Este post pretende ser la primera entrada de lo que será una serie relacionada con el futuro Esquema Nacional de Seguridad.

La idea con esta serie es informar sobre el Esquema Nacional de Seguridad: su origen, a quién afecta tanto directa como indirectamente, los puntos destacables, y cómo afectan estos aspectos a los diferentes actores involucrados. A lo largo de las distintas entradas profundizaremos más en los puntos del Esquema Nacional de Seguridad que entendamos más relevantes, siempre con la idea de que se produzca información útil y eminentemente práctica. Como introducción, en esta primera entrada hablaremos del origen del Esquema Nacional de Seguridad, para lo que se hace imprescindible hablar de la Ley 11/2007. Si desean echarle un vistazo al primer borrador, del pasado 15 de julio, lo tienen disponible desde la página del Consejo Superior de Administración Electrónica.

Origen del Esquema Nacional de Seguridad. La Ley 11/2007

Como muchos de nuestros lectores ya conocerán, este próximo Diciembre entra en vigor la Ley 11/2007. De manera muy resumida podemos decir que esta ley viene a dar derechos a los ciudadanos para comunicar electrónicamente con las Administraciones Públicas (en adelante AAPP). Por ejemplo, obtener un certificado de empadronamiento o gestionar mis cuentas con Hacienda deberá ser factible y sencillo desde Internet. Los ejemplos son innumerables, y todos aportan beneficios para el ciudadano.

Vemos pues que, en un plano teórico esta ley, en su esencia, ayudará a que paulatinamente las AAPP sean cada vez más agiles y eficientes, lo que repercutirá en que los ciudadanos nos beneficiemos de esta eficiencia. Hasta aquí la teoría: la eficiencia al asalto de las AAPP.

La realidad es algo diferente a lo que el plano teórico pretende, principalmente porque los recursos son los que son. Aún así, es de esperar que con el paso de los meses (o más bien los años en algunos casos, esperemos que no muchos) las AAPP terminen encontrado los recursos, al mismo tiempo que los ciudadanos comenzamos a hacer uso de los derechos que esta ley nos otorga. Es decir, a medio-largo plazo esta ley (de nuevo, en su esencia) será muy positiva para todos; no cabe duda de ello. Los ciudadanos podremos gestionar de forma diligente las tramitaciones que necesitemos realizar, y al mismo tiempo las AAPP podrán atender las peticiones ciudadanas ejercidas electrónicamente de forma mucho más eficiente (adiós a las ventanillas y a los “vuelva usted mañana”).

Llegados a este punto, ya tenemos una ley que, en el medio plazo, entendemos como muy positiva para todos, en tanto en cuanto nos permite gestionar con las AAPP desde el sofá de casa. ¿Perfecto? Aun no.
Existe una implicación más en lo que a esta ley se refiere, que es la base del Esquema Nacional de Seguridad. El hecho de que los principales servicios que ofrece una organización como la AP —la mayor organización del Estado Español— sean de carácter electrónico hará que la dependencia de las tecnologías de la información y las comunicaciones sea significativamente mayor que hoy en día, hasta el punto de que esa dependencia sea simplemente absoluta.

Es decir: sin TIC, no habrá Administración Pública.

En ese futurible bastante cercano (años, no decenios) se deberá tener presente, al mismo nivel que la funcionalidad, la seguridad con la que se presten dichos servicios, requisito imprescindible que debe nacer con la propia funcionalidad y no abordarse a posteriori como un agregado más. Sin esta seguridad no lograremos que el ciudadano sienta la confianza necesaria para utilizar su DNI electrónico, para dar de alta sus datos en el Ministerio de turno, introducir pines, etc. Sin confianza, no hay relación electrónica posible y esta confianza debe venir dada por la Seguridad en mayúsculas, con la securización holística de los activos que dan soporte a los servicios definidos por la Ley 11/2007.

Este es el origen del Esquema Nacional de Seguridad: Securizar los activos que la AP necesita para funcionar ahora y en el futuro, establecer un marco de referencia al que mirar cuando la AP quiera dar contenido al verbo securizar. De esta manera la propia Ley 11/2007 define en su artículo 42.2 el Esquema Nacional de Seguridad:

Antes de terminar, una aclaración: cuando decimos Seguridad en mayúsculas, cuando utilizamos el inexistente verbo securizar, estamos hablando de muchas cosas: estamos hablando de responsabilidad, de globalidad, de gestión, de políticas, de controles, etc. En definitiva, estamos hablando de lo que las normas internacionales dicen de Seguridad.

