A estas alturas de la película todos somos conscientes del encarecimiento del Kw; sin entrar en discusiones sobre la bondad de las renovables, el mantenimiento de Garoña y disquisiciones de carácter político, el coste energético asociado a IT no es algo a infravalorar. Aunque este no es un tema específicamente relacionado con la Seguridad de la Información, voy a hacer una pequeña “parada” en la temática habitual para hablar, cómo no, de Green IT.

Lo primero que hay que decir es que aunque este término ha cobrado mayor importancia en los últimos años, no se trata una nueva corriente New Age, sino que hace referencia a la optimización de recursos IT para reducir el consumo energético, reducción de huella de carbono, etc. En definitiva, el Green IT intenta hacer de las IT algo más “ecológico y sostenible”, o lo que es lo mismo ahorrar en la factura de la luz de su empresa. A su favor podemos destacar que tiene un retorno de inversión tangible inmediato, lo que es una ventaja sobre muchas inversiones en TI a la hora de conseguir la aprobación de la dirección —siempre resulta interesante para gerencia la palabra ahorro—, aunque el coste de inversión es considerable.

Pasemos a ver en esta entrada cómo afrontar la reducción la factura de la l… perdón, implantar el Green IT. Empezaré por una medida que aunque no es propiamente Green IT, se debe llevar a cabo como en cualquier otra área en la que intervengan proveedores externos: negociar con las compañías suministradoras. Sin ir más lejos un amigo me comentaba recientemente que un familiar suyo se dedicaba a esta tarea en nombre de empresas, y que el ahorro conseguido podía llegar hasta un 20% de ahorro sobre el consumo total.

Pasando ya a Green IT, la primera decisión a tomar tiene que ver con la clásica pregunta ¿interno o externo? En el caso externo, podemos optar por colgar la mayor parte de nuestro servidores en la nube o similares, pero en este artículo vamos a asumir que queremos preservar nuestros sistemas en nuestras instalaciones, bien sea por comodidad de acceso, privacidad, confidencialidad o aspectos legislativos.

Por la parte de servidores, encontramos a priori las siguientes propuestas:

• Consolidación a través de virtualización. Este aspecto no sólo puede conseguir una reducción del consumo del 40%, sino que además aporta mejoras como la alta disponibilidad y facilita la implantación de soluciones de contingencia, disminuyendo el número total de servidores, y por tanto el espacio físico requerido y el gasto en climatización.
• Uso de servidores blade frente a servidores independientes de 1U o 2U. De esta manera, se eliminan fuentes de alimentación por servidor, se disminuye espacio en rack y se reduce el gasto en climatización. De esta manera puede obtenerse una reducción del 40% – 70% sobre el consumo total de servidores.
• Limitar horario de activación de servidores y aplicaciones. A menudo los servidores están activos 24×7, sin que en muchos casos los servicios que prestan requieran un tiempo de disponibilidad o funcionamiento tan algo, como durante festivos o fines de semana. En este caso es más complejo hacer una estimación generalizada, ya que este aspecto requiere un estudio más pormenorizado por parte del Director de Informática.

Por la parte de instalaciones del CPD:

• Optimización y correcta disposición de racks para facilitar la climatización de los mismos. En este caso, les remito a un post anterior de un colaborador nuestro Rafa García, Subiendo la temperatura en el datacenter y ¿descontrolando la humedad?, en el que se puede comprobar cómo puede afectar al consumo la gestión física del CPD.

Por parte de los equipos de oficina:

• La más económica de todas, salvo por la inversión en el ancho de banda para la conexión, continúa siendo el teletrabajo, ya que en este caso la luz corre a cargo de los empleados. Por supuesto que esto tiene otras implicaciones, pero en nuestro caso, estamos únicamente valorando aspectos de ahorro energético para la organización.
• La implantación de thin clients reduce en gran medida el consumo, puesto que sustituye los equipos de escritorio por terminales “tontos” que conectan a un servidor de escritorios y que requieren mucho menos mantenimiento y consumo energético. De esta manera se optimiza el proceso de administración, configuración y restitución del dispositivo.
• El cambio de equipos de sobremesa por portátiles o nettops. A menudo me pregunto por qué se adquieren equipos de sobremesa de seis cores para tareas relativamente poco intensivas como utilizar el office o utilizar aplicaciones en la red. En su lugar, se deberían dimensionar los equipos de acuerdo a las necesidades de los perfiles de los usuarios, ya que en el 80% de los casos es posible realizar todas las tareas con un simple nettop conectado a un monitor, y proporcionar servidores compartidos con mayor potencia para la ejecución de aplicaciones específicas. Como indicación, el consumo del nettop viene a estar aproximadamente en 35 W frente a los 350W de un sobremesa. En este sentido, también es aconsejable la compra de equipos portátiles antes que sobremesa puesto que el consumo de un portátil puede rondar los 40-80W. Si la empresa tiene un parque de 100 ordenadores hagan sus números.
• Compra de monitores con tecnología LED. Éstos permiten que el consumo se reduzca en un 15%.
• Configuración de paso a suspensión de equipos con cierre de sesión.

