Cuando uno oye hablar de espionaje industrial, la idea casi siempre va asociada a grandes “cosas”. A gigantes aeronáuticos —Boeing y EADS, por ejemplo— o automovilísticos —¿se acuerdan de Ignacio López de Arriortúa, popularmente conocido como Superlópez?—, a grandes despliegues tecnológicos como Echelon, o a informes de altos organismos internacionales advirtiendo del peligro de esta o aquella potencia económica emergente.

El caso es que, si nos atenemos a ese tipo de casos grandilocuentes, cualquiera se podría sentir más o menos a salvo; mucha gente con la que he trabajado, aunque no toda, parece haber respondido implícitamente a la siguiente pregunta: ¿quién podría estar interesado en la información que yo manejo? Pueden imaginar que algo como Nadie o Casi nadie es esa respuesta. Lo que me gustaría dejar claro con esta entrada, sin ánimo de meterle miedo a nadie, sino más bien al contrario concienciar, es que en realidad hay mucha más gente de la que parece interesada en esa información que usted cree que no interesa a nadie. Déjenme que me explique; hay un par de aspectos que me interesa comentar.

Siempre que abordarmos un proyecto de auditoría de ISO 27002 o la implantación de un SGSI nos sigue sorprendiendo la actitud de ciertos directivos, que presionados por la urgencia del día a día, y por el seguimiento de indicadores puramente productivos, digamos que no contemplan (por no decir que desestiman o dejan de lado, que queda más feo) los riesgos a los que sus procesos de negocio se encuentran expuestos desde el punto de vista de la seguridad. Para ser justos, también nos encontramos con gerencias que están preocupadas por estos aspectos, o que ven por ejemplo —como siempre recalcamos en este tipo de proyectos— la viabilidad de trasladar las medidas de seguridad que se implantan para tratar datos de carácter personal al resto de la información que tratan sus organizaciones, y que a fin de cuentas es la que de verdad es importante para ellos desde el punto de vista del negocio. Pero insisto, todavía son “los menos”.

Si me permiten la expresión, a veces “se me pone la carne de gallina” cuando detectamos las barbaridades que en algunos casos se cometen gestionando esta información, y estoy hablando de grandes organizaciones, no de PYMES: envíos de documentos confidenciales a través de cuentas de webmail (Hotmail, Yahoo!, Gmail, etc.) porque el servidor de correo corporativo tiene una limitación en los ficheros anexados, redes corporativas —con acceso por parte de proveedores externos— sin segmentar, inexistencia de acuerdos de confidencialidad firmados con terceros, etc.

Incluso en el ámbito de auditorías de seguridad lógica comprobamos que sí, efectivamente, la empresa dispone de un IDS, pero que simplemente está “dejado caer”, sin que se haya configurado adecuadamente, o sin que nadie esté dando aunque sea un vistazo a las alertas que se puedan estar generando. O que cuando lanzamos las auditorías automáticas de vulnerabilidades, nadie (ya sea el departamento de sistemas o la empresa externa que dice estar gestionando la seguridad de la red auditada) detecta el aluvión de escaneos de puertos. Y no voy a entrar en el apartado de las medidas de seguridad de los CPDs, en la ausencia de control en el acceso a la información en soporte papel en salas de archivo de uso compartido, o en el espeluznante capítulo de la información confidencial en equipos portátiles, que tan acertadamente describió nuestro compañero Alberto Rivas.

Parece ser que esos riesgos no van con ellos; aparentan creer (por los hechos los conocerás, que decía aquél) que la información de su negocio no le interesa a nadie. Por desgracia, las cosas no son exactamente así, y siempre hay gente interesada en tu información.

Y esta es una PYME.

Todo jefe, director o gestor de proyectos informáticos conoce las fases del ciclo de vida de un proyecto cual patrón de barco conoce la ruta a puerto seguro. Concepción, Organización, Desarrollo y Cierre conforman esa hoja de ruta que conducirá a patrón y marineros hacia el éxito de la aventura. Es sabido que ningún proyecto emprendido está exento de contingencias y desviaciones en la planificación trazada a priori, mapa en mano.

