Esta excelente iniciativa pone de manifiesto, una vez más, algunos aspectos de seguridad que ya hemos comentado en diferentes posts de este blog: en primer lugar, los referentes al intercambio de información, al information sharing del que tanto hablan los anglosajones y que, por fin, parece empezar a calar en España. Como en repetidas ocasiones hemos defendido desde aquí, esta tendencia debe ser en la actualidad la tónica general en seguridad, con las debidas garantías y con las relaciones de confianza necesarias para que la información fluya en las direcciones en las que debe hacerlo, permitiendo así reducir los riesgos de todos los actores y repercutiendo por tanto en un beneficio directo para todos. No ahondaremos más en los beneficios del information sharing -de momento, porque seguro que hablaremos más del tema- para que no nos llameis pesados :)

En segundo lugar, otro aspecto muy destacable del programa COOPERA es la colaboración entre seguridad pública y privada; de la misma forma que hace casi treinta años existía un grave problema de seguridad bancaria relacionado con el número y las consecuencias de los atracos a sucursales, y por tanto se hizo necesaria la creación de la Comisión Nacional de Seguridad (Directores de Seguridad de Cajas de Ahorros Confederadas) para reducir este problema, mediante la colaboración tanto entre entidades como con Seguridad Pública, en la actualidad existe otra tipología de amenazas, diferente de aquella, que hace necesario reforzar una vez más la colaboración entre Seguridad Pública (en este caso, Guardia Civil) y Privada, incrementando la complementariedad y reduciendo la subordinación que, aún en ocasiones, existe. A fin de cuentas, todos trabajamos en lo mismo, y si todos arrimamos el hombre, a todos nos irá mejor; además, no es de recibo que en muchas ocasiones la colaboración entre empresa privada y FFCCSE sea más personal (conozco a fulanito en la Comandancia o en la Jefatura Superior y le llamo para que me eche una mano, para compartir información, o para tomar una cerveza) que institucional y, sin descuidar la primera (seguiré tomándome una cerveza con quien me parezca :), formalizar las vías de cooperación creo que nos interesa a todas las partes.

Un tercer y último gran aspecto que queremos comentar en este blog es la convergencia reflejada en la iniciativa de la Guardia Civil, que aglutina bajo un mismo paraguas a Departamentos de Seguridad de muy diversa índole y que trabajan en sectores a priori disjuntos y sin relación directa: desde explosivos a protección de la información, pasando por CRA o medioambiente. Esta convergencia de la que a todos nos gusta hablar se traduce ahora en acciones concretas, en vías de trabajo y formación que, con los diferentes puntos de vista que cada uno de nosotros puede aportar a los demás, contribuirán sin duda a mejorar nuestras visiones, casi siempre acotadas, de la seguridad. De nuevo, no seguiremos hablando de convergencia para que no nos llameis pesados…

En definitiva, y ya para acabar, nuestra más sincera enhorabuena a la Guardia Civil, y en especial al SEPROSE, por la puesta en marcha de este programa; confiemos en que dé sus frutos, cumpliendo sus objetivos y estableciendo líneas de comunicación y colaboración robustas entre diferentes actores, públicos y privados, que permitan mejorar de forma global -más allá de empresas, departamentos, grupos…- la seguridad. Y por supuesto, que cunda el ejemplo y que salgan a la luz iniciativas similares o se mejoren las actuales; creo que, a fin de cuentas, la seguridad es algo que a todos nos afecta, por lo que debemos ser los primeros interesados en colaborar…

La seguridad en la empresa no deja de ser otro proceso que nos ayuda a proteger nuestro conocimiento y la continuidad del negocio. Cada día más empresas están empezando a entender la importancia de saber qué pasa en sus organizaciones, y saberlo a tiempo. Monitorización, correlación, eventos… términos que manejan muchas soluciones en el mercado, entre las cuales cuesta distinguir cuál se adapta mejor a mis necesidades. Como en cualquier otro área, hay grandes empresas, con grandes desarrollos para grandes multinacionales, recogiendo problemáticas de gigantes a precios exorbitantes. Y por sus referencias nadie duda de que las soluciones funcionan, tanto aquí como en EEUU, Japón o Guadalajara. Al final todo es igual, ¿o no?

Pero hay un eslabón que solemos dejar por el camino, que es el del implantador. Gran parte de las soluciones al final dependen de un partner que es quien parametriza y adapta las soluciones para poder ajustarlas a la problemática local. Evidentemente, cuanto mayor sea la experiencia con clientes similares, mejor será la implementación y habrá mas oportunidades de éxito. Y es aquí donde muchas soluciones flojean, en la experiencia local y en los profesionales que tienen esta experiencia. Porque la normativa legal no es la misma (retención de datos, LOPD, etc.), porque la problemática no es la misma (¿ataque de una potencia extranjera o disponibilidad de servicio?), porque las necesidades no son las mismas, las soluciones deben estar probadas en la problemática local…

Y los implantadores y su experiencia es el punto clave: ¿cuántas implantaciones con éxito ha realizado el equipo? Porque hay soluciones con mucho nombre y mucho arco, con tres profesionales en España, y ningún partner con más de dos implantaciones de éxito; otras empresas hablan de cabinas de almacenamiento y monitorización en el mismo paquete, y luego dicen que no tienen ni 20 implantaciones en este país; incluso hay quien vende soluciones que ya están obsoletas y han dejado de ser mantenidas por el creador de la solución… y así, miles y miles de ejemplos…

A fin de cuentas, ¿dejarías tu contabilidad en manos de cualquiera? ¿Entonces por qué le pides a alguien sin experiencia que implante, monitorice o gestione lo que no conoce? Bajo mi punto de vista lo mejor, como siempre, es ponerse en manos experimentadas y seguras, tengan el nombre que tengan.

