31 marzo 2008

Este mensaje se auto-destruirá en: 5 - 4 - 3 - 2...

Últimamente parece que los ingenieros de algunas empresas han rescatado del baúl de los recuerdos los comics de Mortadelo y Filemon y han vuelto a leer alguna de las historietas. Porque parece que se ha puesto de moda eso de la "audotestrucción" de la información, al más puro estilo agente secreto. Si hace un mes nos contaban la noticia del portátil que se autodestruye en caso de robo, este fin de semana tenemos un nuevo caso de autodestrucción, en concreto el de la música que se "autodestruye" al finalizar el periodo de suscripción. ¿Pensamiento "convergente", o nueva moda? Aunque quizás sólo sea un caso de periodista fan de la TIA...

Sea lo que sea, si realmente la solución es tan efectiva como la de los comics (en ellos, el mensaje secreto como mínimo explotaba estrepitosamente), el método de salvaguarda de la información es realmente útil. Sin embargo, si seguimos pensando en los comics, esta solución nunca es totalmente efectiva. ¿Dónde "escuchamos" el mensaje secreto? ¿Estamos seguros de que no hay "malos" alrededor que se hayan enterado? Porque en el comic ese era el detonante de muchas de las desventuras de sus protagonistas... Y lo que es peor: ¿hemos "entendido" realmente el "mensaje secreto"? Porque si se ha destruido completamente, nadie puede recuperarlo, ni siquiera nosotros. ¿Estamos seguros de que la información que se ha destruido no vamos a volver a necesitarla?

Como alternativa menos drástica, siempre tenemos las a veces odiadas plataformas de gestión de derechos digitales (DRM). Hablo de plataformas, y no de tecnologías, porque para su aplicación práctica es necesario algo más que una tecnología de identificación de usuarios y asignación de derechos y privilegios sobre objetos digitales: es necesaria una completa plataforma de gestión de identidades, capaz de vincular personas, identificadores digitales, permisos y contenidos, capaz de gestionarlos de forma eficiente y que sea sencilla tanto de utilizar como de administrar. ¿O alguien cree que el DRM no es más que cifrado y gestión de permisos y claves? La alternativa a la autodestrucción es más potente, sí, pero también mucho más exigente en cuanto a "madurez" y sensibilización de todos sus usuarios. ¿Qué opción es la más apropiada? Dependerá del caso, porque tecnología hay para todos los gustos... Pero sea cual sea vuestra opción, sed conscientes de lo que implica. Porque siempre hay usuarios que quieren recuperar la grabación que ha explotado, y usuarios que no se fian aunque sobre la cinta haya pasado una apisonadora.

25 marzo 2008

Seguridad y teléfonos móviles

La seguridad en relación a los teléfonos móviles no es un tema nuevo, pero la verdad es que cada vez da más que hablar (y lo que le queda). Si el mes pasado publicaban como noticia los resultados de un estudio sobre seguridad en telefonía móvil realizado por un fabricante de antivirus, en el que nos alertaban de la preocupación generalizada de los usuarios de esta tecnología en relación a la seguridad, hace unos días nos contaban que, en realidad, esa preocupación es excesiva, y está motivada por el alarmismo que crean interesadamente las compañías de seguridad para vender más productos.

No voy a entrar a valorar el sensacionalismo ni los intereses que mueven cada una de las dos noticias (eso lo dejo en manos de los muchos lectores con espíritu crítico que deseo que tenga el blog), pero sí que voy a comentar algunas de las conclusiones que se desprenden de ambos informes, que más allá de los intereses creo que pueden ser de provecho.

Estoy de acuerdo en que el interés de los usuarios de la telefonía móvil por la seguridad es creciente, aunque creo que es un factor que sobre todo se da en entornos corporativos, en los que ya la conciencia por alguna de las versiones de la seguridad (la privacidad, por ejemplo) está bastante despierta. Pero la verdad es que todavía no consigo ver esa preocupación en otros tipos de usuarios, como los adolescentes, por ejemplo.

Es entendible que la mayor preocupación de los usuarios en torno a la seguridad sean los riesgos que pueden afectar directamente a su bolsillo. Al fin y al cabo parece uno de los riesgos más probables, sobre todo si tenemos en cuenta el ánimo de lucro de los posibles "atacantes". Sin embargo, es curioso ver cómo las protecciones de seguridad que incorporan los teléfonos móviles normalmente no van dirigidas contra este tipo de riesgos, sino contra los "tradicionales" (virus, principalmente) en el mundo del PC.

Probablemente esta sea la causa de la divergencia existente entre ambos informes. Actualmente los riesgos derivados de virus que afecten a teléfonos móviles no son excesivamente altos, y aunque a futuro seguro que van a ser más importantes, a día de hoy son fenómenos prácticamente anecdóticos si los comparamos con el mundo del PC. Si es conveniente o no aumentar a día de hoy la carga de procesamiento de un móvil con un antivirus es algo que cada usuario debería valorar teniendo en cuenta el riesgo real al respecto. Sin embargo, sí que es cierto que el usuario se encuentra desprotegido frente a otras amenazas como las de suscripción a servicios de facturación abusiva, recepción de mensajes no deseados, tarificación abusiva, ... Riesgos que los usuarios sí que perciben, y sufren en mayor medida, pero contra los que a día de hoy no existe protección efectiva. ¿No se podrían desarrollar una especie de servicios y/o productos "anti-phishing", "anti-dialers", de "control de contenidos", etc. para teléfonos móviles? Por qué no esforzarse en desarrollar soluciones a los problemas actuales del mundo de la telefonía móvil?

