Para aquellos profesionales que estén buscando ampliar conocimientos (o gestores intentando exprimir el presupuesto departamental) y hayan pensado en realizar alguna certificación o curso, a continuación se proponen un listado de las principales certificaciones relacionadas, directa o tangencialmente, con el área de la seguridad informática. No están todas las que son, pero sí son todas las que están:

• ITIL. Marco de trabajo de las mejores prácticas destinadas a facilitar la entrega de servicios de tecnologías de la información (TI) de alta calidad. Ofrecido por la OGC británica (Office of Government Commerce UK).
• CISSP (Certified Information Systems Security Professional) de ISC2, certificación de seguridad independiente. Trata de abarcar diversos dominios de seguridad TIC, desde controles de acceso a criptografía o continuidad de negocio.

[Read more…]

Esta mañana he tenido que realizar la visita a un cliente. El problema que me comunicó ayer por la tarde es que su navegador web no le mostraba ninguna de las páginas que solicitaba, pero en cambio el cliente de correo funcionaba sin problemas. Curioso, comprobé que no era problema de DNS, ya que el nivel de seguridad estaba configurado igual que en el resto de navegadores que su red local. La única pista que tenía era que suponía que todo se había producido tras una actualización del sistema operativo.

Así que acudo a la cita para solucionar el problema, puesto que se trataba de una persona de cierta responsabilidad y no debía realizar gestiones a través de internet desde otro equipo que no fuera el suyo. Tras darle un par de pensadas y comprobar que efectivamente la configuración de red era la correcta, recordé un caso que me había pasado hace tiempo.

Me dirijo a la configuración del software antivirus (que incorpora funcionalidad de firewall personal) y ahí estaba el problema. Este programa había detectado la actualización del navegador como un cambio en un software que solicita salida a internet, como un si se tratara de un troyano; mi cliente había confiado plenamente en el corttafuegos personal y éste había tomado la decisión por sí mismo de bloquear el ejecutable.

Es necesario recordar algo que se menciona en numerosas ocasiones; este tipo de herramientas, así como las de detección de intrusos y similares, se mueven por patrones de comportamiento, pero es un entrenamiento adecuado de dicho software el que puede conseguir, que por sí solo, se comporte con la inteligencia y la capacidad de decisión que esperamos de él. Mientras esto no sea así, no dejemos de lado al operador humano y echemos un vistazo por si las moscas.

—

(N.d.E.: Nos van a disculpar si la frecuencia de actualización disminuye —quizá de manera sensible— durante estos días, pero entre el turrón, los Reyes Magos, unas cosas y otras, no sabe uno de dónde sacar el tiempo para todo…)

Ayer, como muchos otros días, iniciaba mi día laboral viajando en mi transporte público favorito: el metro, el cual me permite divagar, pensar, y reflexionar mientras viajo. O algo parecido. El caso es que observé que en el espacio que separa los vagones del metro hay un cartel que prohíbe quedarse detenido en ese espacio por cuestiones de seguridad, alertando de un riesgo si te detienes en ese lugar. Acto seguido me fijé y ví que por lo que parece éste es un sitio habitual de estacionamiento para los viajeros, y que incluso muchos de ellos se apoyan en las gomas que son usadas como interconexión de los vagones; que todo sea dicho, parecen bastante apetecibles y cómodas, y más a primera hora de la mañana (se asemejan a una colchoneta típica con la que uno va a la playa). Este problema es un tema relacionado con la responsabilidad de cada viajero, para lo cual sería necesaria una concienciación mayor de los pasajeros acerca del cumplimiento de las normas y la señalización. Pero, ¿es suficiente con poner ese cartel, o por el contrario es necesario tomar más medidas más restrictivas?