También existe otra clase de medidas, que pueden suponer ahorro no tanto energético pero ambiental, principalmente de papel y toner, como es la configuración de impresoras por defecto a doble página y en blanco y negro.

Estas medidas en suma pueden proporcionar a la empresa un ahorro mensual considerable en cuanto a TI se refiere, y a la vista de las tendencias alcistas de las tarifas eléctricas, se convierten en una opción muy atractiva. Por supuesto, la implantación de algunas de ellas requiere un coste significativo, y más si se hace de manera poco progresiva, pero no tiene porqué ser así. Introduciendo estas medidas en los procesos normales de sustitución y actualización de hardware, es posible ir incrementando el ahorro energético poco a poco, con su reflejo en la factura de la luz.

Por último, para comprobar este ahorro se aconseja implantar soluciones para la medición de consumos en instalaciones empresariales, lo que nos permitirá poder cuantificar el ahorro efectivo. Yendo más lejos, si queremos gestionar, medir y certificar la implantación del Green IT, podemos implantar un SGE (Sistema de gestión energética) de acuerdo con la norma UNE 16001, ciñendo el alcance al ámbito TIC. Cabe destacar que esta norma tendrá su homóloga ISO (50001) oficialmente durante el último trimestre de 2011.

Hace unos días leí una noticia que me llamo la atención; por lo visto, algún trabajador de Google había filtrado a la prensa un comunicado interno (el cual indicaba expresamente que era confidencial) donde se informaba sobre un aumento del 10% del sueldo a todo la plantilla de Google y la recepción de una paga extra de 1000 $ (yo pensé mira que majos :) ). Un día más tarde al hilo de esta noticia aparecía una nueva, en la cual se informaba acerca del despido de la persona que había filtrado la información, que ya no podría disfrutar de ese aumento de sueldo.

Esto me hizo reflexionar en que a menudo los empleados firman acuerdos de confidencialidad o NDA (Non-disclosure Agreements), ya sea por la LOPD, por SGSI, por política propia de empresa o por exigencias de un proveedor o cliente, sin que la mayoría sean conscientes de las consecuencias personales que puede tener la violación de dichos acuerdos de confidencialidad; simplemente firman porque hay que firmar. No obstante, existen unas obligaciones en cuanto a la confidencialidad inherentes a cualquier relación contractual.

En esta entrada trataremos las referencias legales, más allá de las implicaciones dentro del marco de la LOPD, con respecto al incumplimiento del deber de secreto.

En este sentido podemos identificar los siguientes hechos:

El Estatuto de los trabajadores. El artículo 5, “Deberes laborales“, en su punto a) propone para los trabajadores:

Lo cual implícitamente implica cierta obligación del trabajador para con la empresa en lo que respecta al deber de secreto. No obstante, esto no se considera suficiente como para eximir del desarrollo de un acuerdo de confidencialidad que especifique detalladamente las obligaciones del empleado en cuanto a confidencialidad.

La Ley de Competencia Desleal, en su artículo 13, propone:

En el Código Penal, son de aplicación tanto el artículo 197 como el 199, si bien el 199 en este contexto es más aplicable:

Como reflexión final, de todo esto podemos deducir que el incumplimiento del deber de secreto o de un acuerdo de confidencialidad tiene un carácter penal, pudiendo suponer al individuo en cuestión desde un despido procedente pasando por una reclamación en forma de indemnización hasta penas en prisión.

(Imagen de casey.marshall en Flickr)

(N.d.E. Nada más volver del pasado verano hicimos una analogía entre la función de la norma ISO 27001 en seguridad de la información y el cinturón de seguridad en seguridad del automóvil. En ella “prometíamos” hacer un repaso a los “anclajes” de ISO 27001, en especial al Anexo A de ISO 27002. Recuperamos dicha serie con esta primera entrada de Antonio Huerta, que habla del Dominio de Control 8: Seguridad relacionada con Recursos Humanos)

Estimados lectores, muy frecuentemente el primer pensamiento por parte de las empresas a la hora de afrontar la seguridad viene marcado por fuertes inversiones, como pueden ser costosas soluciones en infraestructura de red (IDS, Firewall), la compra de antivirus centralizados, suites de ServiceDesk, o laboriosos proyectos de consultoría. Si bien acometer dichas proyectos o compras de este tipo es un requisito para la consecución de cierto grado de seguridad empresarial, no resulta ser la panacea a la totalidad de los problemas de seguridad.

