¿Todo lo que no son cuentas son cuentos?

II Jornada internacional organizada por ISMS Forum
Seguridad de la Información: Una cuestión de Responsabilidad Social Corporativa

Hace tiempo una persona de confianza me propuso dar una conferencia sobre sistemas de gestión relacionados con la Responsabilidad Social Corporativa. Corrían los tiempos en los que empezábamos a hablar del Sistema de Gestión de Seguridad de la Información en serio. Eran tiempos en los que S2 Grupo acababa, con mucho esfuerzo y apuesta personal, de conseguir que Carlos Manuel Fernández en nombre de AENOR, como Auditor Jefe, certificase en base a la recién nacida UNE 71502 el Sistema de Gestión de Seguridad de la Información de Francisco Ros Casares, la primera certificación de este sistema en España. La verdad es que en aquel momento me pareció una idea interesante. Me pareció que teníamos algo que decir, que teníamos que hablar de los nuevos sistemas de gestión (el de seguridad) y su relación con la Responsabilidad Social Corporativa (RSC).

¡¡Estaba totalmente equivocado!! El resultado se lo pueden ustedes imaginar…

Los asistentes al evento eran técnicos y directivos de grandes empresas, de la administración pública y de consultoras especializadas y, en mi opinión, de lo que hablaban y lo que querían escuchar eran cosas completamente distintas. Hablaban de gestión medioambiental, de recursos humanos o gestión del personal, de gestión financiera, de trasparencia, del código Conte, del número de mujeres que debían participar en los consejos de administración,… y ni una sola mención a la seguridad, a la monitorización de procesos —incluido el de gestión de la seguridad— ni a la gestión en tiempo real. ¡¡¡Vaya chasco!!! Estaba como pez fuera del agua, y el caso es que seguía convencido con el hecho que teníamos mucho que decir en ese contexto, pero la percepción es que estaba hablando en un idioma que ni podían ni querían entender. Un fallo de preparación, sin duda, y la Seguridad una grandísima ausente.

La vida sigue. La experiencia no fue positiva, pero de esto también se aprende. Creí por un momento que la convicción profunda que tenía sobre el hecho de que la RSC no podía relegar a un ámbito técnico o tecnológico los asuntos relacionados con la seguridad, con la gestión en tiempo real, con la monitorización de procesos, estaba infundada. En definitiva que el leit-motiv de nuestro proyecto empresarial, el de S2 Grupo, no convergería nunca con algo en lo que creía profundamente: “Las obligación que tienen las empresas de desarrollar su negocio de forma sostenible, cuidando la conciliación de la vida familiar y profesional, cuidando de su entorno y de la sociedad en la que viven, cuidando de la confianza que se deposita sobre ella, cuidando sus cuentas, cuidando de la información: la de carácter personal y la que no lo es, cuidando de sus resultados, de sus activos, de … TODO. Es una OBLIGACIÓN, no una opción».

Una conversación con mi socio y amigo al respecto volvió a darme la confianza perdida por unas horas y el trabajo duro siguió.

Hace unas semanas me llegó la invitación del ISMS Forum, asociación española para el fomento de la seguridad de la información, de la que, como no podía ser de otra forma, S2 Grupo es miembro, a la II jornada internacional organizada en colaboración con INTECO y con el título: “Seguridad de la Información: Una cuestión de Responsabilidad Social Corporativa».

No se pueden imaginar ustedes la alegría que me lleve. Los tiempos han cambiado un poco. Las entidades con su SGSI certificado son ya muchas. Solo AENOR tiene ya más de 80 organizaciones certificadas según dato aportado por D. Avelino Brito en su intervención en la jornada, entre ellas S2 Grupo como la primera en la Comunidad Valenciana con la ISO 27001.

Me gustó el planteamiento inicial de la jornada y me ha gustado, en líneas generales, el contenido de la misma.

A pesar de que el plato fuerte de la jornada era, a priori, la intervención en directo de Bruce Schneier que como era de esperar estuvo francamente bien, yo quiero destacar el panel de expertos en el que un grupo de personas, no técnicas de la seguridad informática, disertaron durante un buen rato sobre las relaciones entre la Responsabilidad Social Corporativa —o como D. Javier López-Galiacho decía Responsabilidad Corporativa— y la Seguridad de la Información. Estuvo francamente bien.

