En la mitología griega, había varios símbolos relacionados con la serpiente. Uno es el caduceo, la vara alada de Hermes (el heraldo de los dioses) con dos serpientes entrelazadas, otro es la vara de Asclepio (Esculapio para los romanos), sin alas y con una única serpiente; por último, la copa de Higia, diosa de la salud, también tiene una serpiente enroscada a su alrededor. Sin embargo, en la simbología judaica, la serpiente tenía mala reputación, siendo utilizada como símbolo del mal; concretamente, el demonio que tienta a Eva en el paraíso tenía forma de serpiente (seguramente, si en lugar de tentar a Eva hubiera tentado a Adán, en lugar de la sabiduría le habría ofrecido un iPad, pero esto ya formaría parte de otro post…).

Esta idea que por una parte relaciona la serpiente con la salud y la curación y por otra con la mala reputación, nos viene muy bien para introducir el proyecto SERP de S2 Grupo, que recientemente ha obtenido financiación parcial del IMPIVA (para aquellos cuyo fuerte no sean los idiomas, “serp” significa serpiente en valenciano, catalán, mallorquín… También es el acrónimo de Search Engine Results Page, pero eso tiene poca relación con la mitología…).

El objetivo del proyecto SERP (acrónimo de Semantic Engine for online Reputation Protection) es desarrollar un sistema de monitorización de contenidos que puedan afectar a la reputación online de personas o entidades, y que al mismo tiempo sea capaz de realizar acciones de mitigación y reparación de los contenidos desfavorables.

¿Recuerdan ustedes el post que publicamos hace unos días referente a un correo enviado por una empresa que nos “advertía” de lo importante que es cumplir con la LOPD y al mismo tiempo nos hacía una recomendación de sus servicios a coste 0, para adecuarnos al cumplimiento de la misma, haciendo caso omiso de la LOPD y de la Ley 34/2002, Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico?

Cuando recibí semejante comunicación hice dos cosas: la primera escribir el post que se publicó en Security Art Work y que supongo algunos de ustedes leyeron, la segunda escribir a estos señores un correo, intentando ser amable, en el que intentaba explicarles su error. Trascribo a continuación el correo que les remití:

Como seguramente recuerden, el pasado 12 de mayo tuvo lugar una jornada en la que participamos junto con AENOR y Tecnofor, titulada El papel de los Sistemas de Gestión en las TIC. Durante las próximas semanas iremos incluyendo en el blog las presentaciones que tuvieron lugar. Por una simple cuestión de orgullo, comenzaremos con la mía, que versaba sobre la Continuidad de Negocio, desde el punto de vista de la UNE 71599 / BS 25999. Aunque se pierden los chistes y mi vis cómica, espero que les guste la presentación.

Pueden descargar esta y el resto de presentaciones desde la página de descargas de la jornada.

Ya tenemos con nosotros otro de esos términos que va a dar mucho que hablar y es que definir las cosas de forma concisa y concreta debe costar demasiado trabajo, o tal vez es que quien escribe determinadas leyes considera que no debe “mojarse” en exceso.

El hecho cierto es que el Nuevo Código Penal introduce la responsabilidad directa de la persona jurídica en el caso, entre otros, de delitos cometidos por personal sometido a la autoridad de personas que ostenten la representación legal de la persona jurídica y administradores de hecho o de derecho, propiciados por no haber ejercido el debido control.

En el último post hablábamos de los “típicos tópicos” que todos hemos usado, en mayor o menor medida, a la hora de hablar de seguridad: que si es una cadena que falla si lo hace su eslabón más débil, que si el único sistema seguro es aquél que está apagado, enterrado y no sé cuántas cosas más… Dentro de estos tópicos, también decimos siempre que las personas son, o suelen ser, el punto más débil de la seguridad; efectivamente, yo estoy convencido de que es así, y por tanto, aparte de cortafuegos, sistemas de detección de intrusos, antivirus y demás, algo tendremos que hacer para que las personas no introduzcan riesgos significativos para nosotros. Ya hablamos en su momento del riesgo humano y de la monitorización de personas en base a perfiles que se planteaba en la USAF, post que levantó algunas ampollas y planteaba más de una cuestión que se dejó en el aire :)

Sin ser tan estrictos como en el ejército estadounidense ni entrar en potenciales violaciones de intimidad, creo que todos estaremos de acuerdo en que las personas son un elemento clave para el éxito de cualquier proyecto, empresa, organización, colectivo o mil cosas más; en concreto, desde el punto de vista de protección del negocio, las personas son un aspecto crítico para la seguridad corporativa: de su buen hacer depende que seamos seguros (físicamente, legalmente, reputacionalmente…) o que no lo seamos en absoluto. Por este motivo, como ya hemos dicho en alguna ocasión en este mismo blog, se hace cada vez más importante en nuestras organizaciones la monitorización de las personas, de sus actividades, de sus actitudes y, en definitiva, de todo aquello que pueda repercutir negativamente en nuestra seguridad, así como la aplicación de modelos clásicos de inteligencia para obtener, a partir de datos aislados, información vital para la seguridad corporativa.

La semana pasada estuvimos en la tercera edición de Seg2, el encuentro de seguridad integral que como cada año organiza Borrmart; la verdad es que la agenda del evento pintaba muy bien, con gente de reconocida trayectoria en el ámbito de la seguridad integral -tanto provenientes de la parte física como de la parte lógica-. Tenía especial interés en escuchar a dos referentes de la seguridad en España: Andrés Martín, de NovaCaixaGalicia, y Guillermo Llorente, de MAPFRE; ninguno de ellos defraudó :)

Tras la apertura del evento, comenzaron Andrés Martín y Emilio Santos, de NovaCaixaGalicia, mostrando cómo gestionan la seguridad en su organización, desde un punto de vista integral, con dos cabezas pero con un único cerebro; Andrés, como siempre, sin pelos en la lengua, dejó claro que en general seguimos a algunos añitos de los USA, aunque vamos por el buen camino (detrás de ellos, pero por buen camino). Tras ellos, Jesús Jiménez, Director de Operaciones de EULEN, describió cómo tienen organizado su Departamento de Inteligencia y nos recordó la importancia de la inteligencia en seguridad (otras empresas, como S21Sec o nosotros mismos, también estamos trabajando en este ámbito, con o sin departamento independiente).

