Reflexiones de última hora

25 de marzo de 2011 Por

Como este viernes no les hemos deleitado con ninguna entrada para que ocupen el tiempo libre que tendrán durante el fin de semana, aquí les dejamos unas perlas de conocimiento para que reflexionen:

– Si no lo mide no puede gestionarlo.
– Si no lo mide no puede mejorarlo.
– Si no lo mide probablemente no le interese.
– Si no puede influir sobre ello no lo mida.

Pasen un buen fin de semana.

Seguridad dentro y fuera de la Nube

10 de marzo de 2011 Por

Les dejamos con la presentación utilizada por Toni Villalón en el IX Foro de Seguridad de RedIris en Valencia. Aunque sin el desparpajo y la elegancia de Toni, esperamos que disfruten con ella.

Seguridad dentro y fuera de la Nube

Más presentaciones de Security Art Work.

Fotomontajes

24 de febrero de 2011 Por

Quizá con ese descriptivo título sepan ustedes de qué va esta entrada, a tenor de la popularidad que el dichoso fotomontaje ha adquirido en las últimas horas, pero si no es así, se lo resumo. Al parecer, la web diseñada para la campaña de reelección de Gallardón a la alcaldía de Madrid está encabezada por un fotomontaje, que pueden ver debajo, y que presenta varios problemas, algunos de ellos bastante obvios.

El primero y principal es que es una imagen tomada de un banco de imágenes (fotolia, en este caso) y que se encuentra en la cabecera del portal de impuestos de la Generalitat de Catalunya y en la portada del libro ‘Doing Well And Good: The Human Face of the New Capitalism‘. Aunque elmundo.es se empeñe en llamar a eso plagio e incluso citar una posible violación de la Ley Sinde por violación de derechos de autor, a decir por la ausencia de marcas de agua, todo parece indicar que la imagen fue comprada y por tanto ambas acusaciones carecen de todo fundamento y están más basadas en animadversión política del periódico hacia Gallardón que en una violación real de derechos de autor.

[Read more…]

Ciberataques contra Canadá

18 de febrero de 2011 Por

Hace un rato leía que el primer ministro canadiense, Stephen Harper, reconocía ayer públicamente que el gobierno canadiense está sufriendo en estos momentos ataques desde equipos ubicados en China, que hasta el momento han proporcionado a los atacantes información confidencial sobre ministerios clave. Según indica el artículo, los atacantes habían accedido a equipos de altos cargos y desde ahí, utilizando el correo electrónico y algo de ingeniería social, han distribuido troyanos y obtenido claves de otros sistemas y departamentos. Me atrevo a decir que el gobierno canadiense todavía no conoce la profundidad de la intrusión.

Al parecer, una auditoría realizada en 2002 ya advertía de este tipo de problemas, sin que se hayan tomado medidas hasta hace poco (aunque según los críticos poco significativas, de acuerdo al tamaño e importancia del gobierno canadiense, ya que se habla de 90m. $ a lo largo de 5 años). Me temo que esta es la tónica general en la mayor parte de los casos, ya sean grandes empresas privadas o entidades gubernamentales; hace tiempo que se viene hablando y advirtiendo de este tipo de amenazas, por activa y por pasiva, pero pocos parecen dispuestos a valorarla en su adecuada magnitud, ya sea por falta de recursos, de voluntad o simple escepticismo.

¿Podría pasar algo parecido en España? Bajo nuestro punto de vista, España no es ninguna excepción en aspectos como el ciberterrorismo y la ciberguerra, por lo que no hay motivos para creer que estemos exentos de riesgo. En el ámbito físico ya hemos sufrido ataques traumáticos y en el virtual podríamos ser objetivo igual que Canadá, Estados Unidos o Estonia. ¿Por qué no? Quiero creer que a día de hoy un ciberataque no tendría el impacto de un gran atentado, como hacer estallar un estadio en un partido de máxima afluencia (es una suposición, no lo sé a ciencia cierta), pero en cualquier caso considero que nos haría un daño no despreciable; y si se usa no de forma única, sino como multiplicador del efecto de un atentado “clásico”, estaríamos sin duda enfrentándonos a un verdadero problema. Existen esfuerzos muy importantes para “ciberprotegernos”, tanto oficiales (CCN, CNPIC…) como en el ámbito privado (CNCCS…), pero debemos seguir trabajando intensamente para tratar de ir por delante de los malos.

