Vaya por delante que no soy abogado

El 7 de noviembre pasado el Tribunal Constitucional (TC) hizo pública una sentencia mediante la que rechazaba conceder amparo a un pedófilo condenado a 4 años de cárcel por la Audiencia de Sevilla que alegaba que se había atentado contra su derecho a la intimidad (ver sentencia).

Les resumo el caso. Un “caballero” lleva a una tienda de informática su portátil para que le cambien el DVD. El técnico que repara el equipo detecta contenidos pornográficos con menores en el equipo, y lo pone en conocimiento de la Policía Nacional, que interviene el portátil, confirma los hechos y lo pone en manos del juzgado.

Mi primera reacción al leer el titular de la noticia es de satisfacción. Otro mal nacido sobre el que cae el peso de la justicia. Pero al leer con un poco más de detalle la noticia y hacer una lectura rápida de la sentencia empiezo a preocuparme y aun a riesgo de no ser comprendido por tratarse del caso de que se trata, me gustaría compartir con ustedes una serie de reflexiones.

[Read more…]

Malos tiempos para RIM

Tan solo un par de reflexiones en relación con el fallo general sufrido por las Blackberry de medio mundo la semana pasada.

Por un lado, y aunque informativamente creo que RIM ha reaccionado mejor que lo hizo SONY en el incidente de seguridad que tuvo hace unos meses —en el que el mutismo fue la actitud adoptada— deshaciéndose en disculpas hacia los usuarios y anunciando compensaciones, en mi modesta opinión, hablar de que “un fallo del conmutador de red” ha dejado fuera de juego durante cuatro días el correo electrónico de empresas y particulares de medio mundo es cuanto menos un poco difícil de creer.

Con todos los respetos, algo que no puede decir todo un Director General de RIM en España es que “esto pasa por trabajar al límite. ¿Quiere esto decir que RIM tiene mal dimensionada su infraestructura tecnológica para garantizar la disponibilidad del servicio a sus clientes? Porque si esto es así, ¿por qué no va a volver a pasar? Aparte de las pérdidas millonarias que el incidente va a conllevar, desde luego este incidente no es la mejor publicidad para RIM, en los tiempos en que las Blackberry están perdiendo terreno y liderazgo en el mercado de las terminales profesionales.

Por otro, constatar cómo muchas veces se relativiza la dependencia que los procesos internos de las organizaciones tienen de terceros externos, y las consecuencias empresariales que ello puede tener. Sí, le puedo aceptar si quiere que éste es un ejemplo extremo, pero trasládenlo a cualquier otro proveedor externo de servicios de su organización. ¿Hasta qué punto dependen de él? ¿Han contemplado en sus análisis de riesgos el “qué pasa si” este proveedor deja de dar servicio? ¿Han analizado cómo puede repercutir en sus procesos críticos? ¿Han blindado la calidad de este servicio contractualmente con los SLA’s adecuados? ¿Tienen un plan para actuar si ese servicio se ve afectado?

(N.d.E. RIM parece empeñada no sólo en hacer realidad las previsiones que indican que desaparecerá como compañía independiente para 2013, sino en acelerar ese proceso)

Pioneros

Saben ustedes que es norma habitual NO utilizar este blog para hablar de S2 Grupo como empresa, sino de seguridad en el sentido más amplio de la palabra, pero nos van a permitir que esta vez hagamos una pequeña excepción a este hábito a raíz de un proyecto concreto que acabamos de cerrar. Y es que creemos que la ocasión vale la pena, juzguen ustedes…

Si algo caracteriza a la Autoridad Portuaria de Valencia (APV) es el hecho de ser una organización pionera en su sector, en continua innovación, y dando respuesta a los retos que exige un mercado tan competitivo como en el que se mueve la APV. Intentar ir un paso por delante del resto ha sido siempre una de sus señas de identidad, ofreciendo servicios punteros a la comunidad portuaria nacional e internacional, y ejerciendo de locomotora del desarrollo económico de la Comunidad Valenciana.

