En una charla a la que asistí hace unos meses sobre continuidad de negocio, uno de los ponentes clasificaba los métodos que existían a la hora de afrontar la materialización de un escenario de siniestro en los siguientes:

• Método israelí: atajar el problema como sea (“enemigo muerto, trabajo bien hecho”).
• Método americano: desplazar a un técnico al campo de trabajo y hacer un procedimiento. A partir de ese momento el procedimiento es sagrado.
• Método británico: el que se desplaza es un segundo del técnico (vestigios del Imperio…).
• Método español: Vamos y lo intentamos arreglar. Después, si podemos, haremos el informe, y el procedimiento….uff, eso ya veremos.

El miércoles se nos fue la abuelita de Internet.

Y ustedes dirán: ¿Y qué tiene que ver esto con la seguridad, con los SGSIs, con las políticas de privacidad? Bueno, pues tenía un blog que le regaló su nieto, a lo mejor va por ahí el post…

Se llamaba María Amelia, y era de Muxía. “Mi nieto, que es muy cutre, me ha regalado un blog“, dijo. En estos días, en que parece que Internet es sólo una fuente de malware, de usos malintencionados, de tráfico ilegal de datos personales, de venta y compra de datos, de peligros para los jóvenes… creo que este es un ejemplo de que también puede ser algo positivo. Ese regalo supuso para María Amelia una puerta de salida a su soledad, una ventana de aire fresco, le trajo alegrías, conocer mucha gente, hacerse famosa, demostrar que una persona “mayor” e internet no son incompatibles… Pero sobre todo sirvió para demostrar al mundo que la alegría, las ganas de vivir, la fuerza de una persona no están en su cuerpo, están en su espíritu.

Hasta siempre, María Amelia.

P.D. No se pierdan los audios de su blog. Nos vemos el lunes, sean buenos.

Hace ya unos días apareció en prensa una noticia que me parece interesante comentar. El titular es bastante efectista: “Los jefes podrán controlar el correo electrónico de los empleados (…)”.

La noticia recoge la aprobación en Finlandia de la conocida como “Ley Nokia”, debido a que fue esta empresa la que desde hace un par de años ha estado presionando al gobierno finés para que se modificara la ley de protección de las comunicaciones electrónicas, y que así una empresa u organismo público pudiese investigar el uso que del correo electrónico hacen sus empleados. El revuelo consiguiente es comprensible, tanto en un sentido como en otro, y es fácil encontrar opiniones que justifican la medida y otras que piden el boicot a la marca y que nadie se vuelva a comprar un Nokia en su vida…

Ahora que está tan de moda la Responsabilidad Corporativa y el Buen Gobierno (ver la reciente entrada de José Rosell), parece que los eventos que estamos viviendo a nivel mundial se empeñan en demostrarnos que éstas brillan por su ausencia, o que al menos se están entendiendo más como una moda o una cuestión de imagen de cara a la galería, que como un compromiso real. Sólo así se entienden hechos como el desplome financiero de grandes (y hasta hace poco, reputadísimas) entidades financieras que han incurrido en situaciones de riesgo operacional tan irracionales como irresponsables, o problemas como los que está sufriendo Islandia. Estos acontecimientos hacen cada vez más patente la necesidad de supervisión y control interno real en las organizaciones, y remarcan la necesidad (y al mismo tiempo, su insuficiencia) de la existencia de leyes como la SOX; evidentemente mejorables, pero imprescindibles.

Aunque también habría que implantar controles relacionados con la Responsabilidad Moral o Ética para algunas de estas empresas y sus directivos, pero para esto, así a bote pronto, me cuesta más plantearme el diseño de los controles. Discúlpenme, pero necesitaba desahogarme.

Últimamente parece que estemos un poco obsesionados con la seguridad alrededor de los portátiles. Han habido varios posts al respecto. Hemos hablado del auge de su protagonismo como activos a proteger, por el aumento de la extensión de su uso, no sólo por parte de gerentes y ejecutivos —que transportan en ellos información muy confidencial de sus organizaciones— sino también por técnicos y comerciales. También hemos hablado de medidas de seguridad proactivas que se les pueden aplicar: cifrado del disco, protección de acceso, etc.

La cuestión es que es un hecho que los portátiles son activos muy “golosos” para los amigos de lo ajeno, ya sea por el valor económico del dispositivo como tal o por el valor de la información que en él reside (en la mayoría de los casos, infinitamente superior). Buceando por la red me he encontrado con otra medida de seguridad pensada para estos dispositivos (aunque puede ser aplicada de igual manera a ordenadores de sobremesa o servidores), en este caso de tipo reactivo. Quizás alguno de ustedes la conozcan. Se trata de Adeona, una solución open source desarrollada por miembros de la Universidad de Washington en colaboración con participantes de la Universidad de California San Diego y la Universidad de California Davis. Esta herramienta permite trazar la localización de un portátil perdido o robado con la simple instalación de un pequeño software cliente (e incluso fotografiar al ladrón, en ciertos casos), y sus autores están trabajando para llevar esta herramienta al iPhone, “teléfono” que no dudo que tiene su buena tasa de robos.

Entre otras, la herramienta tiene algunas características que la hacen interesante, como que no precisa de un servicio centralizado y propietario para la localización del dispositivo, y preserva la privacidad del propietario del portátil, pues sólo éste puede revisar las pistas de localización del portátil, que permanecen cifradas. Y es open source y gratuita, lo que asegura en gran medida que Adeona no hace cosas que “no debe”.

