28 mayo 2010

El objetivo de la gestión de la seguridad

Esta semana tuve la oportunidad de asistir a la charla de Fred Piper durante la VII Jornada Internacional del ISMS Forum (ya os dije que teníais que venir...) y tuve uno de esos momentos reveladores: ya sabéis, ese momento en el que alguien dice algo obvio pero que al verlo escrito negro sobre blanco impacta sobremanera sobre uno.

En concreto, fue una frase de Fred en la que venía a decir algo así como que el objetivo de la gestión de la seguridad era minimizar la suma de dos costes, por un lado, el coste de las medidas de seguridad y, por otro, el de la inseguridad. La verdad es que algo obvio, ¿no? Pero no sé, el caso es que debió recordarme a mis clases de Economía en la Facultad y, como decía el anuncio aquel: "M'a impactao".

¿Cuál es la potencia de esta frase? Bueno, pues que, en el fondo, "reduce" la gestión de las seguridad a un problema matemático: Minimizar el valor de una fórmula como la siguiente, Cs = Cm + Ci donde Cs es el coste total de la seguridad, Cm es el coste de las medidas que establecemos y Ci es el coste de la inseguridad (o de la no-seguridad).

Las dificultades que nos encontramos en el día a día para resolver este "sencillo" problema son diversas:
  • Para mi, la principal dificultad es que el coste de la inseguridad es un coste oculto (en muchos casos). Normalmente porque, en realidad, ese coste lo sufren otros (es una externalidad) como pueden ser los casos de software con fallos de seguridad, brechas de seguridad con robo de datos de clientes, empleados... o un proveedor se servicios en la nube con una insuficiente seguridad que ocasiona daños a sus clientes o a los clientes de su cliente...
  • Otra dificultad es el componente aleatorio del coste de la inseguridad. Es decir, aunque el software sea inseguro cabe la posibilidad de que no falle o que no se descubra la vulnerabilidad por nadie. Aquí es donde entran en juego los análisis de riesgos que, en teoría, nos deberían ayudar a "estimar" el valor en riesgo (Value at Risk) de forma que el problema de minimización tomara los datos correctos, pero lo de la gestión de la incertidumbre no es nuestro fuerte: subjetividad de las estimaciones, dudosa validez del pasado para predecir el futuro y cisnes negros en general...
Si unimos ambos factores, lo que sucede es que, seguramente, la elección de inversión de seguridad (el único factor sobre el que podemos influir) no será la adecuada, ya que no se habrán tenido en cuenta todos los costes de la inseguridad (bien porque los sufran otros, bien porque todavía no se hayan materializado o porque hayamos errado al calcular el valor en riesgo) provocando, lo que en Economía llamamos, una decisión sub-óptima que minimiza la ecuación utilizada por la organización, pero no la real.

Ya, pero ¿qué podemos hacer? Pues, en mi opinión, la solución pasa por dos aspectos:
  1. Incorporar todas las externalidades a la ecuación (por el mecanismos que sea: sanciones, impuestos, etc.)
  2. Aprender a gestionar la incertidumbre
¿Qué es difícil? ¡Toma, pues claro! ¿Alguien se pensaba que iba a ser fácil? Eso no tendría ningún mérito...

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

25 mayo 2010

¿Cómo aplica PCI-DSS a las grabaciones de voz de los Call Centers?

Esta es otra duda recurrente en relación al cumplimiento del estándar PCI-DSS que vamos a tratar de enfocar / solucionar. Concretamente, la duda surge porque en este entorno los datos de los titulares de tarjeta son grabaciones de voz y no el típico dato en un fichero o base de datos. Dicha situación hace que sea necesario interpretar los requerimientos del estándar y adaptarlos a las especificidades de este entorno.

La primera duda que nos podría surgir sería la de si  las grabaciones de voz estarían dentro del alcance del estándar. La respuesta es sencilla, sí, las grabaciones de voz forman parte del denominado CDE - Cardholder Data Environment siempre que se produzca, como mínimo, el almacenamiento del PAN. Otra cosa es que, como ya hemos dicho, no sea un almacenamiento típico y requiera de la interpretación del estándar para su aplicación.

