23 diciembre 2010

Feliz Navidad y Próspero 2011!

Hoy sólo quiero desear a todos los lectores del blog una feliz navidad y un próspero (y seguro) año 2011.

ZORIONAK!!

16 diciembre 2010

Wikileaks y los orígenes de la seguridad

Sí, lo reconozco. He sucumbido a la tentación de hablar de Wikileaks y la seguridad. Supongo que era inevitable... Aunque espero que mi planteamiento sea provocador. ¿Pueden tener razón tanto defensores como detractores de Wikileaks, simultáneamente y por los mismos motivos? Yo creo que sí.

Los partidarios de Wikileaks defienden la transparencia de los gobiernos, argumentan que es beneficioso que la información que tiene Wikileaks salga a la luz, por su interés público. Defienden que la transparencia de los gobiernos tiene efectos positivos sobre la socidad. Por contra, sus detractores esgrimen que Wikileaks no es la propietaria de la información, y por tanto no tiene derecho a decidir sobre su difusión, ni por supuesto a difundirla, ya que sus propietarios no lo han hecho. Afirman que su difusión puede poner en riesgo a ciertos sectores de la sociedad.

Parece claro que el fondo de la polémica (al menos de la principal, que hay muchas otras) está en la clasificación de la información. Para unos esa información debe ser pública, para los otros debe ser confidencial. Y ambos utilizan el mismo argumento: el impacto que puede tener en la sociedad la divulgación de esa información. Para los primeros muy positivo, para los segundos muy negativo. ¿Cómo puede ser?

El factor diferencial de ambas argumentaciones va un poco más allá, y ataca directamente al origen de la seguridad: las responsabilidades. Ambas parten de la misma premisa: debería ser el "propietario real" de la información quien tuviera la responsabilidad de clasificar esa información, y de aplicar las medidas de seguridad apropiadas a dicha clasificación. No obstante, cada uno responde a esa pregunta de forma distinta. Unos argumentan que los propietarios reales de la información son los ciudadanos, otros que sus propietarios reales son los gobiernos. Los primeros defienden medidas de seguridad que garanticen la disponibilidad de la información, que catalogan como pública, y critican a los que atacan dicha disponibilidad y quieren restringir su difusión. Los otros catalogan esa misma información como confidencial, y por tanto defienden las medidas de seguridad encaminadas a garantizar su distribución limitada y critican a los que quieren difundirla públicamente. Mismos argumentos, conclusiones opuestas.

Y el problema es que, en el fondo, ambos tienen razón. Por un lado, la información es de los gobiernos, y por otro los gobiernos se deben a sus ciudadanos. El debate, en realidad, no es técnico, sino político. O mejor dicho, filosófico. Y si no me creéis, desenpolvad vuestros libros de filosofía del instituto y echadle un vistazo a la obra de Montesquieu, Hobbes y otros filósofos del pasado, y veréis cómo las noticias "de actualidad" tienen mucho más de "clásicos" de lo que nosotros pensamos...

09 diciembre 2010

Security, safety y otros matices

Más de una vez he hecho referencia a noticias que cruzaban el límite de la seguridad de la información (security) y entraban de lleno en la seguridad de las personas (safety). Sin embargo, hasta ahora no me había metido con la protección de las infraestructuras críticas, aunque es evidente que dichas infraestructuras son un puente tangible entre ambos mundos. Y la verdad es que ciertos artículos, como el referido a la continuidad de las organizaciones resilientes, invitaban a ello. Así que hoy no he podido evitar la tentación de comentar brevemente una noticia sin prácticamente repercusión en Europa que salió a la luz hace cosa de mes y medio, referida a la pérdida temporal del control de unos misiles balísticos nucleares en EEUU.

La noticia es sencilla de entender: debido a un cierto fallo tecnológico cuyo origen no está muy claro, el gobierno estadounidense perdió temporalmente el control de unos cuantos misiles nucleares intercontinentales. Parece ser que el sistema informático de la base perdió completamente el contacto con los misiles, a causa de un fallo generalizado en el interfaz de control, posiblemente por un fallo en un componente hardware.

Aunque probablemente el hecho se pueda catalogar de anecdótico, ya que aparentemente no había ningún riesgo más allá de los nervios de unos operarios que veían caído el sistema de control, creo que el hecho merece unos cuantos comentarios al respecto:
  • Es destacable que un fallo en un simple componente hardware, o en unos meros cables de comunicaciones, pueda provocar una incidencia de tanta magnitud como para que se requiera informar a la Casa Blanca. ¿No hay sistemas redundantes para controlar un material tan sensible?
  • Llama la atención que relacionen este hecho con otro de similares características ocurrido hace 12 años. ¿No llevan a cabo una gestión de problemas, en terminología ITIL, en caso de incidencias graves? Y yendo un poco más allá... ¿Cómo se gestiona la obsolescencia tecnológica del equipamiento hardware destinado al control de este tipo de material "delicado"?
  • Según se recoge en el artículo, parece que sí se llevan a cabo tareas de mantenimiento durante las cuales algunos de los misiles están off-line. Sin embargo, en términos de continuidad... ¿Se lleva a cabo un programa de pruebas de continuidad que cubra este tipo de situaciones?
  • Y una duda conceptual: ¿Serían las bases de misiles una infraestructura crítica en términos de la próxima Ley para la Protección de las Infraestructuras Críticas? ¿Deberían serlo?
Creéis que hay otros aspectos destacables en el artículo? ¿Cuál es vuestra opinión al respecto? Espero vuestros comentarios...

01 diciembre 2010

ISO 27001 en España - 2009

Como todos los años, a finales de Octubre ISO publicó su informe anual sobre certificaciones a nivel mundial, su ya famoso ISO Survey of Certifications, correspondiente al año 2009. En él se analiza la evolución mundial de los principales certificados ISO, y de dicho análisis se extrae un resumen general que se puede consultar en abierto. Por su parte, también AENOR como representante español en ISO ha publicado una nota de prensa al respecto, y puede servir para complementar las principales conclusiones del estudio si no se tiene acceso a él.

Las principales conclusiones que se pueden sacar de dicho estudio en torno al estado de las certificaciones ISO 27001 en España son las siguientes:
  • De los 12934 certificados ISO 27001 que había a nivel mundial en 2009, 483 (un 3,7%) estaban emitidos en España, convirtiéndose en el 5º país del mundo y 2º en Europa (después de Reino Unido, el país en el que se gestó el estándar, con 946) con mayor número de certificados.
  • En el año 2009 se emitieron en España 280 certificados ISO 27001, lo que le convierte en el primer país europeo y tercero del mundo con mayor crecimiento en números absolutos.
  • A nivel mundial la certificación ISO 27001 creció en el año 2009 un 40%, mientras que el incremento anual que se produjo en España en el número de certificados emitidos fue del 72,5%.
En resumidas cuentas, creo que la conclusión que se puede extraer de este informe es que el negocio de la certificación ISO 27001 goza de muy buena salud en todo el mundo, y en España avanza viento en popa a toda vela. No obstante, después de ver estos números tan grandilocuentes no puedo evitar que me surja siempre la misma pregunta: ¿Cuantos de todos estos certificados han servido para que las organizaciones que los poseen hayan visto mejorada la seguridad de su información? ¿Cuántos de todos estos certificados han impactado de forma positiva en el negocio de las respectivas organizaciones? Porque no olvidemos que el objetivo último es ése...