Después de varias advertencias al personal del centro acerca de, entre otras cosas, la importancia de realizar copias de seguridad de la información en disco (y aunque no era asunto mío, yo era un simple profesor) preparé una BAT ad-hoc que se ejecutaba automáticamente cada semana. Más simple no podía ser: a las 17:00 horas de cada viernes aparecía un mensaje en pantalla que pedía que se introdujese el juego A o B, según fuera semana par o impar, de diskettes de 3½ y que se pulsase una tecla para continuar. Y ya sólo restaba ir cambiando de disco conforme se iba solicitando. Esta operación se llevó a cabo correctamente durante las primeras semanas. Pero un buen día, la persona que estaba al mando de la administración de ese centro, la simpática Marina, por el motivo que fuese y pese a mis advertencias admonitorias, dejó de hacer las copias de seguridad y comenzó a responder al incómodo mensaje semanal a base de CTRL-C.

Tenía que ocurrir. Unos meses después Murphy tomó el control de la situación. Y es que nunca pasa nada, nunca pasa nada… hasta que pasa.

Una tarde, precisamente un viernes, vino Marina a buscarme al aula donde impartía mi clase para decirme que había salido “un mensaje muy raro” en la pantalla de su ordenador. Me disculpé con los alumnos y fui a verlo de inmediato. Ese mensaje tan raro resultó ser ni más ni menos que el grito de guerra de uno de aquellos primitivos virus, AntiTel o Telecom se llamaba, cuyo autor proclamaba haber sido timado por Telefónica y juraba venganza al tiempo que borraba el disco duro de la pobre Marina, que nada tenía que ver en todo aquel asunto.

Ni undeletes ni recoverys ni Comandante Norton ni nada: el disco estaba borrado y bien borrado.

Cuando comuniqué el diagnóstico a la afectada no pudo controlar su reacción y súbitamente inició un llanto inconsolable que le duró el resto de la tarde. Y apuesto a que el fin de semana tampoco le fue bien. Estábamos en abril y la última copia de seguridad databa de unas pocas semanas después del comienzo del año académico con lo que se perdió la información de buena parte de las matriculaciones en cursos, cursillos y seminarios así como de la práctica totalidad de los registros de asistencia, calificaciones, actas, emisiones de certificados, etc. de los seis meses anteriores. Un desastre. No hace falta decir que partir de ese momento Marina pasó a realizar escrupulosamente la copia de seguridad cada viernes, sin fallar uno solo.

Si alguna vez en mi vida he oído maldecir y blasfemar de una manera y en un tono que nunca podré olvidar fue sin duda a un compañero de cuarto curso de carrera que desarrollaba un programita con una versión del Turbo Pascal de Borland. Este arcaico entorno no preguntaba nada si elegías la opción de salir sin haber guardado los cambios (si elegías salir, salía). Mi compañero perdió todo su trabajo después de más de cuatro horas dejándose los ojos delante de una pantalla de caracteres, esta vez de color ámbar. Yo, tras una pérdida menor pero que ya molestó lo suyo, adquirí la buena costumbre de ir guardando todo cada pocos minutos y siempre antes de compilar. Y es que las herramientas de la época (y sigo siendo joven, ¿eh?) eran tan básicas o tan tontas que no lo hacían por nosotros.

Esto es impensable hoy en día pero así eran las cosas entonces, no me invento nada. La experiencia enseña y la veteranía es un grado pero sobre todo las experiencias duras marcan a fuego. Es una lástima y no debería ser así pero está visto que en ocasiones para aprender antes hay que perder. Tan rápidamente cambian las tecnologías que se hace prácticamente imposible seguirlas. Y al cabo de unos cuantos años están irreconocibles. El dBaseIII, la copia en diskettes, la pantalla de caracteres verdes y la capacidad y la velocidad del procesador dan risa ahora y puede sorprender a los más jóvenes.

En el otro extremo, hay aspectos que cambian poco o nada por más años que pasen. Y estos aspectos no son otros que el problema de fondo (la necesidad de disponer de copias de respaldo) y el factor humano. Pero ya que el problema de fondo parece inamovible (seguimos haciendo copias de seguridad y seguiremos haciéndolas) tocaría invertir y avanzar en el factor humano, ¿no?

Después supe que no tenía que haberme quedado en la BAT y en la mera información a modo de advertencia sobre los posibles peligros de no disponer de una copia de seguridad actualizada. Sin duda hubiera ido mucho mejor si hubiera sido capaz de asegurarme de que Marina comprendía realmente la imperiosa necesidad de disponer de una copia de seguridad semanal. Hubiera resultado mucho más eficaz que la añeja solución técnica a base de líneas interpretadas, mensajes en pantalla y juegos de diskettes, que al final no sirvió de nada. Aquella solución hace lustros que quedo obsoleta pero una buena concienciación de las personas es independiente de los entornos, las versiones y los cambios tecnológicos y queda para siempre.

Sé por experiencia que cambiar hábitos y costumbres y conseguir la motivación y concienciación de las personas es una tarea complicada y casi siempre inacabada, tanto en temas relacionados con la seguridad o en otras disciplinas, pero personalmente no puedo más que reafirmarme en mi convencimiento del papel fundamental que el factor humano juega en todo lo relacionado con la seguridad.

Por ello, siempre que se trata sobre aspectos relacionados con la seguridad ligada a las personas no puedo evitar quedarme con la sensación de que es un tema al que no acabamos de concederle la importancia que merece. Por el motivo que sea tendemos de manera automática a otorgar más importancia a aspectos de índole técnica. Dedicamos más atención a la configuración de la electrónica de red que a la concienciación de los usuarios de esa red. Puede bastar una persona para configurar correctamente la electrónica de red pero perdemos de vista que son muchas las personas, al menos tantas como usuarios bienintencionados, que tienen la oportunidad de convertirse en potenciales peligros para esa red y, por tanto, para el resto de los recursos. Por poner un ejemplo.

Y es que los técnicos se centran en la vertiente técnica pero los aspectos de la seguridad ligada a las personas frecuentemente caen en terreno de nadie. O de todos, que al final viene a ser lo mismo. Sin duda vale la pena invertir en la prevención más que en la reparación, en concienciar más que en arreglar los problemas provocados por la falta de concienciación e implicación de las personas. Y es que cuando hablamos de seguridad ligada a las personas a menudo nos quedamos en una mera formación (si acaso acompañada de la firma de algún tipo de compromiso que no se acaba de entender) quedándonos por tanto en el forro de la cuestión.

