Colaboración

El martes pasado estuvimos en unas jornadas organizadas por la Fundación Borredá en las que se presentó la capacidad conjunta del CNPIC e INTECO para el establecimiento de un CERT orientado a la Protección de Infraestructuras Críticas; en línea con las hipotéticas líneas de trabajo de esa futura Estrategia Española de Ciberseguridad, se potencia la capacidad de respuesta a incidentes y la Protección de Infraestructuras Críticas en una única iniciativa en la que INTECO y el CNPIC unen sus esfuerzos para mejorar las capacidades de detección, prevención y respuesta a incidentes en el ámbito de la PIC. Y de nuevo en este evento surgieron dos conceptos mágicos que, como el de convergencia del que hablamos en su momento, hasta la fecha están only available for Powerpoint: intercambio de información y colaboración.

Hace poco leía en el blog de @lostinsecurity una entrada bastante clara -y dura, pero real- en la que se referenciaban ambos términos, especialmente significativa después de ver a David Barroso en una mesa redonda en el CNIS de este año, con una frase en negrita con la que lamentablemente no puedo estar más de acuerdo: no existe la colaboración e intercambio de información que debería existir. Como con la convergencia, se nos llena la boca de colaboración y de information sharing… pero como suele pasar, el PPT es muy sufrido y la realidad, muy cruel… Colaboramos como amigos (conozco a fulanito y me hace el favor de darme la info que necesito porque mañana él me pide algo y yo le hago el favor, y luego nos tomamos unas cervezas) pero sin formalizar la relación entre organizaciones, y eso no puede ser; ojo, no es que esté mal, pero por sí mismo, no puede ser por los mil motivos que todos sabemos. Ya lo decía en su post @lostinsecurity: Dejemos el PowerPoint y el Word. Es hora de empezar a hacer algo útil.

Ya en 2007 Jeffry Brady, del National Joint Terrorism Task Force identificaba en Barriers to information sharing los problemas de los que hoy hablamos, cuatro tipos de obstáculos que es necesario afrontar para una compartición efectiva de información; a saber: tecnológicos (como la incompatibilidad entre sistemas de información diferentes), humanos (el más importante, la habitual resistencia al cambio), organizativos (el peor, esa cultura de muchas organizaciones de no compartir datos) y sistémicos (¿leyes?). Han pasado exactamente seis años y los problemas, a pesar de que las soluciones teóricas son muy conocidas, básicamente son los mismos; en opinión de muchos, entre los que personalmente me incluyo, «sólo» tenemos que poner dos cosas sobre la mesa para que estas palabras dejen de ser una utopía y pasen a ser una realidad (y si es efectiva, mejor que mejor): la primera, confianza y la segunda, bidireccionalidad. Tengo que confiar en los que van a recibir -anonimizados o no- información sobre mis incidentes, en muchas ocasiones sensibles; si no confío en ellos, lo que les envíe será poco o nada relevante salvo que un tercero con poder (¿por qué no?) me obligue: y aún así en este caso ya me buscaría la vida para cumplir la obligación dando la menor información posible… y si doy información útil, también quiero recibirla. No es algo nuevo que hayamos descubierto ahora; ya se decía hace años: do ut des. Si sólo soy yo el que aporta a una relación, mal acabará… ¿verdad?

Bien, tenemos claros los problemas y las soluciones… ¿qué pasa entonces? Ni confiamos ni nos gusta dar información. Como hace años, exactamente igual… ¿Qué hacemos? No voy a dar aquí la disertación de siempre sobre establecimiento de relaciones de confianza, modelos de intercambio de información y blablabla… ¿Para qué, si ya la sabemos y no le hacemos caso? Es el mismo discurso que en 2006 o 2007 pero con una diferencia: mientras lo mantenemos hemos perdido seis añitos que seguro que alguien, en algún lugar del mundo, ha aprovechado. Y si seguimos haciendo lo mismo, obtendremos los mismos resultados… a ver si la iniciativa del CNPIC e INTECO rompe esta línea.