Así pues, a menudo se encuentran escollos y arrecifes que no estaban documentados en los mapas cartográficos y que generan retrasos y costes que en ocasiones pueden ser desmedidos. Esta situaciones son normales, así como es habitual que ese otro capitán que saborea un trago de ron junto a nuestra persona en la taberna te susurre de forma arrogante:

—¡Ja ja! ¡Yo estuve navegando el mes pasado por esas aguas y ví los arrecifes que hundieron parte de tu nave esta mañana!
—¡Valiente grumete, ¿y no los identificaste en el mapa para que los demás patrones no incidieran en el error?!— contestamos golpeando la mesa y derramando el poco ron que quedaba en el vaso.

[Actualización 29/01: Hemos decidido, para incrementar de alguna manera la participación en el blog, habitualmente escasa como pueden apreciar, abrir de manera indefinida los comentarios, de modo que ya no es necesario estar registrado para realizar un comentario sobre una entrada. Por supuesto, aquellos usuarios registrados pueden seguir comentando como usuarios registrados. Esperamos que esto les motive a dejarnos sus opiniones, que les aseguro estamos ansiosos por escuchar.]

No es mi intención trivializar el caso, todo lo contrario, y sobre todo si tenemos en cuenta su magnitud económica. Pero el caso de la Société Générale (y la que está cayendo) ha vuelto a poner encima de la mesa la necesidad cada vez mayor de implantar sistemas de monitorización de las actividades de negocio de las organizaciones, y sobre todo de aquellas que pueden poner en peligro su estabilidad financiera, como ha ocurrido en el caso que nos ocupa.

La semana pasada un compañero de trabajo, J., me contaba que había decidido empezar a utilizar la banca electrónica, y evitar de este modo tener que desplazarse a la oficina o al cajero para realizar consultas o transferencias económicas. Puesto que no le era posible realizar la consulta personalmente, le había pedido a su progenitor que se acercase a la sucursal y se informase de toda la documentación y trámites necesarios para activar el servicio en cuestión, servicio que sabía que su entidad bancaria ofrecía gratuitamente.

Y así lo hizo éste.

Se habla cada día más de la seguridad —o inseguridad— relacionada con los dispositivos móviles que todos, en mayor menor medida, llevamos con nosotros en nuestro día a día. Sin duda, nos encontramos ante uno de los principales quebraderos de cabeza que en la actualidad comparten todos los responsables de seguridad, y previsiblemente seguirá siéndolo a medio plazo. Y aunque la amenaza no es nueva, conforme avanza la tecnología aumentan el riesgo y el impacto asociados a ella. Un ejemplo: si hace unos años, lo que podíamos perder (o lo que nos podían robar) era una agenda (de papel, de las de toda la vida), un bloc de notas o, a lo sumo, un par de diskettes, hoy podemos perder gigas de información en un simple lápiz de memoria USB, una detallada agenda electrónica con nuestros contactos, o incluso el portátil en el que tenemos almacenado todo nuestro trabajo.

Nadie pone en duda los beneficios que introducen en nuestro trabajo diario este tipo de dispositivos, pero igualmente nadie pone en duda los problemas de seguridad que nos pueden acarrear; ninguno de nosotros está exento de perder uno de estos gadgets (o chismes, en una posible acepción castellana), así que es imprescindible implantar controles que, en caso de robo o pérdida, minimicen el impacto para la organización. Para empezar, una buena salvaguarda es la definición de procedimientos, normativas, políticas o como les queramos llamar, para regular el uso de estos dispositivos. Estas normas deben marcar el tipo de datos que podemos almacenar en los mismos, las medidas de prevención básicas para evitar un compromiso (robo, pérdida o ataque), los pasos a seguir si dicho compromiso se produce, etc. Además, una medida técnica siempre recomendable es el cifrado de los datos almacenados: se trata de una medida barata y efectiva, que todos deberíamos implantar.

La semana pasada, durante una amena sesión de formación ISO 9001, me tacharon de “paranoico”, “fundamentalista”, y similares por defender los procedimientos duros de verificación (corrección y completitud) de Curriculum Vitae para las personas que van a entrar a formar parte de una organización, lo que se viene a llamar CV Screening; más en concreto, por defender la necesidad de asegurarnos de la completitud de un curriculum.