Si algo caracteriza a S2 Grupo es el hecho de ser pionera en muchas de las líneas de negocio en las que trabajamos. Si somos quienes somos y estamos trabajando en los clientes a los que prestamos servicios es porque nuestra filosofía de empresa y el modelo de servicios que hemos diseñado se caracterizan por la innovación continua, nuestro compromiso total y una clara apuesta por ofrecer servicios de calidad que den respuesta a las necesidades de nuestros clientes. Somos especialistas en seguridad de los procesos de negocio, y trabajamos siempre desde una doble componente, para nosotros fundamental: la gestión de la seguridad y la gestión en tiempo real.

Un hecho que constata el carácter pionero de ambas organizaciones es que cuando a finales de 2009 –cuando apenas nadie conocía la norma ISO 28000- fuimos a la APV a proponerles nuestro planteamiento de proyecto y el gran valor añadido que podía aportar a la cultura de la seguridad (en su doble vertiente anglosajona de security y safety) ya existente en su organización, la APV nos sorprendió con que estaba dándole vueltas a la posibilidad de abordar un proyecto relacionado con la norma. Era evidente que la unión de la APV y S2 Grupo en el proyecto de implantación en un puerto como el de Valencia de un sistema de gestión de la protección de la cadena logística tenía que llegar a buen puerto, nunca mejor dicho.

Han sido cerca de 12 meses de trabajo, integrando las iniciativas ya abordadas por la APV para cumplir con requisitos tan dispares como el cumplimiento del R.D. 1617/2007 o las iniciativas norteamericanas CSI y MEGAPORTS en el esquema marcado por la norma internacional. La APV había abordado ya múltiples iniciativas ligadas a la protección de las personas e instalaciones (security) y a la seguridad industrial (safety), con un papel fundamental jugado en estas dos áreas por la Policía Portuaria, en continua colaboración con las FFCCSE, y por el Centro de Control Portuario, respectivamente. Nuestro trabajo ha consistido en integrar todas esas iniciativas en un único sistema de gestión, basado en la reevaluación continua de los riesgos existentes en relación con las personas, las instalaciones y las propias mercancías, y con la filosofía de mejora continua inherente a los sistemas de gestión.

En la evaluación de los riesgos se ha tenido muy presente el papel fundamental que juegan los sistemas de información en el soporte a los procesos ligados a estas tareas de protección. Y no sólo pensemos en los sistemas de información “clásicos”, que dan soporte por ejemplo al portal transaccional de la APV, sino también a los sistemas industriales y plataformas SCADA, gestionados por el Centro de Comunicaciones Industriales, que permiten a la APV mantener, a modo de ejemplo, sus sistemas de ayudas a la navegación, sus diferentes sistemas de control de acceso y de seguridad perimetral, o incluso el control del tráfico ferroviario dentro de sus instalaciones.

Pasamos la auditoría de certificación a principio de Mayo, destacando los auditores de AENOR como puntos fuertes la implicación del personal de la APV en el proyecto y la metodología específica diseñada por S2 Grupo para la evaluación de los riesgos. El sistema de gestión implantado es joven, acaba de arrancar, pero tiene por delante, a mi juicio, un recorrido impresionante, y unas posibilidades de futuro apasionantes.

Sólo quería que pararan a pensar un momento en la trascendencia de este éxito. No se trata de un simple ejercicio de autocomplacencia. Estamos hablando del tercer puerto del mundo que consigue esta certificación. Primer puerto español, y primer puerto del Mediterráneo y de su zona de influencia, incluyendo en ella todo el tráfico de mercancías hacia el nuevo continente. Sólo el puerto de Houston (USA) y el puerto de Havre (Francia) lo habían conseguido antes. Se trata de un marchamo diferencial de innovación y de garantía y confianza para sus clientes. Y se trata de un motivo especial de orgullo para S2 Grupo y para mí personalmente, por pertenecer al equipo de profesionales de S2 Grupo que lo ha hecho posible.