Más allá del hecho de que el Director de Seguridad del Barça tenga o no la habilitación correspondiente, esta noticia viene a plantearnos algunas cuestiones. La primera es relativa a la (necesaria, IMHO) regularización del personal de seguridad; como hemos dicho, todo lo que se salga de la LSP en España no está reconocido, y no debemos olvidar que el negocio de la seguridad de la información al que se dedican -o nos dedicamos- muchas empresas no deja de ser Seguridad Privada… pero sin legislar. Para ser Vigilante de Seguridad o Escolta Privado debes poseer una habilitación, pero para ser técnico de, consultor de o responsable de, no necesitamos nada… Volvemos a insistir en cosas ya comentadas en este mismo blog: ¿no sería necesario que se ampliaran las figuras del personal de seguridad reconocidas en la Ley de Seguridad Privada? Esta ley no se ha movido significativamente desde hace dieciocho años -una eternidad si hablamos de seguridad-, por lo que muchos creemos que ya va siendo hora de que se revise la ley y podamos empezar a hablar de otras figuras, como comentaba en mi post sobre la Ley Ómnibus. Así, todos tendríamos claro cuáles son las figuras oficialmente reconocidas con nuestra perspectiva actual de seguridad (convergencia, PIC, etc.), y quién está capacitado para dirigir un departamento de seguridad, para pertenecer a él o simplemente para desarrollar ciertos trabajos dentro del ámbito de la seguridad privada… más allá de la vertiente “clásica”.

Otra cuestión es qué pasa actualmente con estos puestos de seguridad privada “no oficial”… se trata de roles tan habituales que nadie se plantea sus implicaciones, pero lo cierto es que únicamente están reconocidos dentro de una organización, no más alla; un Director de Seguridad o un Ingeniero en Informática es eso mismo aquí y en la China Popular (como diría alguien), mientras que un “Ingeniero de Seguridad Perimetral” o un “Responsable de Riesgos” no tienen sentido fuera de la organización que les ha asignado esa categoría. Volvemos al tema de las atribuciones profesionales, al quién puede hacer qué; “Director de Seguridad” es una habilitación propia del Ministerio del Interior, mientras que “Director de Seguridad de la Información” -el famoso CISO-, o “Consultor de Seguridad” no es ninguna titulación oficial, con lo que cualquiera puede adjudicarse este papel en su tarjeta de visita… De nuevo lo de siempre: ¿quién puede firmar una auditoría? ¿quién puede dirigir un departamento de seguridad que trabaje en protección de la información? Ahora mismo no existe regulación alguna más alla de la LSP (que por supuesto no toca seguridad de la información como tal), por lo que cada organización hace de su capa un sayo; yo puedo decir que tal persona es Técnico de Seguridad, Consultor de Seguridad o Ingeniero Jefe de Seguridad… ¿y? Sólo dependerá del buen criterio -o del mal criterio- de cada empresa el titulito que se asigne a su personal de seguridad…

Creo que una regulación del personal de seguridad sería muy conveniente tanto para nuestra profesión como para nuestros clientes, que por fin podrían saber quién les puede realizar determinados proyectos o prestar ciertos servicios, y en base a qué; y por supuesto, si llegamos al punto en que el personal de seguridad se regula correctamente más allá de la seguridad tradicional, no olvidemos que dicho personal tendrá una serie de obligaciones y responsabilidades -no como sucede ahora en seguridad de la información-; en el momento en el que alguien puede retirarme mi habilitación como Director de Seguridad si hago mal mi trabajo, impidiéndome desempeñar ese puesto en un futuro, me pensaré dos veces el entregar un informe o el resultado de un análisis de riesgos, por poner un ejemplo.

Para acabar, un último apunte: no empecemos ahora con que si para dirigir, auditar o implantar hace falta un CISSP, un SANS, un CISA, un CISO o un CASI, que me entra la risa… estas -y otras- certificaciones son títulos de una “academia” concreta (ISACA, ISC2, SANS…), y por muy reconocidos que estén o dejen de estar, hasta donde yo sé no son oficiales, al menos de momento; otra cosa es si demuestran o no conocimiento, o simplemente demuestran tiempo y dinero… pero para empezar a discutir quién puede hacer qué en seguridad, prefiero hacerlo por titulaciones oficiales o por habilitaciones propias del Ministerio del Interior, nos gusten más o menos…

Lejos de pretender mostrar una visión negativa de la decisión de implantar un SGSI, intentábamos advertir de cosas a tener en cuenta a lo largo del proceso. Es indudable que una vez el SGSI está implantado y en funcionamiento, éste aporta innumerables ventajas a la organización en general y al departamento TI en particular. Mucho se ha escrito sobre las ventajas de implantar un SGSI; como con el resto de Sistemas de Gestión, siempre se insiste en que el hecho de obtener un certificado hace que la organización aumente su competitividad, mejore su imagen respecto a las empresas de la competencia y se posicione mejor en el mercado. Todo eso es cierto, y está claro que esa puede ser una razón de peso para algunas organizaciones, ya que al fin y al cabo aumentar el nicho de mercado o fortalecer la posición y la imagen es algo imprescindible desde el punto de vista del negocio, y sin negocio, de nada sirven los sistemas de gestión y los certificados.