D. Javier López-Galiacho, Director de Responsabilidad Corporativa de FCC, hizo una exposición brillante en mi opinión sobre los conceptos básicos de la Responsabilidad Corporativa, ya que según defiende esta responsabilidad no sólo es social, y le hizo los guiños justos a la Seguridad de la Información cuando pasó por encima del Buen Gobierno.

Y es que no puedo estar más de acuerdo con lo que dijeron los miembros del panel en este sentido. Sí, señores, ¿acaso no forma parte del buen gobierno gestionar, controlar y monitorizar que los accesos de nuestros sistemas de información son los que deben ser y no otros? ¿acaso no es un asunto de buen gobierno garantizar que la información de nuestros empleados está a buen recaudo y no en manos de un desaprensivo que quiera usarla para fines no lícitos? ¿acaso no es un asunto de buen gobierno gestionar correctamente los soportes con información confidencial y secreta que de nuestra organización circula por el mundo? Yo creo que sí y ayer se habló públicamente de esto. ¡¡Sí señor!! La Responsabilidad Social Corporativa debe tener en cuenta, en el lugar que le corresponde, la necesidad de gestionar la seguridad de la información, debe escuchar cuanto tenemos que decir los profesionales que nos dedicamos a esto.

Mientras las empresas que cotizan en la bolsa americana sudan la gota gorda para cumplir la SOX y en particular su sección 404 que habla de seguridad y de gestión en tiempo real entre otras cosas, nuestra sociedad, a este lado del atlántico, discute airadamente sobre el porcentaje de mujeres que debe haber en un consejo de administración de una empresa o si el código Conte es un código demasiado intrusivo o si debe o no debe el estado regular determinado tipo de situaciones. ¿No estará en el término medio la virtud?

En fin, como conclusión diré que 350 personas nos hemos sentado en torno a una mesa (¡¡enorme!!) para hablar de Seguridad y Responsabilidad Social Corporativa. ¡¡Será por algo!! Varias veces se dijo en tono irónico “todo lo que no son cuentas son cuentos» Pues no señores, hay muchas cosas que no son cuentas que tampoco son cuentos…

En definitiva, ¡¡enhorabuena a Gianluca y al resto de la junta por el éxito del evento!!

En todas partes…

… cuecen habas.

Y si no, que se lo digan a Gordon Brown, primer ministro británico, que como suele decirse, y perdónenme el lenguaje y el chiste fácil, tiene un buen brown entre manos. Porque a ver cómo le explicas a veinticinco millones de británicos que has perdido un CD con sus datos personales y bancarios, al parecer, para siempre. Vamos, que no sabes dónde está ni tienes esperanzas de encontrarlo. Digamos que es algo más delicado que decir algo como: «Sí, los hemos perdido, pero no se preocupen que sacamos otra copia y la volvemos a mandar»…

Para mañana, les tengo preparado un comentario crítico sobre la II Jornada Internacional de ISMS Forum Spain: «Seguridad de la Información: Una cuestión de Responsabilidad Social Corporativa», por parte de José Rosell, y que tuvo lugar ayer martes. No se la pierdan.

Sospechosos habituales (y cada vez más y mejor)

facebook.jpgHemos hablado en este blog varias veces de Google y el almacenamiento masivo de datos de carácter personal que lleva a cabo a través de sus servicios de búsqueda, blogs, calendario, correo electrónico, etc.; de sus más que cuestionables políticas de retención de datos, o del hecho —al César lo que es del César: de esto no tienen ellos la culpa— de que sea relativamente sencillo sacar gran cantidad de datos personales utilizando su búsqueda (lo que me dió por llamar LOPD Google Hacking). Incluso recordarán que hace unas semanas, a raíz del video de un discapacitado, la AEPD decidió echarle un vistazo a Google y entrar en el asunto, aunque poco más se ha sabido de ello.

