Un ejemplo: si a un candidato a puesto de mantenimiento —quizás, a priori, no relacionado directamente con la seguridad— le solicito el título de técnico electricista, sin ningún problema lo aportará junto a su Curriculum y podrá ser cotejado por el departamento de Seguridad; si a ese mismo candidato se le pregunta a qué se debe un llamativo “hueco” en su historial, pongamos por ejemplo de tres años y un día, se llevará las manos a la cabeza alegando su derecho a la privacidad, los ataques a su intimidad y no sé cuántas cosas más.

No se si conocen Facebook, empresa que les introduje el otro día sin demasiados detalles. La idea básica del sistema de esta compañía es la de proveer al usuario de un espacio en el que poder “centralizar” sus imágenes, su blog, sus aficiones, sus amigos, etc. Facebook es, junto con MySpace, una de las principales redes sociales de Internet, y ese término seguro que les suena más. La cuestión es que hace unas semanas, esta compañía anunció en qué iba a basar su modelo de negocio, y como no podía ser de otra forma, éste era la publicidad. La verdad es que a este tipo de cosas ya nos estamos acostumbrando, con el omnipresente Google y su publicidad contextual, pero en este caso, le habían dado otra vuelta de tuerca a la idea original.

En pocas palabras, su idea es que si un usuario compra el producto ‘X’, todos los miembros de su lista de amigos —que suelen ser bastantes gracias a las características de estas redes sociales— reciben un mensaje en el que se les indica que tal amigo suyo ha comprado tal producto, en lo que puede pensarse como un aprovechamiento de las sinergias grupales adolescentes, o visto de otra manera, explotación de las tendencias de imitación juveniles. No niego que la idea es buena, pero esa vuelta de tuerca ha resultado demasiado para algunas personas, que están viendo seriamente amenazada su privacidad, e incluso la Unión Europea ha avisado de que podría decir algo al respecto, aunque probablemente, pasará lo mismo de siempre (y no es por criticar).

Reunión en cliente, departamento técnico, durante una auditoría:

—¿Existen especificaciones técnicas adjuntas a los contratos con proveedores?
—Depende del proveedor, pero sí, es habitual.
—¿Y qué se hace con los contratos que es necesario destruir?
—Los llevamos a la destructora de papel que tiene Administración.
—¿Podría proporcionarnos una copia de algún contrato?
—Sí, un segundo… Vale, aquí en la papelera tengo uno para reciclar.

(10 segundos después…)

II Jornada internacional organizada por ISMS Forum
Seguridad de la Información: Una cuestión de Responsabilidad Social Corporativa

Hace tiempo una persona de confianza me propuso dar una conferencia sobre sistemas de gestión relacionados con la Responsabilidad Social Corporativa. Corrían los tiempos en los que empezábamos a hablar del Sistema de Gestión de Seguridad de la Información en serio. Eran tiempos en los que S2 Grupo acababa, con mucho esfuerzo y apuesta personal, de conseguir que Carlos Manuel Fernández en nombre de AENOR, como Auditor Jefe, certificase en base a la recién nacida UNE 71502 el Sistema de Gestión de Seguridad de la Información de Francisco Ros Casares, la primera certificación de este sistema en España. La verdad es que en aquel momento me pareció una idea interesante. Me pareció que teníamos algo que decir, que teníamos que hablar de los nuevos sistemas de gestión (el de seguridad) y su relación con la Responsabilidad Social Corporativa (RSC).

… cuecen habas.

Y si no, que se lo digan a Gordon Brown, primer ministro británico, que como suele decirse, y perdónenme el lenguaje y el chiste fácil, tiene un buen brown entre manos. Porque a ver cómo le explicas a veinticinco millones de británicos que has perdido un CD con sus datos personales y bancarios, al parecer, para siempre. Vamos, que no sabes dónde está ni tienes esperanzas de encontrarlo. Digamos que es algo más delicado que decir algo como: “Sí, los hemos perdido, pero no se preocupen que sacamos otra copia y la volvemos a mandar”…

Para mañana, les tengo preparado un comentario crítico sobre la II Jornada Internacional de ISMS Forum Spain: “Seguridad de la Información: Una cuestión de Responsabilidad Social Corporativa”, por parte de José Rosell, y que tuvo lugar ayer martes. No se la pierdan.

Hemos hablado en este blog varias veces de Google y el almacenamiento masivo de datos de carácter personal que lleva a cabo a través de sus servicios de búsqueda, blogs, calendario, correo electrónico, etc.; de sus más que cuestionables políticas de retención de datos, o del hecho —al César lo que es del César: de esto no tienen ellos la culpa— de que sea relativamente sencillo sacar gran cantidad de datos personales utilizando su búsqueda (lo que me dió por llamar LOPD Google Hacking). Incluso recordarán que hace unas semanas, a raíz del video de un discapacitado, la AEPD decidió echarle un vistazo a Google y entrar en el asunto, aunque poco más se ha sabido de ello.