Desgraciadamente, hoy por hoy, la versión disponible de Adeona no es a prueba de balas. Es inútil si la persona que sustrae el dispositivo lo destruye o desensambla, si lo formatea, le impide conectarse a Internet, o incluso si desinstala el agente. Pero contra aquellos “sujetos” poco duchos en informática que lo roban con el único propósito de venderlo bajo mano, sin más complicaciones, o para aquellos que deciden “fisgonear” por el contenido del dispositivo una vez robado, puede ser altamente efectivo. Les recomiendo que le peguen un vistazo.

Siempre que abordarmos un proyecto de auditoría de ISO 27002 o la implantación de un SGSI nos sigue sorprendiendo la actitud de ciertos directivos, que presionados por la urgencia del día a día, y por el seguimiento de indicadores puramente productivos, digamos que no contemplan (por no decir que desestiman o dejan de lado, que queda más feo) los riesgos a los que sus procesos de negocio se encuentran expuestos desde el punto de vista de la seguridad. Para ser justos, también nos encontramos con gerencias que están preocupadas por estos aspectos, o que ven por ejemplo —como siempre recalcamos en este tipo de proyectos— la viabilidad de trasladar las medidas de seguridad que se implantan para tratar datos de carácter personal al resto de la información que tratan sus organizaciones, y que a fin de cuentas es la que de verdad es importante para ellos desde el punto de vista del negocio. Pero insisto, todavía son “los menos”.

Si me permiten la expresión, a veces “se me pone la carne de gallina” cuando detectamos las barbaridades que en algunos casos se cometen gestionando esta información, y estoy hablando de grandes organizaciones, no de PYMES: envíos de documentos confidenciales a través de cuentas de webmail (Hotmail, Yahoo!, Gmail, etc.) porque el servidor de correo corporativo tiene una limitación en los ficheros anexados, redes corporativas —con acceso por parte de proveedores externos— sin segmentar, inexistencia de acuerdos de confidencialidad firmados con terceros, etc.

Incluso en el ámbito de auditorías de seguridad lógica comprobamos que sí, efectivamente, la empresa dispone de un IDS, pero que simplemente está “dejado caer”, sin que se haya configurado adecuadamente, o sin que nadie esté dando aunque sea un vistazo a las alertas que se puedan estar generando. O que cuando lanzamos las auditorías automáticas de vulnerabilidades, nadie (ya sea el departamento de sistemas o la empresa externa que dice estar gestionando la seguridad de la red auditada) detecta el aluvión de escaneos de puertos. Y no voy a entrar en el apartado de las medidas de seguridad de los CPDs, en la ausencia de control en el acceso a la información en soporte papel en salas de archivo de uso compartido, o en el espeluznante capítulo de la información confidencial en equipos portátiles, que tan acertadamente describió nuestro compañero Alberto Rivas.

Parece ser que esos riesgos no van con ellos; aparentan creer (por los hechos los conocerás, que decía aquél) que la información de su negocio no le interesa a nadie. Por desgracia, las cosas no son exactamente así, y siempre hay gente interesada en tu información.

Y esta es una PYME.

[Actualización 29/01: Hemos decidido, para incrementar de alguna manera la participación en el blog, habitualmente escasa como pueden apreciar, abrir de manera indefinida los comentarios, de modo que ya no es necesario estar registrado para realizar un comentario sobre una entrada. Por supuesto, aquellos usuarios registrados pueden seguir comentando como usuarios registrados. Esperamos que esto les motive a dejarnos sus opiniones, que les aseguro estamos ansiosos por escuchar.]

No es mi intención trivializar el caso, todo lo contrario, y sobre todo si tenemos en cuenta su magnitud económica. Pero el caso de la Société Générale (y la que está cayendo) ha vuelto a poner encima de la mesa la necesidad cada vez mayor de implantar sistemas de monitorización de las actividades de negocio de las organizaciones, y sobre todo de aquellas que pueden poner en peligro su estabilidad financiera, como ha ocurrido en el caso que nos ocupa.

Probando, probando….

Hay una frase en el artículo 9 de la LOPD que a los que nos dedicamos a esto de la seguridad nos hace mucha gracia. Es aquella que dice que “el responsable del fichero […] deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos […] habida cuenta del estado de la tecnología […]“.

Extrapolemos esto al ámbito de la seguridad en general, y no sólo restringida a los datos de carácter personal: el estado actual de la tecnología hace que, por ejemplo, tengamos a nuestro alcance dispositivos del tamaño de un paquete de tabaco (me parece que esta comparación está pasada de moda) que nos permiten hacer fotografías, grabar imagen, voz, hacer fotocopias y un café descafeinado de máquina.

Reconozco que soy “de la vieja escuela”, que me gusta “tocar papel” cuando tengo que revisar un informe o leer un documento mínimamente extenso (y tengo que reconocer que esto me provoca un conflicto con mi conciencia medioambiental, pero eso es otro tema…). Ese gusto por el papel hace que periódicamente —siguiendo la política de mesas limpias implantada en mi organización— tenga que hacer limpieza, y destruir adecuadamente la documentación obsoleta.

Revisando papeles, y teniendo reciente un “correo-sugerencia” que me recordaba que hacía tiempo que no escribía nada para el blog (N.d.E: “hacía tiempo” es una estimación algo optimista, teniendo en cuenta que la anterior aportación es del 25 de mayo) me descubrí a mi mismo ojeando una noticia en ElPais.com sobre el apasionante mundo de “los buscadores y los datos personales”. Y me dije: de hoy no pasa.