Cambiando de sospechoso habitual, hoy leía en BITácora que Facebook está siendo investigada por la autoridad de protección de datos de UK, al parecer por aplicar una política de retención de datos algo dudosa; para que lo entiendan, es algo así como «Vaya, esto sí que es curioso. Me he vuelto a registrar seis meses después de haberme dado de baja… y los datos de mi perfil siguen estando aquí». El caso es que no me extrañaría que en los próximos años, a causa del creciente uso de datos de carácter personal con fines publicitarios y comerciales que hacen estas «redes» (de algún sitio tiene que salir el dinero en el mundo 2.0.com), de lo que les hablaré en breve, veamos un aumento de las quejas y denuncias con respecto a la gestión que estas webs hacen de los datos de sus usuarios (o «afiliados»).

La pregunta que me hago es si todas esas quejas sirven de algo, o en otras palabras, si la AEPD y sus «colegas» europeas van a ponerse de acuerdo y actuar, o van sólo a «parlamentar»; o incluso, si por temas jurisdiccionales o similares, pueden hacer algo más que «negociar» (300 millones de europeos deberían ser suficiente respaldo para hacer algo más que hablar). Si este tipo de manipulaciones van a quedar en la impunidad milkilométrica que supone el océano Atlántico, si van a seguir haciendo lo que les venga en gana, o si tendremos que esperar a que haya un Enron o un Worldcom en el mundo de los datos personales para que los EEUU se pongan las pilas y saquen algo como la SOX en este tipo de temas, y entonces Google, Facebook, MySpace y demás sujetos se plieguen al imperio y hagan un poco de caso.

Ya ven, que como siempre, muchas preguntas y pocas respuestas. Si quieren saber mi opinión, pues viene a ser la misma que la de Félix Haro. Es decir, que harán, como hasta ahora, lo que les venga en gana.

Seis más una medidas para evitar la fuga de información

¿Se acuerdan que el otro día les comentaba que el punto básico de la seguridad, desde cualquier punto de vista, es la concienciación del usuario? Bien, pues he cambiado de opinión, y he estado elaborando una lista de medidas que demuestran que podemos evitar de manera eficaz y segura la fuga y el robo de información sin contar con el usuario. Síganme.

Uno. La primera medida a adoptar es, por supuesto, la inhibición de los puertos USB, disketeras y eliminación de cualquier grabadora de CD o DVD. Esto es particularmente sencillo. Es posible que tenga que hacer frente a usuarios de cierto rango que protestan, particularmente, por no poder utilizar los puertos USB, para llevar presentaciones o extraer informes y trabajar en casa. Por supuesto, prescinda de cualquier dispositivo que utilize un interfaz USB, tal como ratones, teclados, impresoras, etc., aunque ese es un mal menor. Ignore estos pequeños contratiempos.

Dos. La segunda medida es, como es natural, eliminar cualquier acceso a Internet. Los sistemas de webmail son, como todos sabemos, un potencial peligro, y aunque los cerremos en el cortafuegos, seguramente el empleado maligno encontrará alguna alternativa tal como el ftp, ssh, sites orientadas al almacenamiento de ficheros, etc. Este punto también carece de complejidad, como podrá comprobar: Deny ALL from ALL y voilà. En este caso, sí, admitimos que las quejas de usuarios pueden ser algo más enérgicas, sobre todo cuando el director financiero sea incapaz de realizar las transferencias de las nóminas por banca electrónica, o recursos humanos necesite mandar información mediante DELTA. No haga caso. Está en juego la información corporativa.

Tres. La tercera medida lógica en este proceso es cortar el correo electrónico. No hay en el entorno empresarial mayor peligro que el correo electrónico. Olvide que sirve para contactar con clientes, potenciales o futuros, o proveedores. Mucha gente utiliza este sistema para mandar información confidencial, así como datos de carácter personal a cuentas privadas, vaya usted a saber si a potencias asiáticas o la propia AEPD. Hágame caso: corte el grifo. No email, anymore.

Cuatro. La cuarta medida a aplicar es la eliminación de cualquier fax o teléfono. Esto requerirá confiscar los teléfonos móviles de todos sus empleados, sobre todo aquellos con cámara, particularmente peligrosas si dispone usted de planos o alguna cosa gráfica que copiar. No se olvide, ya que estamos, de las cámaras. Con esto conseguiremos aislar a nuestra empresa del exterior. No tenemos que preocuparnos por tanto de que la información salga por vía telemática, telefónica, electrónica, o cualquier otro medio. Estamos casi a salvo.