En futuras entradas de esta serie comentaremos a quién afecta el Esquema Nacional de Seguridad, así como sus principales contenidos. Los detalles y las opiniones los desgranaremos más adelante.

La tecla mágica es una interrupción que permite comunicarse con el kernel en situaciones de inestabilidad en una máquina Linux, que viene habilitada por defecto en la gran mayoría de kernels precompilados de las distribuciones actuales. En caso de que compilemos el núcleo a mano, la opción “Magic SysRq Key” se encuentra en el menú “Kernel Hacking”. En el fichero de configuración del kernel recibe el nombre de CONFIG_MAGIC_SYSRQ por lo que realizando un “grep” de éste veremos si la hemos habilitado (debe aparecer CONFIG_MAGIC_SYSRQ=Y).

[Read more…]

Para hoy, tenemos un par de breves cuestiones relacionadas tangencialmente con la Seguridad de la Información.

En primer lugar, me gustaría presentarles el blog Spring Art Work, un blog mantenido principalmente por nuestro compañero Néstor Tarín, en el que tratará de cuestiones propias de desarrollo en el uso de frameworks —principalmente Spring, tal y como indica su nombre— utilizados para el desarrollo de aplicaciones (java y .Net) de manera cómoda, sencilla y correcta. Se trata de un blog técnico que incluirá artículos de distintos niveles de dificultad, y puede ser útil para comprender conceptualmente el uso de los frameworks presentados desde un perfil no técnico. Inicialmente su periodicidad será semanal, pero probablemente se incrementará a medida que el blog vaya cogiendo velocidad.

En segundo lugar, si llevan algún tiempo siguiendo el blog, sabrán que de un tiempo a esta parte hemos incrementado la frecuencia de publicación hasta hacerla diaria, exceptuando los fines de semana y algún día suelto que la inventiva está por los suelos. No obstante, teniendo en cuenta la relativa densidad de algunas entradas, tenemos cierta curiosidad por saber cuál sería la frecuencia de publicación ideal para nuestros lectores; si estamos llegando, nos quedamos cortos o nos pasamos. De ahí que hayamos creado la encuesta que les muestro debajo.

Mañana continuaremos con la programación habitual.

Con poco que hayan seguido este blog, sabrán que no hacemos un uso comercial de éste, primero porque no nos gusta, segundo porque existe contenido mucho más interesante, tercero porque no es ese el propósito de un blog, y por último porque eso supondría ahogarlo irremediablemente. Dicho esto, no obstante, en este caso nos disculparán si hacemos una excepción, que en mi opinión está justificada.

S2 Grupo ha iniciado un ciclo de conferencias y cursos especializados en la línea del trabajo que desarrolla, y en este sentido, para el próximo mes de diciembre (concretamente, 14, 15, y 16 de diciembre) hemos organizado, en colaboración con New Horizons (actualmente Tecnofor), el segundo curso de formación especializada en ITIL e ISO 20000 con certificación APM GROUP opcional al finalizar la acción formativa. El curso consta de un módulo de Introducción al código de buenas prácticas ITIL, una revisión a la norma internacional ISO/IEC 20000 y un caso práctico de Gestión de Incidencias basado en lo sucedido en el Apollo XIII.

A diferencia de la mayor parte de los cursos, para los que es necesario desplazarse a Barcelona o Madrid, éste se impartirá en las nuevas instalaciones de S2 Grupo en Valencia (C/ Ramiro de Maeztu), lo que supone un ahorro considerable en desplazamiento y alojamiento para aquellas personas o empresas cercanas a Valencia y que estén interesadas en asistir a un curso de este tipo. Los cursos se imparten en grupos reducidos para poder sacar el máximo provecho.

Pueden obtener más información de los anexos que se incluyen a continuación, mandando un correo a formacion [en] s2grupo.es, o llamando al 96 3110300. Mañana retomaremos la programación habitual.

Más información: [Información del curso] [ITILv2] [ISO 20000] [Caso práctico: Apollo 13]

En enero realizaremos un curso de similares características basado en ISO 27001, del que les daremos detalles más adelante. No obstante, si podrían estar interesados y desean información sobre éste, ya conocen los datos de contacto.

(Véanse las entradas previas de la serie sobre banca y puertos)

Sin duda estaremos todos de acuerdo en que el sector eléctrico en su conjunto, la integridad de sus instalaciones, la disponibilidad del suministro… son elementos básicos para garantizar la supervivencia de muchos servicios profesionales y el bienestar de la sociedad en general (¿alguien imagina pasar unos días sin luz eléctrica en cualquier gran ciudad?). Por todo esto, está sometido a una serie de amenazas que en caso de materializarse causarían un elevado impacto en nuestra sociedad, de ahí que esté considerado Infraestructura Crítica Nacional.

