El cambio climático (o esta vez, quizá no)

En los últimos tiempos hemos encontrado un nuevo culpable para casi todo. Igual que la informática ha sido en las últimas décadas culpable de que los vuelos se retrasen, de que se pierdan las maletas, de que salga mal la cuenta del restaurante e incluso de que nos operen de apendicitis cuando lo que nos duele es un ojo, desde hace ya unos años otro culpable por excelencia de lo que acontece diariamente en el mundo es “el cambio climático». No creo que sea un problema con el que hacer demasiadas bromas. El asunto es serio. Pero también lo son los problemas relacionados con la seguridad y a menudo tenemos que escuchar muchos comentarios irónicos al respecto.

Nuestra sociedad necesita incrementar su productividad. Somos una potencia económica mundial, pero no somos una potencia económica en productividad. Para llegar al puesto que nos corresponde tenemos algunas asignaturas pendientes y no cabe ninguna duda que una de ellas es el uso y la introducción de las tecnologías en la sociedad a todos los niveles: la empresa, el hogar, las instituciones,…

Desde siempre, uno de los inhibidores importantes del uso de las TIC en la sociedad ha sido la desconfianza en el medio, promovida en muchas ocasiones por el desconocimiento, las leyendas urbanas y en definitiva por la falta de formación e información, y es que en mi opinión uno de los puntos débiles de las organizaciones grandes y pequeñas, pero sobre todo de las grandes, es la formación y concienciación en materia de seguridad. Pero no hay manera de que se tome en serio este problema en las organizaciones. Es francamente difícil y cuesta mucho, a pesar de ser la única manera de que podamos avanzar “hacia una cultura de la seguridad».

Si no abordamos el problema de frente acabaremos, como sociedad, o no haciendo un uso adecuado de los medios disponibles y perdiendo puestos en el ranking de la productividad, o sufriendo incidentes de seguridad. Cualquiera de los dos caminos es malo, muy malo, y no creo que en este caso podamos culpar de sus consecuencias al cambio climático, sino a una falta de visión o de responsabilidad social, o simplemente a una falta de interés o presupuesto.

¿No creen ustedes que es ya el momento de afrontar nuestras responsabilidades como organizaciones y como individuos en la formación y concienciación en materia de seguridad de la información? No podemos seguir mirando hacia otro sitio y culpando al cambio climático o al gobierno por el desconocimiento generalizado en asuntos tan importantes como estos, y les aseguro que no es habitual que una asignatura troncal como esta se aborde con los esfuerzos mínimos necesarios… y como en anteriores casos, a las pruebas me remito.

Pero no se preocupen que volveremos a hablar del cambio climático como culpable por excelencia de (casi) todo…

La Caida de las Fronteras Digitales

Cuando hace ya algunos años empecé a trabajar era fácil, muy fácil, determinar la frontera de las redes de la organización donde estaba. Si la empresa era industrial, como es mi caso, a principios de los años 90 la red se circunscribía a la del área financiera y a la de diseño o ingeniería que, por supuesto, en aquella época, eran totalmente independientes sin posibilidad de conexión conocida por mí. Era una red de un sistema 36 y una red de un sistema de CAD/CAM bastante grande del sector Naval, FORAN, que funcionaba sobre máquinas DIGITAL y con una LAN basada en el difunto DECNET.

Unos pocos años han pasado, 17, -tampoco son tantos- y ya en su día participé en la unión de las dos redes referidas, la red del entonces AS400 con la red del DIGITAL y la red del incipiente “Windows para trabajo en grupo». Sin saberlo, asistí, desde un lugar preferente, a mi primera caída formal de una frontera digital, la frontera que separaba el mundo contable del técnico en una organización industrial. Las caídas de fronteras digitales se han sucedido desde entonces hasta llegar al punto en el que estamos en el que realmente creo que ya casi no quedan fronteras digitales, salvo que las que nosotros mismos creamos con nuestras políticas de seguridad.

Si el mundo real se ha convertido en un mundo global es principalmente porque el mundo digital nos lo ha facilitado y, para eso y, por eso, han tenido que desaparecer las fronteras. La caída de las fronteras digitales es uno de los aspectos que justifican la importancia actual del diseño de políticas de seguridad globales, hoilísticas.

Seguro que la mayor parte de ustedes, directa o indirectamente, han asistido, en primera línea, a la caída de una frontera digital natural. En mi opinión “todas» las caídas de fronteras tienen alguna lección oculta que, los que trabajamos en seguridad, debemos aprender.