Más allá de casos particulares, lo primero que cabría preguntarse es el número y magnitud de ataques o intrusiones exitosas que no son detectadas; aunque los sistemas “centrales” de un gobierno puedan estar hasta cierto punto correctamente securizados, no hay que dejar de lado la gran cantidad de pequeños organismos que proporcionan innumerables puntos de entrada a la infraestructura central. En nuestro caso particular, piensen en ayuntamientos, diputaciones, empresas públicas, institutos, observatorios, fundaciones, etc., hagan números y verán el tamaño del queso Gruyère. En mi opinión, a pesar de los avances en materia de seguridad en la última década, existen todavía dos gigantescos problemas en la concepción de la seguridad, que son compartidos por empresas y organismos públicos:

  • El usuario. Sí, el usuario. Ya sé que siempre volvemos a él, pero decir que el problema reside entre la silla y el teclado (PLBCAK, Problem Lies Between Chair And Keyboard) es algo más que una broma: es una realidad. El usuario, de cualquier nivel de jerarquía, es el responsable de la mayor parte de los problemas de seguridad. Es el que abre adjuntos que llegan de remitentes desconocidos, el que utiliza su nombre como clave (o cualquier variación simple de esto), el que deja su sesión sin bloquear, el que utiliza el portátil corporativo para descargar películas y que su hijo juegue al WoW, el que utiliza el mismo USB para almacenar información corporativa que para guardar las fotos del último cumpleaños, el que hace copias de su equipo en un CD que almacena debajo del teléfono de su casa, etc. En algunos casos, cuando existen normativas y políticas que prohíben estos comportamientos, se trata de simple negligencia. En otros, es ignorancia, pereza, o falta de sentido común. Siempre acabamos hablando de programas de concienciación y formación, pero ésta debe consistir en algo más que unas charlas o cursos de formación que a modo de concesión, apaciguen las “obsesiones” del Departamento de Informática.
  • La concepción de la seguridad. A estas alturas, a nadie se le ocurriría que en una organización de un tamaño mínimo el equipo que desarrolla las aplicaciones corporativas fuese el mismo que administra los sistemas, y sin embargo, en seguridad es exactamente lo que sucede; la seguridad es otra tarea más del personal de Sistemas. Esto lo vemos a menudo, cuando tenemos que entregar un informe de auditoría lógica: nos encontramos con el problema de que las vulnerabilidades detectadas ponen de manifiesto una falta de control de la seguridad, lo que irremediablemente pone en entredicho el trabajo de la figura del Responsable de Informática y su equipo de cara a Dirección. Sin embargo, esto es la consecuencia de que muchos gestores todavía no han entendido que administrar los sistemas y securizar los sistemas son procesos diferentes que requieren y necesitan personal especializado; tanto la administración de sistemas como la gestión de la seguridad son trabajos suficientemente complejos y absorventes como para que, en un entorno mínimamente complejo, la misma persona pueda hacer ambos trabajos, sin entrar a valorar la necesaria segregación de funciones. Al final de la película, esto significa que una adecuada gestión de la seguridad demanda más recursos, pero mientras podamos “cargarle el muerto” a Sistemas, eso que nos ahorramos.

El problema es el de siempre: mientras el usuario va lentamente interiorizando las buenas prácticas en materia de Seguridad de la Información, y ésta se va independizando poco a poco de Sistemas (¿cuántas organizaciones conocen que bien a través de un proveedor o personal interno hagan una gestión “auténtica” de la seguridad?), nuestros datos e infraestructuras siguen expuestas a personas que, ellos sí, saben que el usuario hará probablemente todo lo que esté en su mano para conseguir sus objetivos (Ley de Naeser: puedes construirlo a prueba de bombas, pero no a prueba de idiotas), y que el administrador del entorno atacado ya tiene bastante con hacer su trabajo como para, además, meterse a gestionar IDS, IPS, Honeynets, o estudiar ataques de seguridad, exitosos o no.

