El parcheado de los sistemas informáticos es una de las medidas mas importantes de seguridad que deben seguirse e implantarse en cualquier organización. Recientemente hemos podido ver como grandes organizaciones gubernamentales han sufrido incidentes de seguridad por propagación de gusanos, que podían haberse evitado en gran parte de una manera sencilla simplemente aplicando los parches. Si están pensando lo mismo que yo, se preguntarán cómo es posible que cualquier usuario domestico mantenga actualizado su equipo siempre que sale una vulnerabilidad y en estas organizaciones no apliquen el parcheado de manera correcta.

Francamente, no tengo la respuesta a la pregunta, pero en esta entrada pretendo hablar de cuáles son los problemas a los que los administradores TIC se deben enfrentar cuando tratan de implantar políticas de parcheado. A estos problemas los voy a llamar “Los enemigos de los parches”, que les detallo a continuación:

Como ya les he dicho alguna que otra vez, cualquier blog que se precie tiene derecho a una dosis periódica de autobombo, ombliguismo o como quieran llamarlo. Al fin y al cabo, los blogs, o las bitácoras si prefieren el término castellano, no serían lo mismo si no sirviesen para alimentar el ego de su autor. Si además sirven para algo más, tanto mejor. Y si hay una razón de peso para hablar de uno mismo, entonces es todavía mejor, porque no es necesario justificarse, algo que acostumbro a hacer a menudo. En breve verán cuál es esa razón de peso; sigan leyendo.

Comencé en esto de los blogs hace aproximadamente cinco años y medio, con un blog personal que aunque empezó tímidamente, en ciertas épocas tuvo una frecuencia de actualización más que decente. No obstante, Security Art Work, en la mitad de tiempo, blog del que soy editor y principal colaborador, ha conseguido muchos más lectores y suscriptores de los que yo aspiraba para el mio personal. Eso me hace sospechar que quizá algo o alguien me esté sugiriendo que lo que tengo que contar de mí no resulta tan interesante como lo que tengo que contar de mi trabajo, al menos para el resto del mundo. Por si los números no fueran evidencia suficiente, hoy hemos recibido el premio al Blog promotor de las TIC de la 11ª Noche de las Telecomunicaciones Valencianas 2009, lo que es la razón de peso de la que les hablaba al principio y algo que, como diría aquél, me llena de orgullo y satisfacción.

En estos meses, en los que la crisis (o la desaceleración) planea sobre nuestras cabezas, y a diario vemos cómo empresas de todos los sectores realizan ajustes de plantilla, abren expedientes de regulación de empleo, o incluso echan el cierre, la seguridad juega un papel fundamental para garantizar que el negocio -o lo que quede de él- sobrevive a las vacas flacas… IMHO, la seguridad debe ser una de las cosas en las que el presupuesto de una organización no se reduzca, o se reduzca lo mínimo posible, para garantizar la protección del negocio; de todos es sabido que cuando las cosas van mal, la delincuencia aumenta, y por tanto debemos protegernos mejor. La probabilidad de que en esta época que corremos tengamos un empleado que nos roba información, a la competencia viéndonos como un enemigo a eliminar -en el sentido figurado-, o a una mafia tratando de hacernos un phishing, es muy alta, con lo cual no podemos descuidar nuestra seguridad; es más, yo trataría de incrementarla.

No obstante, cuando una empresa tiene que ajustar al máximo su presupuesto global, la partida destinada a seguridad tiende a reducirse a una mínima expresión. ¿Y qué es esa mínima expresión? Como siempre, depende… Volviendo al post de la Pirámide de Maslow de la Seguridad, la mínima expresión de la seguridad consistirá, posiblemente, en mantenerse en el nivel en el que nos encontrábamos con anterioridad. Nada de mejorar, nada de incrementar nuestros niveles… supervivencia pura y dura. Es más, en muchas ocasiones, si no retrocedemos en el nivel que teníamos, ya podemos estar contentos… Pero, ¿qué es preferible en estos tiempos, tratar de avanzar, o reforzar lo que hemos conseguido? Creo que depende de muchos factores, y en el equilibrio está la virtud… Bajo mi punto de vista, no tiene sentido tratar de avanzar si no podemos reforzar lo que vamos consiguiendo; así, la seguridad sería una especie de galería minera: mucho más importante que alargar el túnel es apuntalar lo que ya hemos avanzado, para evitar un derrumbe. Ojo, con esto no quiero decir -sigan leyendo- que no tratemos de mejorar permanentemente nuestra seguridad con la excusa de la crisis; simplemente que lo hagamos con cabeza (más de la habitual), sabiendo dónde invertimos nuestros recursos, y por supuesto -ahora más que nunca- sin dejar de mirar para atrás, garantizando que la galería está bien apuntalada. Innovemos y busquemos soluciones creativas a nuestros problemas.

