(Continuando con la serie de entrevistas que comenzamos con Dña. Lourdes Herrero, hoy presentamos la primera parte de la entrevista a D. Eusebio Moya, Jefe de la Unidad de Protección de Datos en la Diputación de Valencia, el cual se ha ofrecido a darnos su propia perspectiva de la seguridad de la información en el ámbito de sus competencias enfocadas al novedoso Esquema Nacional de Seguridad)

Eusebio Moya es Licenciado en Derecho por la Universidad de Valencia, habiendo cursado Master en Nuevas Tecnologías de Gestión en la AAPP, contando en su haber con diversas certificaciones en materia de seguridad como CISA y ACP. El grueso de su actividad se ha desarrollado en la Diputación de Valencia, donde ha desarrollado su carrera desde 1987, inicialmente como Técnico en informática, posteriormente como Responsable de Seguridad de Sistemas de Información y actualmente como Jefe de la Unidad de Protección de Datos.

Entre sus muchas funciones la Diputación de Valencia ofrece servicios a los ayuntamientos situados en su ámbito de actuación.

1. Eusebio, a modo de introducción ¿Cuál es la función que desempeña la Unidad de Protección de Datos en la Diputación de Valencia?

La Unidad Técnica de protección de datos nació con la vocación de capitalizar el impulso, dirección y supervisión del conjunto de obligaciones que para la organización suponía el cumplimiento de la normativa sobre protección de datos. De hecho, este modelo centralizador y especialista en la materia fue pionero en el ámbito de la Administración Local o, tal vez, en el conjunto de las AAPP.

Actualmente, y a consecuencia de la normativa sobre administración electrónica, hemos ido incorporando nuevas funciones, como las derivadas del Esquema Nacional de Seguridad, al considerar que las mismas tienen muchos puntos de comunicación con la protección de datos personales y, sobre todo, por aprovechar las ventajas que nos proporciona un modelo organizativo basado en la centralización y especialización citadas, que nos permite conciliar y aunar las diferentes normativas, los procedimientos y los recursos internos.

Como dijo un paisano nuestro en un medio de comunicación, en dos palabras, im-presionante. Este es el calificativo que emplearía para referirme al artículo que se podía leer en la edición de Expansión del martes 26 de abril de 2011 con el titular “Los registros se aseguran ante las multas de protección de datos”. (Por cierto en la edición digital de orbyt de Expansión que está francamente bien).

Si analizamos en detalle el contenido del artículo resulta que el Colegio de Registradores de España ha suscrito una póliza de seguros para cubrir las multas impuestas por la Agencia de Protección de Datos por reclamaciones que les puedan presentar derivadas de incumplimientos de la Ley Orgánica de Protección de Datos y del Reglamento que la desarrolla con un tope de 5 millones de euros anuales, una franquicia de 5.000 euros y un límite superior de 600.000 euros por siniestro y ojo, según se puede leer literalmente en el artículo “La póliza garantiza las consecuencias de actuaciones negligentes, errores u omisiones cometidas en el curso de la actividad profesional y que den lugar a actuaciones por posible incumplimiento de la Ley de Protección de Datos”.

Hace un tiempo estaba charlando con una buena amiga que trabaja en una empresa del sector aeronáutico sobre la tecnología utilizada en comunicaciones, y me vino a la cabeza el tema de la seguridad en la aeronáutica y si se recurría a sistemas antiguos en caso de avería del principal. En ocasiones, trato de buscar similitudes entre la seguridad aplicada en otros campos y la de los sistemas de información, y el mundo de la aviación es, según dicen, uno de los más seguros.

Todos hemos visto numerosas películas de aviones o helicópteros en las que se va produciendo un fallo tras otro y la aeronave se ve precipitada irremediablemente al vacío, hasta que el “prota” consigue, de la forma más inverosímil, hacerlo aterrizar con soluciones al más puro estilo McGyver. Esto me llevó a preguntarle cuántos errores deben encadenarse para que se quede un helicóptero sin potencia. En concreto, cómo se planteaba el tema de la redundancia de los dispositivos básicos para que esto no ocurriera.

