De que hablo cuando hablo de…

Una de las cosas que más le llamó la atención a mi compañero de mesa en la oficina (quién venía de trabajar en el ámbito de la ingeniería industrial), fue la increíble capacidad que tenemos los profesionales del sector de las Nuevas Tecnologías para encadenar siglas en una misma frase, como en la siguiente frase: Las copias de respaldo se hacen en un dispositivo NAS que implementa RAID 5 configurado con cifrado AES de 256 bits, con mantenimiento NBD.

El objetivo de este post es tratar de hacer un pequeño repaso de algunos términos que habitualmente se escuchan en el mundillo de las TIC, los cuales se refieren a aspectos como control de acceso, redes, cifrado, cumplimiento legal, cumplimiento de la normativa, entre otros. Les pido a nuestros estimados lectores que me concedan la licencia de resumirles de un modo breve y sencillo cada uno de estos conceptos:

AD/DA (Active Directory / Directorio Activo): Sistema proporcionado por Microsoft para la gestión centralizada de recursos de red, incluyendo la gestión de políticas aplicables, gestión de usuarios y equipos, sistema de autenticación, etc.

AES (Advanced Encryption Standard): Algoritmo de cifrado simétrico con tamaño de llave de 128 a 256 bits.

[Read more…]

Introducción al diseño y certificación de CPDs (TIA 942)

Aun recuerdo con cariño el primer CPD (si aquello se pudiera considerar un CPD) que visite cuando empecé en el mundo de la seguridad. Desde entonces he visitado muchos CPDs, algunos dignos del mismísimo Calatrava (más por lo blanco que por lo curvo) y otros que yo calificaría sencillamente como “entrañables”…

La mayor parte de estas revisiones de CPD fueron realizadas durante la ejecución de proyectos vinculados a la norma ISO 27001. Como la mayoría de ustedes sabrán, dentro del Anexo A de la propia norma, existe un dominio de control destinado a la seguridad física: A.9 Seguridad física y ambiental. Este dominio queda desarrollado en el código de buenas prácticas en seguridad de la información ISO 27002, aunque no entra a concretar muchos aspectos referentes al diseño de CPDs.

Averiguando si existía normativa referente al diseño de CPD un compañero me informó acerca de la norma TIA 942 y la existencia de un esquema de certificación tanto en lo referente al diseño como a la construcción de CPDs. Esta norma ha sido mencionada anteriormente en la entrada de nuestro colaborador Rafael García, Disponibilidad en los servicios de conectividad a Internet. Además, como de casi todo, existen múltiples recursos informativos en Internet; para la elaboración de esta entrada nos hemos basado en parte en este post sobre los tiers de nubeblog.com y la información de CliAtec sobre el diseño de datacenters.

La norma TIA 942, Telecommunications Infrastructure Standard for Data Centers, es un estándar publicado por la Telecomunications Industry Association (TIA) en abril de 2005, y se se divide en 8 puntos y 9 anexos. El propósito de esta norma es recoger una serie de guías y pautas para el diseño y construcción de CPDs. Cabe destacar que este estándar hace especial hincapié en todo lo referente a las comunicaciones, como la distribución o el cableado de las mismas. Otro punto que llama especialmente la atención de esta norma, a diferencia de otras, es su propia especificidad, es decir en ella se definen parámetros y valores concretos como puede ser referente a pesos y cargas sobre el suelo, anchura y altura de puertas, distancia de separación entre el cableado eléctrico y de comunicaciones o incluso la distancia que debe haber entre el emplazamiento del CPD y una base militar (0,8 km).

Los principales puntos de la norma son los comprendidos entre el 5 y el 8, que son los siguientes:

  • El punto 5: Data center telecommunications spaces and related topologies detalla la gestión y adecuación de los espacios ya sea para el CPD, las áreas de distribución, sala de comunicación, gestión de racks, etc., siendo el punto 5.3 el más enfocado a los requisitos del CPD.
  • El punto 6: Data center cabling systems está dedicado a la infraestructura de cableado y especifica aspectos como su topología, tipo, distancia, el uso de fibra óptica, rendimiento y pruebas.
  • El punto 7: Data center cabling pathways específica detalles para la canalización del cableado en cuanto a seguridad, separación del cableado de comunicaciones y el de alimentación, acceso a canalizaciones, acceso a cableado ubicado bajo suelo, o disposición de guías de cableado.
  • El punto 8: Data center redundancy contempla aspectos de redundancia en: canalizaciones de entrada y mantenimiento, acceso a proveedores de servicios, áreas e instalaciones para comunicaciones y cableado.