Hasta hace poco, se preocupaban por su identidad pública sólo los personajes públicos: artistas, políticos, celebridades en general, disponen muchas veces de sus asesores de imagen, sus relaciones públicas, puestos cuya responsabilidad incluye cuidar de la imagen de sus clientes, asegurándose la construcción de un “personaje” que sirva a los fines económicos o al ego de la persona.

No tengo muy claro si, con la proliferación de famosos, el negocio de los asesores ha aumentado o simplemente se las arreglan por sí mismos, pero esto de la identidad pública sigue sin afectar a la mayoría de las personas “normales”, porque nos relacionamos con personas en nuestro entorno físico más próximo y controlamos bastante bien quién tiene acceso a qué información sobre nosotros y qué cara queremos poner ante diferentes personas y en diferentes entornos.

Pero el mundo digital es diferente. Poco a poco, nos estamos construyendo una identidad en la red. Participamos en redes sociales como Facebook, Linkedin o Xing, donde tenemos perfiles públicos y privados. Aparecemos en noticias en medios cuando participamos en algún evento, aunque solo sea en los sitios Web de la organización. Nuestras multas se publican en el boletín de nuestra provincia. ¿Pertenecemos a alguna asociación? ¿Hemos escrito algún artículo? ¿Participado en un foro de nuestra especialidad? Todo ello deja huella en la red y, una vez allí, es muy probable que permanezca durante años, aun en contra de nuestros deseos. Y las nuevas generaciones lo van a tener más crudo, ya que han empezado a tener presencia digital desde bien jóvenes.

Y no tenemos demasiado control sobre toda esa información. Ni planificamos el contenido, ni le prestamos demasiada atención, dejando aparte el puntito de narcisismo que nos hace “googlear” nuestro nombre de vez en cuando.

Sin embargo, esta información construye un perfil en la red que, cada vez más frecuentemente, es consultado por otras personas. Empieza a ser una práctica común buscar información sobre un candidato a un puesto de trabajo o una posible relación personal. ¿Deberíamos empezar a preocuparnos de ese perfil? ¿Qué impacto puede tener una información inapropiada sobre nuestra persona en nuestras relaciones profesionales o en la marcha de nuestro negocio? Puesto que, en mi opinión, es inevitable tener una identidad digital, ¿no debemos ser conscientes de ella y empezar a cuidarla?

(Al respecto, son interesantes los libros de Daniel J. Solove, publicados gratuitamente y que ya hemos mencionado en alguna otra ocasión: The digital person. Technology and privacy in the information age, y The future of reputation: gossip, rumor and privacy on the internet).

(Imagen por FredCavazza.net)

Según un estudio de Forrester, publicado en el tercer trimestre de 2008, la previsión de gasto en seguridad para 2009 mostraba una tendencia claramente ascendente, aunque a raíz de la crisis económica mundial es posible que dicha previsión se aleje de la realidad más de lo esperado. A continuación les resumo brevemente las principales conclusiones del estudio, que pueden obtener, previo pago, en este enlace de Forrester.

De manera general, tal y como puede verse en la gráfica de la izquierda, entre 2007 y 2008 (sobre un muestreo de corte radicalmente diferente), la parte del presupuesto informático ligado a los gastos en seguridad progresó de una manera importante, pasando de 7,2% al 11,7%. Este aumento que puede interpretarse como la toma de conciencia por parte de las empresas de la necesidad de inversión en seguridad.

Según el informe, este crecimiento del gasto continuará durante 2009, un dato que probablemente puede sorprender, ya que tradicionalmente los presupuestos ligados a las inversiones en Tecnología de la Información son revisados a la baja en tiempos de crisis. Una de las posibles explicaciones para dicha previsión podría ser el hecho de que el estudio de Forrester fuese realizado en el transcurso del tercer trimestre del 2008, cuando se desconocía parcialmente la magnitud de la crisis económica (como evidencia de este hecho, en septiembre de 2008 la Fed tenía los tipos de interés oficiales en el 2%, y el BCE los mantenía en el 4,75%, cuando los valores actuales son del 0%-0.25% y 1% respectivamente).