No obstante, dejando de lado el tema del certificado, desde nuestro punto de vista, el de una empresa especializada en Seguridad de la Información, existen otras muchas ventajas en la implantación de un Sistema de Gestión de Seguridad de la Información que son de otro ámbito. Entre otras, podríamos señalar como principales las siguientes:

• La gran mayoría de las tareas que obliga a ejecutar un SGSI (auditoria técnica de la plataforma TI, sistema de detección de intrusos, análisis de vulnerabilidades, inventario de activos, control de accesos, etc.) son aspectos que cualquier departamento TI que se precie debe abordar. La diferencia en este caso es que una vez implantado el SGSI estas tareas —y muchas otras— se encuentran sistematizadas, tienen asignado un responsable de ejecución y en muchos casos otro para la revisión, se analiza el resultado que de su ejecución se desprende, y se toman medidas en función de éste.

  Dicho de otra forma, la mayoría del trabajo es el mismo que se realizaría —o debería realizarse— sin tener un SGSI, pero el SGSI formaliza las tareas y garantiza que se ejecuten cuándo y de la forma que se haya considerado adecuada y por ello establecido.

• El Análisis de Riesgos es quizá uno de los aspectos que un departamento TI no aborda de forma sistemática si no ha implantado o se encuentra implantando un SGSI. No es necesario listar las ventajas que supone realizar y revisar de forma periódica un Análisis de Riesgos; basta con decir que nos permite conocer las amenazas a las que están expuestas nuestros activos —entre los que se encuentra la información—, la probabilidad de que éstas se materialicen y el impacto que dicha materialización tendría sobre nuestro negocio. Dicho de otro modo, nos permite conocer la situación en la que nos encontramos y a través del Plan de tratamiento de Riesgos (un requisito de la norma) planificar cómo llevar este riesgo a un nivel que consideremos aceptable y que estemos dispuestos a asumir.
• La continuidad del negocio, contemplada de manera específica en uno de los dominios de la norma, obliga a la organización a plantear, aunque se a un nivel muy general, cómo garantizar la continuidad del negocio en caso de una catástrofe. Aunque es cierto que la elaboración, implantación y mantenimiento de un plan de continuidad de negocio es un proyecto en sí mismo, de (casi) tanta entidad como la implantación de un SGSI, para abordar la certificación se debe haber realizado y probado al menos un plan de contingencia, que sin llegar a ser un plan de continuidad de negocio, sí que constituye un primer paso.
• El dominio correspondiente a Conformidad es otra de esas tareas que en la mayoría de las organizaciones queda fuera del alcance de las responsabilidades del departamento TI, y en la que interviene tanto jurídico como posiblemente recursos humanos. Este dominio obliga a identificar la legislación que nos aplica tanto a nivel de propiedad intelectual como de protección de datos de carácter personal, y no son pocas las empresas que pretenden implantar y certificar un SGSI sin cumplir las exigencias de la LOPD y su Reglamento de Desarrollo. La implantación de un SGSI obliga como mínimo a disminuir la probabilidad de incumplir algún requisito legal que puede acarrear sanciones o dañar la imagen corporativa, ya que hoy en día las entidades de certificación —o por lo menos aquellas con las que nosotros hemos trabajado— consideran una No Conformidad mayor cualquier incumplimiento legal y obligan a la empresa que aspira a obtener el certificado a un plazo de tres meses regularizar su situación. Lo que parece totalmente lógico, ¿no les parece?
• Comentábamos en un post anterior que un problema con el que hay que lidiar al implantar un SGSI es involucrar a áreas como Recursos Humanos, Departamento Legal, Administración, Comercial, etc., en un proyecto liderado por el Departamento TIC, que ven como ajeno a ellos y una carga de trabajo extra. La implantación de un SGSI requiere superar este escollo, lo que conlleva muchas ventajas: la seguridad ha dejado de ser cosa del Departamento TI y gracias a la formación y concienciación toda la organización es consciente del valor que tiene la información corporativa que maneja diariamente. Sin olvidar la existencia de normativas que deben cumplir para garantizar la seguridad de dicha información y cuyo incumplimiento tiene definido en la mayoría de los casos un proceso sancionador.

  Por último, pero no por ello menos importante, el apoyo que la Dirección debe demostrar al proyecto de implantación del SGSI, hace que los empleados entiendan que el tema de la seguridad de la información no se trata de un ‘capricho’ del Director del área TI, sino de una directriz marchada por la alta Dirección y que es por tanto un aspecto vital de la organización.