Volviendo al caso canadiense, ya en 1989 Clifford Stoll narraba en el estupendo libro “The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage” cómo había hecho frente a una intrusión lógica por parte de espías de Europa del Este. Desde entonces, han pasado 22 años, y pienso que los gobiernos no sólo no han avanzado demasiado en la aplicación de medidas efectivas de protección, sino que la velocidad a la que se mueven es insuficiente. Me da la impresión de que las amenazas que provienen de las nuevas tecnologías son todavía algo que muchos altos cargos no han conseguido asimilar y perciben como algo “poco real”, a pesar de que, buscando paralelismos con los trabajos “clásicos” de los servicios de inteligencia, el riesgo que implica el ciberespionaje para la entidad atacada es (probablemente) mayor que el del espionaje clásico, con la ventaja de que apenas expone al atacante y es mucho más independiente del volumen de recursos.

La cuestión que deberían hacerse algunos a la vista de los hechos es: ¿podemos permitirnos el lujo de seguir ignorando este tipo de amenazas?

ProtegITs

30 de diciembre de 2010 Por

Hace unas semanas les comentábamos que el Presidente de la Generalitat, D. Francisco Camps, había inaugurado el proyecto ProtegITs, en el cual les dábamos algo de información sobre esta iniciativa. Aprovechando que el pasado domingo se abrió la web al público y estamos presentes en ExpoJove (Feria Juvenil de Valencia, típicamente navideña), creo que es el momento de dar algunos detalles.

ProtegITs es un proyecto que nació hace ya casi dos años a partir de una preocupación de José Rosell, uno de los socios directores de S2 Grupo, sobre la seguridad de los menores en Internet. Tras varias experiencias no muy agradables en peritajes, la cada vez más frecuente aparición de noticias de pederastia y pedofilia en prensa, y tras un periodo de maduración, se decidió dar forma al proyecto, y proponerlo a la Generalitat Valenciana como proyecto social. Como es evidente, ésta se mostró tremendamente interesada en él y fue lo que le dio el respaldo definitivo a un proyecto, ProtegITs, cuyo propósito es hacer conscientes a niños y niñas de entre 9 y 16 años de los riesgos que existen en el uso de Internet, y enseñarles cómo evitarlos. Algún tiempo después, entidades de la importancia de Consum Cooperativa y la Fundación Bancaja se unieron al proyecto, mostrando un apoyo clave para un proyecto de clara repercusión social. Adicionalmente, tal y como se puede ver en la página del proyecto, se cuenta con la participación de diversas empresas de carácter tecnológico y deportivo, tanto del ámbito local como nacional e internacional.

Dicho esto, ¿qué es ProtegITs? Pues ProtegITs es un proyecto que, a través de tres iniciativas claramente delimitadas, intenta cubrir todos los componentes de un modelo de seguridad en relación con los menores en Internet. Dichas iniciativas son las siguientes:

[Read more…]

Presentación del proyecto ProtegiTs

1 de diciembre de 2010 Por

Hoy, el President de la Generalitat Francisco Camps ha presentado en Valencia el proyecto ProtegiTs, una iniciativa que nació con una propuesta de S2 Grupo a la Generalitat Valenciana, dentro de su actividad de responsabilidad social corporativa, y cuyo propósito es hacer conscientes a los niños y niñas de entre 9 y 16 años de los riesgos que existen en el uso de Internet, y enseñarles cómo evitarlos.

Gracias a la Generalitat, que desde el principio supo apreciar el interés de la iniciativa, hemos conseguido ampliar en gran medida el alcance y el impulso del proyecto, dotándolo de mayores medios para que llegue al mayor número de niños y niñas posible. ProtegiTs cuenta con el apoyo decidido de la Fundación Bancaja y Consum Cooperativa, en calidad de promotores, así como de otras empresas de ámbito nacional e internacional, que han apostado por el proyecto en modalidad de colaboradores, convencidas del éxito de este proyecto y sus beneficios para nuestros menores.