Evidentemente, la siguiente duda sería que "si las grabaciones de voz están dentro del alcance, ¿cómo protejo los datos de los titulares?". Pues bien, aquí es donde tenemos que hacer el esfuerzo de interpretación. Básicamente, podemos encontrarnos con dos casuísticas en las grabaciones de voz: analógicas vs. digitales.

  • En el primer caso (grabaciones de voz analógicas), las medidas a establecer serían muy similares a las que aplicaríamos al almacenamiento en papel, es decir, controles de acceso físico y lógico a los soportes.
  • En el segundo caso (grabaciones de voz digitales), la cosa se complica porque además de almacenarse la información en ficheros .mp3, .wav o el que sea, las herramientas que se utilizan en estos casos permite realizar búsquedas en dichos ficheros y recuperar información de manera ágil. En estos casos, las medidas son más amplias y, por ejemplo, deberemos aplicar el requerimiento 3.4 y hacer que el "PAN quede, como mínimo, ilegible en cualquier lugar donde se almacene".

Y, finalmente, la madre del cordero: "Pero, si durante el transcurso de la llamada, el cliente me da un dato sensible de autenticación, ¿tengo que eliminarlo o lo puedo archivar?" Para responder a esta pregunta, lo mejor es remitirnos al Council, concretamente a la sección de las FAQ donde encontramos justo esa pregunta: "Are audio/voice recordings containing cardholder data and/or sensitive authentication data included in the scope of the PCI DSS? (5362)". Básicamente lo que nos viene a decir es que:
  1. Aplicando el requerimiento 3.2 no se pueden almacenar los datos sensibles de autenticación (ya sabéis, CAV2/CVC2/CVV2/CID) después de la autorización (ni cifrados) y que, por tanto, no se pueden almacenar esta información en ningún tipo de fichero de audito digital si el sistema permite la realización de búsquedas. 
  2. Para los casos en los que no se puedan realizar búsquedas, entonces volvemos a lo comentado anteriormente y permiten su almacenamiento con las medidas de control de acceso lógico y físico correspondientes requeridas por el estándar.

En fin, aunque es un poco lioso espero haber sido de ayuda... [y si quedan dudas, ya sabéis, para eso están los comentarios ;-) ]

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

20 mayo 2010

Declaración Ministerial de Granada

A través de la ANEI me ha llegado la Declaración Ministerial de Granada acordada el pasado 19 de abril por los Ministros responsables de las Políticas de la Sociedad de la Información de los Estados Miembros de la Unión Europea.

Dado su interés, me gustaría compartir las acciones que recoge en materia de "Uso avanzado de la Internet abierta, seguridad y confianza" que son, nada más y nada menos, 7 de las 29 acciones aprobadas:

5.  Salvaguardar el carácter abierto de Internet, mediante la implementación y la supervisión de la nueva normativa de comunicaciones electrónicas de la UE, en lo relativo a la explotación de redes.  
6.  Incrementar la fortaleza de una Economía Digital Europea inteligente, sostenible e inclusiva, promoviendo en particular:
a.  el uso generalizado de las TIC en la educación y el aprendizaje, por ejemplo mediante la extensión masiva de ordenadores portátiles, así como de contenidos y herramientas digitales interactivos, además de la alfabetización digital de los ciudadanos y la capacitación digital en las empresas, particularmente en las pymes; 
b.  servicios públicos abiertos e inteligentes, tales como la sanidad en línea y la administración electrónica.
c.  despliegue sistemático de las TIC, para afrontar retos claves de la sociedad, tales como el envejecimiento y el cambio climático. 
7.  Explorar la forma de aprovechar las oportunidades del cloud computing para conseguir una mayor productividad y eficiencia,  así como mejoras medioambientales, especialmente para los organismos públicos europeos, para  pequeñas empresas y para determinadas comunidades.
8.  Promover la protección de datos, así como la seguridad y confianza en las redes y de la información, mediante acciones concertadas en la UE en relación con la autenticación electrónica para los consumidores y los negocios en línea, especialmente mediante firma electrónica, DNI electrónico, pago electrónico y seguridad en Internet.
9.  Aumentar la concienciación pública sobre los riesgos de la seguridad en línea, a fin de conseguir una cultura de protección de datos y de privacidad; coordinar medidas en el ámbito de la UE para incrementar la seguridad de las redes y de la información, particularmente a través de ENISA; difundir mejores prácticas; e  invertir en I+D en ciberseguridad y en tecnologías que acrecienten la privacidad.
10. Capacitar a los ciudadanos para que se puedan integrar plenamente en el entorno digital, reforzando su confianza y habilidades para la compra de bienes y servicios en línea.
11. Promover el uso y el acceso a la sociedad de la información con igualdad de oportunidades, particularmente en el caso de los ciudadanos con necesidades especiales, a través de medidas de accesibilidad electrónica, facilidad de uso, mejoras de diseño, promoción del autoempleo facilitado por las TIC e impulsando el uso generalizado de servicios digitales.

