NIST-SP 800-88 [pdf], Guidelines for media sanitization, define cuatro tipos de “sanitización” (perdón por la traducción inventada, pero no quería decir “saneamiento” o algo así) de medios: la eliminación (no hacemos nada especial, simplemente nos deshacemos de la información, por ejemplo dejando el papel en un contenedor para reciclar), la limpieza (borrado de datos básico), el purgado (borrado avanzado) y la destrucción.

Centrándonos en el último de los anteriores tipos, las destructoras de medios físicos (papel, discos duros, tarjetas de crédito, DVDs…) constituyen un control de seguridad básico a día de hoy en organizaciones de todo tipo: desde una PYME o un autónomo, a las grandes multinacionales. Y es que, conforme la información adquiere cada vez más valor para nosotros, obviamente más preocupados estamos porque los soportes que contienen esta información no lleguen a manos ajenas.

A continuación les muestro las presentaciones de dos charlas realizadas por Antonio Villalón, la primera de ellas ayer mismo en la jornada “La Seguridad y Fiabilidad Informática Factor Clave para el Crecimiento de las Empresas” organizada por el Instituto Tecnológico de Informática de la Universidad Politécnica de Valencia, y la segunda el pasado 18 de diciembre, en el ciclo de charlas técnicas del chapter ISACA de Valencia. Espero que les resulten interesantes. En cualquier caso, buen fin de semana a todos.

Como sabrán si visitan blogs de manera asidua, cualquier blog que se precie está obligado a dedicar una parte de sus entradas a mirarse el ombligo, o si quieren llamarlo así, a publicar “metaentradas”, cuya única finalidad es hablar del propio blog. Puesto que en los casi 2 años que llevamos de vida apenas nos hemos dado palmaditas en la espalda, y aprovechando la actualización e instalación del Wordpress y diversos plugins, he creído conveniente aprovechar esta entrada para que Security Art Work hable de sí mismo.

En cifras, desde el pasado 25 de abril de 2007 llevamos publicadas un total de 220 entradas, sin contar la presente, que han recibido un total de 284 comentarios, es decir una media de 1.29 comentarios por entrada, valor que, todo sea dicho, es francamente mejorable. Si nos vamos a las estadísticas, aunque durante su comienzo los números fueron bastante modestos, lo cierto es que durante los últimos meses Security Art Work ha experimentado un apreciado incremento de suscriptores y visitantes, especialmente a raíz de la aparición en portada de menéame de la entrada sobre la rotura de WPA/WPA2 anunciada por Elcomsoft; tampoco crean que estamos hablando de un aumento impresionante, tal y como verán en las gráficas de debajo.

Durante las últimas semanas se ha venido hablando acerca de la “adicción” del presidente electo de los Estados Unidos, Barack Obama, a su BlackBerry, y la negativa de la NSA (National Security Agency) a que siga utilizándola durante su mandato; según se ha publicado, parece que Obama llegó a declarar que le tendrían que arrancar su BlackBerry de las manos -imagino que en tono coloquial, dicho sea de paso-, ya que el servicio secreto de los Estados Unidos considera inseguras las comunicaciones realizadas mediante BlackBerry.

El de Obama no es el único caso en el que el uso de estos dispositivos se prohíbe de forma tajante a aquellos que puedan manejar información altamente confidencial; hace algo menos de dos años, el gobierno francés prohibió también a sus altos funcionarios el uso de BlackBerries, por el mismo motivo (un tema del que también se hicieron eco muchos medios). Pero… ¿es esta medida justificada, o por el contrario podemos considerarla desproporcionada?

Nos van a disculpar la ausencia de estos días, pero diversas cuestiones nos han mantenido alejados del blog, y no hemos podido dejarnos caer por aquí. En cualquier caso, dicho eso y esperando que acepten las disculpas, volvemos con la tercera parte de la serie “Seguridad y Riesgos en las TIC” (uno, y dos), que se centra en el Análisis de Riesgos. Al igual que en otros “capítulos” de la serie, no esperen demasiada profundidad ni tecnicismos, ya que no es ese el propósito de esta serie.

El Análisis de Riesgos es una herramienta de diagnóstico utilizada para determinar la exposición de una organización a los riesgos. Sus objetivos son (a) identificar los riesgos mediante la identificación de sus elementos, (b) determinar el riesgo total o exposición bruta al riesgo, como combinación de los elementos que lo conforman, y (c) determinar el riesgo residual.