Por poner un ejemplo de una situación en la que no es suficiente con que haya un cartel que prohibe una acción, ¿cuánta gente no respeta la señal de prohibición en autopistas de circular como máximo a 120 km/h? A causa de ello se han tomado una serie de medidas (multas, sanciones penales, etc.) para concienciar al conductor de que debe respetar las normas de circulación, dado que las consecuencias en este caso son fatales. Todas estas situaciones, que reflejan cómo es el comportamiento natural de nuestra sociedad, pueden ser trasladadas al campo de la informática: en la gran mayoría de ocasiones no es suficiente únicamente con advertir del peligro al usuario sino que es necesario tomar las medidas pertinentes. Por lo tanto, en última instancia uno se debe plantear, como en el caso del cartel del metro, si es suficiente con la presencia de éste ó por el contrario deben establecerse medidas para que el cumplimiento sea efectivo.

La conclusión que obtuve de esta pequeña reflexión es que esta sociedad necesita madurar, dado que si ni cuando las consecuencias pueden ser fatales se respetan las normas, ¿por qué se van a respetar en el caso de que no lo sean? Y aplicando esto a nuestro campo, un profesional de la seguridad informática deberá siempre tener en cuenta que cualquier medida restrictiva y preventiva nunca estará de más. Les invito finalmente a realizar el siguiente ejercicio, párense durante 5 minutos (no más) y piensen: ¿cuántas normas/restricciones/reglas no cumplimos o nos saltamos a veces en nuestra vida cotidiana? Cada uno que obtenga sus propias conclusiones ;).

Hace unas semanas, al entrevistar a un usuario durante la realización de una auditoría, le preguntamos si poseía portátil corporativo y lo llevaba a casa consigo. Efectivamente, como suele suceder en cargos de cierta importancia, nos confirmó que así era, pero que además, él mismo realizaba las copias con una grabadora de DVD de su casa y que dichos soportes los guardaba en su domicilio. Como anécdota, al darse —sólo parcialmente— cuenta del problema, se apresuró a decirnos que por supuesto, su mujer y él eran una misma unidad.

Entrar en el tema del portátil no es la intención de esta entrada, ya que podríamos empezar y no parar; se puede escribir un libro con las no conformidades y problemas a los que puede dar lugar, así que lo dejaremos para otro día. En su lugar, y de manera breve ya que muchos de ustedes estarán ya pensando (como mínimo) en el puente (para algunos) que viene, quería hablar de esas copias en DVD que esta persona almacena en su casa —probablemente con la mejor voluntad del mundo— estrictamente desde el punto de vista del RMS. Y digo esto porque a fin de cuentas, almacenar copias de información corporativa en casa de uno puede ser una actividad poco recomendable en unos casos (la mayoría) y justificada en otros, pero me aventuro a afirmar que por lo general no supone una infracción de ninguna reglamentación legal. Almacenar datos de carácter personal de los que la empresa es responsable, en la propia vivienda, eso sí lo es.

Y lo cierto es que es más habitual de lo que parece que un directivo, director de departamento o persona de cierta responsabilidad de la empresa decida hacer y —sobre todo— almacenar las copias en su propia casa, mediante un disco duro portátil, CDs, DVDs, llaves USB o, peor aún si cabe, en su propio equipo personal, al que pueden tener acceso terceras personas o que puede estar conectado a una línea ADSL privada de dudosa seguridad. Esto puede ser debido a una mala política de copias de seguridad por parte de TI, a una falta de confianza justificada o injustificada en el personal técnico, a un exceso de celo sobre los —incorrectamente considerados— datos propios, o a cualquier otra razón; en cualquier caso, insisto, desde el punto de vista del RMS, ninguna de estas causas es una razón justificadora, aunque muchas veces sea comprensible. Como comprenderán, en el caso particular que les mencionaba al principio, analizar los artículos que inciden en el registro de entrada/salida de soportes, o la necesidad de que la salida de éstos fuera de los locales en los que esté ubicado el fichero deba ser autorizada por el responsable del fichero, resulta un poco kafkiano desde el momento en el que tales soportes no salen, sino que se crean directamente fuera de las ubicaciones inventariadas, pero imagino que adivinan por dónde voy.