La formación enseña, la concienciación implica. La formación está muy bien y es condición necesaria, pero no suficiente. Ni de lejos.

Y si no, que le pregunten a Marina.

Sin ser tan estrictos como en el ejército estadounidense ni entrar en potenciales violaciones de intimidad, creo que todos estaremos de acuerdo en que las personas son un elemento clave para el éxito de cualquier proyecto, empresa, organización, colectivo o mil cosas más; en concreto, desde el punto de vista de protección del negocio, las personas son un aspecto crítico para la seguridad corporativa: de su buen hacer depende que seamos seguros (físicamente, legalmente, reputacionalmente…) o que no lo seamos en absoluto. Por este motivo, como ya hemos dicho en alguna ocasión en este mismo blog, se hace cada vez más importante en nuestras organizaciones la monitorización de las personas, de sus actividades, de sus actitudes y, en definitiva, de todo aquello que pueda repercutir negativamente en nuestra seguridad, así como la aplicación de modelos clásicos de inteligencia para obtener, a partir de datos aislados, información vital para la seguridad corporativa.

El primer punto de un ciclo de inteligencia es determinar qué queremos saber y para ello qué información necesitamos obtener y analizar. Creo que lo mejor para nosotros en esta primera fase es plantearnos cómo afectan las personas a la seguridad del negocio; bajo mi punto de vista, más allá de accidentes (por ejemplo si una persona practica escalada…¿consideramos esto un riesgo? Y lo más importante… ¿tomamos medidas para mitigarlo?), las personas introducen principalmente cuatro tipos de riesgo en una organización:

• Robo de información, espionaje industrial… Lo que toda la vida hemos llamado insider: una persona que, tras una apariencia más o menos normal -o no-, se dedica a robar información corporativa y pasarla a quien pueda utilizarla en nuestra contra (generalmente, la competencia).
• Perturbación del clima laboral. Una persona descontenta suele acabar minando, antes o después, las relaciones dentro de la empresa. Dicho descontento puede estar o no justificado y, es más, puede que incluso no tenga relación con la actividad profesional y se trate de problemas del ámbito personal, pero todo acaba influyendo en las personas con las que compartes buena parte de tu día a día: tus compañeros.
• Fuga de personas clave. A pesar de aquello de que “no hay nadie imprescindible”, que comparto plenamente, es cierto que determinadas personas realizan trabajos clave y que, si abandonan la organización, el impacto es mayor que si deja su trabajo otro compañero. Este riesgo puede estar relacionado con el anterior (personas descontentas o poco motivadas que cambian de trabajo por este motivo) o no tener relación alguna: circunstancias personales que obligan a dichas personas a cambiar de trabajo por muy implicados que estén con su organización actual y por mucho que les motive su actividad.
• Daños a la reputación. Es obvio que una persona que hable mal de nosotros nos causa, en mayor o menor medida, un impacto en nuestra reputación que podríamos asociar en buena parte a riesgos como la perturbación del clima laboral que hemos comentado antes (suele ir todo junto). Pero no sólo eso: en una charla que dí hace meses sobre reputación digital (lo del apellido de “reputación” lo quitaría ;) hablabla de la reputación personal como un activo para las organizaciones; y es que la imagen de las personas es, en muchos casos, parte inseparable de la imagen de la organización, por lo que cierta información personal colgada en Internet, verdadera o no, puede causar también riesgo reputacional para nosotros y constituir un daño a la imagen corporativa.

Con estos tipos de riesgo sobre la mesa -o cualquier otro que consideremos-, podemos empezar a plantearnos qué datos nos gustaría obtener y, de ellos, cuáles podemos obtener y cómo podemos hacerlo; la diferencia entre lo que nos gustaría y lo que podemos obtener es muy importante, ya que si tuviéramos la información que queremos seguramente responderíamos a ciencia cierta a todas nuestras dudas pero, como generalmente esto no es posible, requerimos de un análisis detallado y con unos márgenes de error determinados. Típicos datos a obtener son los relativos al uso de correos electrónicos externos, tipo webmail, dispositivos extraíbles, accesos masivos a datos (para determinar robos de información), uso de redes sociales o microblogs (para detectar desde daños a la reputación a posible fuga de personas), comentarios de compañeros (muy importante a la hora de hablar del clima laboral), etc.

Teniendo claro qué información nos gustaría tener, debemos plantearnos cómo obtener la información, entrando así en la segunda fase del ciclo de inteligencia clásico. Una forma muchas veces sencilla y, aunque informalizada, bastante habitual de obtener información es mediante la actuación de personas, lo que en inteligencia se denomina HUMINT (Human Intelligence). No, no pensemos en agentes tipo 007 colándose por la noche en casa de un compañero; es más: ni siquiera tenemos que llegar al extremo de detectives privados siguiendo a la gente… Mucho más sencillo: un café, la hora de la comida, una cena de empresa -que nos permite conocer a la gente en un ambiente distendido muy diferente al habitual-… estas situaciones son propensas a comentarios que en ocasiones son muy significativos para determinar, sin ir más lejos, si una persona puede estar buscando trabajo fuera de la organización, si está “quemada” por motivos personales o laborales y por tanto crea un mal ambiente -insisto, con o sin razón-, etc. La relación con las personas en las situaciones de nuestro día a día son una fuente muy importante de datos si sabemos observar de forma correcta, tanto por la cantidad de datos que aislados no son significativos pero que podemos “correlar” (al menos mentalmente ;) como por los datos que son significativos de forma directa.

