CSO Público. El Responsable de Seguridad en el Esquema Nacional de Seguridad

Ya hemos comentado en este blog algunos aspectos relativos al Esquema Nacional de Seguridad. A saber, origen, alcance, finalidad, actores involucrados y un resumen de contenidos. Quería ahora centrar el foco de atención en uno de los aspectos que considero más destacados dentro del Esquema Nacional de Seguridad. Me refiero a la figura del Responsable de Seguridad que define el propio Esquema.

Creo que es obvio que toda tarea que no tenga un responsable detrás corre el riesgo de no ser ejecutada convenientemente, o simplemente no ser ejecutada. Solo por este hecho la necesidad de que exista la figura del responsable de seguridad en el contexto del Esquema Nacional de Seguridad es obvia y, por el bien de la seguridad, es además imprescindible.

En su artículo 10, el Esquema Nacional de Seguridad dice:

«La seguridad como función diferenciada. La responsabilidad de la seguridad de los sistemas de información debe estar diferenciada de la responsabilidad sobre la prestación de los servicios.

Existirá una instancia diferenciada que establezca los requisitos de seguridad y vele por su cumplimiento acorde a la normativa que sea de aplicación.

También existirá un procedimiento para dictaminar sobre los conflictos que surjan entre la prestación de los servicios y su seguridad, de forma que se alcance un equilibrio entre los mismos, que será aprobado por el responsable del servicio.»

En este artículo puede verse como se definen tres responsabilidades diferenciadas sobre un mismo servicio (nótese que hablamos de responsabilidades, no de personas):

  • la mencionada responsabilidad en la seguridad del servicio,
  • la responsabilidad de la prestación del servicio y
  • la responsabilidad del servicio.

En la práctica podemos hablar de una o de varias personas; pueden consultar entradas anteriores en las que comentábamos la figura del responsable de seguridad o CSO.

Por si el anterior artículo les resulta interpretable en alguno de sus términos, el Esquema Nacional de Seguridad dice explícitamente en su Anexo III punto 1.1:

«La seguridad de los sistemas de información de una organización será auditada en los siguientes términos:

a) Existencia de la figura del responsable de seguridad con autoridad sobre todas las personas relacionadas con sistemas de información y que informa a la dirección.»

Es decir, el primer punto que se auditará (en el futuro dedicaremos una entrada a las auditorias de seguridad en el contexto del Esquema Nacional de Seguridad) será la existencia de un responsable de seguridad, quien dispondrá de la autoridad necesaria sobre TODAS las personas relacionadas con los sistemas de información.

Así pues, definida la figura del responsable de seguridad veamos que atribuciones explicita el propio Esquema Nacional de Seguridad para la misma. En su artículo 34, en los puntos 6 y 7 dice:

«6. Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.

7. En el caso de los sistemas de categoría ALTA, visto el dictamen de auditoría, el responsable del sistema podrá acordar la retirada de operación de alguna información, de algún servicio o del sistema en su totalidad, durante el tiempo que estime prudente y hasta la satisfacción de las modificaciones prescritas.»

Además, en su Anexo II punto 2.3 el Esquema Nacional de Seguridad versa:

«La relación de medidas seleccionadas se formalizará en un documento denominado Declaración de Aplicabilidad, firmado por el responsable de la seguridad del sistema.»

Como podemos leer, la responsabilidad y el poder ejecutivo real que el Esquema Nacional de Seguridad otorga a la figura del Responsable de Seguridad no es baladí. El Responsable de Seguridad es el responsable último de que las medidas de seguridad que nos exige el propio Esquema estén efectivamente implantadas y sean eficaces (si no eficientes). Podrá decidir sobre la conveniencia de llegar a limitar, modificar e incluso parar la prestación de alguno de los servicios o sistemas bajo su responsabilidad. En definitiva, tendrá poder ejecutivo real y transversal.

