31 agosto 2010

El riesgo de los PenDrives

Ya hace más de 2 años que se publicaba un estudio alertando sobre la peligrosidad de los PenDrives (memorias USB, memory sticks, unidades flash USB o como se quieran llamar). En él, se ponían de manifiesto la gran cantidad de datos "sensibles" que se almacenaban en pendrives, así como la gran predisposición de las personas a "curiosear" el contenido de cualquier pen-drive que se encontrasen. En definitiva, ya en 2008 eran uno de los principales focos de riesgo en las organizaciones.

A día de hoy creo que la situación ha cambiado más bien poco. Las memorias USB son uno de los principales focos de infección de los PCs, y aunque no he sido capaz de encontrar estudios actuales al respecto, estoy prácticamente seguro de que el uso de memory sticks cada día es más habitual, y no creo que la sensibilidad de los datos almacenados en ellos haya disminuido (de hecho, lo más probable es que haya aumentado). Tanto la capacidad de almacenamiento como la fiabilidad de estos dispositivos ha crecido, a la vez que su precio ha disminuido enormemente, de forma que cada vez es más habitual encontrarse con este tipo de dispositivos. Y la verdad es que no es de extrañar, ya que su utilidad es enorme, dado que son ultraportables y accesibles de forma prácticamente universal.

Desde el punto de vista de la seguridad tampoco tiene que ser mala esta proliferación. Estamos maximizando la disponibilidad de la información almacenada en ellos, lo cual es positivo. El mayor problema es que su uso puede provocar una disminución de la confidencialidad (que suele ir asociado habitualmente al aumento de disponibilidad, pero que en este caso supone una disminución adicional por el importante potencial de pérdida que tienen estos dispositivos) y también una diminución de la integridad (como siempre que se generan copias de una información y no la "sincronizamos" apropiadamente). Algo habitual en esto de la seguridad (sería genial que se inventaran soluciones capaces de maximizar los 3 factores simultáneamente, verdad?), pero que en general no se suele gestionar de manera eficiente.

Es cierto que en el mercado existen productos que tratan de solucionar el tema de la confidencialidad mediante la introducción de cifrado nativo, con control de acceso autenticado bien mediante password o bien mediante autenticación biométrica. Pero también es cierto que el uso de este tipo de soluciones es bastante residual, y normalmente limitada a entornos corporativos. ¿Está justificado el elevado precio de este tipo de soluciones, normalmente muy superior al de los dispositivos sin ellas? Si los precios de ambos productos fueses equivalentes seguramente se conseguiría mejorar enormemente la seguridad de la información en toda la sociedad... ¿Merecería la pena subvencionarlos?

A diferencia que para el caso de la confidencialidad, el mercado no ha buscado soluciones específicas para solucionar los problemas de integridad asociados al uso de los PenDrives. Es cierto que existen multitud de herramientas que pueden resolver estos problemas, pero curiosamente no suelen ser funcionalidades que se integren de manera nativa en los productos de gestión de memorias USB. Parece como si, por una vez, la integridad de la información fuese un problema secundario, cuando "de siempre" ha sido el parámetro más cuidado (y quizás por ello también el que menos nos preocupa, ya que suele ser el más transparente).

En definitiva, desde 2008 se han incrementado bastante las soluciones disponibles para los problemas ocasionados por las memorias flash USB, pero ni su evolución ha sido todo lo buena que se podría haber esperado ni sobre todo su adopción se ha extendido tanto como hubiera sido deseable. En la actualidad nos encontramos con un panorama en el que los riesgos derivados del uso de las memorias USB, cuya expansión continúa siendo imparable, aumenta lenta pero progresivamente. ¿Responderá finalmente la industria de la seguridad con soluciones apropiadas para los riesgos a los que nos enfrentamos? ¿Será capaz la sociedad de madurar en la adopción de soluciones de seguridad apropiadas? Me temo que a los profesionales del sector todavía nos queda mucho trabajo por hacer...