Hoy he desayunado leyendo la última entrada de Enrique Dans en su blog, llamada “Trucos para quien depende de Gmail“. En la línea de sus aportaciones habituales, con las que se puede estar más o menos de acuerdo, Enrique aboga por el uso de Gmail para el usuario corporativo, diciendo que:

Ahora que está tan de moda la Responsabilidad Corporativa y el Buen Gobierno (ver la reciente entrada de José Rosell), parece que los eventos que estamos viviendo a nivel mundial se empeñan en demostrarnos que éstas brillan por su ausencia, o que al menos se están entendiendo más como una moda o una cuestión de imagen de cara a la galería, que como un compromiso real. Sólo así se entienden hechos como el desplome financiero de grandes (y hasta hace poco, reputadísimas) entidades financieras que han incurrido en situaciones de riesgo operacional tan irracionales como irresponsables, o problemas como los que está sufriendo Islandia. Estos acontecimientos hacen cada vez más patente la necesidad de supervisión y control interno real en las organizaciones, y remarcan la necesidad (y al mismo tiempo, su insuficiencia) de la existencia de leyes como la SOX; evidentemente mejorables, pero imprescindibles.

Aunque también habría que implantar controles relacionados con la Responsabilidad Moral o Ética para algunas de estas empresas y sus directivos, pero para esto, así a bote pronto, me cuesta más plantearme el diseño de los controles. Discúlpenme, pero necesitaba desahogarme.

En una ocasión tuve la oportunidad de revisar el procedimiento que asegura que en una cadena de montaje el tornillo que sujeta la barra de la dirección de un vehículo se introduce correctamente, aspecto como comprenderán de vital importancia por sus implicaciones en seguridad. Dicho procedimiento era el siguiente:

1. Un operario colocaba el tornillo.
2. Otro operario apretaba dicho tornillo con otro par de apriete.
3. Un tercer operario pintaba de blanco el tornillo, y no por una cuestión estética, sino para obligar a que alguien tuviera que hacer algo sobre el tornillo existente.
4. Finalmente, un último operario de calidad revisaba que estaba dicho tornillo y además estaba pintado de blanco, y procedía a anotar el resultado en una hoja de control de calidad; por supuesto, si el operario no encontraba el tornillo no se limitaba a apuntar que éste no estaba y dejaba el coche continuar por la cadena de montaje como si nada.

No deja de ser increíble que cuando en España hablamos de Buen Gobierno pasemos totalmente por alto conceptos como el Gobierno de la Seguridad de la Información o el cumplimiento legal en determinados ámbitos; abrimos la boca y con palabras grandilocuentes y grandes expresiones hablamos de la “Empresa Responsable”, del “Desarrollo Sostenible” o de la “Responsabilidad Corporativa”, cuyo análisis nos lleva a tres dimensiones: la medioambiental, la social y la económica. Esto es y debe ser así, y está bien, pero cuando desarrollamos cada una de las dimensiones dedicamos tomos para hablar del medioambiente, de los grupos de interés, de los accionistas, etc… olvidando por el camino capítulos muy importantes en esta materia.

Es evidente que todo lo que está debe estar, pero, ¿por qué cuando se tratan todos estos temas no se habla también de seguridad, de seguridad de la información, de cumplimiento normativo, de protección de los datos de las personas, de gestión de riesgos incluidos los operacionales, de planes de continuidad de negocio y de contingencia, etc…? Me resulta ciertamente sorprendente que este tipo de cuestiones se dejen fuera del ámbito del Buen Gobierno, y lo achaco tal vez al desconocimiento de la materia por parte de los equipos de trabajo en España.

Hace ya meses hablamos en este mismo blog de la convergencia de la seguridad, y en ese mismo post dedicábamos un escueto párrafo a la figura del nuevo Director de Seguridad (el CSO, como les gusta decir a los americanos).

Hasta hace unos años, en la mayor parte de organizaciones había dos figuras clave para la seguridad corporativa: el CSO (Chief Security Officer) y el CISO (Chief Information Security Officer); mientras que el primero era el responsable de las 3G (Guards, Guns and Gates), es decir, de la seguridad física o tradicional, el otro lo era de la seguridad de la información —en la mayor parte de casos, ocupándose únicamente de los aspectos tecnológicos de la misma—. Habitualmente, la relación entre ambos no solía ser la óptima (los “frikis” contra los “seguratas”), ya que por supuesto hay mucho terreno en común e incluso muchos “reinos de taifas” en juego; esta dualidad desembocaba en situaciones tan absurdas e indeseables como duplicidad de inversiones, duplicidad de esfuerzos o responsabilidades en materias de seguridad no definidas, con los consiguientes riesgos que esto implica.