• Durante la fase de implantación de un SGSI se definen las directrices para detectar y actuar ante un incidente de seguridad, lo que evita que llegado el momento de enfrentarse a un incidente grave se tenga que pensar por dónde empezar, quién debe encargarse de qué, a quién hay que informar en primer lugar, y aspectos de ese estilo.
• Por último, la mejora continua es una ventaja común a todos los Sistemas de Gestión, sobre la que hay cientos de artículos escritos pero no por ello queremos dejar de mencionarla. Gracias al ciclo PDCA garantizamos que existe un proceso continuo que comprueba cómo de segura está nuestra información y actuamos para conseguir que el nivel de seguridad aumente. Este trabajo no se termina nunca: medir y actuar para mejorar. Siempre hay algún aspecto de la seguridad de la información que se puede mejorar.

Aunque estas son algunas de las ventajas, es indudable que existen muchas otras. En próximas entradas pasaremos a ver cuáles son las ventajas de la integración de sistemas de gestión, o la conveniencia y ventajas que aporta contar con un sistema de gestión de eventos y alarmas a la hora de implantar un SGSI.

Los ingenieros llevamos muchos años monitorizando los procesos industriales; son procesos con parámetros de funcionamiento bien definidos en el diseño, y cuya variación tiene consecuencias conocidas. Sabemos qué desviaciones se pueden permitir sin afectar negativamente al resultado final, vigilamos esos parámetros y establecemos sistemas de control que nos avisan cuando alguno se sale de lo establecido.

En términos generales, la gestión de una empresa consiste en controlar el funcionamiento de sus procesos manteniendo los parámetros de funcionamiento dentro de los límites admisibles, para garantizar que los resultados cumplen con el plan de operaciones. En este caso, los procesos no son sólo los industriales, sino también los logísticos, comerciales, financieros y, por supuesto, la seguridad, de la que a estas alturas no hace falta hablar; todos conocemos el mantra de Bruce Schneier: “Security is a process, not a product“. No hay más que echarle un vistazo a su blog Schneier on Security para comprobar su insistencia en esta idea.

La duda que nuestra mentalidad de ingenieros nos crea es si todos estos procesos, aun siendo de diferente naturaleza, no se pueden monitorizar de la misma manera. Mi (nuestra) respuesta, claro está, es que sí. La empresa en tiempo real es precisamente un planteamiento de gestión empresarial en el que se propone hacer llegar la información relevante a las personas adecuadas en el menor tiempo posible, para mantener el nivel de competitividad necesario y mejorar los procesos productivos.

Para ello, deberemos identificar los puntos críticos de los procesos, e implantar sensores que generen un evento (aviso) cada vez que se produzca una información determinada. De esta manera, cada vez que algo relevante sucede en el proceso, se genera un evento, una incidencia, una alarma. Por supuesto, al hacer esto existe el riesgo de exceso de información como el que sufrimos desde que vivimos con Internet (algunos hay que viven “en” Internet). Existen dos enfoques para hacer frente a este exceso de información.

El primero consiste en consultar los sistemas cuando pensamos que es hora de saber lo que ocurre (normalmente en períodos regulares: reuniones de seguimiento, informes periódicos de situación, comités trimestrales) o cuando se produce un problema (reuniones de crisis). El inconveniente obvio de este enfoque es que puede que cuando nos enteremos sea tarde para actuar, y nos limitemos a apagar fuegos, o “verlas venir”. Ya saben a qué me refiero.

El segundo planteamiento consiste en aplicar sistemas de correlación que analizan los eventos automáticamente y separan el grano de la paja, o aplican reglas para sacar conclusiones, haciéndonos llegar la información que necesitamos, en el momento en que se produce. De esta manera, podemos actuar antes de que las cosas pasen a mayores, detectando los síntomas de los problemas en lugar de sus efectos, evitando el impacto en nuestros procesos y, mejor aún, en nuestros clientes. Algo así como el mantenimiento predictivo. Por tanto, en este caso cada evento que recibimos representa la materialización de una amenaza al funcionamiento correcto de nuestros procesos. Así, monitorizando, estamos controlando en tiempo real el nivel de riesgo de nuestra organización.

Por supuesto, llegar a eso no es sencillo, pero aporta ventajas innumerables frente al planteamiento del “bombero”, con un nivel adecuado de monitorización de nuestros procesos, podemos conseguir que la frase “No news is good news” signifique que, mientras no recibamos eventos avisándonos de lo contrario, es que todo funciona correctamente y no debemos preocuparnos.

Sirva esta primera entrada como inauguración de un campo que personalmente me interesa mucho, BAM: Business Activity Monitoring, y en el que tenemos ya bastantes años de experiencia. Espero que este tema les resulte tan apasionante como a nosotros.

(Imagen original de plunder112 en media.photobucket.com)

Aprovechando que Google ha decidido, en un intento de atraer clientes corporativos a su plataforma, eliminar la etiqueta “Beta” de algunos de sus servicios, hoy vengo a contarles algunos detalles interesantes sobre Puerto Seguro, principios a los que Google, como prácticamente cualquier empresa americana interesada en gestionar datos de personas de este lado del Atántico, se adhiere (Google adheres to the US Safe Harbor Privacy Principles of Notice, Choice, Onward Transfer, Security, Data Integrity, Access and Enforcement — Política de privacidad de Google). Ya saben cuánto me gusta meterme con Google.

