Dentro de la serie GOTO, comenzada recientemente en este blog, quería dedicar hoy un post a las metodologías de análisis de riesgos; personalmente he trabajado con algunas de ellas -con demasiadas- y, si les digo la verdad, ninguna me convence realmente. Las hay sencillas, las hay complejas (sí, estoy pensando en MAGERIT :), las hay mejores y las hay peores, pero en todas hay aspectos, bajo mi punto de vista, manifiestamente mejorables. Para empezar, y aunque quizás sea lo menos importante… ¿por qué no se ponen de acuerdo en la terminología? ¿Por qué Mosler habla de “bienes” y MAGERIT de “activos”, por poner un ejemplo? ¿Por qué a lo que en unas metodologías se le llama “amenazas” en otras se le llama “riesgos”? Sinceramente, este es un tema únicamente produce confusión… ¿tan difícil es ponernos de acuerdo?

Hablando ya de cosas más serias, una cosa que me toca las narices es que en ninguna metodología (ni fuera de las mismas) me he encontrado un catálogo de amenazas decente. A día de hoy, que a todos se nos llena la boca hablando de seguridad integral, holística, global o como le queramos llamar, aún no he visto un catálogo de amenazas integral de verdad, que cubra todos los posibles problemas de una organización, sin focalizarse en aspectos físicos o lógicos en exclusiva… Creo que hasta que esto no exista, mal vamos a la hora de analizar riesgos desde el punto de vista de la protección del negocio: únicamente haremos análisis parciales, y deberemos realizar tres o cuatro visiones diferentes para hacernos una idea del mapa de riesgos de nuestra organización… Ojo, sé que es fácil criticar sin aportar alternativas y que cerrar un catálogo de este tipo es complejo, pero algún día habrá que hacerlo, ¿no? (yo estoy intentándolo, cuando consiga algo decente lo colgaré aquí… o no :).

En los últimos años el panorama global de la seguridad ha sufrido grandes cambios que afectan, tanto a la percepción que la sociedad tiene de la seguridad, como a la forma en la que organizaciones de todo el mundo plantean sus estrategias de seguridad.

Sin duda alguna, los lamentables atentados del 11-S contra el World Trade Center neoyorkino hicieron tambalear los principios básicos de seguridad —en todos los sentidos— que hasta entonces habían predominado en la materia; si hasta ese momento la seguridad estaba dividida en parcelas perfectamente delimitadas, sin ninguna relación necesaria a priori entre ellas, y cada una preocupada en luchar contra unas amenazas palpables y relativamente predecibles (accesos físicos, robos, seguridad perimetral, piratas…), a partir del once de septiembre de 2001 el panorama internacional de la seguridad dio un vuelco que, hoy en día, debido a factores como la globalización de la sociedad o la ubicuidad de las organizaciones, ya se considera irreversible.

Cuando le preguntaron a Albert Einstein cómo creía que sería la tercera guerra mundial, respondió que no sabía cómo sería la tercera, pero que la cuarta sería con palos y piedras. Él pensaba, lógicamente, que la tercera sería nuclear y, por tanto, que acabaría con nuestra civilización.

Stanley Mark Rifkin era un consultor informático free-lance, que con sus conocimientos y haciendo uso de técnicas de Ingeniería Social consiguió, en 1978, llevar a cabo el que hasta el día de hoy es el robo más grande de un banco en la historia de los Estados Unidos. Déjenme que les cuente y verán lo interesante que es su historia.

A los 32 años de edad Stanley Rifkin trabajaba para numerosos clientes, siendo uno de ellos una firma que había realizado unos trabajos de consultoría en el Security Pacific National Bank, con sede en Los Ángeles, California. En una sala del nivel D de dicha sede se encontraba la Unidad Uno de Operaciones, una red nacional controlada por la Junta de la Reserva Federal, agencia gubernamental que permite a los bancos transferir fondos de un banco a otro en los Estados Unidos y en el extranjero. Al igual que otros bancos, Security Pacific National Bank tenía implantados ciertos controles de seguridad, en este caso un código numérico que cambiaba diariamente y que permitía autorizar las transferencias.

Aprovechando que es viernes, se acerca la Navidad y para bien o para mal vamos desconectando poco a poco del trabajo, vamos con un par de ejemplos fáciles de cómo no hacer las cosas. Por partes.

Si viven ustedes en Valencia, verán que la Empresa Municipal de Transportes (EMT) ha sustituido las tarjetas de Bono Bús, habitualmente de cartón, por tarjetas de plástico contact less (ignoro los detalles de la tecnología), no sólo mucho más aparentes estéticamente (eso es lo de menos, en realidad), sino que entre otras cosas permiten ser recargadas con más de 10 viajes, y si se registra el soporte, aunque el soporte se pierda los viajes son recuperables (asumo que la tarjeta original deja de funcionar, porque en otro caso la picaresca daría lugar a situaciones del tipo “¿y si perdemos mi tarjeta?”). Además, para facilitar e incentivar la “migración” a los nuevos soportes, si registras el número de la tarjeta llamando al número de atención al cliente de las oficinas centrales de la EMT, el coste de la tarjeta (2 euros), se reembolsa en forma de viajes directamente en la tarjeta. Hasta aquí, bien.

