27 abril 2010

Boton SOS

Hace unos días leí una noticia acerca de una propuesta de la policía alemana de que los navegadores incorporasen un botón de alarma para notificar ciberdelitos en Internet. Ese botón, al ser pulsado, enviaría automáticamente una captura de la pantalla a un centro en el que se analizaría dicho pantallazo y se decidiría qué hacer en consecuencia.

La verdad es que la idea me parece ingeniosa, aunque no tengo claro el nivel de eficacia real de la medida. Me temo que la mayor parte de los usuarios de Internet no tiene un conocimiento demasiado claro de qué situaciones pueden constituir un delito (por no hablar de que esos delitos dependerán de la jurisdicción de cada país), y por contra sí que hay un número significativo de usuarios de Internet con pocos conocimientos y mucha necesidad de soporte técnico. Por tanto, me temo que esa solución podría pasar de ser un botón de notificación de posibles ciberdelitos a ser interpretada por muchos usuarios como un botón de ayuda on-line, algo más similar a un notificador de incidencias técnicas durante la navegación que a un notificador de ciberdelitos. Tengo la sensación de que la gran cantidad de falsos positivos que se podrían producir, unido a la elevada necesidad de recursos dedicados al análisis que puede requerir la solución, puede echar por tierra esa propuesta. No creo que el nivel de conocimientos en torno a la ciberseguridad del navegante alemán medio sea muy superior al del español, así que veo difícil que la idea llegue a tener una aplicación práctica suficientemente efectiva.

No obstante, sigo diciendo que la idea me parece ingeniosa, y quizás podría dar un buen resultado con unos pequeños cambios. Seguro que en Alemania, igual que aquí, hay un montón de empresas relacionadas de algún modo con la seguridad informática, y es muy probable que en esos entornos el nivel de eficacia que puede tener la utilización de un botón de ese tipo sea mucho mayor. También veo posible el uso efectivo de esa solución en ciertos entornos de la administración pública, como pueden ser los departamentos de informática, siempre que se llevase a cabo un programa de formación adecuado. Seleccionando un poco el público objetivo de esa solución, y centrándose en aquél con mayores conocimientos o con mayores probabilidades de encontrarse con algún ciber-delincuente, creo que una solución que automatice la notificación de posibles ciberdelitos puede ser una buena forma de mejorar la lucha contra dichas actividades. Y mientras tanto damos tiempo a que el nivel medio de conocimientos de la población sobre la seguridad en Internet pueda ir creciendo poco a poco, de forma que algún día este tipo de soluciones puedan extenderse a toda la población con las suficientes garantías. ¿Qué os parece?

26 abril 2010

Libro ISO/IEC 20000 para pymes publicado

Por fin!! La verdad es que ha costado mucho (muchísimo) más de lo previsto, pero al fin lo tengo en mis manos... Ya está publicado el libro "ISO/IEC 20000 para pymes - Cómo implantar un sistema de gestión de los servicios de tecnologías de la información". Ha costado mucho, ya que es un libro cuyo borrador se terminó de escribir a finales de 2008, en el marco del proyecto de CONETIC 20Kpyme, y que tras una larga (a veces, casi interminable) andadura por fín ve la luz de la mano de AENOR ediciones. La verdad es que es una gran satisfacción ver cómo una obra en la que has puesto tanto entusiasmo (y tanto tiempo) acaba siendo publicada, y más aún si la entidad que la publica está avalando al mismo tiempo su rigor. La espera ha merecido la pena...

El libro lo podéis encontrar en dos ediciones distintas. La primera, editada en tapa dura, está puesta a la venta en la propia web de AENOR, mientras que la segunda, con tapa blanda, está patrocinada por la SPRI y se puede solicitar a Nextel en la propia web del proyecto. El libro no es demasiado grande (144 páginas en tamaño A5), y hemos intentado que el contenido no sea excesivamente denso. Ya me contaréis si hemos conseguido escribir un libro atractivo...

Por último, no me resisto a la tentación de comentar el rotundo éxito del proyecto 20kpyme en la edición 2008-2009 y la buena marcha del mismo en su reedición de 2009-2010. En estos momentos se está gestando la edición 2010-2011, así que si sois una pyme y os interesa participar en un proyecto de implantación y certificación de un SGSTI bajo ISO 20000 con un coste muy asequible (gracias a las subvenciones del Plan Avanza), no dudéis en poneros en contacto con CONETIC, con Nextel o conmigo mismo y seguro que os podemos hacer un hueco en esta nueva edición.