Les animo a ustedes a compartir su experiencia particular en la caída de una frontera digital que hayan presenciado. Creo sinceramente que compartir y comentar con terceros estas experiencias puede hacer que todos juntos aprendamos alguna lección oculta.

Proyectos LOPD basura

En los últimos tiempos estamos inmersos en la fiebre de las X-Basura. Hablamos de Tele-Basura que ninguno vemos, comemos comida-basura, firmamos contratos basura y ahora nos ponemos a hacer proyectos basura. No me malinterpreten; es evidente que cada uno puede hacer lo que estime oportuno, siempre y cuando respete los derechos de los demás. Pero aquí, no obstante, es donde radica el problema que analizo a continuación.

En la actualidad, y a raíz del auge y la importancia que va adquiriendo tanto la LOPD como la concienciación en torno a los derechos de privacidad de las personas, patente por la publicidad que adquieren a menudo las sentencias de la AEPD, se ha creado un negocio de grandes proporciones relacionado con la seguridad de la información en la que despachos de abogados, grandes consultoras, empresas de seguridad y hasta las tiendas de informática de la esquina intentan coger lo que les pueda corresponder a pesar, a veces, de no hacer un trabajo de calidad que cubra lo que el espíritu de la Ley pretende mínimamente.

Y es que como les decía, hasta la tienda de informática de la esquina, cuyo negocio se centra en la venta de PCs, mp3, y demás artilugios para el uso y disfrute personal, hace proyectos de adaptación a la LOPD sin ser consciente de los riesgos que por ello está asumiendo y el flaco favor que le está haciendo a su cliente. Vaya por delante que no tengo nada en contra de ningún tipo de negocio y que muchas veces es mucho mejor trabajar con la tienda de informática de la esquina que con una gran consultora de las que se comen el mundo, pero quede claro que, sobre todo y ante todo, creo en la profesionalidad de las personas que forman el equipo de trabajo de una organización sea ésta grande o pequeña.

En este sentido, debo decir que muchas de las adaptaciones a la LOPD que pueden observarse en el mercado dejan mucho que desear en la mayor parte de las ocasiones, aunque estoy convencido de que en muchas ocasiones no son fruto de la mala fe de sus autores sino de un profundo desconocimiento de los aspectos técnico-legales relacionados con el cumplimiento de la misma. No hay que olvidar en ningún momento el carácter legislativo de la Ley Orgánica de Protección de Datos, y que por tanto, abordar la adaptación de una empresa a ésta requiere siempre el trabajo de un equipo mixto técnico-legal que sea capaz de cubrir todos los aspectos de la misma. No sé realmente si las personas que abordan este tipo de proyectos de una forma tan inconsciente son conocedoras de los riesgos indirectos a los que se enfrentan por una demanda interpuesta por un cliente con una sanción de la AEPD.

Por último, además del riesgo implícito que asumen como compañías y en algunos casos incluso como autónomos -esto ya es para nota-, me gustaría destacar el hecho de que la Ley Orgánica de Protección de Datos es una ley cuyo fin es la protección de los derechos de las personas, y como tal defiende los principios básicos en los que se basa la convivencia de la sociedad en la que vivimos. Es por ello que, dejando al margen consideraciones profesionales, pienso que en algunos de los casos se está jugando con un derecho fundamental de las personas, y les aseguro que por lo que he podido ver, en ocasiones se atraviesa esa frontera que nuestro sentido común marca como frontera límite.

¿Podemos dormir tranquilos?

Planta nuclearHace poco tiempo, identificando el dominio protegible para iniciar una auditoría de seguridad, un colega, Ingeniero Industrial, me mostraba orgulloso un típico panel de control de los sistemas de seguridad de un lugar de pública concurrencia, y orgulloso proclamaba y explicaba la impresionante funcionalidad del sistema que estaba acabando de montar. Mi colega tenía razón, aquello era un sistema de control industrial impresionante y realmente avanzado. Hacía el final de su exposición, sus explicaciones en cuanto a la forma en la que se estaba montando empezaron a preocuparme. Me quedé pensativo cuando acabó afirmando que todo lo que estábamos viendo era accesible desde un navegador e incluso, la semana siguiente, desde «China», podría acceder a modificar la parametrización del sistema, ver el estado de los detectores de humo, de las alarmas contra incendios o comprobar la temperatura de los fancoils. O, añadí yo convenientemente, para disparar la alarma de evacuación por incendio en medio un acto público con el centro abarrotado de gente.