Al principio del post hice mención a un esquema de certificación para CPDs, que está basado en los grados (TIERs) definidos por el Uptime Institute. La implantación de estos TIERs queda recogida en el anexo G: Data center infraestructura TIERs de la TIA 942, donde se detallan las recomendaciones teniendo en cuenta 4 tipos de requisitos referentes a: los sistemas de telecomunicaciones, arquitectura y estructura, sistemas eléctricos y sistemas mecánicos. Existen 4 TIERs:

  • TIER I Data center, Basic: este nivel garantiza un porcentaje de disponibilidad del 99.671, lo que en la práctica supondría que podríamos estar sin servicio durante 28.82 horas en un año. En este caso se dispone de climatización y una adecuada distribución de líneas de alimentación. No es necesario que disponga de suelo técnico, SAI o grupo electrógeno. El fallo o mantenimiento del servicio causa la detención del mismo.
  • TIER II Data center, Redundant Components: este nivel proporciona un porcentaje de disponibilidad del 99.741, que en la práctica supone 22.68 horas sin servicio anuales. Todos los componentes están redundados (duplicados). Se dispone de suelo técnico, SAI y grupos electrógeno, pero únicamente tiene una acometida de alimentación. El mantenimiento no requiere detención del servicio siempre que no implique la acometida eléctrica.
  • TIER III Data center, Concurrently Maintainable: en este nivel disponemos de un porcentaje de disponibilidad del 99.982, lo que supone 1:57 horas sin servicio anuales. Además de tener todos los elementos anteriormente citados, también se dispone de más de una línea de distribución de alimentación, aunque únicamente una de ellas está activa. Por tanto cualquier mantenimiento no implica la detención del servicio.
  • TIER IV Data center, Fault Tolerant: este es el máximo nivel, con un nivel de disponibilidad del 99.995%, siendo en la practica 52.56 minutos anuales. Además de todo lo citado en el anterior TIER, se dispone de múltiples líneas de alimentación activas y ambas con componentes redundados para cada línea. Lo que supone permite una tolerancia a fallos sin detención del servicio.

La elección de un determinado TIER para el diseño de un CPD deberá estar alineada con los niveles de disponibilidad requeridos por la entidad que quiera implantarlos (para lo cual no vendría mal hacer previamente un análisis de impacto) y siempre teniendo en cuenta los SLAs y OLAs existentes. Es importante no perder el foco de que estamos hablando de disponibilidad de las instalaciones o telecomunicaciones y no de los sistemas de información o aplicaciones.

A pesar de que estamos hablando de porcentajes de disponibilidad muy altos y sobre todo si lo vemos con una perspectiva anual, se debe tener en cuenta en la selección del TIER que no es lo mismo tener un gran número de cortes de duración reducida que un corte prolongado. Es decir, la detención de un servicio durante 28 horas seguidas puede acarrear un grave problema para muchas organizaciones, pero 2 horas durante 14 días a lo largo de 6 meses ser mucho más asumible.

Cualquier entidad puede certificarse bajo determinado TIER (normalmente III y IV) de dos formas: sobre el papel, es decir sobre los documentos de diseño, o bien sobre las propias instalaciones. Cada uno de estas opciones proporciona certificaciones diferenciadas.

En resumen, esta norma proporciona una guía clara y específica para el diseño y construcción de CPDs, introduciendo además el concepto de TIER, el cual permite establecer una serie de requisitos técnicos para garantizar determinados porcentajes de disponibilidad en lo que se refiere a la infraestructura (emplazamiento, acometida, cableado, etc.) que soporta los sistemas de información. Cabe destacar por último, cómo la certificación TIER, a pesar de no estar muy extendida, va teniendo mejor acogida en ámbito nacional, como se puede comprobar con la certificación TIER IV en diseño de entidades como Telefónica, BBVA o Enagas y TIER III en instalaciones de BBVA y Telefónica.

[Para más información, pueden contactar con ahuerta [en] s2grupo.es. Sobre el autor]

Gestionando riesgos con M_o_R®

– ¡¡¡¡¡Me he dejado el coche nuevo abierto con las llaves puestas en el peor barrio de la ciudad!!!!! ¡¡¡¡¡SOCORRO!!!!!

