Como (casi) todo hijo de vecino por estas fechas, Security Art Work se va de vacaciones hasta el próximo septiembre, donde habrá más y (si es posible) mejor. Sean buenos, y recuerden ponerse crema solar.

En los tiempos que corren, creo que ya nadie duda de que disponibilidad es seguridad. Por si tenemos aún algún escéptico entre nosotros le invito a que se fije en la foto adjunta e intente preguntárselo a los pobres 22,000 “pollos” (servidores) que por una falta de disponibilidad del sistema de acondicionamiento de aire de su “granja” (CPD) perecieron todos en unas horas y nos dejaron esta siniestra imagen.

La noticia, que fue publicada el pasado mes de junio por distintos medios de comunicación, nos contaba como una tormenta fulminó el sistema automático de ventilación de una granja y los animales fallecieron asfixiados.

(Como off-topic y refresco veraniego, fuera de la temática habitual del blog, nuestro director financiero se ha prestado a colaborar con una entrada de opinión de carácter económico que esperamos les parezca interesante)

Parece ser que definitivamente se ha roto el diálogo social y, con ello, el posible pacto entre el Gobierno, la Patronal y los Sindicatos. Diálogo que durante prácticamente un año han estando manteniendo las cúpulas representativas de todas las partes para intentar alcanzar un acuerdo que ayudara al país, según nos habían vendido, a salir de esta generalizada y profunda crisis económica.

Desde mi punto de vista y sin los suficientes conocimientos de los desarrollos y planteamientos que habrán expuesto las partes, he terminado confirmando mi desencanto personal por la incapacidad, incoherencia y falta de voluntad o de imaginación, de los equipos y líderes que han estado negociando. Sé que es un tema de gran calado social, laboral y económico pero que por desgracia ha concluido condicionado exclusivamente a “cumplir determinados objetivos políticos”. Y no es mi intención tratar de aportar mi modesto diagnóstico en clave política. Quisiera, reconociendo de antemano mis propias limitaciones, circunscribirme exclusivamente al aspecto socio-económico.

Ayer aparecía en la prensa digital una noticia sobre la falta de coordinación entre los diferentes organismos y entes que velan por la seguridad en España, a diferencia de lo que por ejemplo está ocurriendo en Estados Unidos o el Reino Unido, países en los que se ha creado la figura de un mando único, dotado de autoridad y presupuesto, que centralice y marque las líneas de actuación a nivel nacional.
En España, lo que está ocurriendo hasta ahora, es que existen diferentes organismos dirigidos a la respuesta temprana ante incidentes de seguridad informática y la protección de infraestructuras críticas: públicos (CCN-CERT) y privados (La Caixa CSIRT), autonómicos (como el CSIRT-CV, con el que colaboramos activamente) y nacionales (IRIS-CERT, CNPIC —Centro Nacional para la Protección de Infraestructuras Críticas), pero no hay una coordinación formal entre ellos. Incluso las competencias se encuentran repartidas entre tres ministerios: Interior, Industria y Defensa.

Hace años, los que nos dedicábamos de una u otra forma a seguridad solíamos hablar mucho de la seguridad informática: aspectos exclusivamente lógicos, que aglutinaban contraseñas, cortafuegos, sistemas de detección de intrusos, permisos de archivos… importando poco o nada lo que hubiera por encima (usuarios, instalaciones físicas, organizaciones…). Tiempo después pasamos a hablar de la seguridad de los sistemas de información, que venía a ser muy similar pero ya era un concepto en el que se introducía la palabra “información” (un buen avance, ya que la seguridad per se es difícilmente defendible). Con el paso del tiempo, nos fuimos dando cuenta de que lo que que realmente importaba proteger era la información —no exclusivamente los sistemas que la tratan—, tanto desde el punto de vista de lógico como desde otros muchos puntos de vista (humano, organizativo, seguridad del papel…), y dejamos de hablar de seguridad de los sistemas para pasar a hablar de seguridad de la información, algo que se mantiene casi hasta la actualidad.