¡Tierra trágame!

Esas debieron ser las palabras que pronunció el cónsul de Panamá en Canarias al ver la publicación de la noticia, después de haberse corrido una buena juerga en los pasados carnavales vestido de esta guisa. Parece que posiblemente le costará el puesto, cosa que por otra parte quizás podría discutirse, pero no es ese el tema.

Fíjense en el pie de la foto: Facebook.

Recordarán el caso del supuesto etarra publicando su CV y su domicilio en un portal de empleo, un congresista norteamericano publicando fotos marcando musculitos en una web de contactos, el director de cine Nacho Vigalondo “metiéndose en un jardín” al twittear un comentario políticamente incorrecto sobre el holocausto (parece que con alguna copa de más según confesión propia, pero de hecho le ha costado perder la campaña que estaba desarrollando para El País), …

¿La gente no se da cuenta de que Internet es un sitio PÚ-BLI-CO? En algunos de los casos citados evidentemente sí, aunque quizás no sopesen de manera adecuada las consecuencias. ¿Aún piensan que lo que publican en la web sólo lo ven ellos o, como mucho, sus amigos? ¿La gente no sabe que sus opiniones en Twitter no las ven sólo las personas a las que ellos siguen sino cualquier hijo de vecino que quiera hacerlo?

Todavía es relativamente frecuente encontrar perfiles “abiertos en canal” en Facebook, o con una configuración de privacidad deficiente. Personas que publican sus fotos bailando en la discoteca en un estado digamos “desmelenado” cuando están de baja por un esguince cervical… Hace no más de un año pude ver las fotos de la última borrachera publicada en Facebook por una persona a la que acababa de hacer una entrevista de trabajo. E incluso he visto situaciones tan delicadas, relacionando lo personal y lo profesional, que no puedo relatar ni siquiera sin mencionar a la persona que lo sufrió.

[Read more…]

Todos nos relajamos

Cuántas veces hemos hablado en este blog de los riesgos de compartir datos personales en Internet, de que la web no olvida, que nada se borra…… pues nada.

Aún hay incautos que, así y todo, no nos hacen caso. Y además en muchos casos no se trata de personas que se han acercado a esto de Internet y las nuevas tecnologías hace un par de meses y arrastrados por las modas sociales, sino de personas que provienen del mundo de las tecnologías, que desarrollan su trabajo con ellas, incluso como expertos en seguridad y dando clases sobre, por ejemplo, cómo securizar las comunicaciones a través de la red mediante el cifrado de la información.

El Sr. Iraitz Guesalaga, etarra y presunto informático, facilitaba sus datos personales en diferentes webs de contacto profesional, ofreciendo sus servicios. Figuraba su nombre, apellidos, datos fiscales, incluso el domicilio en el que ha sido detenido. Qué desastre de hombre.

Por cierto, hay cosas que no cambian: ya se ha abierto un debate en la web sobre la inconveniencia del nombre dado a la operación conjunta realizada por las FFCC de Seguridad españolas y francesas: “Operación Linux”. Hay rumores de que Microsoft ha patrocinado la operación…

Wikileaks y la seguridad portuaria

Este pasado fin de semana leía en ElPaís.com una noticia sobre la Iniciativa MEGAPORTS, una iniciativa norteamericana encaminada a la detección de sustancias radioactivas en contenedores con destino los Estados Unidos.

Esta iniciativa, que ahora luego les detallo, surge como un complemento a la iniciativa CSI (Container Security Initiative), también norteamericana, que lanzó la U.S. CBP (Customs and Border Protection), algo así como la Agencia de Aduanas norteamericana, que tiene competencias tan variadas como el control de inmigración ilegal, la protección de la propiedad intelectual de empresas norteamericanas, el control del tráfico de entrada de armas o dispositivos terroristas en los EEUU, la prevención del terrorismo o el control de aranceles aduaneros.

