28 junio 2007

Certificacion fantasma

Hay noticias que llaman la atención. Unas por su relevancia, otras por su rareza... Y hay algunas que, además de ser llamativas por sí mismas, lo son por su "evolución". Este es el caso de la posible certificación de Telefónica. Una certificación fantasma, aparentemente.

El martes ví el titular: "Telefónica obtiene la certificación ITIL de AENOR". Llamativo, tanto por lo que podría suponer la noticia en sí misma como por el hecho de que ITIL no es una norma certificable. Así que, curioso, hice clic sobre este link que acompañaba a la noticia. Y segunda sorpresa: la noticia no existía. Así que me paré a leer el encabezado, ya que no había más información: "Telefónica se convierte en el primer proveedor de servicios de Tecnologías de la Información que obtiene en nuestro país esta certificación internacional otorgada por la Asociación Española de Normalización y Certificación." Nada demasiado útil, salvo que la referencia a una certificación internacional podía llevar a pensar en una certificación bajo ISO 20000-1 (ésta sí, norma y certificable). Siguientes pasos? Google y registro oficial. Nada claro sobre la noticia, salvo otra referencia a la misma fuente inexistente y la constatación de que el encabezado también parecía, cuando menos, dudoso, ya que no es el primer proveedor de servicios IT certificado en España, y sólo podría justificarse entendiendo que sí es el primero certificado por AENOR.

En definitiva, una certificación fantasma. Está claro que algo hay, y que Telefónica lleva recorriendo el camino desde hace bastante tiempo. Pero respecto a la certificación en sí misma, a día de hoy no he sido capaz de constatar por medios "neutrales" la veracidad de la noticia, que tiene pinta de ser el resultado de una nota de prensa escrita con excesiva rapidez y "rectificada" con su retirada. O es que acaso está previsto algún acto más oficial para dar a conocer la certificación, y se prefiere no adelantar nada? En todo caso, alguien debería haber reflexionado un poco antes de esa metedura de pata...

26 junio 2007

Finale$ de Harry Potter

Es curioso comprobar a diario cómo la información tiene mucho más valor de lo que parece a simple vista. Y si no, que se lo digan a J. K. Rowling, que ha pasado de ciertos apuros económicos a ser la mujer más rica de Inglaterra gracias, símplemente, a sus ideas, a información plasmada en las páginas de unos libros.

Y lo más curioso es que no sólo la propia información de referencia tiene valor, sino que toda la que se relaciona con ella puede llegar a contagiarse de ese mismo valor. Hace unos días, vimos cómo un sencillo mail, difundiendo un posible final del esperado último libro de la saga de Harry Potter, cobraba una tremenda notoriedad. Enorme difusión en muchos medios de comunicación, opiniones de todo tipo de sectores dando o quitando credibilidad al hecho y al modo en que había sido obtenida la información, y finalmente un posible desmentido "oficial" de la noticia. ¿Y por qué tanto revuelo? Sencillamente, porque alguien había considerado que esa información, el final del libro, tenía el suficiente valor como para molestarle en conseguirlo y difundirlo. Como dice Enrique Dans, el hecho "sería una prueba más de hasta que punto la información ha adquirido valor en nuestros días, y de lo difícil que resulta conseguir seguridad cuando existe un gran incentivo para violar dicha seguridad".

En resumen, una información que, según parece, ha llegado a más de 108 medios de prensa y 9.791 blogs (al menos, un blog más, este mismo). Probablemente nadie dude del propio valor de la noticia, dada su extensión, y curiosamente es un valor heredado sencillamente por estar relacionada con otra información, el propio libro, de un valor extremadamente alto en términos económicos. Ahora bien ¿A quién ha beneficio todo este revuelo? En este caso, y al contrario que las supuestas motivaciones del presunto "hacker", creo que los principales beneficiados de todo el revuelo son los propios interesados en vender el libro. A fin de cuentas, ya lo dice el famoso refrán castizo "a río revuelto, ganancia de pescadores". ¿Favorecerá todo este revuelo la reserva y venta de copias del último libro de la saga? ¿Será cierto lo publicado por el citado "hacker"? Lo comprobaremos en menos de un mes...