Desde mi punto de vista, lo que el Esquema Nacional de Seguridad dice acerca del responsable de seguridad es muy acertado. Si alguna crítica cabe hacer esta iría en la línea de enfatizar aún más el poder ejecutivo transversal de esta responsabilidad. ¿Por qué? Porque veo aparecer por el horizonte un conocido problema de los administradores de sistemas: El Director XXXX no les hace ni caso cuando le dicen que su password debe caducar al menos cada 6 meses. Como este ejemplo debe haber miles que responden al mismo patrón: “El de sistemas no es nadie para decirme a mí lo que tengo que hacer”. Bueno, pues va a resultar que sí que es alguien, alguien con mucho poder tácito y, en breve, con un poder ejecutivo fundamentado en una Ley.

El Esquema Nacional de Seguridad (III)

Habiendo recorrido en entradas anteriores (véase I y II) aspectos del Esquema Nacional de Seguridad como su origen, su ámbito, su finalidad y los actores involucrados, en esta tercera entrada relacionada con esta temática veremos, aunque de momento sea por encima, los contenidos prácticos del mismo.

Resumen de contenidos del Esquema Nacional de Seguridad

Los puntos destacados a continuación pretenden ser los conceptos más importantes que introduce, desde mi punto de vista, el Esquema Nacional de Seguridad. Incluimos los artículos donde se alude al concepto descrito, pero tengamos presente que alguna de estas ideas se recoge no solo en un artículo concreto, sino a lo largo de todo el documento.

[Read more…]

El Esquema Nacional de Seguridad (II)

En esta segunda entrada (véase la entrada anterior) sobre el Esquema Nacional de Seguridad comenzaremos revisando la finalidad del mismo, y terminaremos comentando a quién afecta, donde a buen seguro encontraremos alguna sorpresa.

Finalidad del Esquema Nacional de Seguridad

La finalidad del Esquema Nacional de Seguridad se revisó colateralmente en la entrada anterior cuando hablábamos de su origen. Repasemos.

[Read more…]

El Esquema Nacional de Seguridad (I)

Este post pretende ser la primera entrada de lo que será una serie relacionada con el futuro Esquema Nacional de Seguridad.

La idea con esta serie es informar sobre el Esquema Nacional de Seguridad: su origen, a quién afecta tanto directa como indirectamente, los puntos destacables, y cómo afectan estos aspectos a los diferentes actores involucrados. A lo largo de las distintas entradas profundizaremos más en los puntos del Esquema Nacional de Seguridad que entendamos más relevantes, siempre con la idea de que se produzca información útil y eminentemente práctica. Como introducción, en esta primera entrada hablaremos del origen del Esquema Nacional de Seguridad, para lo que se hace imprescindible hablar de la Ley 11/2007. Si desean echarle un vistazo al primer borrador, del pasado 15 de julio, lo tienen disponible desde la página del Consejo Superior de Administración Electrónica.

Origen del Esquema Nacional de Seguridad. La Ley 11/2007

Como muchos de nuestros lectores ya conocerán, este próximo Diciembre entra en vigor la Ley 11/2007. De manera muy resumida podemos decir que esta ley viene a dar derechos a los ciudadanos para comunicar electrónicamente con las Administraciones Públicas (en adelante AAPP). Por ejemplo, obtener un certificado de empadronamiento o gestionar mis cuentas con Hacienda deberá ser factible y sencillo desde Internet. Los ejemplos son innumerables, y todos aportan beneficios para el ciudadano.

Vemos pues que, en un plano teórico esta ley, en su esencia, ayudará a que paulatinamente las AAPP sean cada vez más agiles y eficientes, lo que repercutirá en que los ciudadanos nos beneficiemos de esta eficiencia. Hasta aquí la teoría: la eficiencia al asalto de las AAPP.