Esta última pregunta, creo, es la que se hacen la mayor parte de los usuarios encuestados, y su solución también aparece en los resultados: que sea la propia compañía de telefonía móvil la que proporcione los servicios de seguridad. Porque en este caso no sólo controla la red, sino que modifica y distribuye los terminales. Tiene el control de la mayor parte de los elementos sobre los que se pueden implementar funciones de seguridad. Entonces, por qué no se esfuerzan?

La pregunta tiene multitud de respuestas, pero creo que la clave es que no ven el negocio en ofrecer esos "servicios de seguridad" (no voy a entrar en si obtienen o no beneficios de permitir esos "servicios" abusivos). A día de hoy, los clientes que más ven el riesgo de la confidencialidad son los corporativos, mientras que los que más ven (sufren) el riesgo económico podríamos decir que son mayoritariamente los "residenciales". Dos mercados distintos, en el que fundamentalmente son los primeros los que están dispuestos a pagar un sobreprecio por la protección que puede "vender" un antivirus. ¿Cuántos nuevos clientes "residenciales" sería capaz de atraer una compañía de telefonía móvil por ofrecer servicios de seguridad que minimicen los riesgos directamente económicos? ¿Compensa el esfuerzo necesario en desarrollar esos servicios? Esa es la cuestión... Y mientras tanto, seguirá habiendo estudios para todos los gustos.

17 marzo 2008

Quince consejos de seguridad

Desde kriptópolis nos resumen las conclusiones de un estudio de seguridad realizado por ENISA sobre los principales obstáculos para la seguridad en Internet y sus posibles soluciones. Son 15 líneas de actuación que se centran en distintos ámbitos, que me he permitido agrupar y reinterpretar:
  • Leyes: Legislar a favor de la seguridad de la información, obligando a notificar incidentes, estableciendo sanciones asociadas a ellos y contemplando específicamente la seguridad en distintos ámbitos de actuación legal.
  • Estudios: Realizar y publicar estudios en los que se identifiquen responsabilidades concretas asociadas a delitos digitales.
  • Gestión de vulnerabilidades y parches: Trabajar en el estudio y publicación de vulnerabilidades y en la difusión de los parches asociados a su corrección.
  • Seguridad on-line: Trabajar en el desarrollo de protocolos de actuación que garanticen la seguridad de las actividades on-line (legales, tecnológicos, procedimentales, etc.).
  • Seguridad como principio fundamental: Tener en cuenta la seguridad como elemento constitutivo de cualquier ámbito de actuación.

Realmente no hay principios excesivamente sorprendentes, pero teniendo en cuenta el caracter europeo de la iniciativa, creo que no está de más echarle un vistazo al texto completo de Kriptópolis y, para quien tenga interés, al propio informe de ENISA, al que incluso se pueden proponer comentarios.

14 marzo 2008

A vueltas con el correo

Últimamente mi tiempo disponible para postear en el blog no es tanto como quisiera. De todas formas, a veces creo que viene bien sacar aunque sea 5 minutos y escribir un par de líneas a ir dejando temas pendientes que al final siempre se acaban descartando...

Eso es precisamente lo que quiero hacer hoy. Una referencia a este artículo sobre seguridad en el correo electrónico, en el que se analiza en términos legales (con algún que otro apunte técnico) las consideraciones que hay en la actualidad acerca de hasta qué punto se puede controlar el uso del correo electrónico en las empresas. No soy jurista, así que no soy capaz de identificar el grado de rigor del análisis planteado, pero aparentemente es un estudio bastante completo de estos temas. Lectura aconsejable, sin duda.

05 marzo 2008

Navegantes en la red

Hace unos días, la Asociación para la Investigación de Medios de Comunicación publicó los resultados de su 10ª encuesta a usuarios de Internet. Algunos de los resultados más destacables de dicha encuesta son los siguientes:
  • Aparte del acceso a Internet a través del PC, casi el 60% de los encuestados acceden a Internet desde un ordenador portátil, y más del 30% lo hace desde pequeños dispositivos móviles (teléfonos móviles y PDAs). Son ratios a tener en cuenta dada las amenazas específicas a las que están sujetos estos equipos.
  • Uno de cada cinco encuestados accede a Internet a través de redes WiFi distintas a la del trabajo o casa (a priori poco confiables).
  • Entre los mayores problemas de Internet considerados por los encuestados podemos encontrar las infecciones por virus o spyware, con casi un 54%, la propia seguridad con más de un 43%, y la falta de confidencialidad con un 24% de los encuestados. Dentro del ranking de mayores preocupaciones en Internet se encuentran en el 3º, 5º y 7º puesto respectivamente, según los resultados de la encuesta.
  • El 25% de los encuestados ya posee un certificado digital de firma electrónica.
  • El 75% de las personas que han respondido a la encuesta hace uso de software de bloqueo de pop-ups. Algo superior es el dato de personas que cuentan con filtros anti-spam, y pese a ello el 58,9% de los encuestados dice recibir más de 10 correos basura a la semana.
  • Más del 67% de los encuestados tiene un antivirus actualizado, y casi la mitad dice no haberse visto nunca infectado por un virus en el último año.