Cuántas veces han visto ustedes o incluso han empleado en presentaciones la frase: la cadena es tan fuerte como su eslabón más débil. Todos a estas alturas sabemos cuál es el activo que genera mayor riesgos a una empresa y que a menudo no contemplamos en nuestros análisis de riesgos: el empleado. De poco sirve que tengamos las medidas más sofisticadas, si mediante un simple correo electrónico cualquier empleado puede enviar informes clínicos a cualquier persona, no es consciente del problema de tirar los curricula de los candidatos descartados a un contenedor de basura cualquiera o se instala un programa P2P y comparte por descuido el contenido total del equipo. Dejando de lado problemas más graves que involucran a personal responsable o con privilegios de administración a los equipos.

[Read more…]

Apreciados lectores, me voy a alejar un poco de la temática de mis anteriores publicaciones, más enfocadas a aspectos organizativos de la seguridad, y en esta publicación hablaré sobre el uso de sistemas proxy cache para optimizar el uso del ancho de banda de red. Como introducción a los proxys, decir que básicamente se trata de un servidor que hace de intermediario en la conexión entre un cliente e Internet. Los proxys se emplean en distintos ámbitos y con distintas funcionalidades como puede ser seguridad (filtrado) o mejora de las prestaciones de las comunicaciones, entre algunas otras. Este artículo se centrará en los servidores Proxy Cache que permiten optimizar el uso de ancho de banda, reducir latencias y por lo general hacer un uso más racional de los recursos disponibles.

El funcionamiento de un proxy cache es el siguiente: cuando un cliente realiza una petición a un servidor web, en la que genera X peticiones a todos los objetos que componen dicha web, la petición llega al proxy, que revisa su cache para comprobar si dispone de los objetos que se van solicitando. En el caso de que el objeto buscado se encuentre en cache, el proxy verifica que no ha expirado: que el objeto se corresponde con el actual, y en ese caso se produce un HIT y el sistema devuelve al cliente el objeto en cuestión. Si por el contrario el objeto buscado no se encuentra en cache o la versión encontrada no está actualizada, se produce un MISS en cache, tras lo cual el proxy descarga el elemento solicitado y lo sirve al cliente.

Como puede verse, en el mejor de los casos nos ahorramos el enrutamiento desde el proxy al servidor sobre el que se realiza la petición y la transferencia de la información solicitada a través de Internet, mientras que en el peor de los casos añadimos un salto más en el enrutamiento. Por supuesto, cuánto más accedido sea un determinado contenido por los usuarios de la red interna, mayor probabilidad de que el objeto se encuentre en cache y por tanto, mayor incremento del rendimiento del sistema.

Veamos ahora un ejemplo enfocado a nuestro entorno. Como todos saben, la Ley 11/2007 de 22 de junio, de Acceso electrónico de los ciudadanos a los Servicios Públicos, promueve el ofrecimiento de los servicios prestados por las administraciones públicas a través de la web. El enfoque que se le está dando es que los organismos más grandes actuarán de prestadores de servicios para aquellos organismos más pequeños y con menores recursos; por ejemplo, una diputación presta la plataforma para los ayuntamientos. Teniendo en cuenta que las cifras empleadas únicamente van a servir de ejemplo y en ningún caso reflejan la realidad, apliquemos esto a lo que hemos visto hasta el momento.

Imaginemos que todas las peticiones web realizadas a los servicios prestados por los ayuntamientos se realizaran directamente contra el servidor de la diputación, que actúa no sólo de repositorio de contenidos, sino que además de frontal web para los usuarios finales. ¿Qué ancho de banda consumiría únicamente sirviendo las imágenes de la web? ¿Qué carga va a soportar el servidor? En este caso, el servidor de la diputación debería responder a cada petición de los usuarios. Sin embargo, si cada ayuntamiento dispone de un proxy cache, las peticiones de cada usuario repercutirá en una respuesta por parte del servidor del ayuntamiento, y el servidor de la diputación recibirá únicamente aquellas peticiones que correspondan a material que se encuentre obsoleto en el servidor del ayuntamiento (obviamente la parte dinámica siempre se trasladará al servidor de la diputación, por su imposibilidad de hacer uso de proxy cache para ello).