De manera muy resumida, Puerto Seguro son un conjunto de condiciones que una empresa estadounidense debe cumplir para poder gestionar datos de ciudadanos de la Unión Europea, surgidas a partir de la necesidad (comercial) de intercambio de datos de carácter personal entre ambas partes ante la entrada en vigor de la Directiva 95/46 de la Unión Europea en octubre de 1998. Estos principios están reflejados en la Decisión de la Comisión de 26 de julio de 2000 con arreglo a la Directiva 95/46/CE [...], sobre la adecuación de la protección conferida por los principios de puerto seguro [...], publicadas por el Departamento de Comercio de Estados Unidos de América. Dicho de otra forma, al adherirse a los principios de Puerto Seguro, una organización estadounidense asegura que el tratamiento de los datos de carácter personal es conforme a la Directiva 95/46/CE… o “algo así”. Hasta aquí, la teoría, porque el resto es para partirse de risa (o llorar).

Comencemos por el “asegura” del párrafo anterior, porque deben tomarlo de manera literal. No, no es broma. Es decir, yo, empresa X, aseguro que cumplo los principios de Puerto Seguro. Todo lo que tengo que hacer es darme de alta en una lista y pagar la cuota correspondiente; si tengo algo de interés, puedo hacer algo para cumplir con dichos principios, pero todo apunta a que ese extremo no es en absoluto necesario. Tras este trámite, deberé pagar una cuota anual que actualmente es de 100$, y poco más; podría realizar una autoevaluación para valorar mi nivel de cumplimiento, pero esto tampoco parece una obligación.

Algo podría hacernos pensar que si existen una serie de principios o restricciones a cumplir, lógicamente debería existir algún tipo de control externo a la organización que vele por su cumplimiento, pero no lo hay. Dicho de otra forma, nadie ni nada comprueba que las empresas que dicen cumplir con los principios de Puerto Seguro efectivamente cumplen con ellos, por lo que nada asegura ni siquiera que la empresa haya realizado dicha auto-evaluación. En efecto, un estudio de 2008 elaborado por Galexia (The US Safe Harbor – Fact or Fiction? [en PDF]) muestra que la lista de empresas adheridas que mantiene el Departamento de Comercio de los EEUU contiene empresas que han cesado en su actividad, que están duplicadas o que incumplen de manera severa varios de los principios. Algo similar fue confirmado en los estudios previos elaborados por la Unión Europea, tanto en 2002 como en 2004, aunque hasta la fecha, el organismo que vela por el cumplimiento de Puerto Seguro, el Departamento de Comercio de los EEUU (Federal Trade Commission o FTC), no ha llevado a cabo ninguna sanción ni modificación de la lista. Como dice Emilio Aced Emilio Aced [pdf] (Subdirector de Inspección de Datos y Tutela de los Derechos, Agencia de Protección de Datos de la Comunidad de Madrid), se trata de un «esquema de auto certificación, autorregulación y auto evaluación en el que pueden no existir nunca controles externos respecto de las actividades y prácticas de protección de datos de las compañías adheridas a Puerto Seguro».

Déjenme decir que, a pesar de lo que parece, el esquema indicado no tiene porqué ser necesariamente malo; el problema no es ese. El problema es la pasividad e indiferencia del Departamento de Comercio de los EEUU y su escaso interés en velar por el cumplimiento de los principios de Puerto Seguro. De hecho, podríamos casi decir que la LOPD sigue un esquema similar (tanto la adaptación como las auditorías pueden realizarse internamente), pero en el que existe un organismo que sí vela por su cumplimiento, y a partir del cual pueden derivarse sanciones (que en el caso de Puerto Seguro debería incluir la anulación del “certificado”). Esto demuestra que Puerto Seguro tiene una finalidad exclusivamente comercial, y no persigue ningún tipo de protección de los datos.

Obviamente, una vez dicho esto, que estar adherido a Puerto Seguro no implique que todos los tratamientos de datos sean conformes a sus principios sino únicamente aquellos que la empresa declare, o que Puerto Seguro no sea aplicable a filiales de empresas estadounidenses afincadas en otros paises como algunas pretenden, no tiene la menor importancia.

Así que la próxima vez que lean que una empresa X está adherida a los principios de Puerto Seguro, sepan que lo único que dice es que está interesada en desarrollar actividades comerciales dentro de la Unión Europea. De lo demás, quién sabe.

Las tecnologías de la información y las comunicaciones han traído progreso, la globalización, han reducido costes, han cambiado la sociedad, han reducido la distancia entre el primer y el tercer mundo, pero no han venido sin un coste asociado.