[Read more…]

La “seriedad” de las auditorías del RDLOPD

10 de noviembre de 2010 Por

Hace unas semanas aparecía en prensa la noticia de que el Ministerio de Economía y Hacienda había sancionado por falta grave a Gassó, la auditora que se encargó de supervisar las cuentas de la constructora Astroc en 2006, cuando salió a bolsa, al haber aprobado las mismas sin poner ninguna salvedad, cuando posteriormente PwC detectó irregularidades. Esto supuso una multa de aproximadamente 200.000 € para la auditora, y de 8.000 € para el auditor que firmó el trabajo.

No me cabe ninguna duda de que una auditoría del Reglamento de la LOPD tiene en general una relevancia menor que una auditoría financiera, por la relevancia e impacto que esta última tiene sobre los inversores y el desarrollo económico de la organización, pero no por ello deja de ser menos cierto que a la auditoría del RDLOPD no se le concede en mi opinión la importancia que se debería. Y en esto tiene culpa tanto el cliente, para quien la auditoría es en ocasiones poco más que un molesto trámite a cuyo resultado no le va a prestar la más mínima atención, como las empresas auditoras, que en muchos casos simplemente buscan cubrir el expediente y facturar los servicios; si bien es cierto que en nuestro equipo de consultoría tendemos a valorar en la auditoría aspectos que van más allá de lo que marca el RDLOPD, por tratarse de un reglamento de mínimos, he tenido acceso a informes de auditoría presumo que nada baratos que rozaban lo vergonzoso (en realidad, algunos lo eran). En una situación adecuada, la auditora propone iniciativas a cumplir, y el cliente implanta, dentro de sus análisis coste/riesgo y sus posibilidades económicas aquellas que considere oportunas, pero esto sólo se da en ocasiones.

Dicho esto, ¿qué razones hay para considerar algo “serio” una auditoría del RDLOPD?

La primera de todas, es que es un requisito legal/reglamentario para datos de nivel medio y alto (art. 96 y 110 del RDLOPD, respectivamente). No se trata de un capricho de las consultoras/auditoras, que nos gusta importunar a nuestros clientes con reuniones, informes, preguntas y demás parafernalia implicada. Si hay que molestar, pues se molesta, pero molestar para nada, como que no.

Sigamos con las razones económicas. Espero no decir una barbaridad al afirmar que una auditoría financiera viene a tomar el pulso a la “salud económica” de una entidad, de cara a los accionistas, inversiones, solicitud de subvenciones, préstamos bancarios, etc. Por su parte, lo que la auditoría del RDLOPD analiza es la “salud” de los tratamientos de datos de carácter personal, con el objetivo de detectar incumplimientos y evitar sanciones de la Agencia Española de Protección de Datos que puedan derivarse de éstos. Aunque la agencia ha reducido significativamente el importe de las multas, conocedora de las implicaciones que sus actuaciones pueden tener para una organización de tamaño pequeño o mediano, una sanción de 600.000 € (o incluso de más, si hay varios incumplimientos) es algo a tener en cuenta por el impacto económico tanto directo como indirecto (léase reputacional), ya sea para una empresa del IBEX35, empresas cotizadas más pequeñas, o simplemente, cooperativas. Dicho de otra forma, de la misma forma que el mercado obliga a ciertas empresas a publicar sus análisis de “salud financiera” y exponer así su “riesgo financiero”, el accionista de una empresa, un cooperativista o cualquier persona que aporta capital a una organización (incluso las entidades financieras) debería saber el riesgo que la organización de la que participan tiene de sufrir una sanción de la AEPD.

Por supuesto, una auditoría de la RDLOPD no tiene como fin solucionar los incumplimientos que detecta, ya que eso es tarea de la organización, pero sí ofrece una visión del grado de cumplimiento de la organización, y debe proponer iniciativas, proyectos y soluciones de aquellas no conformidades detectadas, de cara a mejorar el grado de adecuación, y de nuevo, reducir el riesgo.

Por último, vamos con las razones “éticas”, si las quieren llamar así. No debemos olvidar que la ley de protección de datos tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar (LOPD, Art. 1). La LOPD, más allá de una ley de obligado cumplimiento o un foco de riesgo económico y reputacional (que como les decía antes, viene a ser lo mismo), vela por un derecho de cualquier persona, y eso es algo que las organizaciones, y cualquier persona que trabaja con datos de carácter personal debería tener siempre muy en cuenta; la auditoría del RDLOPD simplemente cuida de que estos derechos se estén aplicando de la manera correcta. Esta razón debería ser en realidad la primera de la lista, aunque la he puesto aquí para que no me tildasen ustedes de idealista.