20 abril 2010

Nos gusta el riesgo

Según parece, la mayor parte de los problemas de pérdida de datos en las empresas se debe a conductas de riesgo de los usuarios. O al menos éso es lo que reflejan algunos estudios, según indica el artículo referenciado. Como no he podido acceder a los datos de partida del informe (parece que la empresa que lo ha realizado sólo ha publicado algunas notas de prensa, pero no los resultados estadísticos de dicho estudio), el único dato que tenemos es el del titular: un 78% de las pérdidas de datos en las empresas se deben a:
  • Errores humanos
  • Pérdida de hardware
  • Robo de hardware
  • USB personal infectado
  • Desactivación del antivirus

De ellos, los dos primeros no creo que se deban estrictamente a conductas de riesgo (un "despiste" lo puede tener hasta el más paranoico), y el tercero tampoco tiene por qué estar relacionado con ellas (podría ser que con tu conducta vayas "provocando" a los ladrones, pero lo más habitual es que el robo se deba más a "despistes" y casualidades). Por tanto, me gustaría quedarme con las dos últimas, que sí que creo que son en sí mismas conductas de riesgo en las empresas.

En relación al uso de pendrives personales, creo que hay dos aspectos que habría que analizar: su uso para fines personales y su uso para fines profesionales. Sobre todo porque en este segundo caso (el primero queda regulado por cada organización una vez que se estipulen los usos y comportamientos permitidos en la organización, ya que puede ser una conducta de riesgo o una conducta incluso no permitida) habría que tener en cuenta si la propia empresa proporciona a sus empleados los medios necesarios (en este caso, pendrives) para que puedan realizar su trabajo. A partir de ahí, una buena solución sería la integración de un sistema de control de periféricos, de esos que permiten definir políticas de uso de medios removibles, para poder controlar qué pendrives se conectan a los equipos.

En cuanto a la desactivación del antivirus, la primera duda sería conocer por qué los usuarios tienen capacidad de desactivarlo (puede que no requieran ese tipo de permisos), y a partir de ahí preguntarnos el motivo por el cuál lo han hecho. Es cierto que algunos usuarios esgrimen la ralentización del equipo como argumento para desactivarlo (aunque muchas veces sea el propio malware que les infecta por tenerlo desactivado el que les ralentiza el equipo), pero también puede que una mala integración de estas soluciones o un incorrecto dimensionamiento de los equipos para soportarla puedan causar problemas reales con la plataforma antivirus.

Con esto quiero señalar que a veces puede ser la propia organización la que puede establecer acciones para corregir ciertas conductas de riesgo, ya que a veces el propio celo de los usuarios por realizar adecuadamente su trabajo puede conducirles a caer en dichas conductas. Más allá de las clásicas acciones de concienciación, adoptar ciertas precauciones con las herramientas y normativas de uso asociadas que homologamos en la organización puede ser un aspecto tanto o más importante que la propia concienciación a la hora de limitar las conductas de riesgo. Sobre todo si nos enfrentamos a soluciones que, por simplificarle la vida al usuario, le limitan la posibilidad de saber si está utilizando un protocolo de navegación seguro...

12 abril 2010

TecniMap 2010

La semana pasada estuve en el TecniMap de Zaragoza, y hoy quería aprovechar para contaros algunas de las principales conclusiones que yo saqué del evento:
  • En primer lugar, las administraciones públicas están muy centradas en la LAECSP, es decir, en digitalizar los servicios que prestan a los ciudadanos. Aunque las más grandes ya tienen la mayor parte de los deberes hechos, todavía hay cierta incertidumbre en cómo van a poder conseguir los ayuntamientos pequeños adecuarse a dicha ley. Parece que el camino es que sean las diputaciones (o similares) las que les monten las infraestructuras necesarias para cubrir con las exigencias legales, pero la insuficiente digitalización de los propios ayuntamientos (e incluso la insuficiente alfabetización digital de los funcionarios que trabajan en ellas) puede ser un problema real para cubrir estos objetivos.
  • El escaso uso de los servicios públicos digitales por parte de los ciudadanos es un reto de importantes dimensiones que en general no está muy claro cómo resolver. Todas las administraciones parecen tener claro que es necesario hacer un mayor esfuerzo en marketing, en "vender" a los ciudadanos estos servicios, pero tampoco se ha dado con una fórmula concreta de éxito. Existen casos puntuales con gran crecimiento, pero sin que se puedan extraer conclusiones concretas de qué es necesario para que los ciudadanos usen los servicios públicos digitales. Además, el respaldo presupuestario a esas acciones de marketing parece que en general es escaso.
  • La mayor preocupación de las administraciones que ya tienen más asentados los servicios públicos digitales parece ser la interoperabilidad, aunque la falta de una normativa concreta que regule estos temas (recordemos la gran cantidad de normas técnicas de interoperabilidad que el ENI prevé desarrollar) dificulta bastante su desarrollo, por "miedo" a realizar esfuerzos que luego puedan quedar fuera de la regulación que se establezca, y tampoco parece existir un estándar de facto (salvo ciertas excepciones) que vaya a ofrecer suficientes garantías.
  • Parece que la democracia participativa puede cobrar una mayor importancia gracias a la apertura de la administración pública a las redes sociales y a la web 2.0. No obstante, existen ciertos aspectos como la representatividad de esta participación activa o los riesgos derivados de una apertura a entornos no controlados que aún no han sido resueltos por completo.
  • Aunque todo el mundo parece tener claro que la digitalización de los servicios públicos debería suponer una reingeniería de los procesos administrativos y un cambio profundo de la manera de prestar servicios a los ciudadanos, a la hora de la verdad la mayor parte de esas digitalizaciones se han convertido en una mera automatización de los mismos procesos. La resistencia al cambio parece ser un gran obstáculo en la administración.