Cinco. La quinta medida es eliminar las impresoras, y el siguiente, imprescindible, es confiscar todo el material con el que se pueda escribir, y los potenciales soportes: lápices, bolígrafos, rotuladores, folios, libretas, etc. No sabemos si alguien puede querer copiar un diseño, una función, un procedimiento de calidad, su estructura de red, o el listado de nombres y apellidos de todos los empleados. Hay gente muy rara por el mundo, y como suele decirse, mejor prevenir que curar. Por supuesto, esto implica que se ha de cortar radicalmente el correo postal, tanto de entrada como de salida.

Seis. La sexta y última medida que le proponemos es el cacheo exhaustivo de sus empleados tanto a la entrada como a la salida de la empresa por parte de personal de seguridad especializado. Recuerde que no sabemos qué maléfico plan tienen los empleados en la cabeza, y cualquier precaución es poca.

Estas son algunas de las medidas, pero por supuesto, no son todas. Como suele decirse, el demonio está en los detalles. Tenga en cuenta, por último, que cualquier empleado que deja la empresa puede llevarse información interna en su propia cabeza (sí, puede, es verdad). Por razones legales —que no éticas— no podemos aconsejarle que impida que sus trabajadores se jubilen, cambien de trabajo o se dediquen a la vida contemplativa. ¿Se acuerda lo que decía Gene Spafford? Es decir, que para evitar cualquier tipo de riesgos, la mejor y más eficaz medida para evitar la fuga de información es impedir que sus empleados tengan cualquier tipo de acceso a ésta: déjelos en casa. Ellos contentos, y usted, contento.

¡?nimo!

Eventos «LOPD»

Ayer, mientras mantenía una reunión de seguimiento con compañeros de trabajo, surgió el tema de qué es un «evento LOPD» y cual es la finalidad de su registro; si es posible, factible o incluso razonable delimitar claramente y registrar (todos) los eventos de tipo LOPD en una organización, con oposición a otros tipos de sucesos. En este sentido, no quiero limitar el concepto de «evento» a «incidencia» en el sentido entendido por el artículo 10 del RMS, «Registro de incidencias», sino que dentro de la idea de «evento» estoy incluyendo todas aquellas situaciones recogidas por dicho artículo —pérdida de una contraseña, fallo en una copia de seguridad, detección de una intrusión, pérdida de un soporte, ejercicio de derechos ARCO, etc.— más cualquier otra que sin suponer una incidencia, afecta igualmente a la confidencialidad, integridad y disponibilidad de los datos de carácter personal: solicitud de acceso a determinada ubicación de acceso restringido, movimiento de un soporte entre distintos CPDs, realización de pruebas de recuperación, pérdida de disponibilidad de una máquina, etc.

Hay que empezar diciendo que la identificación de todos y cada uno de los «eventos LOPD» sería una tarea casi interminable no sólo por la cantidad sino por la «calidad» (¿es la permanencia de un listado de personal en una impresora durante más de 5 minutos un «evento LOPD»? ¿Y la caída de un switch en una zona de producción industrial? ¿Y la ausencia de un sensor de temperatura en un CPD? ¿Sí? ¿No? ¿Depende?), y no me malinterpreten; un registro de incidencias y/o eventos completo y en tiempo real es vital para una buena gestión de explotación y de seguridad: peticiones de instalación de software, caídas de red, fallos en los equipos, pérdida de fluído eléctrico y puesta en funcionamiento del SAI, recuperación de datos LOPD y no-LOPD, pruebas de contingencia, actualización del antivirus, detección de ataques, migración de sistemas, etc. Ello permite realizar un seguimiento de las tareas, cumplir con las SLA (Service Level Agreements) acordadas con los clientes y dar un servicio de calidad. Imagino que estamos de acuerdo.