Y es que la misma vía de acceso podría ser utilizada tanto para el acceso de un técnico en labores de mantenimiento como para el de un saboteador haciendo uso de alguna vulnerabilidad conocida con un exploit publicado. ¿Se pueden ustedes imaginar lo que supondría una intrusión en un sistema de este tipo por parte de un sujeto con dudosas intenciones durante un acto público?, ¿qué significaría la activación del sistema de alarma contra incendios en un lugar como este?, ¿pánico? …

Los sistemas SCADA (Supervisory Control and Data Adquisition), protagonistas de los anteriores escenarios son, para que nos entendamos, sistemas de control de instalaciones industriales. Con este tipo de sistemas se controla el funcionamiento de una línea de producción cerámica, la producción de detergente en Procter&Gamble, una central nuclear o eléctrica e incluso el funcionamiento de un barco o los sistemas de seguridad de grandes centros de pública concurrencia. Hasta hace algunos años estos sistemas de control industrial (SCADAs) y los sistemas de control TIC vivían desconectados, en redes separadas e incluso incompatibles por las peculiaridades de cada entorno, pero hoy en día, esa «convergencia y globalización» de la que tanto hablamos ha eliminado las fronteras.

Esto ha llevado a su popularización, y que cada vez controlen un mayor número de instalaciones, dejando al mismo tiempo de ser sistemas propietarios y «opacos», y convirtiéndose en sistemas vulnerables montados sobre sistemas Windows con el Internet Information Server sirviendo el interfaz de administración. Esta ampliación de las posibilidades de acceso al sistema de control, y por consiguiente a los sensores y actuadores de la red de control industrial a través de aplicaciones web comunes hacen vulnerables estos sistemas frente a un atacante interno o externo, de igual modo que cualquier otro aplicativo web, pero con la sutil diferencia de conllevar consecuencias en el «mundo real». Hay que tener en cuenta que en estos primeros tiempos de convergencia -estamos aún en el principio, pero no tardarán en ver cómo las fronteras que les comentaba se desvanecen- todos los trabajos de desarrollo se centrarán en la obtención de funcionalidad olvidando en algunos casos las facetas relacionadas con la seguridad.

Todo esto en si mismo no tendría por qué preocuparnos salvo por el hecho de que no parece, y se lo digo a ustedes desde la experiencia, que casi nadie se esté preocupando por este tipo de asuntos en nuestro país. Por mi parte, pienso que desde luego es un tema que tiene que dar mucho que hablar en general y del que estoy seguro que hablaremos en el futuro.

La dichosa tubería del agua

Hay que ver lo que nos esforzamos por no ver las cosas que tenemos delante de las narices. Creo que a veces, por evidentes, resultan complicadas de identificar. Nos gastamos una cantidad de dinero, a veces indecente, aunque por supuesto necesario, en proteger los activos de nuestras organizaciones adquiriendo sofisticados robots para las copias de seguridad, sistemas de detección de intrusos o el último sniffer para el análisis del tráfico de red, y cuando llega la hora de la verdad resulta que no tengo copias porque ha reventado una tubería bajante de aguas grises o negras que, casualidades de la vida, estaba en el falso techo justo encima del rack en donde se sitúa el robot de cintas. ¿Es mala suerte? Evidentemente no. Es muy importante tener en cuenta, a la hora de planificar la ubicación y las protecciones de nuestra sala técnica, considerar que no solo máquinas y sistemas garantizan la disponibilidad de nuestra infraestructura. Intervienen elementos diversos que tenemos que tener en cuenta

Hace algún tiempo recuerdo que fuimos a ver un local que nos interesaba. El local estaba muy bien situado, con una fachada estupenda. Una planta baja con una entrada espectacular y un entresuelo con mucha luz. El local estaba en perfectas condiciones, había sido una clínica privada y estaba muy cuidado. Los muebles prácticamente nuevos, la instalación de red muy correcta -aunque escasa- la instalación de aire acondicionado perfecta y la extracción de aire haciendo plenum en falso techo también muy bien, y de repente empezamos a sentir un olor extraño, una sensación de humedad inexplicable. Nos dirigimos, guiados por las personas que nos estaban enseñando el inmueble, hacia la zona donde estaba la pequeña sala de ordenadores y empezamos a sentir el ruido de un chapoteo a nuestros pies. La zona estaba completamente llena de agua. Había un par de centímetros de agua. Nos acercamos para identificar el punto exacto de la fuga de agua y la imagen fue espectacular, parecía sacada de un libro de «Seguridad Informática». Era una de esas imágenes que te gustaría tener a mano cuando das una charla o cuando defiendes la necesidad de planificar el espacio para situar los equipos y proyectar las medidas de control y monitorización que deben tener.