¿Por qué se plantearon los Estados Unidos crear la iniciativa CSI? Como consecuencia de los atentados del 11S en Nueva York, y tras replantearse muchos de los sistemas de protección que hasta entonces tenían implantados, e imagino que abordar innumerables análisis de escenarios de riesgos y evaluar amenazas hasta entonces no valoradas con la suficiente consideración, descubrieron que tenían un importante agujero de seguridad: alrededor del 90% de las mercancías que se mueven por el mundo lo hacen en transporte marítimo “containerizado”, y sólo el 2% de los contenedores que entraban en los puertos de los Estados Unidos eran revisados. Teniendo en cuenta la gran cantidad de “amigos” que los Estados Unidos tienen repartidos por el mundo, evidentemente tenían un problema.

[Read more…]

La norma ISO 28000 y los jamones “pata negra”

Dado que el anterior post del blog tenía como protagonistas gráficos a un par de cerdos, voy a utilizarlos como nexo de unión para lo que quería comentarles (ya saben que me gusta encontrar situaciones -a veces curiosas- que nos permiten ver la necesidad de gestionar la seguridad en múltiples actividades cotidianas).

La norma ISO 28000 como ya hemos visto en posts anteriores introduce la gestión de la seguridad en la cadena logística o de suministro, y basa el sistema de gestión a implantar fundamentalmente en el análisis de riesgos, revisando las amenazas que pueden afectar a:

  • El personal.
  • La información que da soporte a los procesos de negocio.
  • Los bienes o mercancías.
  • El medio o los medios de transporte utilizados.
  • Las unidades de carga.

Pues bien, voy a comentarles los tres casos que he visto en la prensa digital de hoy.

[Read more…]

El papel, ese gran olvidado

En los tiempos que corren, en la era de la digitalización global, Amazon y su kindle, los iPad, iPhones, Androids, Blackberrys y demás cacharritos, tiempos en los que si alguien todavía lleva una agenda en papel le van señalando por la calle como un apestado, nos sorprendemos cuando pasan cosas como ésta.

A veces se han implantado sistemas de gestión de la seguridad de la información corporativa potentes, bien diseñados y coordinados, pero se menosprecian riesgos tan aparentemente tontos como el hecho de que desde el momento en que imprimo una información, dejo de tener control sobre ella. Tómenlo simplemente como una reflexión para el fin de semana.

4ENISE. Día 1: ENS

Mientras Toni asistía a los talleres relacionados con la protección de las ICs, yo me encargué en esta primera jornada de asistir a los relacionados con el Esquema Nacional de Seguridad, ENS.

Déjenme hacer antes de continuar una sugerencia a INTECO de cara a próximas ediciones. Si los talleres que han suscitado más interés durante las tres jornadas han sido claramente los relacionados con el ENS, el ENI y las ICs, ¿por qué ha juntado los tres temas el primer día? Si hubiese dedicado un día a cada tema, complementándolos con el resto de talleres que se han desarrollado, además de permitir que los interesados pudiesen asistir a los tres temas, se habría garantizado un nivel de asistencia homogéneo durante los tres días (cosa que no ha ocurrido). Tómese como una crítica constructiva.

Dicho esto, sobre lo que se trató en los talleres relacionados con el ENS me gustaría destacar algunas conclusiones que saqué:

1. Es un secreto a voces que ninguna administración pública va a estar cumpliendo el ENS a fecha 29 de Enero de 2011. El planteamiento general es: vamos a definir el plan de adecuación que exige la disposición transitoria de ENS, y a partir de ahí y hasta el horizonte de 2014 iremos poco a poco. A mi juicio este planteamiento se deriva de dos factores. Por un lado, de una actitud bastante generalizada de “yo me espero a ver por dónde van los demás” (salvo honrosas excepciones como la Junta de Andalucía o el MITYC), y por otro, de un problema evidente: no hay dinero.