Con el presente post nos despedimos hasta el martes próximo; pasen ustedes una feliz Semana Santa y cuidado en la carretera, que no nos sobra ningún lector ;)

Hace ya algún tiempo -bastante- publicamos en Security Art Work una entrada relativa a cosas que escucho en el bus; muchas veces me acuerdo de este post -obviamente porque sigo escuchando cosas interesantes por aquí y por allí- pero hace unos días ya llegué a un extremo que no me había pasado hasta el momento; fue durante un juicio al que acudía como perito. Aparte de lo desagradables que son los juicios, sobre todo los de lo penal y los juzgados de familia, y las horas de espera con poco o nada que hacer hasta que te llaman a declarar -los peritos vamos al final-, siempre me ha llamado la atención la “alegría” con que los abogados dejan a la vista de desconocidos documentación o comentan aspectos del juicio y la estrategia que van a seguir sin ningún pudor, delante de quien sea. Pero este caso ya se llevó la palma; por circunstancias que no vienen al caso, al entrar en el juzgado -que no en el juicio- y comenzar esas apasionantes horas de espera que comentaba, me senté relativamente lejos de nuestro cliente y sus testigos, solo en un banco. Tras unos minutos leyendo el correo electrónico y contestando a algún mail atrasado, llegaron unas personas y se sentaron a mi lado. Por supuesto, enseguida me dí cuenta de que se trataba de la parte contraria, con su abogado a la cabeza, así que no pude por menos que prestar atención a lo que decían :)

Últimamente, tras ciertos problemas con las jaulas chroot en linux, me puse a investigar un poco, y la verdad es que me sorprendió lo rápido que encontré información acerca de “problemas” de seguridad al usar esta herramienta, y entrecomillo lo de problemas porque éstos están perfectamente documentados y realmente la herramienta trabaja como debe hacerlo. Primero de todo, para situarnos en contexto: chroot.

Yo siempre había usado chroot como herramienta de seguridad, como una capa más (nunca como única medida, por supuesto) para evitar que un servicio comprometido ponga en peligro a todo el sistema. Cual es mi sorpresa cuando en multitud de páginas encuentro que si se obtienen permisos de superusuario en la jaula, se puede salir de ella forma trivial. La siguiente frase es lapidaria: “Ability to chroot() implies the ability to break out of it”. Esto no es baladí: si se compromete, por ejemplo, un servidor BIND en una jaula y se consigue el usuario named, y tras esto se aprovecha una escalada de privilegios y el atacante consigue convertirse en superusuario, ya dispone de acceso a todo nuestro sistema, no solo a nuestra jaula. En esta pagina podemos ver varios ejemplos de como salir de una jaula, todos ellos muy simples: Secure chroot.

Como todos los años por estas fechas un nutrido grupo de profesionales del sector nos hemos dado cita en Securmática. Veintidós ediciones del congreso y 20 años de la revista SIC avalan la calidad del evento y de la revista que lo organiza año tras año. Desde este blog no queremos dejar pasar la oportunidad de felicitar públicamente a sus impulsores, José de la Peña y Luis G. Fernández por tan feliz onomástica y por el trabajo que año tras año realizan para impulsar este sector de la seguridad.

Con el titulo este año Seguridad: ¿fiarse o confiar?, al margen de los espacios ya clásicos de gestión de identidades y de los sistemas de gestión de la seguridad, este año hemos asistido a conferencias muy interesantes en el campo de compliance.

Por una parte, D. Rafael García González, Vocal Asesor-Jefe del Área Internacional de la Agencia Española de Protección de Datos estuvo hablando a los asistentes de las novedades que nos vamos a encontrar en la nueva Directiva comunitaria sobre Protección de Datos que no va a tardar en ver la luz. Esta nueva Directiva va a suponer importantes cambios, en mi opinión positivos, en materia de protección de datos de carácter personal, ya que recoge algunos asuntos que la actual directiva y las leyes traspuestas no tratan en profundidad. La verdad es que no hemos acabado de digerir los cambios derivados de la aplicación del nuevo Reglamento de la LOPD y ya estamos empezando a hablar de los cambios que va a traer consigo esta nueva Directiva.