La realidad es algo diferente a lo que el plano teórico pretende, principalmente porque los recursos son los que son. Aún así, es de esperar que con el paso de los meses (o más bien los años en algunos casos, esperemos que no muchos) las AAPP terminen encontrado los recursos, al mismo tiempo que los ciudadanos comenzamos a hacer uso de los derechos que esta ley nos otorga. Es decir, a medio-largo plazo esta ley (de nuevo, en su esencia) será muy positiva para todos; no cabe duda de ello. Los ciudadanos podremos gestionar de forma diligente las tramitaciones que necesitemos realizar, y al mismo tiempo las AAPP podrán atender las peticiones ciudadanas ejercidas electrónicamente de forma mucho más eficiente (adiós a las ventanillas y a los “vuelva usted mañana”).

Llegados a este punto, ya tenemos una ley que, en el medio plazo, entendemos como muy positiva para todos, en tanto en cuanto nos permite gestionar con las AAPP desde el sofá de casa. ¿Perfecto? Aun no.
Existe una implicación más en lo que a esta ley se refiere, que es la base del Esquema Nacional de Seguridad. El hecho de que los principales servicios que ofrece una organización como la AP —la mayor organización del Estado Español— sean de carácter electrónico hará que la dependencia de las tecnologías de la información y las comunicaciones sea significativamente mayor que hoy en día, hasta el punto de que esa dependencia sea simplemente absoluta.

Es decir: sin TIC, no habrá Administración Pública.

En ese futurible bastante cercano (años, no decenios) se deberá tener presente, al mismo nivel que la funcionalidad, la seguridad con la que se presten dichos servicios, requisito imprescindible que debe nacer con la propia funcionalidad y no abordarse a posteriori como un agregado más. Sin esta seguridad no lograremos que el ciudadano sienta la confianza necesaria para utilizar su DNI electrónico, para dar de alta sus datos en el Ministerio de turno, introducir pines, etc. Sin confianza, no hay relación electrónica posible y esta confianza debe venir dada por la Seguridad en mayúsculas, con la securización holística de los activos que dan soporte a los servicios definidos por la Ley 11/2007.

Este es el origen del Esquema Nacional de Seguridad: Securizar los activos que la AP necesita para funcionar ahora y en el futuro, establecer un marco de referencia al que mirar cuando la AP quiera dar contenido al verbo securizar. De esta manera la propia Ley 11/2007 define en su artículo 42.2 el Esquema Nacional de Seguridad:

«42.2. El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.»

Antes de terminar, una aclaración: cuando decimos Seguridad en mayúsculas, cuando utilizamos el inexistente verbo securizar, estamos hablando de muchas cosas: estamos hablando de responsabilidad, de globalidad, de gestión, de políticas, de controles, etc. En definitiva, estamos hablando de lo que las normas internacionales dicen de Seguridad.

En futuras entradas de esta serie comentaremos a quién afecta el Esquema Nacional de Seguridad, así como sus principales contenidos. Los detalles y las opiniones los desgranaremos más adelante.

Responsabilidad del Buen Gobierno

Qué decirles de las claves apuntadas en esos maravillosos POSSITs (cada día tengo mas claro que nacieron principalmente para eso, para apuntar claves de acceso a dónde sea); ya hemos narrado alguna divertida (en tanto que ajena) historia sobre «puesto7» o «puesto8». Esos pueden considerarse ejemplos de usuarios digamos que poco avezados en menesteres de seguridad. Pero de seguridad básica, todos sabemos que nuestro PIN de la tarjeta no se apunta EN la tarjeta.

Otro ejemplo de falta de decoro con la información me ocurrió hace unas semanas en un centro comercial, conocido donde los haya. Mostrador sin dependiente (raro la verdad) y…. cuatro contratos firmados por sus futuros clientes de telefonía móvil; cantidades, DNI, direcciones, teléfonos y demás datos de carácter personal que toda empresa nos pide cuando financiamos algo, nos subscribimos a algún servicio de pago mensual o similar.