Llegados a este punto, tenemos tres razones de peso para que una auditoría de la RDLOPD deba considerarse algo “serio”: requisito legal, riesgo económico y obligación ética o moral. Sin embargo, insisto en que la auditoría del RDLOPD sigue siendo algo a lo que se le da escasa importancia, tanto para muchos clientes como para algunas consultoras (entre las que, cabe destacar, y como no podría ser de otra manera, nos estamos incluidos). Para los clientes, o responsables de los datos, está el cuerpo de inspectores de la AEPD y su capacidad sancionadora. Pero, ¿y para las consultoras? ¿Qué implicaciones tiene para una de estas empresas realizar de manera poco profesional, intencionadamente o por simple incompetencia, una auditoría del RDLOPD? ¿Qué pasa cuando una auditora entrega un informe (que en ocasiones no puede ni llamarse así) afirmando que todo está correcto, cuando en realidad existen problemas serios en la gestión de datos personales de la organización?

Básicamente, no pasa nada. Por un lado, porque aunque el cliente pueda ser el primero que prefiere que no le agobien con cambios de aplicaciones, declaración de ficheros, documentos de seguridad, y registros de acceso, tampoco es un experto en el tema; para eso ha contratado a la consultora, y si ésta dice que todo está correcto, pues es de suponer que será cierto, porque ellos son los que saben de esto. Segunda, porque a dicho informe no se le da demasiada importancia, más que en casos muy concretos, a diferencia de un informe de auditoría financiera. Tercera, porque más allá de las acciones legales que una organización pudiera emprender contra la auditora que ha realizado la auditoría del reglamento, no existe ninguna repercusión legal para ésta. Cuarta, que a menudo el responsable interno de la auditoría presiona para que se “maquillen” determinados aspectos encontrados, o al menos que no se encuentren visibles en el informe ejecutivo para dirección. Y quinto, que de la poca importancia que les comentaba antes, se deriva que exista un mercadeo en el que se audita el reglamento por “cuatro duros”, y que provoca que por tanto el trabajo realizado sea conforme a ese importe.

Aquí es donde vuelvo al párrafo inicial con el que comenzaba esta entrada: las sanciones económicas para las consultoras, pero en este caso para las que nos dedicamos a la protección de datos. Sería tan sencillo como hacer que la sanción fuese compartida en un determinado porcentaje entre la organización y la consultora (asusta, ¿eh?), con lo que se incrementaría automáticamente la importancia de la auditoría del reglamento y la protección de datos, y se garantizaría un mínimo de calidad en los informes entregados; el cliente podría hacer la vista gorda si quisiese, pero la auditora no. En ciertos casos, y estoy ya divagando, podrían incluso valorarse penalizaciones temporales o permanentes de inhabilitación para auditoras y auditores.

Por supuesto, la consultora debería poder garantizar que la sanción corresponde a un incumplimiento del que se informó en la auditoría, que el auditor solicitó pero no tuvo acceso a la información de la que se deriva la sanción (bien porque se le ha negado, bien porque no se le ha entregado en tiempo y forma), que el problema originador de la sanción no se encontraba presente en el momento de realizar la auditoría, o que es un aspecto no controlable externamente (por ejemplo, un empleado que habiendo sido formado en materia de LOPD, olvida gestionar una solicitud de acceso). De cualquier modo, aunque pueda ser interesante tratar este último punto en una entrada posterior, ¿qué les parecería una medida así?

Google no es siempre evil (o la ignorancia del redactor)

19 de octubre de 2010 Por

Hace unos minutos leía en elEconomista.es la siguiente información relacionada con Google Street View y los datos captados por los coches (se han corregido los errores tipográficos, abundantes al parecer por las intempestivas horas). El primer párrafo es introductorio, lo interesante son los otros dos (la negrita es del original, la cursiva mía):

La Agencia ha verificado que Google ha grabado, entre otros, direcciones de correo electrónico —con nombre y apellidos—, mensajes privados asociados a dichas cuentas y servicios de mensajería, o códigos de usuario y contraseñas. Google no lo tiene fácil, porque tiene todas las pruebas en su contra.