¡Ya está bien! Aunque todo esto sea cierto también nos han traído cosas malas, muy malas; la energía nuclear nos ha regalado muchas cosas buenas, y de todos es sabido que ha traído cosas malas, debido a su mal uso…

La situación actual no es buena; tenemos sobresaltos, y aun nos asombra el mal uso que se puede llegar a hacer de la información: que se acceda a datos de noventa millones de personas en un click, que se pierdan datos de millones de contribuyentes ingleses, que existan redes de pederastia organizada, o que los del lado oscuro sepan más de nosotros que nosotros mismos (roban ordenadores de ayuntamientos para conocer nuestros patrimonios, o los PCs de los cajeros para conocer nuestros estados financieros). La posibilidad de que una mafia de un país X formada por magníficos ingenieros que no tienen nada que perder acceda a los sistemas de control de suministro eléctrico o del suministro de agua potable a ciudades nos aterra, y tímidamente creamos comisiones nacionales para la protección de infraestructuras críticas, para ver cómo podemos defendernos de ello… pero no nos decidimos a coger el toro por los cuernos. HAY MUCHOS IRRESPONSABLES en puestos de mucha responsabilidad que permanentemente echan las culpas a los presupuestos públicos o privados para no cumplir con los mínimos requerimientos de seguridad, de protección de los diseños, de protección de los datos de personas, de protección de las redes, etc…

No vale argumentar desconocimiento. Somos muchos los que predicamos y advertimos hasta quedarnos sin aliento y también somos muchos los que aún somos ignorados cuando hacemos determinadas advertencias.

Al final las cosas ocurren, los Windsor se queman, los ataques intencionados se producen, los daños por troyanos se multiplican, los CPDs se incendian, la información se pierde, o el trabajador malintencionado nos roba la información corporativa; la dura realidad es que los incidentes de seguridad cuestan mucho dinero, y hasta que no nos pasa algo no aprendemos. Es en ese momento cuando, como en una presentación de un plan de seguridad a la que asistí, se realiza un análisis cronológico de la historia y se dice: Diciembre de 2005 sanción de la AEPD, Enero de 2006 inicio proyecto adaptación LOPD…

¿Por qué no hacemos como sociedad que se le ponga remedio a esto de una vez por todas? Cada miembro de la sociedad tiene su responsabilidad y la cadena se rompe por su eslabón más débil, luego NO PODEMOS PERMITIR que haya eslabones débiles.

Pero esto ¿por qué sucede? Vivimos en una sociedad llena de dirigentes y directivos que hacen la vista gorda o simplemente se limitan a mirar hacia otra parte ante este tipo de situaciones. Tal vez no conocen estos problemas, o mejor dicho no quieren conocerlos; pero no es “ojos que no ven corazón que no siente”, sino más bien “ojos que no ven…. BATACAZO QUE TE PEGAS”.

Se sabe, se dice, se conoce, incluso se formaliza, pero hay ocasiones en las que incluso se prefiere asumir un riesgo o dotar una partida presupuestaria para hacer frente a las sanciones, en lugar de asumir las responsabilidades que corresponden; sin embargo, esto no puede seguir así mucho tiempo. Hay grupos organizados que están sacando provecho de la codicia, de la dejadez y de la indiferencia de algunos gobernantes o directivos, a los que lo único que les interesa es su cuenta de resultados o el próximo proyecto que les hará ganar votos, pero señores… ¡Hay unos mínimos que atender y cubrir!

Los consejos de administración, los directores generales, los dirigentes políticos no pueden hacer caso omiso de las recomendaciones de los técnicos que les advierten, incluso por escrito, de los riesgos que estamos asumiendo como sociedad. Es hora ya de que las máximas responsabilidades de naciones y organizaciones —que muchas veces superan en poder incluso a las naciones— tomen cartas en el asunto y se conciencien de que hablar de desarrollo sostenible no es simplemente hablar de conciliar la vida familiar y profesional de los empleados, o de reciclar el papel de la impresora. Es ser RESPONSABLE ante la sociedad, en las dimensiones que marca la convivencia pacífica de las sociedades modernas, incluida la referente al uso o mal-uso de la información

Es hora de que los gobiernos EXIJAN las responsabilidades de BUEN GOBIERNO en las empresas a los que se las deben exigir.

Próximamente va a ver la luz el Esquema Nacional de Seguridad que anunciaba el artículo 42 de la ley 11/2007. Creo sinceramente que este va a ser un primer paso en esta dirección, al menos en el sector público, pero también creo que aún nos queda mucho por hacer.

Creo que estaremos de acuerdo que el primero y más estratégico son las personas (sin ellas una organización no funcionaría), pero el segundo y unido a ellas de forma indivisible, es su conocimiento y experiencia, ya que sin ésta, la persona carece de valor estratégico y por lo tanto no es un activo crítico (duro pero real como la vida misma). ¿Qué es el conocimiento y la experiencia sino el conjunto de sucesos e información aprendidos y procesados por una persona a lo largo de su vida/carrera? Por algún motivo extraño, tanto los sistemas de la gestión de prevención de la seguridad y salud en el trabajo (SST), OHSAS 18002:2002, como el sistema de gestión de la seguridad de la información (ISO 27001:2005) contemplan de forma disociada esta realidad, siendo éstas disciplinas las únicas que velan por la seguridad en aras de minimizar los riesgo que afectan a la integridad de las personas y la información.