Aparte de HUMINT es cada vez más habitual utilizar técnicas OSINT (Open Source Intelligence) para obtener datos que puedan ser importantes de cara a nuestra seguridad; la información que publicamos en Internet -redes sociales, blogs, webs, etc.- es más que significativa para analizar el riesgo introducido por las personas. Y es que muchas veces no nos damos cuenta -o no nos queremos dar cuenta- de que lo que hacemos en estos lugares lo puede ver el resto del mundo, y que con un sencillo análisis ese “resto del mundo” puede llegar a conclusiones muy rápidas: si últimamente estoy actualizando mi perfil en LinkedIn e incluso pidiendo recomendaciones, no hace falta ser un lince para pensar que puedo estar buscando trabajo; si no hago más que tuitear lo que hago cada segundo de mi vida o los importantes descubrimientos que realizo y que van a cambiar el curso de la humanidad, podemos concluir datos muy interesantes de una personalidad sin ser, ni mucho menos, psicólogos; si en mi FaceBook no paro de poner comentarios en horario laboral, no estoy muy concentrado en mi trabajo… y mil ejemplos más que, sin grandes complicaciones, pueden proporcionar información más que útil para un tercero que quiera analizarme.

Finalmente, como algo mucho más delicado, tenemos la recopilación de información a través de SIGINT (Signals Intelligence); el personal técnico puede tener acceso sin problemas a registros muy importantes para analizar el riesgo humano en la organización: desde los registros de llamadas móviles y fijas -bendito Asterisk- hasta las trazas de correos electrónicos enviados y recibidos o las webs visitadas por los usuarios de la organización. Desde un punto de vista técnico no hay ningún problema en obtener estos datos, procesarlos y generar información muy valiosa: ¿Cuántas visitas a Infojobs realiza nuestra gente? ¿Llaman a números de países con los que el negocio no tiene relación? ¿Llaman a teléfonos o envían correos electrónicos a gente que tenemos en una lista negra, por ejemplo de la competencia? ¿Con qué frecuencia? El problema, como decía, no es técnico: se trata más bien de aspectos legales: ¿es lícito monitorizar estos datos? Es más: ¿Es ético hacerlo? Un debate más que interesante… Por cierto, ¿qué opinais?

Otras técnicas tradicionales de obtención de información, como MASINT o GEOINT, creo que quedan fuera del alcance de casi todos nosotros (de ahí lo que decíamos antes de qué es lo que nos gustaría obtener y qué es lo que podemos obtener), pero con las anteriores podemos sacar conclusiones más que interesantes. Y ahí empieza la tercera fase del ciclo de inteligencia, el procesamiento de los datos obtenidos: reducción, normalización… en definitiva, todo aquello que nos permita utilizar dichos datos para un análisis posterior. En la mayor parte de organizaciones, aunque el procesamiento sí que se ejecute para poder analizar automáticamente otro tipo de riesgos -lógicos, naturales…-, disponiendo para ello de herramientas de análisis, bases de datos, técnicas establecidas… a la hora de monitorizar el riesgo introducido por las personas no es habitual que esta fase esté automatizada ni se utilicen herramientas ad hoc para procesar los datos (¿alguien tiene alguna base de datos de “hechos significativos” en el comportamiento humano?). Si queremos empezar a formalizar esta etapa, un buen modelo de datos es el planteado en nuestra entrada sobre riesgo humano, que hemos citado antes, que nos permitiría generar perfiles de riesgo para las personas que se relacionan con nosotros… Ya tenemos trabajo, aunque en buena parte de nuestras organizaciones -no en todas, por supuesto- estaríamos, como se suele decir, matando moscas a cañonazos :)

Mucho más que centrarnos en esta tercera fase, de procesamiento de los datos, es habitual focalizarnos en la cuarta etapa del ciclo: el análisis de los datos obtenidos y la producción de inteligencia. Como hemos dicho, no hace falta ser un experto psicólogo especializado en conducta humana para darnos cuenta de múltiples detalles que están ahí esperando a que alguien los vea; y cuando alguien los ve, los toma como dato aislado y los analiza junto a otros datos aislados, obtiene conclusiones muy (pero que muy) interesantes para determinar si las personas introducen en nuestras organizaciones alguno de los riesgos que antes hemos comentado (u otros cualesquiera). Esta fase es obviamente la más importante, la que requiere en mayor o menor medida materia gris, y la que por supuesto aporta un incalculable valor al ciclo de inteligencia (aplicado en este caso a la monitorización de personas, pero extrapolable a cualquier “otra” inteligencia).

Los resultados de esta cuarta etapa son la entrada para la quinta fase y última del ciclo, la de diseminación de la información: proporcionar las conclusiones y resultados de la información analizada (la inteligencia) a las personas adecuadas para que éstas puedan tomar decisiones correctas. Aquí viene la gran pregunta, ya no para el analista -nuestro ciclo aquí ha terminado con la diseminación- sino para esas personas que tienen que tomar decisiones: ¿qué hacer cuando detectamos algo que pueda suponer un riesgo? Obviamente no hay -creo- una respuesta única; cada situación debe ser evaluada independientemente, de forma objetiva, teniendo en cuenta cualquier circunstancia adicional que consideremos y, por supuesto, bajo dos principios desde mi punto de vista fundamentales: el de proporcionalidad y el de ética (lo siento, me cuesta decir legalidad, demasiadas veces reñida con la ética). Con esto, las decisiones adoptadas tendrán más probabilidad de ser las correctas, aunque lamentablemente el margen de error siempre está ahí y deberemos asumir que podemos equivocarnos :(

Ojo, para disipar cualquier duda antes de acabar: cuando hablo de “decisiones a adoptar” no estoy refiriéndome, ni mucho menos, a despedir directamente a una persona porque introduzca un cierto riesgo en la organización; justo por eso hablaba de los principios de proporcionalidad y de ética. Salvo en el caso de robo de información o actividades expresamente malintencionadas, donde para mí no hay duda de lo que hacer, cualquier otra situación puede ser mitigada sin llegar a estos extremos… Sólo hace falta buscar soluciones inteligentes.