Abriendo la puerta de la sala de ordenadores, una sala cerrada con llave -control de acceso- y con un equipo de aire acondicionado independiente, aparecía al fondo un rack con los equipos de comunicaciones que aún estaban en el mismo, los paneles de parcheo y algún equipo de electrónica de red. La sala estaba completamente llena de agua, y un chorro de agua caía de forma continua justo encima del rack con todo los elementos de comunicaciones y donde seguro se ubicaba no hace mucho tiempo los recursos corporativos de la clínica privada. Todos nos quedamos quietos en un primer instante. La imagen era curiosa. De los 700 metros cuadrados que tenía el local se había roto la tubería que pasaba justo por encima del rack que tenía los equipos. Finalmente una de las personas que nos estaban enseñando el local rompió el silencio y dijo lo que todos estábamos pensando: ¡¡Vaya casualidad!! Es la Ley de Murphy.

Y yo les pregunto a ustedes, ¿de verdad creen que es casualidad?

El doble juego de las entidades de certificación

Hay una cosa que no he acabado de entender nunca y tal vez tenga una explicación mejor que la que yo le encuentro.

Hace ya mucho tiempo -los años no pasan en balde-, cuando me enfrenté por primera vez a un Sistema de Gestión de Calidad me llevé una grata sorpresa porque vi en ellos una forma de racionalizar el trabajo que se desarrolla en una organización sin perder ese punto de intuición y el espíritu creativo que el ser humano lleva dentro. Un sistema formal y estricto con un punto de escape para la creatividad y la innovación a través del concepto de mejora continua implantado mediante el Ciclo de Deming que preside, desde un lugar de honor, el funcionamiento de estos sistemas de gestión.

La verdad es que no es oro todo lo que reluce y, en este tiempo, ya he tenido tiempo de ver de todo. He visto sistemas de gestión de calidad colgados en lo alto de una pared, adornando algún despacho, y también he visto -no muchos desgraciadamente- sistemas de gestión que aportan valor y mucho a las organizaciones que hacen de ellos su forma de trabajo. Como se desprende de las palabras anteriores soy un convencido de los Sistemas de Gestión en general, aunque creo que deberíamos empezar a hablar de UN solo modelo de gestión con procesos certificados por distintos referenciasles: ISO9001, ISO27001, ISO14001, OSHAS18001, etc.

Lo que aun no he acabado de entender, en todo este tiempo, es el papel exacto que juegan o deben jugar las entidades de certificación en este escenario. Hay entidades de certificación que hacen de la certificación y de la normalización su trabajo y hay entidades de certificación que además de certificar sistemas de gestión, trabajan en la implantación de los sistemas de gestión. Creo francamente que se pueden compatibilizar los trabajos de auditoría y los de consultoría, pero me cuesta entender cómo se puede compatibilizar la función de entidad de certificación con la labor de consultoría.

En este contexto siempre me he preguntado por qué en un sistema de gestión como el de Calidad, el incumplimiento de una ley que es de aplicación en todas las empresas, como es el caso de la LOPD, se observa -cuando se hace- como una salvedad menor y no como un impedimento para la obtención de la certificación. Evidentemente, si hablamos de la certificación del SGSI según la ISO 27001:2005, las leyes que tienen una relación directa o indirecta con la seguridad de la información o de los sistemas de información cobran un protagonismo especial. Es en este caso donde el auditor de la entidad de certificación debe estar realmente preparado para identificar la diligencia de la organización en el cumplimiento de las mismas y obrar en consecuencia. En este sentido yo les pregunto: ¿son todas las entidades certificadas dignas de merecer tan preciado galardón?

En definitiva, en general, supongo que las entidades de certificación, como cualquier otra organización, deben cuidar su actividad y/o negocio y por este motivo la explicación que yo le encuentro al doble juego que a veces practican, entre la exigencia y la permisividad, es una explicación comercial, y esta, hablando de certificaciones, no me parece, a priori, una buena razón.