29 julio 2013

Contratos para la Nube

El objetivo de esta entrada es comentar el paper que con ese título (en realidad su título completo es "Contracts for Clouds: Comparison and Analysis of the Terms and Conditions of Cloud Computing Services") fue publicado por la Queen Mary University of London allá por septiembre de 2010 como primer documento de su Proyecto Nube Legal.

El documento cobra actualidad en estos momentos por el llamamiento para expertos de la Comisión Europea para que se identifiquen los términos contractuales justos y seguros para impulsar la computación en la nube (ver nota de prensa).

Como ya saben los que me siguen porque lo he comentado anteriormente, en mi opinión, este es uno de los aspectos más relevantes para conseguir el esperado despegue de los servicios en la nube que tan prometedor parece a todo el mundo. Cuando los usuarios son preguntados por la razón por la que no usan más los servicios de este tipo, una de las razones que siempre aducen es la falta de confianza, las dudas sobre el proveedor. Y en mi opinión, la razón principal por la que esto ocurre [además de por la falta de transparencia de los operadores sobre las medidas de seguridad que implementan] es porque no existen unas cláusulas contractuales obligatorias para este tipo de servicios.

La forma más fácil de verlo es comparando los servicios en la nube (en particular, los servicios de infraestructura) con el suministro de electricidad. Al fin y al cabo, lo que el usuario quieres es algo muy sencillo: corriente continua a 220V o, en nuestro caso, x capacidad de procesamiento. Ya sé que el mercado eléctrico es un mercado regulado, etc., etc. y que el mercado de servicios de infraestructura no lo es [¿quizás debería serlo?], pero creo que la tranquilidad que da al usuario saber que las cláusulas generales han sido "aprobadas" por la Administración, facilitaría (sin lugar a dudas) que los usuarios accedieran a dicho tipo de servicios.

Ahora bien, ¿qué cláusulas establecer? Aquí es dónde cobra interés el estudio mencionado al principio de esta entrada que, a pesar de tener casi 3 años, muestra unas conclusiones muy útiles (y actuales):
  • Identifica 20 elementos relevantes en los términos y condiciones analizados (contrato, ley aplicable, jurisdicción, arbitraje, uso aceptable...)
  • Pone de manifiesto la disparidad en la notificación a los usuarios cuando se modifican las condiciones (46 notificados versus 23 no-notificados).
  • Existen aspectos que son diametralmente tratados por los proveedores respondiendo al hecho de si se trata de servicios de pago o gratuitos, pero también dependiendo de si están gobernados por las leyes de EE.UU. o de países europeos, o del tipo de servicio (especialmente SaaS vs IaaS [de hecho, yo no veo que esto se pueda aplicar al SaaS, pero si a los IaaS]).
  • Otros aspectos son prácticamente comunes a todos como, por ejemplo, los de uso aceptable de los servicios o la limitación de responsabilidad de los consumidores.
  • Finalmente, también hay aspectos que están regulados con una gran variación como, por ejemplo, los de actuación en caso de solicitud de revelación de información del cliente o los derechos de propiedad sobre los datos de los consumidores.
También identifica el trabajo una serie de tendencias en todos los términos y condiciones que han analizado, entre los que me gustaría destacar que:
  • Los proveedores tienden a utilizar como jurisdicción el área en la que se encuentran (esto supone una clara desventaja para los europeos).
  • La mayoría de proveedores tienden a limitar y restringir su responsabilidad.
  • Muy pocos proveedores incluyen información sobre la forma en la que protegen la privacidad y la protección de los datos.
En resumen, un reto apasionante para los que se apunten al call-for-experts de la Comisión Europea...

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

19 julio 2013

Plan de Confianza en el ámbito digital 2013

Hace unos días se publicó el "Plan de Confianza en el ámbito digital 2013" (PDF) como parte de los planes que desarrollan la Agenda Digital para España (ver algún análisis aquí) y me ha parecido interesante echarle un vistazo detallado.