– Tranquilo, que no cunda el pánico. Conozco una metodología de gestión de riesgos que nos dará la visión adecuada para solucionar este problema… Primero identificaremos las actividades de tu vida que se pueden ver afectadas (como ir recoger a tu mujer, ir a trabajar…) bla bla bla, después identificaremos las amenazas existentes, por ejemplo ocupación enemiga o sustracción. Luego calcularemos el riesgo, mediante una función entre la probabilidad de que suceda y el impacto, descontando de ambos las salvaguardas implantadas…. bla bla bla. ¿Dime cuál es tu apetito por el riesgo? bla bla bla… voy a definir un plan de tratamiento de riesgos….

– ZZZZZZZ

– Perfecto déjame decirte que la solución a tu problema es: Que la próxima vez, cierres el coche y cojas las llave cuando aparques.

[Read more…]

LOPD para nostálgicos

Ahora a todo el mundo se le llena la boca hablando de la próxima directiva europea de protección de datos, del cloud, etc. Pero de vez en cuando está bien echar una mirada atrás para ver de dónde venimos. En este post voy a rememorar una aplicación clásica en protección de datos: el RGPD.

Recientemente comentaba con unos compañeros del trabajo si se acordaban de la aplicación que había antes del formulario NOTA para inscribir ficheros ante la Agencia de Protección de Datos. Lo único que recibí fue miradas extrañadas por su parte. Empecé a pensar que quizás mi memoria me estaba jugando una mala pasada, pero en mi fuero interno yo sabía que esa aplicación existió, tenía que desentrañar aquella intrincada cuestión.

Así pues fui a hablar con la persona de mi empresa que más tiempo lleva en esto de la protección de datos, es decir mi Responsable. Cuando le plantee la cuestión al principio mostró cierto grado de escepticismo, pero luego recordó que así era… esa aplicación existía… Para más inri, todavía tenía el instalable y lo que es mejor, aun sigue funcionando en Windows 7.

La aplicación era propia de la Agencia de Protección de Datos y dejó de tener soporte si no recuerdo mal allá por 2007, lo que quiere decir que nunca fue adaptada a las disposiciones del RD1720/2007. Únicamente la utilicé durante menos de un año, puesto que por aquel entonces la aplicación convivía ya con los formularios NOTA. Al igual que el NOTA existían dos versiones, una dedicada a entidades públicas y otra para entidades privadas.

Si me permiten voy refrescarles la memoria para que se hagan una idea. Básicamente se trata de lo que podemos encontrar en una formulario NOTA pero en aplicación local.

El menú principal de la aplicación nos permitía trabajar con las notificaciones, la copia de las mismas a un soporte “magnético”, y el envío a través de las notificaciones a la Agencia. Por otra parte también permitía importar y exportar notificaciones a formato .DAT. Aunque sea únicamente por el “valor arqueológico” e “histórico”, vamos a mostrar en unas cuantas capturas el proceso de creación de fichero (los datos empleados son ficticios, salvo el CIF el cual debe ser válido).

En primer lugar accedemos al menú de notificaciones y pulsamos sobre nueva notificación.

En ese instante la aplicación nos ofrece la posibilidad de creación, supresión y modificación. Accediendo a creación nos muestra un formulario con los apartados a cumplimentar:

Como han podido comprobar existe una correlación directa con la información requerida del formulario NOTA, si bien existe algún apartado que no se encuentra en los NOTA como es el punto 6. Sistema de Tratamiento.

Una vez cumplimentados todos los apartados podíamos guardar todas las notificaciones y enviarlos a la AEPD. Personalmente creo que esta aplicación presentaba alguna ventaja con respecto a los formularios NOTA. Resulta más “ligera” y más operativa dado que podemos replicar ficheros y cambiar solo la información que consideremos oportuno, lo que supone el ahorro de no tener que volver a introducir toda la información común como cuando creamos las notificaciones de una organización.

Hay una cosa que me ha resultado curiosa, y es lo difícil que ha sido encontrar información sobre esta aplicación en la red, y es que hay veces que incluso internet olvida. Obviamente la aplicación no es un modelo SaaS preparada para uso en smartphones, tablets. Pero no me pueden negar que tiene su encanto ¿no?

Piedra, papel, tijeras

Hace 2 semanas fui al cine a ver una película que me recomendaron encarecidamente. La película en cuestión se llama ARGO, dirigida y protagonizada por Ben Affleck. Tengo que reconocer que no tenía puestas muchas esperanzas en ella (Daredevil hizo mucho mal a Ben Affleck… bueno, esa y muchas otras), pero luego resulto que más que buena era una película notable (solo tenéis que ver que en filmaffinity le dan un 7,4).