Esta excelente iniciativa pone de manifiesto, una vez más, algunos aspectos de seguridad que ya hemos comentado en diferentes posts de este blog: en primer lugar, los referentes al intercambio de información, al information sharing del que tanto hablan los anglosajones y que, por fin, parece empezar a calar en España. Como en repetidas ocasiones hemos defendido desde aquí, esta tendencia debe ser en la actualidad la tónica general en seguridad, con las debidas garantías y con las relaciones de confianza necesarias para que la información fluya en las direcciones en las que debe hacerlo, permitiendo así reducir los riesgos de todos los actores y repercutiendo por tanto en un beneficio directo para todos. No ahondaremos más en los beneficios del information sharing -de momento, porque seguro que hablaremos más del tema- para que no nos llameis pesados :)

En segundo lugar, otro aspecto muy destacable del programa COOPERA es la colaboración entre seguridad pública y privada; de la misma forma que hace casi treinta años existía un grave problema de seguridad bancaria relacionado con el número y las consecuencias de los atracos a sucursales, y por tanto se hizo necesaria la creación de la Comisión Nacional de Seguridad (Directores de Seguridad de Cajas de Ahorros Confederadas) para reducir este problema, mediante la colaboración tanto entre entidades como con Seguridad Pública, en la actualidad existe otra tipología de amenazas, diferente de aquella, que hace necesario reforzar una vez más la colaboración entre Seguridad Pública (en este caso, Guardia Civil) y Privada, incrementando la complementariedad y reduciendo la subordinación que, aún en ocasiones, existe. A fin de cuentas, todos trabajamos en lo mismo, y si todos arrimamos el hombre, a todos nos irá mejor; además, no es de recibo que en muchas ocasiones la colaboración entre empresa privada y FFCCSE sea más personal (conozco a fulanito en la Comandancia o en la Jefatura Superior y le llamo para que me eche una mano, para compartir información, o para tomar una cerveza) que institucional y, sin descuidar la primera (seguiré tomándome una cerveza con quien me parezca :), formalizar las vías de cooperación creo que nos interesa a todas las partes.

Un tercer y último gran aspecto que queremos comentar en este blog es la convergencia reflejada en la iniciativa de la Guardia Civil, que aglutina bajo un mismo paraguas a Departamentos de Seguridad de muy diversa índole y que trabajan en sectores a priori disjuntos y sin relación directa: desde explosivos a protección de la información, pasando por CRA o medioambiente. Esta convergencia de la que a todos nos gusta hablar se traduce ahora en acciones concretas, en vías de trabajo y formación que, con los diferentes puntos de vista que cada uno de nosotros puede aportar a los demás, contribuirán sin duda a mejorar nuestras visiones, casi siempre acotadas, de la seguridad. De nuevo, no seguiremos hablando de convergencia para que no nos llameis pesados…

En definitiva, y ya para acabar, nuestra más sincera enhorabuena a la Guardia Civil, y en especial al SEPROSE, por la puesta en marcha de este programa; confiemos en que dé sus frutos, cumpliendo sus objetivos y estableciendo líneas de comunicación y colaboración robustas entre diferentes actores, públicos y privados, que permitan mejorar de forma global -más allá de empresas, departamentos, grupos…- la seguridad. Y por supuesto, que cunda el ejemplo y que salgan a la luz iniciativas similares o se mejoren las actuales; creo que, a fin de cuentas, la seguridad es algo que a todos nos afecta, por lo que debemos ser los primeros interesados en colaborar…

La seguridad en la empresa no deja de ser otro proceso que nos ayuda a proteger nuestro conocimiento y la continuidad del negocio. Cada día más empresas están empezando a entender la importancia de saber qué pasa en sus organizaciones, y saberlo a tiempo. Monitorización, correlación, eventos… términos que manejan muchas soluciones en el mercado, entre las cuales cuesta distinguir cuál se adapta mejor a mis necesidades. Como en cualquier otro área, hay grandes empresas, con grandes desarrollos para grandes multinacionales, recogiendo problemáticas de gigantes a precios exorbitantes. Y por sus referencias nadie duda de que las soluciones funcionan, tanto aquí como en EEUU, Japón o Guadalajara. Al final todo es igual, ¿o no?

Pero hay un eslabón que solemos dejar por el camino, que es el del implantador. Gran parte de las soluciones al final dependen de un partner que es quien parametriza y adapta las soluciones para poder ajustarlas a la problemática local. Evidentemente, cuanto mayor sea la experiencia con clientes similares, mejor será la implementación y habrá mas oportunidades de éxito. Y es aquí donde muchas soluciones flojean, en la experiencia local y en los profesionales que tienen esta experiencia. Porque la normativa legal no es la misma (retención de datos, LOPD, etc.), porque la problemática no es la misma (¿ataque de una potencia extranjera o disponibilidad de servicio?), porque las necesidades no son las mismas, las soluciones deben estar probadas en la problemática local…

Y los implantadores y su experiencia es el punto clave: ¿cuántas implantaciones con éxito ha realizado el equipo? Porque hay soluciones con mucho nombre y mucho arco, con tres profesionales en España, y ningún partner con más de dos implantaciones de éxito; otras empresas hablan de cabinas de almacenamiento y monitorización en el mismo paquete, y luego dicen que no tienen ni 20 implantaciones en este país; incluso hay quien vende soluciones que ya están obsoletas y han dejado de ser mantenidas por el creador de la solución… y así, miles y miles de ejemplos…

A fin de cuentas, ¿dejarías tu contabilidad en manos de cualquiera? ¿Entonces por qué le pides a alguien sin experiencia que implante, monitorice o gestione lo que no conoce? Bajo mi punto de vista lo mejor, como siempre, es ponerse en manos experimentadas y seguras, tengan el nombre que tengan.

Más allá del hecho de que el Director de Seguridad del Barça tenga o no la habilitación correspondiente, esta noticia viene a plantearnos algunas cuestiones. La primera es relativa a la (necesaria, IMHO) regularización del personal de seguridad; como hemos dicho, todo lo que se salga de la LSP en España no está reconocido, y no debemos olvidar que el negocio de la seguridad de la información al que se dedican -o nos dedicamos- muchas empresas no deja de ser Seguridad Privada… pero sin legislar. Para ser Vigilante de Seguridad o Escolta Privado debes poseer una habilitación, pero para ser técnico de, consultor de o responsable de, no necesitamos nada… Volvemos a insistir en cosas ya comentadas en este mismo blog: ¿no sería necesario que se ampliaran las figuras del personal de seguridad reconocidas en la Ley de Seguridad Privada? Esta ley no se ha movido significativamente desde hace dieciocho años -una eternidad si hablamos de seguridad-, por lo que muchos creemos que ya va siendo hora de que se revise la ley y podamos empezar a hablar de otras figuras, como comentaba en mi post sobre la Ley Ómnibus. Así, todos tendríamos claro cuáles son las figuras oficialmente reconocidas con nuestra perspectiva actual de seguridad (convergencia, PIC, etc.), y quién está capacitado para dirigir un departamento de seguridad, para pertenecer a él o simplemente para desarrollar ciertos trabajos dentro del ámbito de la seguridad privada… más allá de la vertiente “clásica”.