De un tiempo a esta parte, estamos empezando a dejar de hablar de seguridad de la información para hablar de seguridad de los procesos de negocio, intercalando en muchos casos el adjetivo “integral”. El resumen es muy sencillo: las organizaciones actuales están —o suelen, o deberían estar— orientadas al proceso de negocio, y así una organización ejecutará unos determinados procesos para poder sobrevivir. Si alguno de estos procesos falla de forma considerable, sin importar el porqué, se degrada la seguridad global y la organización se somete a un riesgo determinado, también global. De esta forma, el riesgo global de la organización, R, puede definirse como el sumatorio ponderado de los diferentes riesgos a que están sometidos sus procesos.

— Si al menos me gustase Omaral, me haría gracia la nueva contraseña que le han puesto al servidor de contabilidad.
— Sí, sí, tiene narices que le hayan puesto “Un vuelo eterno a lo kamikaze”; hay que tener ganas.
— Al menos podrían tener haber escogido una canción de El silbido del cuerdo…

John sonrió en su asiento del autobús cuando escuchó la conversación que mantenía el grupo de empleados de Heptatlon Security, correctamente uniformados con el polo corporativo que el nuevo director general había propuesto. “Heptatlon City” —anunció el altavoz del autobús. Uno tras otro fueron bajando todos los trabajadores de la compañía y John se unió a ellos camino de su entrevista de trabajo.

— Menudo día nos espera hoy, intervención esta tarde para el cambio del firewall.
— Pues menudo palo, eso os tendrá toda la noche, ¿no?
— Quita, quita. Hoy cambiamos la cacharrería y mañana con tranquilidad ya definiremos las reglas. Total, por una noche…
— Yo ya no me sorprendo por nada, ni siquiera tenemos el IDS funcionando al 100%…

Los centros WARP (Warning, Advice and Reporting Point) británicos surgen de la misma necesidad de los ISAC de proteger las infraestructuras nacionales mediante la compartición de información sensible, en este caso del gobierno británico. Los centros WARP se centran en prestar servicios a la sociedad en cuatro grandes grupos:

Servicio de alertas seleccionados

Cuando estamos realizando proyectos de seguridad, desde cualquier punto de vista, casi siempre hablamos, en uno u otro momento, con el departamento de Sistemas, Explotación, Informática Interna, o como en cada caso se llame el grupo de personas que gestionan los sistemas y comunicaciones internos a una organización (servidores, aplicaciones, routers…). Este grupo de trabajo —llamémosle Sistemas, para aclararnos— es el que, total o parcialmente, dispone de las contraseñas de acceso privilegiado al entorno tecnológico de la organización, y por tanto es responsable de la custodia y protección de estos passwords.

Los passwords en cualquiera de sus modalidades y con cualquiera de sus restricciones (OTP, envejecimiento…) tienen como objetivo proteger el acceso a la información y a los sistemas que la tratan mediante algo que el usuario sabe. Resulta comprensible, pero chocante, que para estos departamentos la información más sensible de la empresa sea, en la mayor parte de ocasiones, el fichero de contraseñas privilegiadas de las máquinas corporativas. Casi todos utilizan —utilizamos— sistemas cifrados para su gestión (Password Safe, Password Gorilla…), con unas restricciones de acceso en muchos casos durísimas y reservadas únicamente al personal del grupo en cuestión (como debe ser, dicho sea de paso).

Nos van a tener que disculpar; después de acostumbrarles a una entrada diaria, no es justo desaparecer durante casi dos semanas. Como justificación, decirles que julio es ese mes del año en el que todo el mundo quiere dejar sus cosas cerradas antes de irse de vacaciones, incluido un servidor, lo que genera una carga de trabajo extra. En cualquier caso, ya ven que aquí seguimos.

Aprovechando que Google ha decidido, en un intento de atraer clientes corporativos a su plataforma, eliminar la etiqueta “Beta” de algunos de sus servicios, hoy vengo a contarles algunos detalles interesantes sobre Puerto Seguro, principios a los que Google, como prácticamente cualquier empresa americana interesada en gestionar datos de personas de este lado del Atántico, se adhiere (Google adheres to the US Safe Harbor Privacy Principles of Notice, Choice, Onward Transfer, Security, Data Integrity, Access and Enforcement — Política de privacidad de Google). Ya saben cuánto me gusta meterme con Google.