Continuamos hoy con la segunda y última parte de la extensa entrevista a Jorge Ramió que iniciamos ayer; confiamos en que sea de su agrado.

5. Como experto en Criptología, una pregunta que no puede faltar. ¿Son seguras nuestras comunicaciones habituales frente a los delincuentes? ¿Podemos estar tranquilos al hablar por el móvil, al enviar un correo electrónico cifrado con PGP o al utilizar la banca online?

Sí, son seguras. La inseguridad es más nuestra, de los humanos, que de los sistemas. Es obvio que incluso el sistema más protegido siempre puede ser vulnerado, que existe malware zero-day y todo eso, la historia nos ha dado muchos ejemplos, pero lo cierto es que el eslabón humano es el más débil de toda la cadena de seguridad, una frase repetida miles de veces pero no por ello menos cierta.

Sin caer en paranoias y hablando siempre de un usuario final que es por donde va tu pregunta, un poco de sentido común y tener el sistema operativo y un antivirus siempre actualizado, debería ser suficiente para no pasar malos momentos. Como usuarios y personas comunes, en el sentido de que no somos un alto cargo del Ministerio de Defensa, ni en la OTAN, ni los directivos de una gran multinacional me refiero, es muy poco probable que suframos ataques directos. En todo caso, serían ataques masivos como por ejemplo un phising de banca online al haberse instalado malware en nuestro PC. Si ese malware está ahí, lo más probable es que no hayamos cumplido la premisa indicada anteriormente: sentido común + S.O. actualizado + antivirus actualizado.

Para los más viejos del lugar no es necesaria ninguna presentación de Jorge Ramió; por si hay alguien que no lo conozca, Jorge es —aparte de un amigo— Doctor Ingeniero de Telecomunicación, profesor de la Universidad Politécnica de Madrid y desde hace más de dieciséis años imparte docencia en el ámbito de la seguridad, tanto en España como en Latinoamérica.

Criptólogo de referencia a nivel nacional, lidera además iniciativas como Criptored, red temática de criptografía y seguridad de la información, es ponente habitual en congresos de todo el mundo y por falta de espacio no podríamos citar ni una milésima parte de sus publicaciones y trabajos en la materia :)

1. Jorge, en primer lugar agradecerte tu colaboración en esta entrevista; es un lujo contar con tu opinión en este blog. La primera pregunta que nos gustaría hacerte es casi obligada. Eres una persona que lleva muchos años en el mundo de la seguridad y podemos considerarte uno de los principales referentes en Criptología a nivel nacional. ¿Cómo has visto la evolución en seguridad en nuestro país durante estos años? ¿Vamos a mejor? ¿Vamos a peor? ¿Seguimos igual?

Hola Toni, es un verdadero placer que de vez en cuando se acuerden de ti y haya gente que se interese por lo que algunos estamos haciendo, o al menos intentamos hacer, en este mundillo de la seguridad de la información. No obstante, primero que nada una aclaración necesaria: suena muy hermoso eso de criptólogo y referente a nivel nacional, pero no llegamos a tanto ni mucho menos. Es más que suficiente indicar que soy un estudioso y trabajador de la seguridad y de la criptografía y que, efectivamente y eso es verdad, llevo más de 15 años dedicado a la seguridad.

La verdad es que no salgo de mi asombro por la cara que pueden llegar a tener algunos individuos. Tal vez no sea cara dura y sea simplemente un grado de insensatez alto. Si fuese así les pido disculpas, pero les recomiendo “que se lo hagan mirar”, en caso contrario, también les pido disculpas, pero en este caso no soy quien para recomendarles nada, ustedes verán…..(Es por esta duda por la que he preferido mantener el anonimato de la empresa en cuestión)

¿A que me refiero? ¿Qué es lo que me ha llamado la atención? Uno de tantos correos que recibimos que, siendo SPAM como la copa de un pino, nuestro anti-spam no lo detecta, porque parece venir de “buena gente” En este caso concreto el correo en cuestión, “pegado” tal cual, es el siguiente:

Recientemente he estado otra vez en un juicio por lo penal como perito; como ya comentamos hace unos días, los juicios siempre son desagradables, pero los penales aún más si cabe, tanto por el “público” que te rodea antes de entrar a declarar -o en ocasiones incluso dentro- como por lo que sabes que se están jugando los acusados: penas de cárcel.

Esta vez, en las largas horas de espera antes de declarar, estaba de nuevo dándole vueltas a una idea que cada vez que voy a los juzgados de lo penal me vuelve a la cabeza: la necesidad de identificar al perito en los informes que firma. Cuando llaman a declarar a un Policía Nacional o un Guardia Civil lo hacen por su TIP (Tarjeta de Identidad Profesional), y lo mismo sucede cuando estas personas firman un informe: jamás se indica nombre o apellidos, domicilio o ningún dato que identifique de forma directa a la persona, por motivos obvios de seguridad; así, nadie identifica a Pepito Pérez, policía, sino al funcionario del CNP con TIP XXXXX. Algo parecido sucede con el personal de seguridad privada: si actúo como Director de Seguridad, dejo de ser Toni Villalón para ser el Director de Seguridad con TIP YYYY.