En primer lugar, el Plan define tres objetivos principales:
  1. Experiencia digital segura. Fundamentalmente, hace referencia a medidas para fomentar la comprensión de los riesgos existentes en el mundo digital.
  2. Capacidades para la resiliencia En este caso, estaríamos tratando de acciones orientadas a mejorar las capacidades de "prevención, detección y respuesta" (que para mi, ya sabéis que tiene una relación directa con el enfoque ágil de la seguridad).
  3. Oportunidad para la industria y los profesionales. Básicamente, se trata de acciones para fomentar que industria, sector académico y profesionales aprovechen las oportunidades que ofrece la confianza digital.
Y para lograr, dichos objetivos, proponer 25 acciones en torno a cinco Ejes, cada una de ellas con un presupuesto asignado para el período 2013-2015:

Eje I. Experiencia digital segura5,809,83%
1Plan de sensibilización INTECO1,602,71%
2Plataforma de colaboración público-privada para incrementar la cofianza digital0,601,02%
3Piloto en itinerarios educativos0,601,02%
4Plan de menores en Internet1,001,69%
5Punto neutro de gestión de incidentes2,003,39%
Eje II. Oportunidad para la industria TIC4,106,95%
6Comité Técnico de coordinación0,000,00%
7Soporte especializado a las estructuras de evaluación de proyectos0,200,34%
8Refuerzo de la capacidad de detección de demanda temprana0,901,53%
9Polo tecnológico de seguridad 2,504,24%
10Foro Nacional para la Confianza Digital0,500,85%
Eje III. Nuevo contexto regulatorio0,601,02%
11Adopción de la nueva regulación europea0,000,00%
12Esquema de gestión de incidentes de seguridad0,000,00%
13Esquema de indicadores para la confianza digital0,601,02%
Eje IV. Capacidades para la resiliencia: INTECO 2.042,3071,69%
14Transformación organizativa y refuerzo36,0061,02%
15Nueva plataforma tecnológica de alerta temprana y servicios de vigilancia tecnológica3,505,93%
16Nuevos canales de comunicación para la confianza digital0,901,53%
17Cooperación con la seguridad pública y la protección de las infraestructuras críticas1,502,54%
18Colaboración en ciberejercicios0,400,68%
Eje V. Programa de excelencia en ciberseguridad6,2010,51%
19Equipo de investigación avanzada2,003,39%
20Jornadas "Espacio de Ciberseguridad"0,200,34%
21Formación especializada en ciberseguridad0,601,02%
22Máster ciberseguridad INTECO0,801,36%
23Programa de becas INTECO0,601,02%
24Evento de ciberseguridad1,001,69%
25Estudio de la viabilidad de una red de centros de excelencia en ciberseguridad1,001,69%

Algunos temas que saltan a la vista:
  • La medida que más presupuesto tiene asignado (un poco más de un 61% del total) es la destinada a la transformación organizativa y a reforzar INTECO, haciendo que el eje cuarto (capacidades para la resiliencia) sea el eje más dotado presupuestariamente.
  • Si agrupamos todas las partidas en las que se hace mención expresa a INTECO, nos vamos a un presupuesto de 49,9 millones de € (un 84,58% del total). No cabe duda de que INTECO se ha convertido en la herramienta fundamental del Ministerio, en la piedra angular, para la mejora de la confianza digital.
El gráfico siguiente resume las principales asignaciones presupuestarias a las medidas:

Y el reparto según ejes, quedaría como sigue:


Falta por saber el reparto anual de los 59 millones de € (2,80% del presupuesto de todos los planes que supera los 2.106 millones de €), pero quizás sea lo de menos... Por cierto, el reparto presupuestario del resto de planes, también es ilustrativo:
  • Plan de telecomunicaciones y redes ultrarrápidas - 200 millones de € (9,50% del total)
  • TIC en PYME y comercio electrónico - 163,7 millones de € (7,77% del total)
  • Impulso de la economía digital y los contenidos digitales - 94,43 millones de € (4,48% del total)
  • Internacionalización de empresas tecnológicas - 134,2 millones de € (6,37% del total)
  • Desarrollo e innovación del sector TIC - 1.314 millones de € (62,39% del total)
  • Inclusión y empleabilidad digital - 140,7 millones de € (6,68% del total)
Es decir, resulta que el plan de confianza es la cenicienta de los planes... 