Parecen unos resultados bastante positivos, aunque hay que tener en cuenta que la encuesta no es un estudio estadístico, sino que está basada en las contestaciones voluntarias de usuarios de Internet de perfil medio-alto de conocimientos. De todos modos, creo que constituye un buen comienzo para pensar en positivo en relación al fomento de la preocupación por la seguridad en Internet entre todos sus usuarios.

03 marzo 2008

Procesos y Servicios

Estas dos palabras cada vez están más de moda entre las organizaciones preocupadas por la gestión. Y, sin embargo, a la hora de utilizar de forma práctica ambos términos parece que la mayor parte de las organizaciones no se pone de acuerdo ni en su definición, ni en su alcance ni en sus características. Tan difícil es? Siendo dos términos de uso casi "universal" no debería serlo...

En este breve post no pretendo sentar cátedra (sobre todo ante una pareja de definiciones cuya esencia está en los matices), pero al menos sí que me gustaría dar algunas ideas sobre cómo manejar estos conceptos de forma útil.

Empezando con los servicios, podríamos considerar que hay servicios de dos tipos, los profesionales y los servicios IT. Los primeros los realizan personas, y los segundos los prestan máquinas. Una consultoría o una gestión de incidencias serían servicios profesionales, mientras que el correo electrónico sería un servicio IT. Y un servicio de housing, por ejemplo? Yo lo mtería en el segundo saco, ampliando la definición: un servicio IT será aquél servicio no prestado por personas, sino por infraestructuras (de comunicaciones, de información, de alojamiento, ...).

Cómo se relacionan los servicios con los procesos? Si simplificamos los procesos a una sucesión de actividades, podríamos decir que los servicios son los resultados (la salida) de los procesos. Si yo desarrollo un proceso de gestión de incidencias, por ejemplo, su salida sería un servicio de gestión de incidencias. Y si una máquina ejecuta una serie de procesos internos de gestión de correos electrónicos, podemos decir que la salida de ese proceso es el servicio de correo electrónico.

Dónde empiezan los problemas? El término proceso normalmente no es el mismo en el mundo IT que en el mundo de la gestión. En este último caso se presupone que los procesos son únicamente las secuencias de actividades desarrolladas por personas, mientras que a un técnico de sistemas no le supone ningún problema hablar de procesos batch, por ejemplo. Pero si queremos que todo el mundo use el mismo lenguaje tendremos que quedarnos con la definición de la gente de gestión, y dejar que las infraestructuras sólo ofrezcan servicios, pero no realicen procesos.

Cuál es el otro problema? Que la relación entre procesos y servicios no tiene por qué ser biunívoca. Un mismo proceso puede ofrecer varios servicios, y puede ser necesaria la conjunción de varios procesos para ofrecer un único servicio. Porque si pensamos en el servicio de consultoría, cuál es el proceso que lo ofrece? ¿Y cuántos procesos son necesarios que se ejecuten de forma conjunta para ofrecer un buen servicio de correo electrónico según ITIL? Un momento! ¿Pero no acabamos de decir que en relación al correo electrónico no había procesos?

El modelo más sencillo para trabajar conjuntamente con estos dos conceptos es sencillo: "inventarnos" procesos de gestión de las infraestructuras. Así englobamos todas las actividades del departamento IT, por ejemplo, en un proceso de gestión de los sistemas IT, cuya salida sea un servicio de gestión de la infraestructura IT y cuyo receptor sean dichas infraestructuras, de modo que esas infraestructuras IT sean las que prestan los servicios IT (correo electrónico, web, ...). Así ya tenemos resuelto el "salto" entre los servicios IT y los servicios profesionales.

Y cómo resolvemos la relación N a M entre procesos y servicios? En un caso englobando en un proceso distintos sub-procesos (englobando todos los procesos de ITIL en forma de sub-procesos del proceso de gestión de los sistemas IT). Y en el otro, disgregando los procesos genéricos de prestación de servicios a clientes (en muchos casos denominado gestión de proyectos) en sub-procesos de prestación de cada tipo de servicio (de consultoría, de asistencia tecnológica, etc.), y disgregando a su vez cada uno de ellos en los sub-procesos o actividades de las que se compone.

Y qué conseguimos con este modelo de procesos y servicios? Sencillamente, que el resultado final nos suele permitir combinar de forma fácil la "vista de cliente", enfocada a los servicios, con la "visión interna" de nuestras actividades, en forma de procesos. ¿Es interesante la relación coste-beneficio de llevar a cabo este ejercicio mental en las organizaciones? Os animo a que lo descubrais por vosotros mismos...