El contrato firmado entre el buscador y Eurovendex, una filial de la empresa de trabajo temporal Adecco, para reclutar a los trabajadores que grabarían las calles, destapa la recogida y almacenamiento de información confidencial. En una de las cláusulas, y después de que las dos compañías reconozcan que van a grabar dicha información se establece, por ejemplo, que “Eurovendex se compromete a guardar la más estricta confidencialidad respecto de los datos personales que obtenga como consecuencia de la realización de los trabajos del presente contrato, así como de la veracidad de los mismos“.

[…]

Pero Eurovendex no es la única que firmó este tipo de cláusulas. Los propios conductores de los coches que llevaban las cámaras y que usaban las redes WiFi tenían exigencias parecidas en sus contratos personales. En uno de ellos, uno de los empleados deja firmado, por ejemplo, que “reconozco que Google ha recibido y recibirá en el futuro de terceras partes su información confidencial (…). Me comprometo a manejar esa información en la más estricta confidencialidad y no desvelarla a firma, persona o compañía alguna, ni utilizarla excepto en lo necesario para llevar a cabo mi trabajo para el cliente“. Los datos recogidos incluían información de identificación personal, con nombres, direcciones y teléfonos.

[Read more…]

GOTO IX: El negocio de la seguridad

7 de octubre de 2010 Por

Aquellos que me conocen saben que hace aproximadamente cuatro meses comencé un curso de escalada, en concreto de la modalidad denominada “deportiva” (que es a la que me referiré el resto de la entrada, aunque en gran parte es aplicable a la clásica), casi por curiosidad, y aquello ha desembocado en lo que es sin duda mi principal afición hoy en día. La cuestión es que no se me ocurren muchos ámbitos en los que la seguridad tenga un componente tan importante, tanto en material, como en técnicas; es tan importante que el arnés esté en perfecto estado como saber cómo montar una reunión a 250 m. de altura. Como casi cualquier actividad, la escalada tiene sus riesgos intrínsecos, derivados de desprendimientos de rocas, una mala caída, material defectuoso,o el simple azar que hace que la cuerda vaya por un lado y no por otro; no por nada cualquier material de escalada trae una leyenda que advierte de los peligros mortales de la actividad.

Uno de los temas más importantes y costosos en la escalada (y en el montañismo en general) es el material. Mientras que para jugar al baloncesto el material deportivo puede ser más o menos importante, para la escalada es algo vital, literalmente, y eso se paga: una cuerda en mal estado puede dar con tus huesos en el suelo, y pueden imaginarse que lo siguiente es organizar el funeral. Por ello, todo el material de escalada tiene que pasar una serie de normas de seguridad ISO, que comprueban la resistencia del elemento y certifican que el material es adecuado para dicha actividad; luego, cada cual que lo utilice bajo su responsabilidad. En cierto modo, es similar a nuestro sector: una hoja Excel sirve para lo que sirve, y no es válida (en general) para gestionar datos de salud de un centro médico; no obstante, eso queda a discreción de la empresa, que deberá asumir la responsabilidad si se enfrenta a una inspección de la AEPD o a una pérdida de datos.

Como en la seguridad a la que probablemente usted esté acostumbrado, en este contexto también existe una dura riña entre la “funcionalidad”, representada principal pero no únicamente por el peso, y la seguridad; podríamos hacer cuerdas que fuesen capaces de aguantar la caída de un coche, pero su peso supondría una dificultad añadida e innecesaria que no quieres tener cuando estás escalando. En el otro extremo, subir con una cuerda de 5 mm que apenas aguante 5 Kn es lo más cómodo después de subir en libre, pero no muy recomendable si aprecias tu vida en algo. La idea, como en cualquier otro ámbito, es conseguir la mayor funcionalidad posible, con las mayores garantías de seguridad (más Kn, más caídas de nivel 2, más resistencia, etc.).