La OHSAS 18002 intenta controlar y evitar que las personas tengan accidentes laborales y de salud, mejorando su desempeño y de esta forma proteger su integridad, preservar su disponibilidad (bajas laborales), siempre en un entorno de información confidencial (¿nos suena, no?). La ISO 27001 intenta también que la información (como activo estratégico) sea en todo momento íntegra, que esté disponible en todo momento y sea confidencial. Pero, ¿quién se encarga de analizar y establecer las medidas de protección adecuadas enfocadas a proteger al conocimiento que reside en esas personas y que pueden tener comprometida, en un momento dado, su integridad, disponibilidad o confidencialidad? ¿Cómo afecta un incidente laboral al proceso y conocimiento que gestiona la persona afectada? ¿Qué procesos/Entorno Tecnológico/Sistemas/Equipos físicos se ven afectados? ¿Cómo podemos minorar el impacto en la seguridad de la información velando al mismo tiempo por la salud de la persona afectada?

¿No debería haber una gestión coordinada en estos puntos en los que el activo común a las dos normas queda comprometido?

En próximas entradas, revisaremos las incidencias que se producen en el contexto de la norma OHSAS 18002 y que comprometen al activo relacionado en la norma ISO 27001, e intentaré establecer puntos de unión en los que debería de existir una gestión coordinada así como propuestas de procedimiento.

Francamente, no tengo la respuesta a la pregunta, pero en esta entrada pretendo hablar de cuáles son los problemas a los que los administradores TIC se deben enfrentar cuando tratan de implantar políticas de parcheado. A estos problemas los voy a llamar “Los enemigos de los parches”, que les detallo a continuación:

— Ausencia de política de parcheado. Si una organización no se plantea de manera consciente que debe actualizar sus sistemas, es muy posible que no se actualicen, o se actualicen sólo las cosas que sean automáticas. E incluso en este último caso, las actualizaciones automáticas si no se controlan pueden dar lugar a problemas de funcionamiento, compatibilidad y reinicios no programados.

Solución: Instáurese una política de parcheado y actualización de los sistemas, que contemple horarios, personal, procedimiento, y que como siempre deberá de venir aprobada por dirección.

— No disponer de herramienta de inventario. Obviamente, si no se sabe lo que se tiene es difícil mantenerlo actualizado.

Solución: Adquiera e instale un software de inventario automatizado, y no permita la instalación de nada que no se gestione con las actualizaciones automáticas del sistema (o que no venga autorizado por el Departamento de TI).

— No disponer de herramienta de alerta por parches. Los actualizadores automáticos, como los de Microsoft, cada vez están mas implantados, pero no cubren todo el software. En estos casos, ¿quién esta al tanto de que no aparezca una nueva vulnerabilidad en la BBDD Oracle o PostreSQL? ¿O en el plugin de foros instalado en el portal?

Solución: Debe enlazarse el inventario de software con las alertas de los fabricantes, si no es posible de una manera automática, de una manera manual.

— Software que no es base del sistema operativo. Todos los sistemas operativos disponen de un sistema de paquetes con los que es relativamente sencillo saber si hay actualizaciones, pero ¿qué pasa con otros productos instalados que no están en esa lista? ¿Alguien se preocupa por ellos?

Solución: Disponer de inventario automatizado de software, que incluya no sólo los paquetes del sistema, sino también otros paquetes adicionales. Asumo y reconozco que esto no siempre es sencillo, pero vale la pena hacer el esfuerzo; por ejemplo, piensen ustedes de como tener un inventario automatizado de BBDD Oracle en entorno Unix. Para entornos Microsoft, es especialmente recomendable utilizar WSUS (Windows Server Update Services), que facilita las actualizaciones distribuidas y la aplicación de políticas progresivas de instalación de parches.

— Productos de terceros incompatibles con los parches o sin soporte. Dicho de otra forma: tengo que poner el Service Pack 2 en un servidor Windows que tiene ademas una aplicación crítica del Call Center de la cual no tengo ni soporte ni el contacto de la empresa, y que si actualizo igual deja de funcionar. Cosas terribles como “Ese equipo no lo parchees que lleva el SCADA”.

Solución: Es necesario disponer de un contrato de soporte con todos los aplicativos que tenga, no sólo por los parches sino por cualquier problema que pueda tener; este aspecto debería contemplarse contractualmente y formalmente en el momento de la compra. Esto puede implicar que debido a una actualización se deba contratar los servicios de productos de terceros.

— Software hecho a medida. Este es un caso especial del anterior, pero que tiene más complejidad si cabe, ya que es relativamente sencillo contratar a una empresa para que te dé soporte de un producto comercial, pero es más complicado el disponer de soporte de desarrollos (si no se tienen en un primero momento).

Solución: Deben tenerse ese contacto, ya que si no es por el parcheado, en algún otro momento tambien lo necesitará. Esto obviamente tendrá un coste económico asociado, y debería contemplarse contractualmente y de manera formal en el momento de la compra.

— Ausencia de entornos de preproducción. Por muy inocuo que te diga el fabricante que es un parche, lo mejor es probarlo antes de implantarlo en producción. El problema es que en muchas ocasiones este entorno de preproducción ni esta, ni se le espera. Después de todo, ¿quién tiene un entorno de preproducción del servidor de Call Center? ¿Y del SCADA?

Solución: Para aquellas aplicaciones críticas de negocio, defina y adquiera un entorno de preproducción, o utilice para la aplicación de parches aquellos sistemas menos críticos cuyo entorno es similar.