Cambiando de sospechoso habitual, hoy leía en BITácora que Facebook está siendo investigada por la autoridad de protección de datos de UK, al parecer por aplicar una política de retención de datos algo dudosa; para que lo entiendan, es algo así como «Vaya, esto sí que es curioso. Me he vuelto a registrar seis meses después de haberme dado de baja… y los datos de mi perfil siguen estando aquí». El caso es que no me extrañaría que en los próximos años, a causa del creciente uso de datos de carácter personal con fines publicitarios y comerciales que hacen estas “redes” (de algún sitio tiene que salir el dinero en el mundo 2.0.com), de lo que les hablaré en breve, veamos un aumento de las quejas y denuncias con respecto a la gestión que estas webs hacen de los datos de sus usuarios (o “afiliados”).

¿Se acuerdan que el otro día les comentaba que el punto básico de la seguridad, desde cualquier punto de vista, es la concienciación del usuario? Bien, pues he cambiado de opinión, y he estado elaborando una lista de medidas que demuestran que podemos evitar de manera eficaz y segura la fuga y el robo de información sin contar con el usuario. Síganme.

Uno. La primera medida a adoptar es, por supuesto, la inhibición de los puertos USB, disketeras y eliminación de cualquier grabadora de CD o DVD. Esto es particularmente sencillo. Es posible que tenga que hacer frente a usuarios de cierto rango que protestan, particularmente, por no poder utilizar los puertos USB, para llevar presentaciones o extraer informes y trabajar en casa. Por supuesto, prescinda de cualquier dispositivo que utilize un interfaz USB, tal como ratones, teclados, impresoras, etc., aunque ese es un mal menor. Ignore estos pequeños contratiempos.

Ayer, mientras mantenía una reunión de seguimiento con compañeros de trabajo, surgió el tema de qué es un “evento LOPD” y cual es la finalidad de su registro; si es posible, factible o incluso razonable delimitar claramente y registrar (todos) los eventos de tipo LOPD en una organización, con oposición a otros tipos de sucesos. En este sentido, no quiero limitar el concepto de “evento” a “incidencia” en el sentido entendido por el artículo 10 del RMS, “Registro de incidencias”, sino que dentro de la idea de “evento” estoy incluyendo todas aquellas situaciones recogidas por dicho artículo —pérdida de una contraseña, fallo en una copia de seguridad, detección de una intrusión, pérdida de un soporte, ejercicio de derechos ARCO, etc.— más cualquier otra que sin suponer una incidencia, afecta igualmente a la confidencialidad, integridad y disponibilidad de los datos de carácter personal: solicitud de acceso a determinada ubicación de acceso restringido, movimiento de un soporte entre distintos CPDs, realización de pruebas de recuperación, pérdida de disponibilidad de una máquina, etc.

Hay que empezar diciendo que la identificación de todos y cada uno de los “eventos LOPD” sería una tarea casi interminable no sólo por la cantidad sino por la “calidad” (¿es la permanencia de un listado de personal en una impresora durante más de 5 minutos un “evento LOPD”? ¿Y la caída de un switch en una zona de producción industrial? ¿Y la ausencia de un sensor de temperatura en un CPD? ¿Sí? ¿No? ¿Depende?), y no me malinterpreten; un registro de incidencias y/o eventos completo y en tiempo real es vital para una buena gestión de explotación y de seguridad: peticiones de instalación de software, caídas de red, fallos en los equipos, pérdida de fluído eléctrico y puesta en funcionamiento del SAI, recuperación de datos LOPD y no-LOPD, pruebas de contingencia, actualización del antivirus, detección de ataques, migración de sistemas, etc. Ello permite realizar un seguimiento de las tareas, cumplir con las SLA (Service Level Agreements) acordadas con los clientes y dar un servicio de calidad. Imagino que estamos de acuerdo.

Estaba hace un par de noches viendo la televisión, y ante el maravilloso panorama televisivo que tenemos en este país, decidí dar una vuelta entera por todos los canales; la cuestión es no irse a dormir. Y así seguí un par de veces, hasta que me detuve por curiosidad en uno de esos canales locales en los que cuando no están haciendo tarot televisado están pasando una película porno barata. En este caso no tuve suerte y estaban haciendo tarot, así que me quedé viéndolo diez minutos. Aparte de lo divertido que resulta ver cómo el sujeto de la pantalla en cuestión manipula al oyente para sonsacarle la información (hay algunos realmente hábiles, aunque tampoco crean que soy un forofo de este tipo de “programas”), me sorprendió lo que pasó con una llamada:

—Sí, parece que tenemos una nueva llamada. Dime, bonica.
—Hola. Verás, me han operado del riñón hace unas semanas y quería saber si todo va a ir bien.
—Lo siento mucho, pero ya sabes que desde hace algún tiempo en antena ya no atendemos problemas de salud.
—…