Aparte de esas conclusiones, que más o menos fueron temas comentados en distintas ponencias, yo añadiría una que me parece muy significativa: la seguridad prácticamente brilló por su ausencia en el TecniMap. Pese a la publicación del ENS, parece que las administraciones públicas están mucho más preocupadas por la funcionalidad que por la seguridad. Una vez más, parece que la seguridad queda en un segundo término (y mucho menor), pese a que tenga el mismo rango legal que la interoperabilidad. De nuevo, la seguridad será algo en lo que se piense, como mucho, a posteriori, y una vez que los servicios públicos electrónicos ya están montados. Olvidando que cualquier servicio público que se digitalice a partir del 29 de Enero de este año ya debería cumplir de manera "nativa" con el ENS...

Para finalizar, en relación al último comentario del pasado post referente a la responsabilidad de las administraciones públicas en torno a la información que gestionan, me quedó la sensación de que es un tema sobre el que no se ha reflexionado en exceso. La verdad es que no salió a relucir en ninguna de las ponencias a las que asistí, y en un par de sesiones en las que intenté "colarlo" en la ronda de preguntas tampoco lo conseguí. Sin embargo, la aparente "ligereza" con la que en alguna sesión equiparaban las iniciativas privadas de particulares con las iniciativas públicas, unido a la relajación que parecían mostrar en algunos casos en relación a las connotaciones legales que podía tener la apertura de los servicios públicos me lleva a pensar que este es uno de los temas en los que todavía no se ha trabajado lo suficiente. La verdad es que no me sorprendió especialmente, ya que en el ámbito empresarial también suele ser uno de los ámbitos en los que existen más lagunas a la hora de montar servicios TI, pero creo que es uno de los temas que más se debería trabajar de cara a futuros TecniMaps, dada la especial relevancia de una buena definición de responsabilidades en el ámbito de los servicios públicos.

06 abril 2010

Integridad virutal y real

La integridad suele ser una de las dimensiones de la seguridad a la que, pese a que todo el mundo la valora especialmente, no se le suele prestar demasiada atención a la hora de aplicar medidas de seguridad. En general, es algo que se da por hecho, y muchas veces son otras las dimensiones de la seguridad las que centran nuestra atención. Por esa especial importancia suelen ser tan sonados los incidentes relacionados con la misma, y por esa insuficiente atención suelen aflorar las críticas a la seguridad cada vez que ocurren.

El problema es que, poco a poco, estos incidentes de seguridad informática que atentan contra la integridad de la información, normalmente materializados en los famosos defacements de páginas web, están pasando del entorno corporativo al entorno personal, aumentando exponencialmente el daño potencial que pueden llegar a causar. Porque ahora ya no nos podemos limitar a pensar en los hijackings de la web personal del político de turno, sino que tenemos que empezar a pensar en los robos de identidades digitales de personas "anónimas", en la modificación malintencionada de cualquiera de las múltiples páginas web en las que un individuo "moderno" puede tener colgada información personal. Por eso, leer noticias como que ya se empiezan a producir asesinatos virtuales en facebook nos debería llevar a pensar que de algún modo deberíamos ser capaces de controlar de manera más eficiente la integridad de la información que cada uno genera en la red. Esto no quiere decir que en la red no puedan existir bulos, chismes y habladurías, igual que ocurre en el mundo real, pero no podemos perder de vista que la información en la red es persistente y replicable exponencialmente. De modo que la falta de integridad entre la información del mundo real y la del mundo virtual puede tener efectos muchísimo más grandes que si el incidente se limitase al mundo real. Porque un simple error en un estado civil o la publicación en el muro de un comentario inapropiado en un momento de enfado puede llegar a tener efectos demoledores sobre la vida de cualquier individuo. Y claro, todavía no hay sistemas que sean capaces de verificar la integridad de la información virtual con la del mundo real...

Para terminar, ya que el tema puede dar mucho de sí, sería necesario pensar si todas las entidades (los propios individuos, las empresas, las administraciones públicas, ...) deberían asumir la misma responsabilidad por fallos de integridad (podemos llamarle veracidad) entre la información existente en su versión virtual y la información existente en el mundo real. Tanto acerca de la propia entidad como acerca de otras. ¿Hasta qué punto una organización puede (Y/o debe) ser responsable de la información digital que mantiene sobre terceros? ¿Tiene el mismo grado de responsabilidad una empresa privada que una administración pública? ¿A quién corresponde el mantener actualizada (íntegra) dicha información? Aprovechando que los próximos días me pasaré por el Tecnimap, trataré de indagar sobre estas cuestiones. A ver qué os puedo contar a la vuelta...