Otra cuestión es qué pasa actualmente con estos puestos de seguridad privada “no oficial”… se trata de roles tan habituales que nadie se plantea sus implicaciones, pero lo cierto es que únicamente están reconocidos dentro de una organización, no más alla; un Director de Seguridad o un Ingeniero en Informática es eso mismo aquí y en la China Popular (como diría alguien), mientras que un “Ingeniero de Seguridad Perimetral” o un “Responsable de Riesgos” no tienen sentido fuera de la organización que les ha asignado esa categoría. Volvemos al tema de las atribuciones profesionales, al quién puede hacer qué; “Director de Seguridad” es una habilitación propia del Ministerio del Interior, mientras que “Director de Seguridad de la Información” -el famoso CISO-, o “Consultor de Seguridad” no es ninguna titulación oficial, con lo que cualquiera puede adjudicarse este papel en su tarjeta de visita… De nuevo lo de siempre: ¿quién puede firmar una auditoría? ¿quién puede dirigir un departamento de seguridad que trabaje en protección de la información? Ahora mismo no existe regulación alguna más alla de la LSP (que por supuesto no toca seguridad de la información como tal), por lo que cada organización hace de su capa un sayo; yo puedo decir que tal persona es Técnico de Seguridad, Consultor de Seguridad o Ingeniero Jefe de Seguridad… ¿y? Sólo dependerá del buen criterio -o del mal criterio- de cada empresa el titulito que se asigne a su personal de seguridad…

Creo que una regulación del personal de seguridad sería muy conveniente tanto para nuestra profesión como para nuestros clientes, que por fin podrían saber quién les puede realizar determinados proyectos o prestar ciertos servicios, y en base a qué; y por supuesto, si llegamos al punto en que el personal de seguridad se regula correctamente más allá de la seguridad tradicional, no olvidemos que dicho personal tendrá una serie de obligaciones y responsabilidades -no como sucede ahora en seguridad de la información-; en el momento en el que alguien puede retirarme mi habilitación como Director de Seguridad si hago mal mi trabajo, impidiéndome desempeñar ese puesto en un futuro, me pensaré dos veces el entregar un informe o el resultado de un análisis de riesgos, por poner un ejemplo.

Para acabar, un último apunte: no empecemos ahora con que si para dirigir, auditar o implantar hace falta un CISSP, un SANS, un CISA, un CISO o un CASI, que me entra la risa… estas -y otras- certificaciones son títulos de una “academia” concreta (ISACA, ISC2, SANS…), y por muy reconocidos que estén o dejen de estar, hasta donde yo sé no son oficiales, al menos de momento; otra cosa es si demuestran o no conocimiento, o simplemente demuestran tiempo y dinero… pero para empezar a discutir quién puede hacer qué en seguridad, prefiero hacerlo por titulaciones oficiales o por habilitaciones propias del Ministerio del Interior, nos gusten más o menos…

Lejos de pretender mostrar una visión negativa de la decisión de implantar un SGSI, intentábamos advertir de cosas a tener en cuenta a lo largo del proceso. Es indudable que una vez el SGSI está implantado y en funcionamiento, éste aporta innumerables ventajas a la organización en general y al departamento TI en particular. Mucho se ha escrito sobre las ventajas de implantar un SGSI; como con el resto de Sistemas de Gestión, siempre se insiste en que el hecho de obtener un certificado hace que la organización aumente su competitividad, mejore su imagen respecto a las empresas de la competencia y se posicione mejor en el mercado. Todo eso es cierto, y está claro que esa puede ser una razón de peso para algunas organizaciones, ya que al fin y al cabo aumentar el nicho de mercado o fortalecer la posición y la imagen es algo imprescindible desde el punto de vista del negocio, y sin negocio, de nada sirven los sistemas de gestión y los certificados.

No obstante, dejando de lado el tema del certificado, desde nuestro punto de vista, el de una empresa especializada en Seguridad de la Información, existen otras muchas ventajas en la implantación de un Sistema de Gestión de Seguridad de la Información que son de otro ámbito. Entre otras, podríamos señalar como principales las siguientes:

• La gran mayoría de las tareas que obliga a ejecutar un SGSI (auditoria técnica de la plataforma TI, sistema de detección de intrusos, análisis de vulnerabilidades, inventario de activos, control de accesos, etc.) son aspectos que cualquier departamento TI que se precie debe abordar. La diferencia en este caso es que una vez implantado el SGSI estas tareas —y muchas otras— se encuentran sistematizadas, tienen asignado un responsable de ejecución y en muchos casos otro para la revisión, se analiza el resultado que de su ejecución se desprende, y se toman medidas en función de éste.

  Dicho de otra forma, la mayoría del trabajo es el mismo que se realizaría —o debería realizarse— sin tener un SGSI, pero el SGSI formaliza las tareas y garantiza que se ejecuten cuándo y de la forma que se haya considerado adecuada y por ello establecido.