Eso justo fue lo que vi, como digo, en un conocidísimo centro comercial que no mentaré por cuestiones obvias; a medio día, con el centro comercial casi vacío y con los pocos empleados que había liados con otros clientes. Paseando-esperando, paseando-esperando, hasta que mis ojos caen sobre unos folios amontonados sobre un mostrador, el de telefonía móvil, sin personal del centro. Esos folios reclaman mi insaciable curiosidad gatuna, acerco mi careto incrédulo al objetivo y plof, ahí tenemos a un tal Pepe García García que vive en la C/ Mi casa, numero 69 ático sito en Mi Ciudad. Su teléfono de contacto bien visible (útil para cualquier viandante con ganas de gastar una broma a las cuatro de la mañana en el mejor de los casos). Tras un rato de espera observando sin cesar los dichosos papelitos, acompañada ésta de un progresivo desquicie creo ahora que debido a una afortunada deformación profesional, decido buscar a una persona en la planta que no estuviera muy lejos para decirle que por favor retirara esos papeles que estaban sacándome de mis casillas estando donde estaban y conteniendo la información que contenían. Obviamente los retiró, pero fue curioso porque mientras lo hacía y me miraba, sólo porque le aguanté la mirada, terminó diciendo: “Gracias».

Fue un “gracias» de compromiso, de educación adquirida en los últimos años de una persona madura (que no mayor). Eso, creo yo, se debía a que en realidad el empleado no sabía la implicación de tener esos papeles donde los tenían, conteniendo la información que contenían; solo sabía que eran altas de móviles, y oye, ¡que más da! Por no mencionar el multazo que podría haberles caído encima de caer esos papeles en otras manos.

¿De quién es la culpa? No lo sé, de mucha gente seguro, pero desde luego podemos hablar de la responsabilidad del buen gobierno y de la obligación que tiene ese centro comercial de cuidar nuestra información, así como de formar a sus empleados para que sepan con que están trabajando: con nuestra identidad.

Así que un poquito de por favor…

Seguridad: ¿gasto o inversión?

Ni que decir tiene que todos los que nos dedicamos al ámbito de la seguridad tenemos clara la respuesta a esta pregunta que de hecho, es retórica, por no decir estúpida (si ha respondido A en vez de B, antes de ofenderse siga leyendo por favor). Veamos otra pregunta: ¿de quién es culpa que determinadas personas en puestos de decisión en las organizaciones vean la seguridad como un gasto más que como una inversión, o al menos como una inversión aplazable hasta el infinito y más allá? Esta pregunta es igualmente retórica e igualmente estúpida, aunque no se me ofendan ahora los profesionales de la seguridad (o antes de hacerlo, lean…)

El problema es el siguiente: ¿por qué hablamos de inyección SQL, cuando no de SQL-Injection, en vez de hablar de obtener información de una base de datos a través de la Web? ¿Por qué hablamos de hacking ético o de auditorias de seguridad en vez de hablar de planes que permitan a las empresas seguir trabajando lo antes posible después de un incidente grave en su organización? ¿Que no es lo mismo? Disculpen pero sí, es lo mismito. Porque al final de lo que se trata es de mejorar la seguridad de las organizaciones, y es nuestra responsabilidad, y de nadie más, acercar estos conceptos al lenguaje de la humanidad; y éste no es C, ni scripting, ni usa NESSUS para detectar vulnerabilidades en nuestro lenguaje, ni Nagios.

¿Es responsabilidad del neófito en seguridad entender los beneficios de la seguridad de la información junto con toda la terminología técnica asociada? Obviamente no. Todos los tecnólogos tenemos una tendencia natural a utilizar un lenguaje que a nosotros nos puede parecer normal, siendo inexcusablemente erróneo para nuestro interlocutor, pero como me dijo el otro día un compañero, los tecnólogos hablamos español, los directivos griego y los financieros arameo, y esa es una difícil mezcla como para entendernos.