25 junio 2007

Prácticas de continuidad de negocio

Muchas veces, es habitual recurrir directamente a algún buscador cuando se quiere buscar algún tipo de información en Internet sin pensar demasiado. Y normalmente se consigue, aunque a veces después de más clics de los previstos. Y en esos casos, es cuando uno se acuerda de las referencias conocidas, de las organizaciones dedicadas al objeto de búsqueda en cuestión. Y se acaba pensando... ¿No hubiera sido más rápido recurrir directamente a estas referencias?

Hace unos días me sucedió algo similar. Un detalle concreto que quería consultar, un montón de clics en enlaces variopintos... para al fin llegar aquí. Bueno, en realidad no a esta URL, sino a uno de sus enlaces. En fin. Tantas vueltas, para acabar llegando a una web que no sólo conozco, sino recomiendo en este mismo blog. Realmente frustrante, por la sensación de tiempo perdido, y por la duda creciente de si puedo estar confiando demasiado en que los buscadores piensen por mi...

Al menos, reencontrar esta URL me sirvió para recordar que sería interesante aconsejar su lectura. En ella aparecen, paso por paso, las distintas etapas a seguir para conseguir una implantación efectiva de un proceso de gestión de la continuidad del negocio, con la ventaja de estar identificadas por "temas" y desarrolladas de forma esquemática. No es el santo grial de la continuidad del negocio, y probablemente no sea la guía exhaustiva que algunos desearían encontrar, pero para ser una referencia pública creo que está bastante detallada, y si se sigue escrupulosamente seguramente nos encontraremos con un mayor grado de profundidad del que aparenta a primera vista. Así que todo aquél que quiera profundizar en el desarrollo de proyectos de continuidad de negocio, ya sabe por dónde empezar... ;-)

19 junio 2007

Y los procesos?

Por todos es bien conocido eso de que los tres pilares de la seguridad son los Procesos, las Personas y la Tecnologia. Sin embargo, hay uno de ellos al que no se le presta suficiente atencion: los procesos.

Algunos diran que no es cierto, que ha sido precisamente en estos ultimos años cuando se ha empezado a considerar la (gestion de la) seguridad como un proceso. Y no digo que no sea una concepcion correcta, pero me parece una vision insuficiente de este tercer pilar.

Considerar la seguridad como un proceso supone considerarla como algo vivo, cambiante, que evoluciona y que precisa de adaptacion continua. Y no solo eso. Como proceso, la seguridad es un "ente" que tiene entradas, salidas, objetivos, recursos... En fin, todos los elementos que debe tener un proceso. Eso es todo?

Si comparamos este pilar con los otros dos, creo que queda claro que hay que ir mas alla. La seguridad no solo se implementa mediante tecnologia, sino sobre la tecnologia. No solo se desarrolla por las personas, sino sobre las personas. Y por tanto, no solo se debe implementar como un proceso, sino que tambien se debe implementar sobre los procesos. Es uno de los principales requisitos de la ISO 27001 (definir el alcance por procesos), y sin embargo es el mas olvidado.

La aplicacion de la seguridad sobre los procesos requiere el analisis de dichos procesos. Pero no solo de sus recursos, normalmente tecnologia y personas, sino sobre todo de su funcionamiento. Del flujo de tareas y actividades, del apartado operativo del proceso, de los procedimientos. Es necesario estudiar como se desarrolla el proceso y analizar sus debilidades desde el punto de vista de la seguridad, identificar en que puntos la integridad, disponibilidad o confidencialidad del flujo de informacion puede verse amenazado y que medidas hay que tomar para resolver estas situaciones.

Por que digo que los procesos son los grandes olvidados? Porque todavia no he visto ningun analisis de riesgos, piedra angular de la seguridad, que contemple este tipo de situaciones. Normalmente los procesos ni siquiera figuran en el registro de activos, y en los pocos casos en los que esto ocurre, nunca aparecen amenazas asociadas a la dinamica de la informacion, al flujo de actividad del proceso. Pese a que todo el mundo es consciente de que las situaciones en las que mas riesgo hay de "problemas" con la informacion es cuando esta siendo "movida" (hablada, escrita, fotocopiada, procesada digitalmente, transmitida, etc.), los analisis de riesgos ni siquiera contemplan los procesos como activos a analizar (y mucho menos la secuencia de actividades como fuente inherente de riesgos). Como mucho, contemplan los distintos "soportes" de esa informacion (incluyendo aqui el soporte neuronal).