La verdad es que están muy bien, pero habrá que ver en qué medidas concretas se traducen...

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

17 mayo 2010

Eventos ISMS Forum Spain en mayo 2010

La semana que viene la gente del ISMS Forum Spain nos van a tener ocupados. Además de la VII Jornada Internacional que tendrá lugar el día 25 (el martes) y que contará con ponentes de organismos (ambos de primer nivel) como Udo Helmbrecht de ENISA, Irene Mia del World Economic Forum, Christopher Coggrave de HP, Fred Piper de la Universidad de Londres, Joshua Pennell de Cloud Security Alliance o el profesor Joaquim Vilà. Además de tres mesas redondas de altísimo nivel (ver el programa detallado aquí).

Pero, además, el día anterior (lunes, 24 a las 17 horas) tenemos el II Foro DPI que versará sobre los dos años de vida del Reglamento de la LOPD con un debate, de primer nivel en el que intervendrán la Agencia de Protección de Datos de la Comunidad de Madrid, INTECO, la Agencia de Informática y Comunicaciones de la Comunidad de Madrid, MAPFRE y la Agencia Española de Protección de Datos precedido por la introducción de Udo Helmbrecht, Director General de ENISA.

En fin, como os decía, dos eventos imprescindibles que nos mantendrán entretenidos la semana próxima. Nos vemos allí...

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

06 mayo 2010

Proyecto de Real Decreto para la Protección de las Infraestructuras Críticas

El pasado 30 de abril finalizó el plazo para realizar comentarios al Proyecto de Real Decreto para la Protección de las Infraestructuras Críticas (al que denominaremos, RDPIC) que ha preparado el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC). Pues bien, después de haber tenido la oportunidad de revisarlo me gustaría compartir con vosotr@s mis principales conclusiones [además las he resumido para que no quedara una entrada demasiado larga, así que si queréis más, ya sabéis que podéis comentar]

Antes de entrar en materia, un comentario previo: Aunque evidentemente este proyecto de RDPIC deberá estar alineado con la Directiva 2008/114/CE, no se trata de realizar una trasposición directa puesto que ésta se circunscribe a la protección de infraestructuras críticas cuando tienen impacto a nivel europeo, mientras que el ámbito geográfico del RDPIC es el territorio nacional. Por tanto, aunque es de esperar cierto alineamiento, más que nada por consistencia, tampoco tiene porque ser total... Dicho esto, vamos allá con mis comentarios:

1.  Ámbito de aplicación
El texto propuesto se limita a la protección en caso de ataques deliberados. En mi opinión, este alcance se queda un poco corto puesto que sabemos que no todos los orígenes de las amenazas son intencionados y que, puestos a proteger, mejor considerar todos los posibles orígenes aunque luego, como es lógico, no tratemos igual todas las amenazas.

2. Especificación de los criterios de criticidad
En el proyecto de RDPIC se enumeran los criterios que han de servir para nominar una infraestructura como crítica (iguales que los de la Directiva... perfecto) pero no se detallan. Si no se especifican dichos criterios estaremos a disposición de la subjetividad del evaluador de turno, algo en lo que todos coincidiremos que hay que tratar de evitar por todos los medios, ¿no?

3. El papel del análisis de riesgos
Aquí, ya sé que no teníamos escapatoria porque también está recogido en la Directiva pero... lo siento, no creo que podamos confiar la protección de las infraestructuras críticas a los análisis de riesgos... No, no soy un hereje, simplemente es que los análisis de riesgos, por una parte, si no definimos criterios claros y medibles, estarán repletos de subjetividades y, por otra, sabemos que existen "cisnes negros" que nunca vamos a contemplar en el análisis si nos limitamos a mirar hacia el pasado.