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

09 julio 2013

Acciones en el marco de la Estrategia Nacional de Seguridad

En la entrada anterior, empezamos a analizar la Estrategia Nacional de Seguridad de 2013 (pdf) y nos quedamos en el punto de analizar cómo se podrían desarrollar las líneas de acción estratégicas propuestas en dicho documento.

Lo que viene a continuación son algunas ideas... partiendo de la base de que, con lo que dice el documento actual, en mi opinión, no necesitamos de una estrategia de ciberseguridad, ¿qué mas va a aportar que merezca estar en un documento que lleve el nombre de "estrategia nacional"?

Ley de Seguridad Nacional

Alguno estará pensando, "¡Que original, pero si ya dice el documento que se publicará en seis meses!" Pues sí, efectivamente es así, pero lo que me gustaría comentar al respecto es que debería incorporar a dicha Ley los aspectos relacionados con la ciberseguridad, puesto que, al fin y al cabo, se rige por los mismos principios y tiene los mismos condicionantes y ser considerada como algo distinto, especial, de unos pocos "locos" creo que no le hace ningún bien.

Precisamente, tenemos en discusión una propuesta de Directiva Europea para la seguridad de la redes y los sistemas de información que, perfectamente, podría ser incorporada a esta Ley (si se dan los plazos adecuados, claro está).

En esta Ley se podría recoger aspectos fundamentales, como:
  • La inclusión de la ciberseguridad como un contenido lectivo más en nuestros colegios e institutos llegando incluso a la posibilidad de grados universitarios en esta materia.
  • La distribución de constituencies entre los distintos CERTs gubernamentales (quién atiende a la industria, quién a las infraestructuras críticas, quién los coordina a todos...).
  • Las pautas a seguir y los principios a respetar en la coordinación entre los distintos organismos nacionales y con los internacionales pertinentes.
  • Mecanismos de defensa frente a las amenazas identificadas.
  • Podría también avanzar en el establecimiento de medidas de seguridad mínimas acorde a los niveles de impacto que impliquen los diferentes sistemas de información / procesos informatizados [disclaimer: Ya sabéis que soy un enamorado del etiquetado de seguridad - lo que me ha llevado a fundar una agencia de calificación de seguridadleet security que no debe ser una idea muy loca, cuando la Unión Europea la propone también en su Estrategia de Ciberseguridad].
  • El fomento de mecanismos orientados a la resiliencia, mediante la implantación de una filosofía de seguridad basada en los principios agile (detección temprana, respuesta rápida y apalancamiento en el incidente).
  • Establecer / clarificar el esquema de responsabilidades en materia de fallos de seguridad (necesidad de notificar, proceso de depuración de responsabilidades, función y responsabilidades de los auditores de seguridad [al estilo de lo que se hace para la auditoría de cuentas], mecanismos sancionadores, etc.)

Ley de Protección Civil

Esta Ley, en teoría, ya está pensada para protegernos de accidentes que puedan afectar a grandes instalaciones por lo que, como ya he comentado anteriormente, solo harían falta retoques para que incluyera también los accidentes que puedan tener su origen en fallos informáticos... digamos que, de igual forma que hay que tener un plan de evacuación en caso de incendio, habría que tener un plan de contingencias informáticas en caso de incidente... ¿o no?