Cual es mi reivindicacion? Sencillamente, que se haga un poco mas de caso a los procesos. Que se tenga en cuenta que las empresas son organizaciones intrinsecamente dinamicas, y por tanto un analisis de riesgos solo deberia considerarse completo cuando se ha analizado ese dinamismo. Y que las herramientas de analisis de riesgos incorporen librerias y catalogos de activos, amenazas y vulnerabilidades que permitan modelizar esos procesos, que permitan realizar analisis de riesgos fuera de los entornos IT. Que no haya que recurrir a los analisis de riesgos artesanos y a las hojas de calculo para poder completar un analisis de riesgos fuera de los departamentos IT de la organizacion. Y por ultimo, que si alguien conoce alguna herramienta que realmente integra estas posibilidades (y no sean un simple parche), nos lo cuente a todos los que leemos este blog.

Vaya post mas reivindicativo me ha quedado! Va a ser cierto eso de que la primavera la sangre altera, aunque estemos ya casi en verano y estemos hablando de temas profesionales...

13 junio 2007

Continuidad de negocio integrada

Es habitual que los trabajos en gestión de la continuidad del negocio se "vendan" de forma independiente, ya que normalmente las actividades relacionadas con estos temas tienen entidad suficiente como para tratarlas de forma específica. Con lo que no estoy de acuerdo, y es algo que ocurre muy a menudo, es que tanto en cursos de formación como en proyectos de implantación se presenten este tipo de actividades de forma independiente, sin interrelacionarlas con otras actividades de la organización.

En primer lugar, no debemos olvidar que la gestión de la continuidad del negocio tiene mucho que ver con la propia estrategia de la organización. Al fin y al cabo, su objetivo no es otro que garantizar que el negocio pueda seguir adelante "pase lo que pase". Y si pensamos en la gestión de riesgos corporativos, resulta que lo que pretendemos conseguir es que el plan estratégico pueda desarrollarse. Digamos que en el primer caso nos estamos cubriendo frente a imprevistos físicos y lógicos y en el segundo caso también contemplamos imprevistos (y previstos) de mercado, económicos, operativos... Pero, al fin y al cabo, son dos actividades complementarias, y sus caminos deberían discurrir no sólo de forma paralela, sino coincidente en muchas ocasiones.

En segundo lugar, una buena gestión de la continuidad del negocio conlleva necesariamente un análisis de riesgos. En concreto, un análisis de riesgos de disponibilidad (en función del tiempo). Y resulta que esta no es más que una de las dimensiones de la seguridad, que deberemos contemplar en un análisis de riesgos de seguridad de la información. Por tanto, vuelve a ser una tarea que no debe ser ejecutada de forma independiente, sino coordinada y complementaria a la gestión de la seguridad de la información. De hecho, podríamos entender de forma sencilla un análisis integrado de ambos aspectos si contemplásemos, en el análisis de riesgos de seguridad de la información, no sólo 3 dimensiones, sino N + 2. Las 2 serían Integridad y Confidencialidad, y las N dimensiones adicionales aparecerían al dividir la de Disponibilidad (disp) en disp=1hora, disp=1día, ... Los N escalones de disponibilidad en los que estemos pensando.