2. La definición de un esquema de referencia basado en el ENS y la norma ISO27001 está muy extendida. Aunque algunos ponentes hicieron malabarismos para establecer equivalencias y correlaciones entre ambas figuras, y en relaciones porcentuales como que cumplir uno implica que cumples el otro en no sé qué tanto por cien y viceversa, en mi modesta opinión es importante no olvidar sus diferencias:

  • El ENS es de obligado cumplimiento; ISO 27001 no.
  • El ENS está orientado a las Administraciones Públicas (AAPP), ISO 27001 al negocio.
  • El ENS categoriza los sistemas de información, y por tanto las medidas de protección con las que deberán contar en función de la misma. ISO 27001 no.

En cualquier caso el ENS habla del “proceso de seguridad” y de la necesidad de implantar un sistema de gestión de la seguridad, y a nadie se le puede escapar que a partir de 2015 habrá que gestionar los niveles de seguridad ENS alcanzados, con independencia de que se le ponga la etiqueta ISO o no.

3. La referencia a seguir por todos van a ser las guías que el CCN está preparando para implantar el ENS: la serie CCN-STIC 800.

4. Se está evidenciando un dilema: las AAPP no son expertas en seguridad, para eso están las consultoras. Pero las consultoras no conocemos “el negocio público” en profundidad. Es fundamental la colaboración y una integración total de ambos equipos de trabajo para conocer cuál es el problema de partida y poder alcanzar unos resultados satisfactorios. El objetivo no debe ser cubrir el expediente y aparentar que se está cumpliendo el ENS, ni dejar que las consultoras hagan y deshagan a su antojo con el objetivo puesto en el negocio. No hay que perder de vista que el objetivo fundamental del ENS es generar confianza en el ciudadano. Si ya de por sí es difícil ganar esa confianza, mucho más difícil es volver a ganarla después de haberla perdido. Y ese es el peligro que acecha si no se hacen las cosas bien.

Unas preguntas que quedaron en el aire:

  • Parece claro que el CCN es la “figura de autoridad” en relación con el ENS. ¿Va a jugar un papel similar al que desempeña la AEPD en relación con la LOPD y su Reglamento?
  • El artículo 35 del ENS viene a decir que las AAPP van a tener que informar “en tiempo real” de su grado de cumplimiento del ENS al Comité Sectorial de Administración Electrónica. ¿Cómo se come eso?

Por último, una noticia: es de inminente publicación una nueva versión simplificada de PILAR, denominada μPILAR (microPILAR), dirigida a facilitar el análisis de riesgos en el ámbito del ENS. ¡¡Aleluya!!

Los Pilares de la Seguridad

Hace ya unos años que se produjo el boom de ventas de novelas históricas y ambientadas en el medievo. Quizás el máximo exponente fueron los famosos “Pilares de la Tierra” de Ken Follet que, aunque se publicó en 1989, creo que no ha habido ninguna novela posterior de este género que la haya podido destronar. De hecho recientemente también ha servido para poner “de moda” las series históricas de TV, con la adaptación producida por Ridley Scott. En 2007 la novela de Follet tuvo su continuación con “Un mundo sin fin”, novela que continúa la trama con los descendientes de los protagonistas de los Pilares.

Y ustedes dirán: ¿y este hombre qué nos está contando? Que esto es un blog de seguridad…

Pues les voy a sorprender. Esto es como la teoría de los grados de separación, que dice que entre dos personas que no se conocen en el mundo hay una cadena de conocidos de no más de cinco personas, y por tanto seis saltos.

Voy a ello. Para escribir la segunda parte de los Pilares (por cierto, felicidades a las Pilares que lean este blog por su reciente santo), Ken Follet se inspiró en las obras de restauración de la Catedral de Santa María de Vitoria-Gasteiz, ciudad que me permito recomendarles, y que tuve el placer de disfrutar en mis primeros años en esto de la seguridad (allá por el año 2000), colaborando en un proyecto para la Diputación Foral de Álava. De hecho, la ciudad, en la que se hizo la presentación mundial del libro, ha honrado al escritor británico con una estatua de bronce en su honor.

[Read more…]