Completamente de acuerdo con lo que decía @lostinsecurity: dejemos el PPT y las palabras bonitas y pongámonos manos a la obra. Señores de las Administraciones Públicas: lideren estas iniciativas; desde la empresa privada NO PODEMOS aunque queramos. Potencien el intercambio de información y la colaboración. Oblíguenme si hace falta, pero mejor convénzanme de que es lo mejor para todos (a mí particularmente no, ya estoy convencido ;). Compartamos información, colaboremos… y en especial en la protección de infraestructuras críticas, que tanta falta nos hace. Como decía, confiemos en que la iniciativa conjunta de INTECO y el CNPIC de la que hablábamos al principio tenga éxito y potencie la colaboración y el intercambio de información entre todos los actores involucrados en la PIC, llevándolas a la realidad y, más importante, convirtiéndolas en una salvaguarda de verdad. Nos hace falta como el comer. Ah, y ójala lo podamos hacer antes de que nos llevemos un susto, o algo peor.

Comments

  1. Creo que este artículo entraría en la categoría de ‘opinión’, escrito para denunciar esta carencia y también, por que no, a modo de desahogo. Por ello, os robaré un pedazito de vuestra web para desahogarme yo :-p

    Estoy totalmente de acuerdo con usted, punto por punto.

    He estado en organizaciones privadas y en los últimos años en organizaciones públicas, y veo los mismos problemas en cuanto a colaboración se refiere. En el primer caso puedo entender que predominen los intereses económicos, reputación, etc. pero en el segundo caso, sigo sin entenderlo, máxime cuando lo que está en riesgo es el ciudadano (por supuesto, también teniendo en consideración al propio usuario de la organización ).

    Hace un tiempo recuerdo haber leido un documento de la ENISA (tal vez comentado aquí también ) en el que comentaba lo mismo. La falta de colaboración entre CERTS/CSIRTS/etc, haciendo mención a lo que usted comenta que, curiosamente, tres de dichos obstaculos para una colaboración efectiva corresponde con los típicos tres pilares de la seguridad ( tecnología, procesos y personas ).

    Desgraciadamente y a mi parecer, estoy seguro de que hay más obstaculos que los aquí mencionados. ¿ Quién me puede asegurar que dentro de cuatro años el Inteco o el CNPIC sigue en pie ?

    Veo y sufro en silencio esta falta de colaboración. Sólo recibo información que me atañe directamente sin saber que «mi vecino» dispone de información que me podría ser de utilidad para evitar incidentes.

    Reconozco que soy parcialmente parte del problema pues aunque comparto información con el centro que me da soporte, otras veces no lo hago por temor de ser encasillado como ‘El Pesado’ o ‘El Paranoias’ o tratarse de incidentes leves (no discuto que lo que sea de caracter leve para mí sea de caracter alto para otros).

    Ya se ha dicho en otros sitios … Mandiant ha dado un ejemplo claro de lo que debería de hacerse (aunque haya otros intereses por detrás). Rediris, con quienes no tengo ninguna relación, creo que también hacen un buen trabajo en este sentido.

    En fin… se dice que un solo hombre puede cambiar el mundo … habrá que intentarlo.

  2. Antonio Villalon says

    Hola Javi
    Efectivamente, este post es un desahogo :) Porque escuchamos una y otra vez estas palabras pero la realidad es mucho más dura que el PPT, y vemos que iniciativas serias de colaboración apenas existen -y mucho menos, perviven-. Ójala la comentada lo sea y consiga que compartamos información entre nosotros. De momento las intenciones las tiene y además viene liderada desde el ámbito público, aspecto bajo mi punto de vista casi imprescindible para colaborar…
    La situación que comentas, de la info que tiene el vecino y te podría venir bien, es un mal histórico en la seguridad; incluso hay quienes, en un sector de negocio completamente ajeno al de la consultoría o equivalente -donde se puede entender el recelo- consideran que «compiten» en seguridad dentro de su sector y por lo tanto no dan la info ni aunque se les obligue… en fin, casos extremos pero que reflejan demasiado bien una realidad que sufrimos hoy en día… esperemos de verdad que cambie :(

    Saludos y gracias
    Toni

Trackbacks

  1. […] El martes pasado estuvimos en unas jornadas organizadas por la Fundación Borredá en las que se presentó la capacidad conjunta del CNPIC e INTECO para el establecimiento de un CERT orientado a la Pr…  […]