El pasado mes de marzo AENOR publicó la norma UNE 197001:2011, Criterios generales para la elaboración de informes y dictámenes periciales; se trata de una norma muy sencilla y escueta -ocho hojas en total, de las cuales únicamente cuatro son “de contenido”-, cuyo objetivo es establecer una garantía para asegurar que las actuaciones periciales son adecuadas al uso al que se destinan. Obviamente una norma de este tipo no entra al detalle de métodos o procesos específicos para la elaboración de informes en campos concretos, sino que únicamente establece consideraciones generales y requisitos formales para las pericias (aprovechamos para pedir alguna norma específica bajo el marco de UNE 197001 relativa a las pericias informáticas, o tecnológicas en general, que seguro que da para mucho más que un post ;).

Lo que esta norma viene a establecer, como decimos, es tan escueto como la estructura deseable en un informe pericial ajustado a la norma: identificación, índice, cuerpo -compuesto por objeto, alcance, antecedentes, consideraciones preliminares , documentos de referencia, terminología, análisis y conclusiones- y anejos si corresponde; un espacio para el juramento o promesa y unas características para la identificación correcta del informe pericial; poco más, porque desde luego lo que no es de aplicación en UNE, ISO u otros estándares, al menos por el momento -ójala algún día lo sean-, son metodologías técnicas propias (análisis forense, preservación de evidencias, gestión de incidentes -desde el punto de vista pericial-…). En este campo ya jugamos con estándares de facto -además con varios, para poder elegir el que más nos guste- y queda a disposición del buen hacer del perito el aplicar uno, otro o ninguno: seguramente al juez o al abogado le va a dar igual.

La arquitectura de una red empresarial requiere un diseño que permita la separación entre los usuarios, servidores internos y los servidores perimetrales o DMZ. Un diseño básico inicial consiste en un cortafuegos principal que separa el tráfico que va a la red perimetral del que va al resto de redes, existiendo un segundo cortafuegos de distinto fabricante en la entrada de la red de servidores internos, y entre ambos el servidor de VPN. Un esquema resumido sería el siguiente:

Hace unas semanas estuve en las X Jornadas SID, organizadas desde el Ministerio de Defensa; aparte de charlas más o menos curiosas -la valoración global de las jornadas para mí fue bastante positiva-, tenía un especial interés por una mesa redonda que cerraba -justo antes de la clausura oficial- las jornadas y cuyo título era “Convergencia de las seguridades”.

Para ser sincero, quedé un poco defraudado con esta mesa. Hace ya unos cuantos añitos que empezamos a hablar de convergencia por estos lares, tanto en proyectos en los que estuvimos trabajando como incluso en este mismo blog, pero mi impresión a nivel general es que hemos avanzado poco o nada en la materia (viendo la mesa redonda, podría haberse celebrado casi de forma idéntica en 2006 o 2007). Seguimos teniendo, con algunas excepciones, muchos casos de una convergencia only available for Powerpoint: queda muy bien para escribir un libro o para hablar con los amigos, pero en la práctica cada seguridad se la guisa y se la come, como se suele decir, un grupo diferente con poca o ninguna relación establecida formalmente. Ojo, no quiero decir que las empresas que participaban en la mesa redonda estén en dicha situación -no las conozco a ese nivel-, sino simplemente que de la teoría a la práctica suele haber un mundo.

Me encontraba esperando turno en una peluquería a la vez que escuchaba (inevitablemente) como una de las peluqueras hacía un repaso de las novedades semanales de la prensa rosa. Nada de lo que comentaban parecía salirse de lo habitual, pero de repente escuché: [...] bla bla bla … hacker … bla bla bla [...]. Un momento, ¿he oído bien?, ¿hacker?. No soy especialmente cotilla pero me toca admitir que habían captado mi atención, así que, sin mucho descaro, me colé en la conversación. Estaba claro que no iban a estar discutiendo sobre los avances de la Black Hat 2011, pero aún así me sorprendió que, aun sin ellas saberlo, estuvieran hablando sobre cuestiones relacionadas con la seguridad de la información. ¡Un hacker había robado la foto de Shakira y Piqué! ¡Vaya notición! Un hacker desvelando este “gran secreto”, resulta que Shakira y Piqué están liados… nadie lo hubiera dicho.

Dejando de lado la parte “rosa” de la noticia me sorprende ver el impacto mediático que ha tenido la foto y, por si esto no fuera suficiente, más me sorprende saber que la foto para la exclusiva estaba valorada en un millón de euros (100.000 € según otras fuentes…). Éste parece un buen ejemplo para ilustrar las repercusiones económicas que puede tener una mala gestión de la seguridad de la información.