• El Análisis de Riesgos es quizá uno de los aspectos que un departamento TI no aborda de forma sistemática si no ha implantado o se encuentra implantando un SGSI. No es necesario listar las ventajas que supone realizar y revisar de forma periódica un Análisis de Riesgos; basta con decir que nos permite conocer las amenazas a las que están expuestas nuestros activos —entre los que se encuentra la información—, la probabilidad de que éstas se materialicen y el impacto que dicha materialización tendría sobre nuestro negocio. Dicho de otro modo, nos permite conocer la situación en la que nos encontramos y a través del Plan de tratamiento de Riesgos (un requisito de la norma) planificar cómo llevar este riesgo a un nivel que consideremos aceptable y que estemos dispuestos a asumir.
• La continuidad del negocio, contemplada de manera específica en uno de los dominios de la norma, obliga a la organización a plantear, aunque se a un nivel muy general, cómo garantizar la continuidad del negocio en caso de una catástrofe. Aunque es cierto que la elaboración, implantación y mantenimiento de un plan de continuidad de negocio es un proyecto en sí mismo, de (casi) tanta entidad como la implantación de un SGSI, para abordar la certificación se debe haber realizado y probado al menos un plan de contingencia, que sin llegar a ser un plan de continuidad de negocio, sí que constituye un primer paso.
• El dominio correspondiente a Conformidad es otra de esas tareas que en la mayoría de las organizaciones queda fuera del alcance de las responsabilidades del departamento TI, y en la que interviene tanto jurídico como posiblemente recursos humanos. Este dominio obliga a identificar la legislación que nos aplica tanto a nivel de propiedad intelectual como de protección de datos de carácter personal, y no son pocas las empresas que pretenden implantar y certificar un SGSI sin cumplir las exigencias de la LOPD y su Reglamento de Desarrollo. La implantación de un SGSI obliga como mínimo a disminuir la probabilidad de incumplir algún requisito legal que puede acarrear sanciones o dañar la imagen corporativa, ya que hoy en día las entidades de certificación —o por lo menos aquellas con las que nosotros hemos trabajado— consideran una No Conformidad mayor cualquier incumplimiento legal y obligan a la empresa que aspira a obtener el certificado a un plazo de tres meses regularizar su situación. Lo que parece totalmente lógico, ¿no les parece?
• Comentábamos en un post anterior que un problema con el que hay que lidiar al implantar un SGSI es involucrar a áreas como Recursos Humanos, Departamento Legal, Administración, Comercial, etc., en un proyecto liderado por el Departamento TIC, que ven como ajeno a ellos y una carga de trabajo extra. La implantación de un SGSI requiere superar este escollo, lo que conlleva muchas ventajas: la seguridad ha dejado de ser cosa del Departamento TI y gracias a la formación y concienciación toda la organización es consciente del valor que tiene la información corporativa que maneja diariamente. Sin olvidar la existencia de normativas que deben cumplir para garantizar la seguridad de dicha información y cuyo incumplimiento tiene definido en la mayoría de los casos un proceso sancionador.

  Por último, pero no por ello menos importante, el apoyo que la Dirección debe demostrar al proyecto de implantación del SGSI, hace que los empleados entiendan que el tema de la seguridad de la información no se trata de un ‘capricho’ del Director del área TI, sino de una directriz marchada por la alta Dirección y que es por tanto un aspecto vital de la organización.

• Durante la fase de implantación de un SGSI se definen las directrices para detectar y actuar ante un incidente de seguridad, lo que evita que llegado el momento de enfrentarse a un incidente grave se tenga que pensar por dónde empezar, quién debe encargarse de qué, a quién hay que informar en primer lugar, y aspectos de ese estilo.
• Por último, la mejora continua es una ventaja común a todos los Sistemas de Gestión, sobre la que hay cientos de artículos escritos pero no por ello queremos dejar de mencionarla. Gracias al ciclo PDCA garantizamos que existe un proceso continuo que comprueba cómo de segura está nuestra información y actuamos para conseguir que el nivel de seguridad aumente. Este trabajo no se termina nunca: medir y actuar para mejorar. Siempre hay algún aspecto de la seguridad de la información que se puede mejorar.

Aunque estas son algunas de las ventajas, es indudable que existen muchas otras. En próximas entradas pasaremos a ver cuáles son las ventajas de la integración de sistemas de gestión, o la conveniencia y ventajas que aporta contar con un sistema de gestión de eventos y alarmas a la hora de implantar un SGSI.

Los ingenieros llevamos muchos años monitorizando los procesos industriales; son procesos con parámetros de funcionamiento bien definidos en el diseño, y cuya variación tiene consecuencias conocidas. Sabemos qué desviaciones se pueden permitir sin afectar negativamente al resultado final, vigilamos esos parámetros y establecemos sistemas de control que nos avisan cuando alguno se sale de lo establecido.

En términos generales, la gestión de una empresa consiste en controlar el funcionamiento de sus procesos manteniendo los parámetros de funcionamiento dentro de los límites admisibles, para garantizar que los resultados cumplen con el plan de operaciones. En este caso, los procesos no son sólo los industriales, sino también los logísticos, comerciales, financieros y, por supuesto, la seguridad, de la que a estas alturas no hace falta hablar; todos conocemos el mantra de Bruce Schneier: “Security is a process, not a product“. No hay más que echarle un vistazo a su blog Schneier on Security para comprobar su insistencia en esta idea.

La duda que nuestra mentalidad de ingenieros nos crea es si todos estos procesos, aun siendo de diferente naturaleza, no se pueden monitorizar de la misma manera. Mi (nuestra) respuesta, claro está, es que sí. La empresa en tiempo real es precisamente un planteamiento de gestión empresarial en el que se propone hacer llegar la información relevante a las personas adecuadas en el menor tiempo posible, para mantener el nivel de competitividad necesario y mejorar los procesos productivos.

Para ello, deberemos identificar los puntos críticos de los procesos, e implantar sensores que generen un evento (aviso) cada vez que se produzca una información determinada. De esta manera, cada vez que algo relevante sucede en el proceso, se genera un evento, una incidencia, una alarma. Por supuesto, al hacer esto existe el riesgo de exceso de información como el que sufrimos desde que vivimos con Internet (algunos hay que viven “en” Internet). Existen dos enfoques para hacer frente a este exceso de información.

El primero consiste en consultar los sistemas cuando pensamos que es hora de saber lo que ocurre (normalmente en períodos regulares: reuniones de seguimiento, informes periódicos de situación, comités trimestrales) o cuando se produce un problema (reuniones de crisis). El inconveniente obvio de este enfoque es que puede que cuando nos enteremos sea tarde para actuar, y nos limitemos a apagar fuegos, o “verlas venir”. Ya saben a qué me refiero.

El segundo planteamiento consiste en aplicar sistemas de correlación que analizan los eventos automáticamente y separan el grano de la paja, o aplican reglas para sacar conclusiones, haciéndonos llegar la información que necesitamos, en el momento en que se produce. De esta manera, podemos actuar antes de que las cosas pasen a mayores, detectando los síntomas de los problemas en lugar de sus efectos, evitando el impacto en nuestros procesos y, mejor aún, en nuestros clientes. Algo así como el mantenimiento predictivo. Por tanto, en este caso cada evento que recibimos representa la materialización de una amenaza al funcionamiento correcto de nuestros procesos. Así, monitorizando, estamos controlando en tiempo real el nivel de riesgo de nuestra organización.