El hacking ético «mola mazo», y prácticamente todo responsable TIC entiende el concepto, comparte la necesidad e incluso estaría encantado de abordar estas cuestiones mañana mismo (eso sí, en el mundo de Huxley, que por feliz, dispone de recursos infinitos, tanto humanos como económicos). Pero como en la mayoría de los casos los puestos de decisión no suelen coincidir en última instancia con los puestos TIC, es nuestra responsabilidad adaptar nuestro lenguaje y la definición de nuestros servicios profesionales al lenguaje de la persona que te escucha directa o indirectamente, sea este español, griego o arameo. Y si quién escucha no decide, tendrá que contarlo después a quien sí decide, por lo que estas segundas partes, aunque indirectamente, escuchan.

Para acabar, ¿quieren un ejemplo de abuso de lenguaje tecnológico no adecuado? Fácil, retrocedan esta entrada y vean cuantas veces he dicho «TIC» sin explicar qué leches es eso de «TIC». Todos los que se han sorprendido y/o no han caído en la cuenta, es que necesitan revisar su lenguaje para acercarlo al del resto de personas que no saben (ni tienen por qué saber) que Internet está ubicado en ordenadores de todo el mundo que, en esencia, son como el que tienen en su casa para bucear por la propia red. Y por cierto, TIC significa «Tecnologías de la Información y las Comunicaciones».

Saludos cordiales y, solo por contradecirme una vez más y parafraseando a otro compañero:

:wq!

Del dicho al hecho no hay un trecho… hay cuatro años luz.

Durante los últimos meses he tenido la suerte o la desgracia de leer varios informes sobre el estado del arte de las empresas en materias de seguridad de la informacion. De hecho, algun compañero de blog ya lanzó comentarios sobre estos estudios hace algún tiempo. Creo que vengo a complementar o más bien corroborar sus apreciaciones.

Estos estudios, como menciono, tratan de determinar el estado estadístico de las empresas en relación a la seguridad de la información. Obviamente, dependiendo de quién realiza el estudio, centra sus puntos de control en unos aspectos u otros de la seguridad (me refiero a seguridad legal, organizativa, logica, física, partes de alguna de las anteriores, o todas ellas en global, depende).

star.jpgLas conclusiones sacadas de estos estudios (que no explicito de forma premeditada, disculpen los lectores la falta de pulcritud científica) otorgan unos niveles de seguridad en grandes, medianas y pequeñas empresas que, no es que disten de lo percibido en el dia a dia, es que parece que vengan de ese planeta con vida extraterrestre que aún siguen buscando los astrofísicos (y que gracias a estos estudios, ya sabemos que existe y dispone de un nivel tecnológico muy superior al nuestro).

Bromas aparte (el tema no es para partirse de risa), creo que existe una coincidencia en la apreciación que los profesionales del ramo tenemos del estado del arte de las empresas en este tipo de materias y las conclusiones cuasicomunes de este tipo de estudios. Básicamente nos preguntamos: ¿Qué población utilizan para sus estudios? ¿Cómo controlan las posibles mentiras o al menos adornos de realidades lanzadas por los Directores TIC de las empresas? (porque es lógico que siendo un Director TIC no voy a ir publicitando mi falta de seguridad por varios motivos: no conozco las posibilidades, por mi empleo y por mi empresa).

Desde mi punto de vista, estamos tan sólo comenzando a preocuparnos de forma adecuada de los temas relativos a la seguridad de la información. Una gran mayoría de organizaciones públicas y privadas (PyME incluida) está simplemente en pañales y «los malos» (incluidos los malos que no saben que son malos) llevan varios pueblos de ventaja respecto al estado de la seguridad en estas organizaciones, aunque estadísticamente tampoco muchos, tal vez tres o cuatro pueblos, no más; insisto, estadísticamente.

Entonces me pregunto: ¿De dónde sacan estos estudios sus datos? ¿Por qué distan tanto de la realidad percibida en el día a día?

Y aunque ustedes no acostumbren a opinar, sólo por cortesía me siento obligado a preguntarles: ¿ustedes qué opinan?

(Imagen © European Organisation for Astronomical Research in the Southern Hemisphere)