— Equipos con escasa conectividad. Un problema frecuente a la hora de parchear son aquellos equipos que no disponen de una buena conectividad. Por ejemplo ¿cómo se parchean los equipos portátiles de los comerciales que solo se conectan por 3G y VPN? ¿O cómo se parchean los portátiles que nunca se usan porque están guardados siempre en un armario? ¿Y esos sistemas que carecen de salida a Internet?

Solución: La gestión de inventario y parches debe ser capaz de detectar equipos que no se hayan conectado y no estén actualizados, forzando la actualización, aunque sea acercándolos al servicio de soporte. Asimismo, en algunos casos puede ser necesario descargar los parches del fabricante desde una máquina con conectividad y aplicarlos manualmente.

— Islas o Reinos de Taifas. Todos conocemos algún caso: “las políticas de parches se aplican en todos los equipos, menos en los del departamento de I+D, que se lo gestionan ellos mismos por su idiosincrasia particular”.

Solución: Implántese la política de manera que cubra todos los casos y excepciones posibles, dado que no hay que olvidar que un equipo infectado en el departamento de I+D puede afectar a toda la organización, y eso no será “culpa” de I+D.

— Ausencia de administración centralizada. No va a ser posible gestionar los parches de equipos que no estén administrados de una manera centralizada. Esto parece de perogrullo, pero es uno de los principales problemas en entornos pequeños o medianos, o en organizaciones en las que tienen delegaciones pequeñas que son gestionadas de manera independiente por la ausencia de personal técnico especializado en cada una de ellas.

Solución: Deben implantarse herramientas de gestión centralizadas, inventario, distribución de software, acceso remoto, etc…

Estas y muchas otras cosas más deben de tenerse en cuenta cuando se implantan políticas de parcheado en las organizaciones, por lo que queda claro que, lejos de lo algunos puedan pensar no es una tarea estrictamente técnica, sino que viene apoyada por procedimientos, políticas y a veces, mucha mano izquierda.

(N.d.E.: La foto está sacada de Sociedadanonima.org, un extravagante blog donde estuve escribiendo un tiempo.)

No obstante, cuando una empresa tiene que ajustar al máximo su presupuesto global, la partida destinada a seguridad tiende a reducirse a una mínima expresión. ¿Y qué es esa mínima expresión? Como siempre, depende… Volviendo al post de la Pirámide de Maslow de la Seguridad, la mínima expresión de la seguridad consistirá, posiblemente, en mantenerse en el nivel en el que nos encontrábamos con anterioridad. Nada de mejorar, nada de incrementar nuestros niveles… supervivencia pura y dura. Es más, en muchas ocasiones, si no retrocedemos en el nivel que teníamos, ya podemos estar contentos… Pero, ¿qué es preferible en estos tiempos, tratar de avanzar, o reforzar lo que hemos conseguido? Creo que depende de muchos factores, y en el equilibrio está la virtud… Bajo mi punto de vista, no tiene sentido tratar de avanzar si no podemos reforzar lo que vamos consiguiendo; así, la seguridad sería una especie de galería minera: mucho más importante que alargar el túnel es apuntalar lo que ya hemos avanzado, para evitar un derrumbe. Ojo, con esto no quiero decir -sigan leyendo- que no tratemos de mejorar permanentemente nuestra seguridad con la excusa de la crisis; simplemente que lo hagamos con cabeza (más de la habitual), sabiendo dónde invertimos nuestros recursos, y por supuesto -ahora más que nunca- sin dejar de mirar para atrás, garantizando que la galería está bien apuntalada. Innovemos y busquemos soluciones creativas a nuestros problemas.

Bajo mi punto de vista, uno de los principales errores que en tiempos de crisis todos tendemos a cometer, es limitarnos a aguantar el chaparrón… Si las cosas van mal, es posible que nuestro presupuesto -estemos o no de acuerdo- se reduzca, como el del resto de departamentos de la organización. Pero ese no suele ser el problema: en seguridad hay soluciones para casi todo, y es una obligación del Director de Seguridad obtener la mayor protección posible con el presupuesto del que dispone, innovando cuanto sea necesario, buscando siempre nuevas soluciones, incluso a los problemas de siempre, e identificando correctamente los riesgos asumidos. Hay un proverbio que viene a decir que cuando soplan huracanes, unos construyen refugios y otros construyen molinos. Apliquémoslo a la seguridad, y pensemos qué construimos ante la crisis… quizás nos demos cuenta que, con un presupuesto X en el bolsillo, tomamos unos caminos determinados (mejores o peores) simplemente porque son los habituales o los esperados por todos, sin llegar a plantearnos una alternativa. Para mí, esto es construir refugios, aguantar el chaparrón, y en este mundo si nos limitamos a eso, antes o después fracasaremos.

Finalmente, un apunte: si en nuestra organización estamos notando la crisis… ¿no es un riesgo que deberíamos haber considerado en nuestro último análisis? Llegar a una situación como la actual no es algo que suceda de la noche a la mañana, de forma imprevista, sino que es la consecuencia de múltiples factores económicos, sociales, organizativos…¿Teníamos esta posibilidad contemplada? ¿Teníamos planificado cómo actuar, o en estos momentos nos guiamos por intuición -y presupuesto-? Tengámoslo en cuenta, si no lo hemos hecho ya, para la próxima ocasión (y no duden que la habrá).