Hagamos algunos números, aunque de manera muy simplificada. Supongamos no hacemos uso de proxy caché, y que la página de un ayuntamiento está formada por 30 objetos, de los cuales 10 se actualizan cada minuto. Tenemos un total de 100 ayuntamientos que reciben 1000 peticiones por minuto, por lo que estamos hablando de un total de 3.000.000 de peticiones por minuto (30 objetos * 100 ayuntamientos * 1000 peticiones) directamente sobre el servidor de la diputación, lo que lo hace mucho más vulnerable a caídas y pérdidas de servicio en caso de existir un pico de carga que no pueda gestionar. Sin embargo, si se implementan proxys cache al nivel de los ayuntamientos, cada uno de éstos recibe un total de 30.000 peticiones por minuto (30 objetos * 1000 peticiones), y el servidor de la diputación 1000 peticiones por minuto (10 objetos que hay que actualizar cada minuto * 100 ayuntamientos). Como puede verse, ambos números son mucho más razonables y reducen tanto las necesidades de hardware como el impacto de un pico de carga. Por supuesto, para trasladar esto a un ejemplo real, deberíamos contemplar tanto el impacto de las verificaciones contra la fuente original del objeto demandado, además del impacto que tiene la cache de los propios navegadores sobre el tráfico soportado por los servidores. En cualquier caso, no es el propósito de la entrada elaborar un modelo elaborado, sino únicamente mostrar una aproximación numérica a las ventajas de la utilización de los proxy cache.

Como herramientas de servidor cache destaca SQUID, un programa de software libre que implementa un servidor proxy y un demonio para caché de páginas web, publicado bajo licencia GPL. SQUID es un proyecto que lleva tiempo disponible y que tiene muy buena aceptación por parte de la comunidad. Aunque orientado a principalmente a HTTP y FTP, es compatible con otros protocolos como Internet Gopher (sí, Gopher, ¿se acuerdan?). Implementa varias modalidades de cifrado como TLS, SSL, y HTTPS. Como herramientas para analizar los logs generados por el proxy, tenemos A CALAMARIS y SARG. Ambas ayudan a entender el funcionamiento de la red y permiten reconfigurar el proxy para mejorar las prestaciones del mismo.

Resumiendo, un proxy cache permite optimizar y mejorar las prestaciones, reduciendo (y limitando si es preciso) el consumo de ancho de banda, que puede ser utilizado para otros aspectos como puede ser trafico QoS (aunque este es más dependientes de latencias y jitter que de ancho de banda). En cualquier caso, aunque son patentes los beneficios de esta tecnología, es obvio que está enfocada a infraestructuras que soportan un importante número de peticiones web. Por otra parte, para mejorar su eficiencia es importante que exista un proceso de mejora continua, de modo que se aproveche el feedback que proporcionan los registros producidos por el servidor, ajustando la configuración del proxy a los requisitos de nuestra organización.

Aún recuerdo cuando empecé a introducirme en el mundo de la auditoría y seguridad allá por el año 2001, en una asignatura de la universidad, con un profesor que daba una asignatura enfocada a la gestión de empresas, y pensé este hombre habla de cosas interesantes y no de teoremas y algoritmos que probablemente no emplearé en esta vida. A partir de ese momento comencé a asistir a charlas en las que me dejaba impresionar por la corbata y la dialéctica de los ponentes y asistentes que disponían de sabiduría sobre todos los campos de la materia. Ya sabéis: corbatas, trajes, y retórica (nada nuevo bajo el sol).

Pensaréis que a qué viene todo esto. Pues bien, hubo un momento a partir del cual me di cuenta de que no era oro todo lo que relucía; que no todos los profesionales del sector eran eruditos de las tecnologías ni expertos en todos los campos de la informática. Lo recuerdo como si fuera ayer. Estaba una charla en la que se hablaban de subvenciones relacionadas con proyectos tecnológicos, y en un momento se produjo una discusión sobre LOPD entre dos personas. Uno de ellos dijo que su formación universitaria provenía de un campo diametralmente opuesto a las ingenierías, aunque defendía vehemente sus ideas en cuanto a LOPD. En ese momento me pregunte a mí mismo si mi vecino el charcutero podría firmar un informe de auditoría del RDLOPD.