Por supuesto, llegar a eso no es sencillo, pero aporta ventajas innumerables frente al planteamiento del “bombero”, con un nivel adecuado de monitorización de nuestros procesos, podemos conseguir que la frase “No news is good news” signifique que, mientras no recibamos eventos avisándonos de lo contrario, es que todo funciona correctamente y no debemos preocuparnos.

Sirva esta primera entrada como inauguración de un campo que personalmente me interesa mucho, BAM: Business Activity Monitoring, y en el que tenemos ya bastantes años de experiencia. Espero que este tema les resulte tan apasionante como a nosotros.

(Imagen original de plunder112 en media.photobucket.com)

Aprovechando que Google ha decidido, en un intento de atraer clientes corporativos a su plataforma, eliminar la etiqueta “Beta” de algunos de sus servicios, hoy vengo a contarles algunos detalles interesantes sobre Puerto Seguro, principios a los que Google, como prácticamente cualquier empresa americana interesada en gestionar datos de personas de este lado del Atántico, se adhiere (Google adheres to the US Safe Harbor Privacy Principles of Notice, Choice, Onward Transfer, Security, Data Integrity, Access and Enforcement — Política de privacidad de Google). Ya saben cuánto me gusta meterme con Google.

De manera muy resumida, Puerto Seguro son un conjunto de condiciones que una empresa estadounidense debe cumplir para poder gestionar datos de ciudadanos de la Unión Europea, surgidas a partir de la necesidad (comercial) de intercambio de datos de carácter personal entre ambas partes ante la entrada en vigor de la Directiva 95/46 de la Unión Europea en octubre de 1998. Estos principios están reflejados en la Decisión de la Comisión de 26 de julio de 2000 con arreglo a la Directiva 95/46/CE [...], sobre la adecuación de la protección conferida por los principios de puerto seguro [...], publicadas por el Departamento de Comercio de Estados Unidos de América. Dicho de otra forma, al adherirse a los principios de Puerto Seguro, una organización estadounidense asegura que el tratamiento de los datos de carácter personal es conforme a la Directiva 95/46/CE… o “algo así”. Hasta aquí, la teoría, porque el resto es para partirse de risa (o llorar).

Comencemos por el “asegura” del párrafo anterior, porque deben tomarlo de manera literal. No, no es broma. Es decir, yo, empresa X, aseguro que cumplo los principios de Puerto Seguro. Todo lo que tengo que hacer es darme de alta en una lista y pagar la cuota correspondiente; si tengo algo de interés, puedo hacer algo para cumplir con dichos principios, pero todo apunta a que ese extremo no es en absoluto necesario. Tras este trámite, deberé pagar una cuota anual que actualmente es de 100$, y poco más; podría realizar una autoevaluación para valorar mi nivel de cumplimiento, pero esto tampoco parece una obligación.

Algo podría hacernos pensar que si existen una serie de principios o restricciones a cumplir, lógicamente debería existir algún tipo de control externo a la organización que vele por su cumplimiento, pero no lo hay. Dicho de otra forma, nadie ni nada comprueba que las empresas que dicen cumplir con los principios de Puerto Seguro efectivamente cumplen con ellos, por lo que nada asegura ni siquiera que la empresa haya realizado dicha auto-evaluación. En efecto, un estudio de 2008 elaborado por Galexia (The US Safe Harbor – Fact or Fiction? [en PDF]) muestra que la lista de empresas adheridas que mantiene el Departamento de Comercio de los EEUU contiene empresas que han cesado en su actividad, que están duplicadas o que incumplen de manera severa varios de los principios. Algo similar fue confirmado en los estudios previos elaborados por la Unión Europea, tanto en 2002 como en 2004, aunque hasta la fecha, el organismo que vela por el cumplimiento de Puerto Seguro, el Departamento de Comercio de los EEUU (Federal Trade Commission o FTC), no ha llevado a cabo ninguna sanción ni modificación de la lista. Como dice Emilio Aced Emilio Aced [pdf] (Subdirector de Inspección de Datos y Tutela de los Derechos, Agencia de Protección de Datos de la Comunidad de Madrid), se trata de un «esquema de auto certificación, autorregulación y auto evaluación en el que pueden no existir nunca controles externos respecto de las actividades y prácticas de protección de datos de las compañías adheridas a Puerto Seguro».

Déjenme decir que, a pesar de lo que parece, el esquema indicado no tiene porqué ser necesariamente malo; el problema no es ese. El problema es la pasividad e indiferencia del Departamento de Comercio de los EEUU y su escaso interés en velar por el cumplimiento de los principios de Puerto Seguro. De hecho, podríamos casi decir que la LOPD sigue un esquema similar (tanto la adaptación como las auditorías pueden realizarse internamente), pero en el que existe un organismo que sí vela por su cumplimiento, y a partir del cual pueden derivarse sanciones (que en el caso de Puerto Seguro debería incluir la anulación del “certificado”). Esto demuestra que Puerto Seguro tiene una finalidad exclusivamente comercial, y no persigue ningún tipo de protección de los datos.

Obviamente, una vez dicho esto, que estar adherido a Puerto Seguro no implique que todos los tratamientos de datos sean conformes a sus principios sino únicamente aquellos que la empresa declare, o que Puerto Seguro no sea aplicable a filiales de empresas estadounidenses afincadas en otros paises como algunas pretenden, no tiene la menor importancia.

Así que la próxima vez que lean que una empresa X está adherida a los principios de Puerto Seguro, sepan que lo único que dice es que está interesada en desarrollar actividades comerciales dentro de la Unión Europea. De lo demás, quién sabe.

Las tecnologías de la información y las comunicaciones han traído progreso, la globalización, han reducido costes, han cambiado la sociedad, han reducido la distancia entre el primer y el tercer mundo, pero no han venido sin un coste asociado.