23 agosto 2010

Spanair, malware y gestión del servicio

Aunque a estas alturas seguro que ya habéis oido hablar del tema, parece ser que ha saltado la noticia sobre un troyano que pudo intervenir en el accidente aéreo de Spanair, infectando el sistema que gestionaba los registros sobre incidencias técnicas en los aviones e impidiendo a los técnicos de mantenimiento percatarse de que existían incidencias repetitivas asociadas a uno de los dispositivos que, según parece, intervino en la causa del accidente.

Más allá de los titulares sensacionalistas que hemos podido ver en algunos medios, que poco menos que afirman que el virus fue el causante del accidente, es evidente que cuanto mayor es la dependencia que tiene la actividad humana diaria de los sistemas de información más probabilidades habrá de que un virus informático acabe afectando a dicha actividad, con consecuencias cada vez más imprevisibles. No es la primera vez que en este blog hablo del tema, y de hecho hay una etiqueta específica, seguridad y salud, bajo la que se agrupan esos post. Sin embargo, hoy no tengo intención de profundizar en este caso en cuestión, ya que creo que el nivel de incidencia que pudo tener es bastante relativo (puede contribuir al desastre, por supuesto, pero no creo que sea uno de los factores más importantes, al menos por la información a la que he podido acceder).

Lo que sí que quiero destacar es el concepto ITILero que subyace en el funcionamiento del sistema de gestión de incidencias técnicas de Spanair, y que según parece computa automáticamente una incidencia repetitiva de manera especial (mediante una "alarma"). El funcionamiento es bastante similar a la gestión de incidentes (o alguien prefiere hablar de incidencias?) y su escalado a "problemas" que se utiliza en el mundo de la gestión de servicios TI. También parece que la práctica habitual a la hora de registrar los incidentes permitía demorar dicho registro durante 24 horas, lo que implica que la catalogación como problema puede retrasarse 24 horas. ¿Son esas 24 horas un tiempo aceptable para la detección de problemas originados por incidentes repetitivos? O dicho de otro modo... ¿Debería haberse fijado un SLA asociado al tiempo de generación de una alarma provocada por un incidente repetitivo? Y si Spanair considerase que el tiempo es insuficiente, y que los incidentes deberían registrarse en tiempo real... ¿Cuál sería el coste de la infraestructura necesaria para que los técnicos pudieran registrar los incidentes de forma inmediata?

Con estas dos preguntas lo que quiero destacar es el hecho de que muchas veces, cuando pensamos en gestión de servicios TI, nos limitamos a seguir las prácticas comúnmente aceptadas, sobre todo a la hora de fijar indicadores y SLAs, sin pararnos a reflexionar en las necesidades específicas que puede tener nuestra organización a causa de la actividad que realiza. Sencillamente, el indicador que le conveniene a nuestro negocio no tiene por qué ser un indicador "clásico". Pero tampoco podemos "perder el norte" y subir los niveles de exigencia de los SLAs a valores hiper-exigentes, a riesgo de que el coste asociado a su consecución sea inasumible. Lo que sí debería ser exigible es que las organizaciones estuvieran obligadas a hacer esa reflexión, y que en este caso Spanair pudiera justificar el motivo por el cual sus protocolos de actuación funcionaban de ese modo. ¿Habrá hecho la compañía este ejercicio? Seguiremos atentos a la evolución de los acontecimientos...

17 agosto 2010

Ley de Acceso a la Informacion Publica

Ayer saltaba la noticia de que se está ultimando el anteproyecto de Ley de Transparencia y Acceso de los Ciudadanos a la Información Pública, cuyo objetivo es que los ciudadanos tengan acceso a la información que manejan las administraciones públicas. Según parece, esta ley pretende regular la capacidad de los ciudadanos de acceder a la información generada o gestionada por las administraciones públicas, estableciendo periodos máximos de tiempo de respuesta y la aceptación por defecto de la solicitud, siendo necesario que la administración justifique las denegaciones.

La noticia ha corrido como la pólvora en estas últimas 24 horas, y aunque en general las opiniones son favorables con la medida también han surgido opiniones que cuestionan sus limitaciones y el grado de aplicación real que pueda tener. Según parece, existen ciertos ámbitos en los que esta Ley no sería aplicable, y la transparencia que promueve es pasiva (a petición del ciudadano) en lugar de activa (Open Government).