Y si el análisis de riesgos lo integramos, de dónde surgen las dos variantes de la gestión del riesgo? Sencillamente, de sub-dividir los resultados. En el caso general de gestión de la seguridad, estamos pensando en tratar los niveles de RIESGO más altos. Sin embargo, en el caso de gestión de la continuidad, el objetivo es tratar los niveles de IMPACTO más altos. Esto se debe a que en este caso obviamos la probabilidad de ocurrencia de la amenaza, puesto que ya contamos con que sea muy baja, y nos preparamos "por si acaso", debido a que los daños que podemos sufrir son elevados. Por qué hacemos esto? Sencillamente, porque los niveles de riesgo que podemos asociar a estos casos no los colocan en los primeros a tratar, ya que impacto muy alto * probabilidad de ocurrencia muy baja = riesgo bajo, en general. Y cómo se pueden llegar a tratar en un caso genérico en el que exclusivamente hablemos de gestión de riesgos? Pues en este caso deberíamos estar ante una empresa lo suficientemente madura como para que haya reducido sus riesgos tanto que los niveles a tratar sean los que corresponden a los de continuidad de negocio. Cuántas de estas empresas conoceis? No muchas, verdad? Es por eso por lo que este tipo de actividades se "vendan" por separado. Y sin embargo, podríamos discutir si realmente las empresas que no estén en esta situación se deberían embarcar en proyectos de este tipo, o si no sería más aconsejable que inicialmente afrontasen otros proyectos para reducir los riesgos que son superiores a los de continuidad.

En resumen, lo que quiero dejar presente es que la gestión de la continuidad de negocio no es algo que se pueda afrontar de forma independiente, y que un buen proyecto de este tipo debe tener una visión global (holística, ya que este término está tan de moda) en la que estas actividades se integren por completo en la cultura de negocio de la organización.

12 junio 2007

Aspectos legales

El cumplimiento legal puede ser uno de los motivos que lleven a una organización a plantearse la adopción de medidas de seguridad. Sin embargo, un excesivo celo en la aplicación puede volverse en contra de la organización. El caso más clásico es el desarrollo de políticas de seguridad sobre el uso del correo electrónico, que si no se realiza de la forma adecuada, puede provocar vulneraciones de la ley.

Para ilustrar este caso me remito a esta referencia. Un artículo sencillo y completo, que expone las exigencias legales al respecto del control del correo electrónico y termina con una serie de recomendaciones básicas a desarrollar. En resumen, el artículo señala lo siguiente:
  • Regular: La organización deberá desarrollar cláusulas de confidencialidad y políticas completas de uso del correo electrónico.
  • Informar: Todo el personal deberá conocer la regulación establecida, y a ser posible deberá ser demostrable que se ha leído y aceptado.
  • Investigar con "permiso" explícito: Si es necesario llevar a cabo una investigación, será necesario recabar el consentimiento previo del comité de empresa, del afectado o de un juez.

Y es importante recordar que estas medidas son necesarias, pero no suficientes. Para más detalles, seguro que los abogados pueden echar una mano.

Pero no es este el único caso en el que hay que tener en cuenta las implicaciones legales que puede tener una actuación. Tareas tan "habituales" como el hacking ético pueden llegar a ser problemáticas si no se regula y estipula adecuadamente las condiciones en las que se debe efectuar, y queda claro el consentimiento de la "víctima". Y las consecuencias de no tenerlo en cuenta no son despreciables, por lo que señala este documento. Estamos hablando de vulneraciones del código penal.

Y por último, un pequeño comentario acerca de la noticia de moda: el robo de datos por parte de piratas informáticos a un ISP nacional (Arsys, según parece). En particular, de la crítica que hace Xavier Ribas sobre la diligencia del ISP, que habría sufrido un ataque existoso previo en abril. Si esto fuera cierto, estaríamos ante una actuación "reprochable", o podrían llegar a existir implicaciones legales? Si algún abogado está dispuesto a dar su opinión, seguro que todos estaremos encantados de leerla.

07 junio 2007

Outsourcing seguro

Tal y como ya he comentado en alguna ocasión, mezclar los términos outsourcing y seguridad está de moda. Que sea una moda pasajera o que llegue para quedarse es otro cantar, pero lo que está claro es que a día de hoy todo el mundo habla de estos dos términos y los mezcla a su gusto. Pero claro, en este caso el orden de los factores SÍ que altera el producto.

