Del dicho al hecho no hay un trecho… hay cuatro años luz.

4 de octubre de 2007 Por

Durante los últimos meses he tenido la suerte o la desgracia de leer varios informes sobre el estado del arte de las empresas en materias de seguridad de la informacion. De hecho, algun compañero de blog ya lanzó comentarios sobre estos estudios hace algún tiempo. Creo que vengo a complementar o más bien corroborar sus apreciaciones.

Estos estudios, como menciono, tratan de determinar el estado estadístico de las empresas en relación a la seguridad de la información. Obviamente, dependiendo de quién realiza el estudio, centra sus puntos de control en unos aspectos u otros de la seguridad (me refiero a seguridad legal, organizativa, logica, física, partes de alguna de las anteriores, o todas ellas en global, depende).

star.jpgLas conclusiones sacadas de estos estudios (que no explicito de forma premeditada, disculpen los lectores la falta de pulcritud científica) otorgan unos niveles de seguridad en grandes, medianas y pequeñas empresas que, no es que disten de lo percibido en el dia a dia, es que parece que vengan de ese planeta con vida extraterrestre que aún siguen buscando los astrofísicos (y que gracias a estos estudios, ya sabemos que existe y dispone de un nivel tecnológico muy superior al nuestro).

Bromas aparte (el tema no es para partirse de risa), creo que existe una coincidencia en la apreciación que los profesionales del ramo tenemos del estado del arte de las empresas en este tipo de materias y las conclusiones cuasicomunes de este tipo de estudios. Básicamente nos preguntamos: ¿Qué población utilizan para sus estudios? ¿Cómo controlan las posibles mentiras o al menos adornos de realidades lanzadas por los Directores TIC de las empresas? (porque es lógico que siendo un Director TIC no voy a ir publicitando mi falta de seguridad por varios motivos: no conozco las posibilidades, por mi empleo y por mi empresa).

Desde mi punto de vista, estamos tan sólo comenzando a preocuparnos de forma adecuada de los temas relativos a la seguridad de la información. Una gran mayoría de organizaciones públicas y privadas (PyME incluida) está simplemente en pañales y “los malos” (incluidos los malos que no saben que son malos) llevan varios pueblos de ventaja respecto al estado de la seguridad en estas organizaciones, aunque estadísticamente tampoco muchos, tal vez tres o cuatro pueblos, no más; insisto, estadísticamente.

Entonces me pregunto: ¿De dónde sacan estos estudios sus datos? ¿Por qué distan tanto de la realidad percibida en el día a día?

Y aunque ustedes no acostumbren a opinar, sólo por cortesía me siento obligado a preguntarles: ¿ustedes qué opinan?

(Imagen © European Organisation for Astronomical Research in the Southern Hemisphere)

Ya tenemos antivirus… estamos salvados.

18 de septiembre de 2007 Por

El pasado sábado la versión electrónica del periódico local valenciano Levante EMV daba la noticia de que un virus había causado el caos en la Escuela Oficial de Idiomas de Valencia. Al parecer, y según el diario, éste «provocó que las citaciones con el mismo número se duplicaran e incluso se triplicaran en algún caso». No niego que, aún desconociendo la aplicación y el procedimiento de citación, me parece sumamente interesante que un virus pueda actuar de forma tan “inteligente” y llegue a ese nivel de interacción con los datos, pero dejando polémicas, suspicacias y sospechas aparte, la cuestión es que me da la sensación, y entramos en el terreno de la opinión personal, de que para el público en general, y no tan general, los virus suelen residir en un universo independiente al del concepto “puro” de seguridad.

Es decir, que mientras éste parece estar más relacionado con grandes corporaciones, con hackers y crackers, intrusiones, robo de información privilegiada, IDSs, análisis forense, cortafuegos o gestión de contraseñas, los virus, troyanos, gusanos, spam y demás fauna relacionada son una molestia perrmanente y casi necesaria, fácilmente solventable con un antivirus y algún programa de malware. Parece, como digo, que políticas, procedimientos, y todas aquellas medidas típicas de un entorno seguro, orientado a evitar —mitigar— los riesgos relacionados con la seguridad de la información, están “de más” cuando se trata de controlar a estos no siempre pequeños y nunca inofensivos “bichos”. Vamos, resumiendo, que en ese caso no son necesarias.

Desgraciadamente, las cosas no funcionan exactamente así. No sólo es mucho más probable sufrir una infección vírica masiva que sufrir una intrusión o un ataque DoS por alguna banda criminal de Europa del Este (por no salirme de los tópicos), sino que las consecuencias pueden ser igualmente fatales. Y es que aparte de un siempre necesario antivirus, actualizado periódicamente e inmune a las manipulaciones del usuario más molesto, son imprescindibles políticas que gestionen los privilegios de acceso a los recursos compartidos, el control de acceso a los dispositivos, la gestión de permisos y usuarios, las políticas de uso de soportes como USBs, CDs o DVDs,… Y como siempre, es necesaria la concienciación del usuario. Porque las fotos de la última convención no siempre son las fotos de la última convención: las cosas no son siempre lo que parecen aunque a menudo lo descubrimos un poco tarde.