En definitiva, usemos los análisis de riesgos para gestionar aquellas amenazas que se materializan con cierta asiduidad pero, dejemos también un espacio para considerar eventos de gran impacto aunque, hoy por hoy, nos parezcan poco probables.

Finalmente, el análisis de riesgos, sin más, no nos aporta nada a la protección de este tipo de activos, sino que la herramienta clave será el umbral de riesgo que la Administración decida aceptar como nivel de riesgo tolerable... porque, desde luego, si lo dejamos abierto, no obtendremos una protección ni uniforme, ni coherente (el nivel de protección será el nivel de la infraestructura menos protegida, a.k.a. factor limitante o eslabón más débil de la cadena) [por cierto, me repito... esto ya lo dije comentando el Esquema Nacional de Seguridad].

4. Stakeholders
Ya sé que vivimos en un país complejo (me encanta la definición que le escuché a Ángel Garó: "Somos un país que, en realidad, somos los Juegos Reunidos Geyper") pero el número de actores incluidos en el proyecto de RDPIC hace que sea extremadamente difícil seguir el rol y las responsabilidades de cada uno. En mi opinión se debería incluir algún tipo de representación de la típica matriz RACI para que se pudiera seguir fácilmente y todo estuviera mucho más claro (en especial, el asunto de la supervisión y control).

5. Infraestructuras estratégicas y críticas
Aunque éste es un asunto, claramente, menor, supone un mayor grado de complejidad para el RDPIC, dado que su ámbito son las infraestructuras críticas pero en múltiples ocasiones se habla de infraestructuras, sectores o subsectores estratégicos que, obviamente, es un conjunto mayor que el de las críticas. Ya sé que parece tener poca trascendencia pero he de reconocer que me he liado... y además, tenemos que decidir si queremos proteger las unas o las otras, o todas...

03 mayo 2010

Lectura: "Tribus. Necesitamos que TÚ nos lideres"

Podríamos decir que es el típico libro que nos habla sobre aspectos que te resultan obvios cuando los lees, pero que alguien (tipo Seth Godin) tiene que ponerlos alguna vez negro sobre blanco.

En palabras del propio Seth, una "tribu es cualquier grupo de personas, muchas o pocas, conectadas unas a otras, a un líder y a una idea". Aunque el ámbito de Seth ha sido el marketing, la verdad es que muchos de los aspectos que comenta en esta obra tienen mucho que ver con la estrategia empresarial e incluso la forma de construir equipos de personas.

Después de leerlo, mis ideas sobre el futuro (negro) de las empresas en la era del conocimiento y la mejor posición de las UTP (ya sabéis, Uniones Temporales de Personas) para abordar el futuro salen reforzadas.

Como es habitual en mis entradas sobre lecturas, os adjunto algunos pasajes destacados [os reconozco que he tenido que hacer un gran esfuerzo para no copiar la mitad del libro]:

"Liderar consiste en en crear cambios en los que tú crees".
"Los líderes tienen seguidores. Los directores tienen empleados".
"El objetivo de la compañía es enriquecer al rey (presidente) y mantenerlo en el poder".
"A lo que la gente le tiene miedo no es al fracaso. Es a los reproches. A las críticas".
"Los grandes líderes se centran solo en la tribu. [...] Son generosos. Existen para ayudar a la tribu a encontrar algo, para ayudarla a prosperar".
"... es un error creer que los mejores reclutas de la tribu son los corderos. Los tipos que no hacen más que seguir mecánicamente las instrucciones son decepcionantes".
"... los grandes líderes no pretenden complacer a todo el mundo. Los grandes líderes no rebajan la fuerza de su mensaje para que la tribu sea un poco más grande. [...] una tribu motivada y conectada [...] es mucho más fuerte de lo que sería un grupo más numeroso [...]."
"Acomodarse no es divertido. Es un mal hábito [...]. Los directivos se acomodan constantemente.
"Antes o después las tribus se estancan. [...] Si tu objetivo es hacer posible el cambio [....], si la mayoría está centrada en mantener el status quo [...] lo oportuno es separarse en una nueva tribu [...] Es correcto abandonar la gran tribu, la tribu estancada."
"Ya se trate de un producto, un servicio o una carrera profesional, las fuerzas de la mediocridad se unirán para detenerte."

Como os decía, no descubre América, pero son 123 páginas muy recomendables para animarte a iniciar tú cambio...