Me encanta la iniciativa GOTO de Toni y, sin ninguna acritud, me uno a ella para darles mi visión de episodios profesionales que nos toca vivir con más frecuencia de la que sería deseable. Hablo, en este caso, de los Consultores de la LOPD, una clase especial de consultores de seguridad, mitad abogados, mitad técnicos y al final en muchos casos, desgraciadamente, ni lo uno, ni lo otro.

Si como ha dicho Toni en su post el “Consultor Junior” es por definición un oxímoron y como tal, lo único que nos puede traer es algún que otro problema, además de un trabajo relativamente mal hecho por muy importante que sea la firma para la que trabaja, el caso se complica cuando lo que hace el supuesto consultor es implantar un Sistema de Gestión de la LOPD o auditar la LOPD de una organización.

En este caso la LOPD es como todos ustedes saben una ley, y por tanto de obligado cumplimiento, aunque a veces no lo parezca. Además, en el caso de nuestro país, está acompañada por un reglamento que para ser de mínimos es bastante exigente, y de un régimen sancionador que pone los pelos de punta al que se lo estudia con un poco de detalle.

Ya hemos comentado en este blog algunos aspectos relativos al Esquema Nacional de Seguridad. A saber, origen, alcance, finalidad, actores involucrados y un resumen de contenidos. Quería ahora centrar el foco de atención en uno de los aspectos que considero más destacados dentro del Esquema Nacional de Seguridad. Me refiero a la figura del Responsable de Seguridad que define el propio Esquema.

Creo que es obvio que toda tarea que no tenga un responsable detrás corre el riesgo de no ser ejecutada convenientemente, o simplemente no ser ejecutada. Solo por este hecho la necesidad de que exista la figura del responsable de seguridad en el contexto del Esquema Nacional de Seguridad es obvia y, por el bien de la seguridad, es además imprescindible.

(Aprovechando que uno de nuestros amigos y antiguo cliente se encuentra embarcado —nunca mejor dicho— en una aventura de vuelta al mundo a vela (web y blog), y para cambiar un poco de registros, Guillem se lanza a la piscina con una entrada sobre la seguridad en el mar, dado que es aficionado al windsurfing)

La mayoría de las personas navega a diario por Internet, tomando —no siempre, desgraciadamente— unas mínimas precauciones de seguridad que aseguran la integridad y la privacidad de sus datos en la red. Pues bien, aprovechando este paralelismo con la navegación en el mar, les voy a exponer un conjunto de normas básicas a seguir y que deben tener siempre presentes a la hora de practicar windsurfing (surf a vela), y por extensión a la hora de navegar con cualquier embarcación. El primer paso que debe realizar si decide practicar windsurfing es matricularse en un curso de iniciación para que un profesional le instruya, y así adquirir los conocimientos básicos necesarios, para más adelante poder practicarlo por su cuenta.

Con el fin de promover las nuevas tecnologías y dar impulso a aspectos como la seguridad de la información dentro de este ámbito, se han establecido una serie de ayudas y subvenciones tanto de carácter autonómico como nacional aplicables a la implantación de la norma ISO 27001, que probablemente muchos de ustedes conozcan, independientemente si se trata de consultoras o de clientes. A continuación les muestro un breve resumen de las distintas ayudas y organismos gestores, aunque no tengo constancia de que haya alguna convocatoria abierta en estos momentos.

No sé ustedes, pero yo siempre he tenido la sensación de que, de todas las vertientes de la seguridad, la correspondiente a la seguridad organizativa es el patito feo.

La seguridad física ha tenido un peso importante desde siempre. Si en la época de los grandes mainframes tenías adecuadamente securizado tu CPD, tanto desde el punto de vista de los parámetros ambientales como desde el punto de vista del control de acceso físico, te podías ir a dormir tranquilo a casa (y aún así, cuando vas haciendo auditorías por esos mundos de Dios, te encuentras algunas “salas de servidores” que te dan ganas de ponerte a llorar…).

La apertura de los sistemas centralizados a Internet trajo consigo la preocupación por lo que nos podían hacer “desde fuera”. Ya no era necesario tener acceso físico a los servidores para poder poner en peligro la seguridad de nuestros sistemas y la de la información que alojaban; ahora cualquier sujeto en cualquier parte del mundo podía hacerte una visita con malas intenciones.

Y por último yo diría que en España la aparición de la LOPD —a mi juicio la LORTAD no consiguió apenas que las empresas se sintieran afectadas salvo casos evidentes— y la LSSICE fueron el detonante que hizo que las organizaciones se dieran cuenta de que, aunque su CPD fuera seguro y aunque se hubiese definido una adecuada seguridad perimetral, podían estar expuestos a otro tipo de amenazas de índole legal, que podían tener en ellas un impacto brutal, y no sólo económico, sino también de imagen o reputacional.