¿Cómo llega luz a nuestros hogares, calles, empresas…? De forma simplificada, en una central de producción eléctrica se transforma algún otro tipo de energía en energía eléctrica; estas centrales suelen ser nucleares, térmicas o hidráulicas, aunque cada vez más están proliferando centrales basadas en energías limpias, como las solares. Esta energía eléctrica se transporta y distribuye a través de líneas de muy largo recorrido, que van desde las centrales de producción hasta las estaciones de transformación; en estas últimas estaciones o subestaciones, se transforma la energía y se hace llegar hasta el cliente final (ya en baja tensión) para su consumo. Obviamente, todo este proceso está altamente controlado desde una serie de centros distribuidos, que velan porque la energía eléctrica llegue correctamente a su destino, detectando problemas en tiempo real y actuando ante los mismos en el menor tiempo posible (lo que podríamos llamar “la seguridad de la energía eléctrica”). Adicionalmente, como cualquier empresa, las eléctricas necesitan de unas instalaciones, personal, infraestructuras… fuera del ámbito de la producción directa: comerciales, directivos, administrativos…

[Read more…]

No sé si recuerdan la entrada titulada “El cuento de la lechera en la nube 2.0 (o porqué Google no contesta con rotundidad)” que escribimos en este blog hace ya unos cuantos meses, a raíz de la polémica desatada por Javier Mestre con su crítica al gigante estadounidense y el riesgo de utilizar Google Apps Premium Edition en entornos corporativos.

Sea como fuere, en los comentarios de aquella entrada se creó un (pequeño) debate entre “g” y Edgard que me parece muy interesante de cara a entender qué entendemos por seguridad. Resumiendo, la cuestión se sitúa en torno a la confianza que la declaración/compromiso/”contrato” de confidencialidad que Google genera en el usuario de sus servicios. Edgard lo expresó de una manera cristalina: “[…] Me temo que si Google cumpliera con toda la legislación habida y por haber seguiría siendo una opción un tanto arriesgada desde el punto de vista de la confidencialidad de los datos.“. Efectivamente, no hay que olvidar que el buscador está bajo el paragüas del acuerdo de Puerto Seguro (dejemos de lado las numerosas pegas que tiene este acuerdo, por decirlo de una manera suave), y que sin duda implanta innumerables controles físicos y lógicos para preservar la confidencialidad de los datos que gestiona, independientemente de su tipología. Dicho de otra forma, y dejando de lado los datos de carácter personal, me atrevo a afirmar que hay pocas pegas que ponerle a Google en la gestión de los datos de sus clientes y usuarios, y que legalmente está totalmente regularizado, quizá mucho más que otras tantas multinacionales de telecomunicaciones u organismos públicos. Y aún así, a pesar de esto, Google sigue sin transmitir una sensación de seguridad, cuyos detractores están en muchos casos relacionados con la seguridad de la información.

Dejemos a Google; en este caso es sólo un ejemplo. Lo que me interesa de lo expuesto hasta ahora es: tal y como expuso “g” en aquel caso, si Google dispone de todas las garantías legales, ¿no debería traducirse eso en que tiene todas las garantías? Parece ser que no; la sensación de seguridad va mucho más allá en este caso del cumplimiento legal en forma de una declaración o compromiso de confidencialidad. Pero, ¿está este hecho condicionado por la situación global y en cierto sentido hegemónica del gigante americano? Probablemente sí; de hecho, muchas empresas locales gestionan una gran cantidad de datos de pequeñas empresas y autónomos sin que exista un contrato de confidencialidad por medio, y aunque lo haya, los controles lógicos y físicos son probablemente menos exhaustivos que los de Google.

¿Estoy diciendo que deberíamos confiar en Google para que gestione el correo corporativo? No; sigo pensando que mantener información confidencial en los sistemas de la organización aporta una seguridad (en el vertiente de la confidencialidad) que ningún sistema puede todavía igualar, y Google no es una excepción. El hilo de la argumentación es el opuesto: si no confiamos en Google a pesar de sus indudables esfuerzos e inversiones en seguridad, ¿deberíamos confiar en un proveedor, un cliente, o un empleado que va a tratar nuestros datos por el mero hecho de la firma de un compromiso o contrato de confidencialidad? La respuesta es obvia: no. Dejando de lado aquellos casos en los que ni siquiera existe tal firma, aunque legalmente un documento de este tipo supone una garantía, en muchos casos detectar y probar una filtración o robo de información es más bien complejo y costoso, por no decir casi imposible, excepto en casos muy obvios, en los que el volumen de información es significativo y es utilizado de manera muy obvia fuera de la organización.