Dicho esto, la cantidad de material que se utiliza en escalada susceptible de deteriorarse y cuya degradación conlleva un gran peligro es muy grande: mosquetones de seguridad (HMS), cuerdas, arneses , cintas express (véase la imagen), etc. Lo cierto es que aunque uno preste atención al material, es imposible asegurar que todo él se encuentra en perfecto estado; es difícil llevar la cuenta del número de caídas que se han tenido, o de la fuerza de una caída. Debido a ello, el material de escalada tiene fecha de caducidad aproximada: aunque no hayamos utilizado apenas una cinta express, su uso no está recomendado más allá del tercer o cuarto año, y si el uso ha sido intensivo, este periodo puede reducirse de manera importante. Algunos fabricantes incluso indican la fecha de fabricación, de manera que uno puede saber cuánto tiempo hace que la cuerda se manufacturó.

Por supuesto, todas estas recomendaciones vienen directamente dadas por el fabricante. Sin embargo, algunas voces del mundo de la escalada critican que esta política se deriva no siempre de una situación real de riesgo, sino del interés económico de las compañías; nadie puede negar que el negocio del miedo es algo muy lucrativo. Recuerdo haber leído que Petzl había realizado pruebas de resistencia sobre algunos arneses con muchos más años de los recomendados, y los resultados fueron muy superiores a lo esperado, manteniéndose dentro de los parámetros aceptables.

Tras esta breve pero interesante (no me lo negarán) introducción, llega la aplicación a nuestro sector, en la que aunque somos juez y parte, haré más de juez que de parte. Por tanto, déjenme, sin perder el hecho de que S2 Grupo es una empresa de seguridad, plantearlo desde una perspectiva externa: ¿hasta qué punto podemos decir que las compañías de seguridad, informática en este caso, se parecen a las empresas de material de escalada en lo que les comentaba? ¿Son necesarios todos los sistemas, aplicaciones, estructuras y personal implicado en la gestión de la seguridad? Ya sea el desarrollo de un Plan de Continuidad de Negocio, un programa antivirus o antispyware, la adaptación a la LOPD, los sistemas cortafuegos software o hardware, la implantación de SGSIs, la monitorización de infraestructuras o la formación de los trabajadores ¿Está el negocio de la seguridad alimentado en parte y de manera intencionada por falsas amenazas? ¿Exageran las empresas los riesgos de seguridad a los que las organizaciones están expuestos? Visto de otra forma, ¿somos presa de organizaciones paranoicas que ven incendios, virus, intrusiones y criminales hasta en la taza del váter? ¿Es Internet realmente tan insegura? ¿Nos estamos volviendo todos locos?

O por el contrario, ¿están las empresas de seguridad en lo cierto, y en realidad sólo hemos visto la punta del iceberg de lo que se avecina? ¿Son los ataques de denegación de servicio, o los robos de información confidencial y personal no sólo algo mucho más habitual de lo que suponemos, sino también más serio? ¿Nos estamos preparando correctamente para las actividades de redes de criminales que operan, gracias a Internet, de manera global? ¿Estamos olvidando con demasiada facilidad la importancia, capacidad y habilidades de miles de usuarios malintencionados repartidos por el globo, a menudo sin un control legislativo nacional que limite e impida sus actividades? ¿Tenemos en cuenta los intereses geopolíticos que se juegan en Internet las grandes potencias? ¿Ignoramos demasiado a menudo las consecuencias de conectar un sistema a Internet, potenciando la funcionalidad sobre la seguridad? Dicho de otra forma, y volviendo a la analogía con la escalada, ¿hasta qué punto nos la estamos “jugando”?

Más allá de los comentarios que puedan dejar a continuación (que espero que sean muchos), ¿cual es su opinión al respecto?

[poll id=”21″]

La lógica del usuario

6 de octubre de 2010 Por

Por extraño que nos parezca, mucho me temo que la lógica de los usuarios en el ámbito de la seguridad es bastante similar al de la tira cómica. Quizá es hora de que alguien elabore un estudio antropológico al respecto, que desentrañe los misterios que encierra la mente del usuario. No por nada, y como dice Toni, la mayor parte de los problemas técnicos, incluyendo los de seguridad, se reducen a “PLBKAC”: Problem lies between keyboard and chair.

(Tira cómica por Marco Canepa, en juanelo.cl. Gracias a Paco Benet por la referencia.)