Es decir, si no quiere usted tener que inventariar su comedor o despacho en el Documento de Seguridad como zona de acceso restringido, no quiere tener que llevar un registro de entrada a su casa (sus amigos van a mirarle muy raro), o no quiere llevar a los auditores a su casa —imagine la cara de su pareja y sus hijos— para que examinen las medidas de seguridad, no guarde copias de seguridad en su casa. Si no desea que su casa se convierta en una prolongación de su empresa, repito, no guarde copias de seguridad con datos de carácter personal en su casa. Su pareja se lo agradecerá —Manolo, ¿es necesario que la puerta del comedor sea acorazada y haya cámaras de seguridad en el recibidor?—, sus hijos se lo agradecerán —Daniel, ¿has vuelto a perder tu tarjeta identificativa? ¿Y esta chica que va contigo, ha firmado en el registro de entrada?—, y en caso de sufrir una inspección de la AEPD, su empresa se lo agradecerá.

Háganos caso, y pase un buen y largo fin de semana.

No se si conocen Facebook, empresa que les introduje el otro día sin demasiados detalles. La idea básica del sistema de esta compañía es la de proveer al usuario de un espacio en el que poder “centralizar” sus imágenes, su blog, sus aficiones, sus amigos, etc. Facebook es, junto con MySpace, una de las principales redes sociales de Internet, y ese término seguro que les suena más. La cuestión es que hace unas semanas, esta compañía anunció en qué iba a basar su modelo de negocio, y como no podía ser de otra forma, éste era la publicidad. La verdad es que a este tipo de cosas ya nos estamos acostumbrando, con el omnipresente Google y su publicidad contextual, pero en este caso, le habían dado otra vuelta de tuerca a la idea original.

En pocas palabras, su idea es que si un usuario compra el producto ‘X’, todos los miembros de su lista de amigos —que suelen ser bastantes gracias a las características de estas redes sociales— reciben un mensaje en el que se les indica que tal amigo suyo ha comprado tal producto, en lo que puede pensarse como un aprovechamiento de las sinergias grupales adolescentes, o visto de otra manera, explotación de las tendencias de imitación juveniles. No niego que la idea es buena, pero esa vuelta de tuerca ha resultado demasiado para algunas personas, que están viendo seriamente amenazada su privacidad, e incluso la Unión Europea ha avisado de que podría decir algo al respecto, aunque probablemente, pasará lo mismo de siempre (y no es por criticar).

Por una vez, no voy a entrar a analizar esta forma de hacer negocio como una crítica a la empresa, en este caso Facebook. Al fin y al cabo, desde un punto de vista estrictamente económico, son los organismos públicos los que deben regular —y limitar cuando sea necesario— la manipulación de este tipo de información por parte de empresas privadas, y son los usuarios los que tienen la libertad de cambiar si consideran que sus derechos se están vulnerando. En este caso, lo que me resulta particularmente curioso es que una compañía realize el desarrollo de un sistema que le supone probablemente muchos miles de dólares y cuyo mantenimiento es sin duda muy costoso económicamente (cuarenta millones de usuarios registrados aproximadamente, aunque es cierto que parte de ellos pueden permanecer inactivos), sin tener la garantía de que el modelo económico en el que van a basarse será aprobado tanto por las instituciones públicas que han de velar por la privacidad y los derechos de los ciudadanos, como por los usuarios que deben —o deberían— proteger su propia intimidad.

Resumiendo, ¿por qué confía tanto una empresa como esta en que su modelo de negocio seguirá adelante? ¿Es una apuesta segura o un farol? ¿Tan escasa es la autoridad de los poderes públicos, sobre todo en contextos internacionales (Internet)? Y, desde el punto de vista de los afectados, ¿tan poca importancia dan los usuarios a sus datos personales?

¿Alguien tiene respuestas?