Entre 2008 y 2009, la estimación es que la asignación de medios otorgada a la seguridad debería permanecer estable. Sin embargo, hay dos ramas de IT que se benefician de una ligera alza: Se trata de la Innovación (I+D+i) y los servicios externos, entendidos éstos como servicios gestionados, consultoría y outsourcing.

El miércoles se nos fue la abuelita de Internet.

Y ustedes dirán: ¿Y qué tiene que ver esto con la seguridad, con los SGSIs, con las políticas de privacidad? Bueno, pues tenía un blog que le regaló su nieto, a lo mejor va por ahí el post…

Se llamaba María Amelia, y era de Muxía. “Mi nieto, que es muy cutre, me ha regalado un blog“, dijo. En estos días, en que parece que Internet es sólo una fuente de malware, de usos malintencionados, de tráfico ilegal de datos personales, de venta y compra de datos, de peligros para los jóvenes… creo que este es un ejemplo de que también puede ser algo positivo. Ese regalo supuso para María Amelia una puerta de salida a su soledad, una ventana de aire fresco, le trajo alegrías, conocer mucha gente, hacerse famosa, demostrar que una persona “mayor” e internet no son incompatibles… Pero sobre todo sirvió para demostrar al mundo que la alegría, las ganas de vivir, la fuerza de una persona no están en su cuerpo, están en su espíritu.

Hasta siempre, María Amelia.

P.D. No se pierdan los audios de su blog. Nos vemos el lunes, sean buenos.

Ya comentamos en otro post que, como empresa consultora que implanta SGSIs en sus clientes, hemos detectado que en muchas ocasiones el cliente tiene opiniones preconcebidas sobre el proceso de implantación que no se ajustan a la realidad. También es cierto que, además de esos conceptos previos, hay problemas con los que una se encuentra durante el proceso de implantación, y para los que hace falta cierta ‘mano izquierda’. A los lectores que hayan implantado o participado en la implantación de un Sistema de Gestión de Seguridad de la Información, bien en la parte de cliente, bien en la de consultoría, seguro que no les descubrimos demasiadas cosas nuevas (y en algunos casos es posible que se reconozcan en la entrada), pero al resto quizás les resulte de mayor utilidad. Dicho esto, pasemos a esos “problemillas”…

La verdad, llevo unos días algo preocupado. Andaba yo estos días buscando una buena compañía para cambiar mi seguro de hogar, y la experiencia acumulada con este tipo de proveedores obliga a buscar no sólo un buen precio, sino un servicio que dé los menos problemas posibles en caso de necesidad. Normalmente firmamos las cláusulas sin reparar mucho en ellas, y además la reducción a niveles ínfimos del tipo de letra de estas hace que, para un humano normal, sea más que difícil leerlas. Pues bien, después de encontrarme con varias frases imposibles de descifrar hechas por y para letrados, llegué a este punto en el apartado de Exclusiones Generales:

No sé si recordarán el revuelo que se armó hace unos meses, cuando Facebook decidió cambiar su política de propiedad intelectual, en la que se indicaba que el usuario concedía una licencia irrevocable y perpetua a Facebook para la utilización de cualquier contenido que éste subiese a la red social. Al final, y a causa de las presiones y el mal ambiente que se creó, Mark Zuckerberg tuvo que recular, y efectivamente los términos de uso actuales de Facebook hablan de una licencia “non-exclusive, transferable, sub-licensable, royalty-free, worldwide license”, lo cual es, dentro de lo razonable, asumible.

Imagino que conocen Tuenti, una red social de origen español que está llamada a competir con Facebook, y no sólo en número de usuarios, sino también en el uso de ciertas “licencias”. Podría decirse que estar en Tuenti es hoy en día imprescindible para cualquier universitario o adolescente que se precie. Su funcionamiento es muy similar a Facebook (por utilizar el referente más claro) —incluyendo la *aparente* indefinición de un modelo de negocio claro que sustente los costes de explotación—, pero se diferencia en que el acceso es por invitación, por lo que no existe la opción de crear una cuenta nueva; necesitarás que un miembro de ésta te invite. Esto garantiza que el círculo de contactos con el que te mueves en la red social es similar al del Mundo Real^TM y no está lleno de gente que apenas conoces o que ni siquiera has visto en tu vida.