¿Pero es eso lo que la LOPD y su viejo acompañante el RMS piden? En mi opinión, no. Éstos pretenden, intentan, o exigen que la empresa haga un uso adecuado de los datos personales: haga usted las cosas bien. Y aunque existen una serie de eventos o incidencias que sí, efectivamente, requieren obligatoriamente ser registrados, no son más que partes aisladas de procedimientos generales, que son los que deben cumplirse. En otras palabras, por políticamente incorrecto que suene, tener un registro extremadamente exhaustivo de sucesos o uno con lo básico —o lo más flagrante— no asegura nada (de nuevo, desde el punto de vista de la LOPD). Porque no es el evento lo que necesitamos perseguir, sino el procedimiento en su conjunto: un evento de recuperación de una base de datos sirve de poco si se ha saltado por encima de las personas autorizadas, o si se ha recuperado sobre un soporte USB que fulanito le va a dejar a menganito para que se lo lleve a su casa. ¿Hay alguna manera de controlar todas esas posibles situaciones irregulares? No.

No hay duda de que el registro del evento no sólo es muchas veces necesario y obligatorio, pero repito, no es el objetivo final del tratamiento de datos de carácter personal; es sólo un eslabón de toda la cadena, que es la que debemos al fin y al cabo completar de manera correcta. Y el punto al que vamos a morir con esto es que, al igual que en otros muchos ámbitos, en última instancia la seguridad, y con ella la LOPD, depende en gran parte del nivel de concienciación del usuario final. O dicho de otra forma, que aunque por supuesto aportan su granito de arena, ni la existencia ni la ausencia de un evento implica que se ha seguido el procedimiento correctamente. Desesperanzador, ¿no creen?

Mi riñón en el cuadrante de Sagitario

Estaba hace un par de noches viendo la televisión, y ante el maravilloso panorama televisivo que tenemos en este país, decidí dar una vuelta entera por todos los canales; la cuestión es no irse a dormir. Y así seguí un par de veces, hasta que me detuve por curiosidad en uno de esos canales locales en los que cuando no están haciendo tarot televisado están pasando una película porno barata. En este caso no tuve suerte y estaban haciendo tarot, así que me quedé viéndolo diez minutos. Aparte de lo divertido que resulta ver cómo el sujeto de la pantalla en cuestión manipula al oyente para sonsacarle la información (hay algunos realmente hábiles, aunque tampoco crean que soy un forofo de este tipo de «programas»), me sorprendió lo que pasó con una llamada:

—Sí, parece que tenemos una nueva llamada. Dime, bonica.
—Hola. Verás, me han operado del riñón hace unas semanas y quería saber si todo va a ir bien.
—Lo siento mucho, pero ya sabes que desde hace algún tiempo en antena ya no atendemos problemas de salud.
—…

No sé si esta negativa se debió a algún tipo de estudio sobre el comportamiento de la futura clientela, a razones de índole moral o legal, o si en cambio, la razón fue que «también» este tipo de empresas se están poniendo las pilas con la LOPD. Lo que, después de pensarlo un poco, me resultaría raro, ya que después de todo, el dato por el que el sujeto es identificable, el teléfono (tomar en este caso la voz es hilar demasiado fino) es accesible a la empresa tanto en antena como fuera de ella, y no lo es para los telespectadores como un servidor. Es decir, que tengo mis dudas. Y ustedes, ¿tienen las suyas?

Saludos, Profesor Falken

«Saludos Profesor Falken, ¿le apetece una partidita de ajedrez?»

Muchos de los lectores de este blog recordarán esta mítica frase de la película Juegos de Guerra, película de culto para todos los apasionados de las nuevas tecnologías. Fue en esta película, siendo apenas un niño, en la que oí por primera vez el término PUERTA TRASERA, cuando los dos programadores amigos del protagonista le desvelan que suelen ocultar en el código puertas traseras para poder acceder a los sistemas posteriormente a su entrega.

Evidentemente, la posibilidad de que software que controla infraestructuras tan críticas como el lanzamiento de misiles pueda contener puertas traseras es aterradora, y más aún si el acceso está protegido por una contraseña como «Joshua» (¿y por qué no «patata»? Falken, te lo has currado…). Lamentablemente el riesgo existe, ya que los programadores siguen teniendo la costumbre de dejarse algún tipo de acceso oculto que queda fuera del control de los administradores de sistema que les permita entrar en caso de necesidad.

juegosdeguerra.jpgAunque esté lejos de controlar un lanzamiento de misiles (espero), esta reflexión viene al hilo de una serie de acusaciones realizadas desde ciertos entornos que indican que Microsoft podría tener algún tipo de puerta trasera oculta en el código del Windows Update.