Releyendo la LOPD obtuve la respuesta, que se imaginarán: efectivamente, mi vecino el charcutero podría firmar auditorías del RDLOPD, lo que más adelante tuve ocasión de confirmar en una charla de la propia Agencia de Protección de datos a la que asistí. Una de las transparencias exponía lo siguiente:

• ¿La auditoría es LOPD? ¿quién debe realizarla? ¿debe notificarse?
• No se define o reconoce el perfil funcional o profesional de los auditores

Resulta curioso que el charcutero pueda firmar auditorias LOPD pero no pueda hacer la prevención de riesgos laborales. Pasado el tiempo podemos llegar a aceptar que esto sea así, pero cual fue mi sorpresa cuando el otro día acabe con el libro de mesita de cama y empecé con el borrador del Esquema Nacional de Seguridad (véase I, II y III) y no encontré ningún requisito para el auditor, más que lo siguiente:

Lo que me hace pensar en la necesidad imperante de subsanar estos “vacíos legales” por el órgano pertinente. Reflexionando sobre esto, me queda claro que no es un asunto trivial, y que realmente si no se ha especificado más detalladamente el perfil del auditor, es por la problemática asociada: ¿a qué colectivos favorecemos y a qué colectivos dejamos fuera? Lo que está claro es que no va a llover a gusto de todos.

No dispongo de cifras pero estamos hablando de algo más que un puñado de millones de euros, y como todos sabréis, todos quieren su parte del pastel, lo que supone un claro conflicto de intereses.

¿Cómo y a quien otorgar la calificación de auditor?

En una de las últimas jornadas que asistí, este fue uno de los temas a tratar y se comentó tangencialmente la creación de asociaciones privadas “sin ánimo de lucro” tanto en el ámbito LOPD como el de la seguridad, que tuvieran el privilegio de nominar auditores a golpe de varita mágica; la existencia de una Sociedad General de Auditores, una especie de SGAE II, me pone los pelos como escarpias de solo pensarlo. Imaginen la cúpula de esa asociación, formada por los directores mejores relacionados de las auditoras y consultoras más influyentes, limitando únicamente la ejecución de auditorías a sus empresas… oligopolio es la palabra que me viene a la cabeza, y no exagero un ápice.

Descartemos este acercamiento al problema por “mercado de libre competencia”, y ataquemos el asunto de los auditores por la vertiente de la formación. Tras examinar el Esquema Nacional de Seguridad, se observa que éste aboga por una vertiente puramente técnica, al contrario que la LOPD, donde se considera de facto la presencia de un abogado en la auditoria, y la figura técnica queda difusa pudiendo ser realizada por cualquier “técnico”.

Por tanto partamos de la hipótesis de que el auditor debe ser ingeniero, pero vamos a hilar más fino. Cojamos un punto del esquema, “4.2 Control de accesos” y veamos qué ingenierías dan formación específica en este punto. Obviamente en Industriales la materia más difícil es “configura tus servidor radius para autenticación remota”, y en telecomunicaciones donde el primer año te explican cómo configurar LDAP para integrarlo con el dominio…

¿Se os ocurre qué ingeniería debería ocupar ese puesto? Una vez más la ingeniería más agraviada, la única que no dispone de atribuciones.

Pero aceptemos que una ingeniería de carácter técnico pueda acometer estos proyectos, y limitamos el agravio comparativo. Pensemos en el futuro en el plan Bolonia, aceptemos los estudios de grado. Llegados a este punto es posible que se cumplan los requisitos y no se dispongan de las destrezas necesarias; ¿cómo damos esas destrezas a las personas?

Una propuesta que se me ocurre sería la creación de un postgrado oficial en seguridad de la información, reconocido por el estado e impartido por universidades públicas, que sería convalidable por aquel titulado universitario que pudiera acreditar X años de experiencia en el sector y los méritos apropiados. Pero queda claro que únicamente el personal cualificado debería acometer este tipo de proyectos y mientras esto no sea así, seguiremos asociando la profesión del consultor de seguridad a la venta de humo.

¿Están ustedes de acuerdo? ¿Qué opinan al respecto y qué alternativas se les ocurren?

Con el fin de promover las nuevas tecnologías y dar impulso a aspectos como la seguridad de la información dentro de este ámbito, se han establecido una serie de ayudas y subvenciones tanto de carácter autonómico como nacional aplicables a la implantación de la norma ISO 27001, que probablemente muchos de ustedes conozcan, independientemente si se trata de consultoras o de clientes. A continuación les muestro un breve resumen de las distintas ayudas y organismos gestores, aunque no tengo constancia de que haya alguna convocatoria abierta en estos momentos.

[Read more…]