Por tanto, concluyendo, creo que queda claro que la seguridad de un proveedor, cliente o empleado no puede limitarse a un mero documento firmado (tampoco hemos descubierto nada nuevo aquí). El caso es: dejando aparte la cuestión o garantía legal, ¿de qué sirve un compromiso de confidencialidad? ¿Es algo más que un apretón de manos, un “puedes confiar en mi”, una declaración de intenciones, una formalidad que viene a representar una sensación: la confianza?

Se lo dejo como reflexión para estos dos días. Pasen como siempre un buen fin de semana.

(La entrada de hoy es la cuarta colaboración de Francisco Benet , un amigo de algunos de nosotros —y familia de algún otro— que tiene gran experiencia en la gestión e integración de sistemas, protección de datos de carácter personal y evaluación de soluciones de integración de software y hardware, entre otros aspectos. Esperamos que les guste.)

Continuamente con el rabillo del ojo miraba hacia ambos lados, pero ya no quedaba casi nadie en la oficina. Tampoco le interesaba quedarse solo; había que aparecer y desaparecer, como en un día normal, como en una situación normal. Al fin y al cabo era un día ‘normal’ para todos… excepto para Ramón.

[Read more…]

No voy a hablar de la importancia de la I+D para el futuro de un país, ni de que los sectores que aportan más valor añadido y, por tanto, generan puestos de trabajo de mayor nivel son aquellos que requieren profesionales cualificados, formados en ambientes impregnados de ciencia (que no es otra cosa que curiosidad organizada con método), ni de que los sectores tradicionales que, por no ser sostenibles, han provocado que nuestra crisis sea peor que la de otros países de nuestro entorno, son, precisamente, los que absorben la mano de obra menos cualificada.

No hablaré tampoco de que, mientras nosotros estamos peleando por mantener puestos de trabajo en sectores de la segunda ola, hay países con empuje que nos van a adelantar por la derecha porque trabajan ya en la economía de la tercera ola.

No hablaré de que, cuando se dice que España es el noveno país en cuanto a aportación científica en el ranking mundial, medida en artículos científicos de alto nivel publicados, se están contando a todos los científicos que trabajan en universidades extranjeras (léase norteamericanas). Nosotros los formamos y ellos los aprovechan.

No diré todo esto, porque seguro que hoy, todos estos argumentos ya se han explicado en otros blogs. Y, ya que estamos en un entorno empresarial, diré por qué creo que los recortes en I+D son malos para las empresas españolas.

[Read more…]

La semana pasada, en la Conferencia Europea sobre Investigación en Seguridad que José Rosell les comentaba ayer, tuvo lugar una interesante sesión paralela con el título Citizens Security Needs vs Citizens Integrity, el conocido debate sobre el balance entre la seguridad y la pérdida de libertad. Dos de los ponentes defienden la necesidad de introducir consideraciones éticas (léase privacidad, respeto a la intimidad y a las libertades) en los proyectos de investigación, desde el principio, y no como una cuestión a posteriori.

En el turno de preguntas, una persona en la audiencia hace una observación que merece ser registrada: la disyuntiva entre ética y seguridad no se puede plantear como un balance, ya que aunque es indiscutible que todos queremos, como mínimo, algo de seguridad, ¿quién es capaz de decir que quiere menos del 100% de ética?

Sin embargo, en la práctica, sí que renunciamos a parte de nuestra libertad por algo más de seguridad (en realidad, muchas veces es más bien teatro de la seguridad) y si no, pensemos en lo que nos toca hacer en los aeropuerto; como dijo otro de los ponentes, cuando se encuentra con el cinturón y los zapatos en la mano, sujetándose los pantalones, le da la impresión de que, de alguna manera, los terroristas han ganado una batalla.

Para mí, el asunto se puede plantear en los siguientes términos: ¿Es la disyuntiva entre seguridad y libertades un juego de suma cero? En otras palabras, ¿un aumento de nuestra seguridad significa necesariamente un recorte de nuestras libertades? Yo creo que así nos lo quieren hacer creer muchas veces, pero también opino que eso es una falacia. Y con la que se nos viene encima, vamos a tener que prestar mucha atención a este tema.

“Por favor, quítese cualquier libertad civil que le quede y deposítela en la bandeja”