Mientras que las verificaciones destinadas a comprobar que una persona es lo que dice ser (si yo afirmo ser Ingeniero en Informática, debo aportar “algo” —un título original en este caso— que lo confirme) son comúnmente aceptadas, las que tienen por objeto comprobar que alguien es lo que no dice ser parece que chocan de frente con el derecho a la privacidad de las personas. Un ejemplo: si a un candidato a puesto de mantenimiento —quizás, a priori, no relacionado directamente con la seguridad— le solicito el título de técnico electricista, sin ningún problema lo aportará junto a su Curriculum y podrá ser cotejado por el departamento de Seguridad; si a ese mismo candidato se le pregunta a qué se debe un llamativo “hueco” en su historial, pongamos por ejemplo de tres años y un día, se llevará las manos a la cabeza alegando su derecho a la privacidad, los ataques a su intimidad y no sé cuántas cosas más.

Durante los últimos meses he tenido la suerte o la desgracia de leer varios informes sobre el estado del arte de las empresas en materias de seguridad de la informacion. De hecho, algun compañero de blog ya lanzó comentarios sobre estos estudios hace algún tiempo. Creo que vengo a complementar o más bien corroborar sus apreciaciones.

Estos estudios, como menciono, tratan de determinar el estado estadístico de las empresas en relación a la seguridad de la información. Obviamente, dependiendo de quién realiza el estudio, centra sus puntos de control en unos aspectos u otros de la seguridad (me refiero a seguridad legal, organizativa, logica, física, partes de alguna de las anteriores, o todas ellas en global, depende).

El pasado sábado la versión electrónica del periódico local valenciano Levante EMV daba la noticia de que un virus había causado el caos en la Escuela Oficial de Idiomas de Valencia. Al parecer, y según el diario, éste «provocó que las citaciones con el mismo número se duplicaran e incluso se triplicaran en algún caso». No niego que, aún desconociendo la aplicación y el procedimiento de citación, me parece sumamente interesante que un virus pueda actuar de forma tan “inteligente” y llegue a ese nivel de interacción con los datos, pero dejando polémicas, suspicacias y sospechas aparte, la cuestión es que me da la sensación, y entramos en el terreno de la opinión personal, de que para el público en general, y no tan general, los virus suelen residir en un universo independiente al del concepto “puro” de seguridad.

Es decir, que mientras éste parece estar más relacionado con grandes corporaciones, con hackers y crackers, intrusiones, robo de información privilegiada, IDSs, análisis forense, cortafuegos o gestión de contraseñas, los virus, troyanos, gusanos, spam y demás fauna relacionada son una molestia perrmanente y casi necesaria, fácilmente solventable con un antivirus y algún programa de malware. Parece, como digo, que políticas, procedimientos, y todas aquellas medidas típicas de un entorno seguro, orientado a evitar —mitigar— los riesgos relacionados con la seguridad de la información, están “de más” cuando se trata de controlar a estos no siempre pequeños y nunca inofensivos “bichos”. Vamos, resumiendo, que en ese caso no son necesarias.

Leía hace unas semanas una noticia que decía “La policía danesa detiene a un hombre por acceder a los correos electrónicos de Michael Rasmussen” y seguía “La policía danesa ha arrestado en Herning, en el oeste de Dinamarca, a un danés de 30 años por introducirse en el correo electrónico del ciclista Michael Rasmussen e intentar vender a un periódico la información que obtuvo”.

Esta noticia me ha hecho reflexionar sobre la seguridad general del correo electrónico que transita por el mundo y el negocio lucrativo que algunas mentes enfermizas pueden obtener por el hecho de fisgar en el correo ajeno.

Nuestros equipos de trabajo han analizado en bastantes ocasiones la seguridad del correo electrónico desde la óptica, por ejemplo, de la Ley Orgánica de Protección de Datos y de las medidas de seguridad que el Reglamento nos exige. ¿Podemos enviar información de carácter personal por el correo electrónico? ¿Cumple el correo electrónico las medidas básicas de seguridad para proteger la información que contiene? ¿Cómo podemos hacer uso del correo electrónico como canal de comunicación seguro? Las respuestas no son desde luego triviales para el gran público.

Pero el foco del análisis ha sido siempre distinto. Nos hemos enfrentado a infraestructuras corporativas de correo electrónico con servidores de correo, a evitar que el correo sea interceptado dentro y fuera de las organizaciones y a garantizar unas medidas de protección para determinado tipo de información que viaja en nuestros sobres electrónicos, pero, al menos yo, no me había planteado el interés que los correos electrónicos personales pueden llegar a tener en función de los dueños de las cuentas y, por tanto, la necesidad de que los que hospedan estas cuentas de correo ofrezcan a sus clientes servicios que garanticen la seguridad de sus comunicaciones.