Ley de Seguridad Privada

En este caso, nos encontramos con una regulación que precisamente está en proceso de modificarse y que, como también hemos comentado, debería pasar de ser una Ley pensada para regular las empresas que prestan servicios de seguridad privada a ser una Ley que regule la seguridad privada en sí misma.

En este sentido, hay mucho camino por hacer: ¿Quién puede prestar servicios de ciberseguridad? ¿qué requisitos hay que cumplir? ¿cuáles son sus responsabilidades? ¿hasta qué punto podemos defendernos? ¿con quién hay que colaborar para resolver incidentes? ¿qué requisitos tienen que cumplir los profesionales de la ciberseguridad? Y un largo etcétera.

Asociación público-privada

Finalmente, para no hacer infinita esta entrada [aprovecho para pedir perdón por la longitud], habría que materializar esa colaboración público - privada que ayude al fomento de ese I+D+i que lleva a cabo la industria... ¿por qué no una iniciativa del estilo de la que acaba de realizar el gobierno británico?


Espero haber aportado mi granito de arena a la ingente tarea que ahora queda por delante...

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

NOTA: He preparado un pequeño análisis gráfico de las líneas estratégicas y sus relaciones que puedo compartir con aquel que le interese.


05 julio 2013

Estrategia de Seguridad Nacional 2013... ¿y ahora qué?

Hace ya algunas semanas que se publicó la "Estrategia de Seguridad Nacional" (pdf) y ahora, casi dos años después de comentar la primera versión, no podía dejar de comentar la nueva edición de 2013.

Sin embargo, para ser honestos, he pensado que, dado que esta estrategia es mayoritariamente continuista con la primera, sería más interesante centrarme en las líneas de acción estratégicas, así que he analizado en detalle el capítulo 4 de la estrategia.

No obstante, antes de empezar, tengo que hacer una salvedad. En la estrategia se identifican las ciberamenazas como uno de los riesgos para la seguridad nacional (capítulo 3), además de reconocer el uso nocivo de las nuevas tecnologías como un potenciador de dichos riesgos. En mi opinión, este segundo enfoque es mucho más acertado, quiero decir, las ciberamenazas, en realidad, no suponen un nuevo tipo de riesgo, sino que permite que las amenazas "reales" puedan actuar a distancia y en un entorno nuevo (el ciberespacio).

De hecho, así parece reconocerse implícitamente en el texto, puesto que una lectura con enfoque ciber te hace ver que, realmente, los aspectos ciber aparecen en 7 de las 11 amenazas restantes y en sus respectivas líneas estratégicas, en particular, en:
  • Terrorismo > Lucha contra el terrorismo
  • Crimen organizado > Lucha contra el crimen organizado
  • Inestabilidad económica y financiera > Seguridad económica y financiera
  • Vulnerabilidad energética > Seguridad energética
  • Espionaje > Contraespionaje
  • Emergencias y catástrofes > Protección ante emergencias y catástrofes
  • Vulnerabilidad de las infraestructuras críticas y servicios esenciales > Protección de las infraestructuras críticas
Y si analizamos las líneas de acción estratégicas, se pueden identificar cuatro elementos que parecen estar en la base de todas las acciones puesto que se repiten una y otra vez:
  • Fortalecer redes y sistemas de información nacionales (del sector público, de las infraestructuras críticas, del sector privado...)
  • Marco jurídico operativo y eficaz (para las investigaciones y lucha anti-terrorista, para reforzar la protección de los sistemas clasificados, para la contrainteligencia y para la protección ante emergencias y catástrofes)
  • Implantación de una cultura de ciberseguridad sólida (en relación a la protección ante emergencias, la contrainteligencia, la protección de sistemas clasificados...)
  • Coordinación (básicamente en todas las líneas hay una mención a la coordinación - obvio, considerando que uno de los principios de la estrategia es la eficiencia).
En la próxima entrada, veremos cómo se podrían abordar estas acciones (o, al menos, una propuesta).

... ¿todavía no me sigues en twitter.com/antonio_ramosga?