Uno de los aspectos más destacables desde el punto de vista de la temática de este blog es que la Agencia de Protección de Datos es el organismo que se erige como árbitro en caso de discrepancias ante una denegación de la solicitud de acceso. Por un lado deberá velar por la confidencialidad de la información personal de los ciudadanos, mientras que por otro deberá luchar por la apertura de la información pública. Disponibilidad vs confidencialidad, dos aspectos muchas veces contrapuestos entre los que deberán mediar los profesionales implicados. ¿Creéis que es apropiada la designación de la AEPD como mediador en este ámbito, o pensáis que la alternativa que según parece se barajaba, la del Defensor del Pueblo, hubiera sido más apropiada?

Personalmente, la designación de un organismo público "especializado" en seguridad de la información como es la AGPD me parece una decisión muy interesante, aunque reitero que el reto al que se enfrentan los profesionales encargados de balancear entre disponibilidad y confidencialidad no es baladí, sobre todo si tenemos en cuenta que hasta ahora su trabajo estaba completamente sesgado hacia el segundo de ellos. No obstante, creo que puede ser un aspecto fundamental para el futuro del sector de la seguridad de la información, ya que con el paso del tiempo podremos contar con referencias válidas y legalmente sustentadas sobre el modo de aplicación de unos criterios que, a la hora de la verdad, suponen el mayor quebradero de cabeza de los administradores de la seguridad de la información.

16 agosto 2010

En los limites de la LOPD

Ya estoy de vuelta de las vacaciones... Es una sensación curiosa, por un lado parece que te has ausentado durante lustros y por otro da la sensación de que todo sigue igual, de que el tiempo se ha detenido durante el tiempo que no has estado. Y claro, lo que siempre sigue esperándote a la vuelta son todas esas tareas que habías dejado con la esperanza de que se resolvieran solas, pero que alguna extraña fuerza ha sido capaz de mantener tal y como estaban durante todo el tiempo en que las estado ausente...

Sin embargo, también es cierto que a la vuelta a veces te encuentras con sorpresas, con cambios, con pequeños asuntos que hacen más entretenido el regreso. Y uno de ellos es una consulta que he recibido por correo, y que me gustaría contrastar con todos vosotros, a ver qué opinais. De momento os planteo la cuestión, y dejo mi respuesta para dentro de algún tiempo, a ver si mientras tanto alguien se anima a debatir sobre el tema.

El caso es que me escribe un comerciante con dudas acerca de la aplicabilidad de la LOPD a su caso particular. Esta persona tiene una tienda, y parece ser que sobre la puerta ha instalado una cámara IP enfocando hacia el interior. La cámara en cuestión no graba imágenes de ningún tipo, y la utiliza para conectarse a ella a través de Internet cuando salta la alarma y poder comprobar si es una falsa alarma y tiene que ir a desactivarla, o si por el contrario hay "gente" dentro de la tienda y tiene que llamar a la policía. La cámara, según parece, tiene visión nocturna y buena resolución.

Por un lado, la duda de esta persona es si le aplica la LOPD. La cámara por sí sola no graba imágenes, pero desde el ordenador de su casa él tiene la capacidad de conectarse a ella y sacar pantallazos o grabar manualmente lo que la cámara esté visualizando. ¿Creéis que le aplica la LOPD? ¿Hasta qué punto? ¿Debería esta persona colocar un cartel informativo?

Por otro lado, la cámara enfoca hacia el mostrador, y por tanto a través de ella se puede ver a sus empleados mientras están trabajando. Y claro, es evidente que alguno de ellos se puede sentir vigilado... ¿Qué implicaciones creéis que puede tener esto desde el punto de vista del derecho laboral? ¿Os parece una solución apropiada?

La verdad es que no es una solución sencilla, ya que el caso roza los límites de la aplicación de la LOPD, y no está claro si por dentro o por fuera. ¿Qué pensáis? ¿Alguien se anima a dar su opinión (no vinculante, por supuesto) al respecto?