Todo sea, al menos, por no ver aparecer por la puerta de la empresa a doscientas personas pidiendo matricularse en clase de mandarín, ¿no les parece?

¿Es el correo electrónico un medio de comunicación seguro…?

5 de septiembre de 2007 Por

mail.jpgLeía hace unas semanas una noticia que decía “La policía danesa detiene a un hombre por acceder a los correos electrónicos de Michael Rasmussen” y seguía “La policía danesa ha arrestado en Herning, en el oeste de Dinamarca, a un danés de 30 años por introducirse en el correo electrónico del ciclista Michael Rasmussen e intentar vender a un periódico la información que obtuvo”.

Esta noticia me ha hecho reflexionar sobre la seguridad general del correo electrónico que transita por el mundo y el negocio lucrativo que algunas mentes enfermizas pueden obtener por el hecho de fisgar en el correo ajeno.

Nuestros equipos de trabajo han analizado en bastantes ocasiones la seguridad del correo electrónico desde la óptica, por ejemplo, de la Ley Orgánica de Protección de Datos y de las medidas de seguridad que el Reglamento nos exige. ¿Podemos enviar información de carácter personal por el correo electrónico? ¿Cumple el correo electrónico las medidas básicas de seguridad para proteger la información que contiene? ¿Cómo podemos hacer uso del correo electrónico como canal de comunicación seguro? Las respuestas no son desde luego triviales para el gran público.

Pero el foco del análisis ha sido siempre distinto. Nos hemos enfrentado a infraestructuras corporativas de correo electrónico con servidores de correo, a evitar que el correo sea interceptado dentro y fuera de las organizaciones y a garantizar unas medidas de protección para determinado tipo de información que viaja en nuestros sobres electrónicos, pero, al menos yo, no me había planteado el interés que los correos electrónicos personales pueden llegar a tener en función de los dueños de las cuentas y, por tanto, la necesidad de que los que hospedan estas cuentas de correo ofrezcan a sus clientes servicios que garanticen la seguridad de sus comunicaciones.
[Read more…]

Y la culpa será del cambio climático II…

6 de agosto de 2007 Por

cpd.jpgLa verdad es que hay veces que nos pasa poco respecto de lo que nos podría llegar a pasar. En el fondo el ser humano tiene un cupo de suerte razonable, aunque siempre nos parezca poca. No son pocas las organizaciones que gastan sumas importantes de dinero en productos y servicios que incrementan, aparentemente de forma proporcional, la disponibilidad de la información, la confidencialidad y su integridad en el perímetro interior de las organizaciones. Muchos gestores TIC centran sus políticas de seguridad en la protección puertas adentro pero ¿es realmente efectiva, en los tiempos que corren, una política de seguridad que solo contemple el perímetro físico interior de nuestra organización?

En mi opinión no, y si no, piensen ustedes en qué les sugieren las dos imágenes que incluimos en este comentario.

He observado varias reacciones al respecto de esta pregunta, además de la mía propia por supuesto. La reacción inicial dibuja una leve sonrisa en la cara del observador. Al cabo de unos segundos el gesto sonriente se torna en serio, mostrando una cara de preocupación. ¿Será tal vez porque vea a su organización identificada? Pues… tal vez.

mascara.jpgEl hecho cierto es que esta situación se repite constantemente, y no sólo con los hogares de directivos y de personal técnico con privilegios suficientes para tumbar las infraestructuras de su empresa. Las fronteras han caído (ver la entrada “La caída de las fronteras digitales”) y desde las áreas de seguridad debemos extender nuestras preocupaciones y ocupaciones allende los muros de hormigón de nuestros despachos. Debemos llegar, virtualmente hablando, a la casa de nuestro Director General, a la casa del Director de Recursos Humanos, a la oficina de la gestoría que nos hace las nóminas o a la red de la empresa que está desarrollándonos esa aplicación para la gestión de clientes.

En el caso del “home office” somos nosotros los responsables de establecer las políticas, de implantarlas y hacer que se cumplan. En el caso de proveedores que tratan información de nuestras organizaciones también somos nosotros los “responsables” de marcar las pautas y, aunque sea el proveedor el responsable de aplicar las medidas oportunas, nosotros deberemos velar por el cumplimiento de las mismas “deber in vigilando

La verdad es que es sorprendente lo duras que pueden llegar a ser las medidas de seguridad puertas adentro de una organización y lo descuidadas que pueden llegar a estar las mismas organizaciones en su seguridad en el exterior. Pero no se preocupen ustedes, si hay algún problema, como ya les dije la otra vez, siempre podremos decir que la culpa es del cambio climático…