28 mayo 2009

Seguridad abierta

Lo sé. Últimamente casi no posteo nada. La verdad es que el trabajo diario me está consumiento todo el tiempo y más... Aunque la verdad es que lo asumo de buen grado, porque los proyectos que estamos desarrollando lo merecen. A ver si un día de estos me salto mi regla no escrita de no hablar de los proyectos que tengo y os presento alguno...

Al grano. Surfeando por la red me he encontrado, sin saber muy bien cómo, con un artículo en el que se habla de innovación abierta. Un artículo que, en su interior, afirma que las empresas "han levantado sistemas de defensa antiaérea para explotar su conocimiento", en los que "los escudos antimisiles tienen forma de patentes y contratos de confidencialidad". Y contrapone este planteamiento al de la innovación abierta, afirmando que la libertad personal es imprescindible para generar nuevo conocimiento, que eso supone descontrol, y que "los sistemas de gestión están diseñados para que eso no ocurra".

Estas frases me han hecho reflexionar. ¿Realmente son tan contrarias la innovación-libertad y el control-gestión? El artículo habla de innovación abierta, de la innovación desarrollada no de forma aislada dentro de las organizaciones sino en cooperación con el exterior. ¿Realmente los escudos de seguridad de las empresas son un freno a la innovación, y por tanto al negocio?

La clave, como parece obvio, debería estar en el "justo medio", en la libertad controlada, en el caos gestionado (y seguro). Aunque claro, es más fácil decirlo que hacerlo. Existe la seguridad abierta? La seguridad siempre ha consistido en poner límites, acotar, controlar. En resumidas cuentas, restringir parcialmente la libertad. Y no obstante, yo creo que libertad y seguridad son compatibles, tal y como podemos interpretar de las posturas de Hobbes. En el fondo, sería algo así como que la libertad de un individuo acaba donde comienza la seguridad del resto...

De todas formas, la seguridad abierta tampoco me parece imposible de conseguir. Al igual que en criptografía ya se produjo el cambio de mentalidad de la "seguridad por oscuridad" a la "seguridad abierta", estoy convencido de que ese mismo cambio es posible que se pueda producir en otros ámbitos relacionados con la seguridad. De todos modos, mi gran duda al respecto es ¿Estamos preparados para asumir el cambio de mentalidad que requiere?

En definitiva, creo que el sector de la seguridad debe ir soltando lastre, olvidando los viejos paradigmas de la seguridad en los que la caja fuerte más segura es aquella que no tiene puerta y tratar de avanzar por el camino de la seguridad abierta. No obstante, también creo necesario recordar a los "ultras" de la "apertura" que, al igual que existe el límite entre libertad y libertinaje, nunca será posible una seguridad 100% abierta. Al fin y al cabo, en los sistemas de criptografía pública también hay una clave secreta, verdad? Aunque claro, encontrar ese límite ya es otro cantar...

14 mayo 2009

No lo hagas sin proteccion

El consejo es de Forrester, y no hablan de sexo. Hablan de externalizar servicios en la nube sin tomar las precauciones previas necesarias, en materia de:
  • Seguridad
  • Privacidad
  • Propiedad intelectual
  • Cumplimiento legal

Este tema no es nuevo para los lectores de este blog, pero ahora que lo dice una consultora con tanto prestigio, seguro que el mensaje cala más...

Y ojo, que si el salto a la nube "en general" tiene sus riesgos, en materia de seguridad puede que incluso sean todavía mayores. Y si tres de cada cuatro empresas lo están haciendo, podemos estar ante un problema de dimensiones mucho mayores de las aparentes...

07 mayo 2009

Videovigilancia y LOPD

Hoy he leído un informe jurídico de la AEPD relativo a las copias de seguridad en los ficheros de videovigilancia que, sinceramente, me ha dejado impactado. No por el contenido, que en realidad tiene bastante lógica desde el punto de vista legal, sino por las implicaciones prácticas que tiene. En resumen, viene a decir que:
  • Todos los ficheros de videovigilancia tienen que tener backup.
  • La cancelación mensual de los datos no supone su borrado definitivo, sino sólo que no puedan ser tratados (accedidos).
  • Tanto los datos originales como el backup sólo podrán ser eliminados cuando estemos seguros de que no incumplimos ninguna responsabilidad legal al hacerlo.

En definitiva, que los sistemas más habituales, de sobreescritura mensual, no cumplen la LOPD. Necesitaríamos sacar esta información a un soporte externo al sistema antes de que fuese sobreescrita, y almacenarla en un medio no directamente accesible por el sistema original durante un tiempo mayor, antes de poder eliminar definitivamente la grabación. ¿Cuánto tiempo? Es mi principal duda. Seguro que los abogados pueden contestar a esto mejor que yo, pero me da la sensación de que, si entendemos de forma amplia eso de no incumplir posibles responsabilidades legales, posiblemente podamos llegar a situaciones en las que el requisito puede ser de varios años... Y eso conlleva unos costes importantes, ya que el backup es continuamente creciente. Espero equivocarme, porque si no puede que los fabricantes de soportes hagan el agosto a costa de este informe jurídico... y de las empresas con ficheros de videovigilancia.