¿Y si fuera cierto? Evidentemente sería un problema muy serio de seguridad, porque querría decir que cualquier empleado de Microsoft (o servicio de inteligencia, o hacker particular que haya descubierto la puerta oculta como sucede en Juegos de Guerra) podría acceder en cualquier momento a los equipos de un gran número de personas y robar información, contraseñas, accesos a otros sistemas no-Microsoft y en definitiva vulnerar completamente la seguridad de un particular, organización o incluso de un país.

¿Es posible detectar estos usos? Lamentablemente es una tarea bastante complicada, sobretodo tratándose de Software propietario, ya que no permite que podemos auditar el código para saber que hace exactamente. A nivel de red también es complicado detectar este tráfico, ya que puede estar oculto en tráfico habitual en el funcionamiento del sistema operativo, resultando difícilmente reconocible (Un «ALT» de un tag «IMG» que cambie al visitar la web de Windows Update para realizar las actualizaciones puede contener instrucciones codificadas, o pueden existir instrucciones codificadas en el propio paquete de actualización). De hecho incluso auditando el código puede ser difícil de detectar, puesto que la puerta trasera puede estar basada en vulnerabilidades dejadas en el código a propósito para poder ser explotadas a posteriori y entrar así en los sistemas.

Otra opción es recurrir a los controles de índole legal, pero eso no va a proteger realmente nuestra información, y menos aún si la fuga de información ha sido producida debido a un «lamentable error» en forma de vulnerabilidad en el desarrollo del software.

Visto lo visto, parece que los usuarios de software propietario tendrán que adoptar una política de «confianza» con su proveedor de software, al igual que lo hacemos muchos de nosotros diariamente con nuestro mecánico, fontanero, etc, y al igual que con ellos, confiar en su profesionalidad y en su buena fe.

¿Más alternativas?
Yo, LINUX. ¿Y ustedes?

[Actualización a posteriori: Kritópolis reporta esta noticia que procede de Cryptome, que es cuanto menos sospechosa. Pero, ¿dónde acaban las sospechas y comienzan la paranoia y las teorías conspiratorias?]

Seguridad diseñada por idiotas (profundos)

Hace unos meses, después de la contratación de un servicio de «privacidad» para mi dominio personal (ya hablé de ello aquí), tuve un pequeño problema con el usuario y clave que me había sido asignado para la gestión del servicio, que imposibilitaba cualquier tipo de gestión, valga la redundancia. Después de obtener varias respuestas cíclicas y estériles, que sin duda estaban sacadas de algún procedimiento diseñado por idiotas (profundos), la empresa en cuestión me pide que mande un fax con mi fotografía sacada de algún documento oficial. Así que ante la falta de alternativas, ni corto ni perezoso, les mando una fotografía en blanco y negro, a lo que me contestan con lo siguiente:

Hello,

We are not able to distinguish the identity of the person pictured on the photo id we received. Our legal department requires a clear, readable copy of government-issued photo identification in order for us to make any changes to an account.

[…]

[Read more…]

Nuevos «horizontes» para la seguridad… ¿?

¿Se imaginan ustedes una empresa virtual de seguridad física que cobrase por proteger… a su avatar y sus posesiones en Second Life? ¿O en un plano más de gestión, se imaginan contratar a una consultora virtual para la adaptación a la LOPD… de su negocio virtual como mutua aseguradora en Second Life?

Ya sé que suena raro, pero cosas más raras se han visto

(La parte que más me gusta es el argumento del allanamiento de morada…)

www.agpd.es …

La verdad es que, si tuviese uno que valorar la importancia que el Gobierno le concede a la Agencia Española de Protección de Datos en función de los recursos de que ésta dispone, y teniendo en cuenta la terrible —por pequeña— velocidad e incluso inaccesibilidad de su página web www.agpd.es en ocasiones, podría estar uno tentado a pensar que en realidad, todo esto de la protección de datos no importa un comino.

Claro que todos sabemos que la importancia de un organismo no se debe medir por la cantidad de recursos que tiene, ¿verdad?