No es lo mismo outsourcing de seguridad que seguridad en el outsourcing. En el primer caso hablamos de externalizar un servicio (o proceso) de seguridad, y en el segundo caso a lo que nos referimos es a asegurar un outsourcing, es decir, establecer condiciones de seguridad en un servicio de outsourcing que puede ser de cualquier cosa. Parece sencillo de diferenciar, verdad? Pues la realidad no es tal. Sobre todo, cuando hablamos de externalización de servicios IT, en los que la seguridad, como parte intrínseca de estos servicios (al menos, en teoría), se puede ubicar al principio o al final del término. Esto es lo que ocurre en esta entrevista, recomendada desde iso27000.es, donde mezclan ambos casos.

Ayer me llegó la versión impresa de la revista Auditoría y Seguridad, y hoy he estado revisándola. Su tema central ("Hoy hablamos de... ") en esta ocasión es, casualmente, la Seguridad en el outsourcing (concepto nº 2 en el párrafo anterior). Y la selección de artículos relacionados es, en este caso, coherente con el título. En uno nos hablan del concepto de outsourcing, en otros en cómo llevar a cabo ese outsourcing... y en todos el concepto de seguridad aparece desde ese punto de vista. Un conjunto de artículos bastante instructivo, y totalmente recomendable, sobre todo si tenemos en cuenta que todos ellos están a un clic de distancia.

Ah, y una última puntualización sobre estos artículos. El siguiente artículo a los recomendados realiza una introducción sobre el outsourcing, y luego pasa a hablar del outsourcing de seguridad (a diferencia de los anteriores). No os vayais a confundir al leerlo, y mezcleis conceptos que están claros, eh? ;-)

04 junio 2007

Integridad y veracidad

Una de las mayores preocupaciones a la hora de navegar por Internet debería ser la integridad de la información. Y no sólo en el concepto "purista" o tecnófilo de la palabra, sino en todas sus consideraciones. Porque muchas veces, cuando en entornos más o menos técnicos se hace uso de este término, es muy habitual ver cómo la gente lo asocia inmediatamente a funciones de hash, a asegurar que una determinada información no ha sido modificada.

Sin embargo, la integridad de la información también debe hacer referencia a su veracidad. No sólo debe ser íntegra una vez que se ha transformado en información explícita, sino también (y con más razón) en su "captura". Garantizar la integridad en el "primer procesado", en la fase en la que un suceso o una idea (información implícita) se transforma en información explícita (un texto o una foto) es clave para poder garantizar su integridad a posteriori. De qué sirve garantizar la integridad de una noticia (como esta, o esta) si resulta que la noticia en sí misma es errónea (ver aquí o aquí)?

Sin embargo, este tipo de casos se puede dar en cualquier situación. Anoche mismo me encontré, mientras hacía zapping, con un caso bastante curioso, y cuya causa puede estar precisamente en esta fase de "recopilación" de la información. Qué medios se han utilizado para realizar esta fotografía? De qué medios disponemos para garantizar no ya que la fotografía sea correcta, sino que lo que se ha capturado es real? Hay forma de asegurarlo? Probablemente no. Y aquí es donde aparece la incertidumbre que utilizaban en el programa de televisión. Quizás sea posible certificar la integridad de la fotografía, pero es imposible garantizar la integridad de la captura en sí misma, salvo fiarnos de nuestra propia percepción de la realidad. Pero... y si nuestra percepción de la realidad es incorrecta? Todavía recuerdo aquél caso de la llamada del imitador de Zapatero a Evo Morales. Quizás la integridad de la conversación podría ser verificada (seguro que la conversación está grabada), pero el problema fue que, pese a que para Evo Morales la integridad del interlocutor estaba garantizada, su percepción de la realidad le jugó una mala pasada...

Y si nuestra propia percepción es a veces insuficiente a la hora de garantizar la integridad del "primer procesado", en entornos en los que entran en juego las tecnologías de la información los problemas pueden ser aún mayores. Y para muestra, un botón. Si una determinada información puede beneficiar económicamente, su falta de integridad puede provocar beneficios para personas sin escrúpulos que quieran aprovecharse de ello... aunque sea a costa de pulsar 10000 veces la tecla F5. Y eso por no hablar de los spammers...

En definitiva, no sólo es importante la integridad de la información una vez capturada, sino que también es fundamental garantizar la integridad de la misma durante su captura. Porque nos podemos encontrar con casos que no son lo que parecen.