¡Ya está bien! Aunque todo esto sea cierto también nos han traído cosas malas, muy malas; la energía nuclear nos ha regalado muchas cosas buenas, y de todos es sabido que ha traído cosas malas, debido a su mal uso…

La situación actual no es buena; tenemos sobresaltos, y aun nos asombra el mal uso que se puede llegar a hacer de la información: que se acceda a datos de noventa millones de personas en un click, que se pierdan datos de millones de contribuyentes ingleses, que existan redes de pederastia organizada, o que los del lado oscuro sepan más de nosotros que nosotros mismos (roban ordenadores de ayuntamientos para conocer nuestros patrimonios, o los PCs de los cajeros para conocer nuestros estados financieros). La posibilidad de que una mafia de un país X formada por magníficos ingenieros que no tienen nada que perder acceda a los sistemas de control de suministro eléctrico o del suministro de agua potable a ciudades nos aterra, y tímidamente creamos comisiones nacionales para la protección de infraestructuras críticas, para ver cómo podemos defendernos de ello… pero no nos decidimos a coger el toro por los cuernos. HAY MUCHOS IRRESPONSABLES en puestos de mucha responsabilidad que permanentemente echan las culpas a los presupuestos públicos o privados para no cumplir con los mínimos requerimientos de seguridad, de protección de los diseños, de protección de los datos de personas, de protección de las redes, etc…

No vale argumentar desconocimiento. Somos muchos los que predicamos y advertimos hasta quedarnos sin aliento y también somos muchos los que aún somos ignorados cuando hacemos determinadas advertencias.

Al final las cosas ocurren, los Windsor se queman, los ataques intencionados se producen, los daños por troyanos se multiplican, los CPDs se incendian, la información se pierde, o el trabajador malintencionado nos roba la información corporativa; la dura realidad es que los incidentes de seguridad cuestan mucho dinero, y hasta que no nos pasa algo no aprendemos. Es en ese momento cuando, como en una presentación de un plan de seguridad a la que asistí, se realiza un análisis cronológico de la historia y se dice: Diciembre de 2005 sanción de la AEPD, Enero de 2006 inicio proyecto adaptación LOPD…

¿Por qué no hacemos como sociedad que se le ponga remedio a esto de una vez por todas? Cada miembro de la sociedad tiene su responsabilidad y la cadena se rompe por su eslabón más débil, luego NO PODEMOS PERMITIR que haya eslabones débiles.

Pero esto ¿por qué sucede? Vivimos en una sociedad llena de dirigentes y directivos que hacen la vista gorda o simplemente se limitan a mirar hacia otra parte ante este tipo de situaciones. Tal vez no conocen estos problemas, o mejor dicho no quieren conocerlos; pero no es “ojos que no ven corazón que no siente”, sino más bien “ojos que no ven…. BATACAZO QUE TE PEGAS”.

Se sabe, se dice, se conoce, incluso se formaliza, pero hay ocasiones en las que incluso se prefiere asumir un riesgo o dotar una partida presupuestaria para hacer frente a las sanciones, en lugar de asumir las responsabilidades que corresponden; sin embargo, esto no puede seguir así mucho tiempo. Hay grupos organizados que están sacando provecho de la codicia, de la dejadez y de la indiferencia de algunos gobernantes o directivos, a los que lo único que les interesa es su cuenta de resultados o el próximo proyecto que les hará ganar votos, pero señores… ¡Hay unos mínimos que atender y cubrir!

Los consejos de administración, los directores generales, los dirigentes políticos no pueden hacer caso omiso de las recomendaciones de los técnicos que les advierten, incluso por escrito, de los riesgos que estamos asumiendo como sociedad. Es hora ya de que las máximas responsabilidades de naciones y organizaciones —que muchas veces superan en poder incluso a las naciones— tomen cartas en el asunto y se conciencien de que hablar de desarrollo sostenible no es simplemente hablar de conciliar la vida familiar y profesional de los empleados, o de reciclar el papel de la impresora. Es ser RESPONSABLE ante la sociedad, en las dimensiones que marca la convivencia pacífica de las sociedades modernas, incluida la referente al uso o mal-uso de la información

Es hora de que los gobiernos EXIJAN las responsabilidades de BUEN GOBIERNO en las empresas a los que se las deben exigir.

Próximamente va a ver la luz el Esquema Nacional de Seguridad que anunciaba el artículo 42 de la ley 11/2007. Creo sinceramente que este va a ser un primer paso en esta dirección, al menos en el sector público, pero también creo que aún nos queda mucho por hacer.

Creo que estaremos de acuerdo que el primero y más estratégico son las personas (sin ellas una organización no funcionaría), pero el segundo y unido a ellas de forma indivisible, es su conocimiento y experiencia, ya que sin ésta, la persona carece de valor estratégico y por lo tanto no es un activo crítico (duro pero real como la vida misma). ¿Qué es el conocimiento y la experiencia sino el conjunto de sucesos e información aprendidos y procesados por una persona a lo largo de su vida/carrera? Por algún motivo extraño, tanto los sistemas de la gestión de prevención de la seguridad y salud en el trabajo (SST), OHSAS 18002:2002, como el sistema de gestión de la seguridad de la información (ISO 27001:2005) contemplan de forma disociada esta realidad, siendo éstas disciplinas las únicas que velan por la seguridad en aras de minimizar los riesgo que afectan a la integridad de las personas y la información.

La OHSAS 18002 intenta controlar y evitar que las personas tengan accidentes laborales y de salud, mejorando su desempeño y de esta forma proteger su integridad, preservar su disponibilidad (bajas laborales), siempre en un entorno de información confidencial (¿nos suena, no?). La ISO 27001 intenta también que la información (como activo estratégico) sea en todo momento íntegra, que esté disponible en todo momento y sea confidencial. Pero, ¿quién se encarga de analizar y establecer las medidas de protección adecuadas enfocadas a proteger al conocimiento que reside en esas personas y que pueden tener comprometida, en un momento dado, su integridad, disponibilidad o confidencialidad? ¿Cómo afecta un incidente laboral al proceso y conocimiento que gestiona la persona afectada? ¿Qué procesos/Entorno Tecnológico/Sistemas/Equipos físicos se ven afectados? ¿Cómo podemos minorar el impacto en la seguridad de la información velando al mismo tiempo por la salud de la persona afectada?

¿No debería haber una gestión coordinada en estos puntos en los que el activo común a las dos normas queda comprometido?

En próximas entradas, revisaremos las incidencias que se producen en el contexto de la norma OHSAS 18002 y que comprometen al activo relacionado en la norma ISO 27001, e intentaré establecer puntos de unión en los que debería de existir una gestión coordinada así como propuestas de procedimiento.