Sin ánimo de destripar la película, decir que está basada en una historia real y que la acción se sitúa en Irán en 1979 en plena revuelta social. Por contarles lo mínimo posible, les diré que hay un ataque a la embajada de Estados Unidos, y en ese momento se ve como la primera acción que se toma en la embajada es destruir toda la información existente (de hecho si se fijan lo primero que dicen es quemar la documentación y luego emplear las destructoras). La embajada es asaltada pero un grupo de personas de la embajada huye y se refugia en el “algún lugar” de Irán. Debido a que no les ha dado tiempo a quemar toda la documentación, los asaltantes recuperan la documentación pasada por destructoras, que luego es “gestionada” por niños iraníes tratando de recuperar información que les permita identificar a los fugitivos. Y no les cuento más.

Lo que quiero decir es que muchas veces no le damos importancia a la información que tenemos en formato papel, que como se suele decir es la gran olvidada de la seguridad de la información; no todo son contraseñas y cifrado. Del mismo modo cuando destruimos esta documentación, a menudo pensamos que cualquier destructora es suficiente para esta tarea.

Pero ahora yo pregunto: ¿es lo mismo cifrar una Wi-Fi mediante WEP que mediante WPA2? ¿Es lo mismo un format c: que utilizar una herramienta de borrador especializada y realizar varias pasadas de borrado? Pues en la destrucción de la documentación pasa exactamente lo mismo: si no utilizamos métodos de destrucción adecuados nuestra documentación puede ser recuperada (y si no que se lo digan a los forenses que se dedican a este tipo de delitos). Está claro que quemar la documentación nos garantiza que nadie va tener acceso a ella, pero me temó que hacer una fumata blanca en cualquier sitio no es una solución disponible ni adecuada.

En este caso me gustaría introducir el estándar DIN 32757-1 referente a destrucción de documentación. Esta norma proviene del Instituto Alemán para la Estandarización y data de… 1985 (como veis una norma “de cosecha”).

Esta norma establece 5 niveles para la destrucción de documentación, en función del tamaño final de las tiras o partículas trituradas:

  • Nivel de seguridad 1, para documentación general, podríamos decir pública, corte en tiras (10,5 mm) o fragmentos (10,5 x 40-80mm) y tamaño menor a 2.000 mm cuadrados.
  • Nivel de seguridad 2, para documentación pública pero de carácter interna, corte en tiras (3.9 -5.8 mm) o fragmentos (28×28 mm) y tamaño menor de 800 mm cuadrados.
  • Nivel de seguridad 3, para documentación confidencial, corte en tiras (1.9 mm) o fragmentos (0.9x 30-50 mm) y tamaño menor de 320mm cuadrados.
  • Nivel de seguridad 4, para documentación confidencial restringida, corte en fragmentos (1.9×15 mm) y tamaño menor de 30 mm cuadrados.
  • Nivel de seguridad 5, para documentación sin clasificar, corte en fragmentos (0,78 x 11 mm) y tamaño menor de 10 mm cuadrados.

Existe un sexto nivel, no considerado por la norma que establece el tamaño de fragmento menor que 5 mm.

He querido explicar estos niveles referentes a esta norma para que sean conscientes de que esta clasificación ya estaba definida allá por los 90, pero como suele pasar con las normas ya existe una norma que actualiza a esta, la norma DIN 66399 de 2011. Veamos unas pinceladas de las novedades de esta norma.

En primer lugar esta nueva norma introduce el concepto categoría de información, que es lo que equipararíamos a la clasificación de información en la norma ISO 27001. En este sentido define tres categorías (1, 2 y 3). La primera referente a información interna pero de carácter público dentro de la organización, la segunda para información confidencial a la que únicamente tienen que tener acceso determinados perfiles y la tercera categoría para información confidencial restringida de alto nivel.

Por otra parte define 7 niveles de seguridad, de modo que el anterior nivel 4 se modifica por uno nuevo cuyo tamaño máximo de partícula es de 160 mm cuadrados, el nivel 4 anterior pasa a ser el nivel 5, el nivel 5 pasa a ser el 6 y el nivel no oficial 6 pasa a ser el 7.

A modo de recomendación los niveles de seguridad mínimos para aplicación en la destrucción de documentación en función de la categoría serían:

  • Para la primera categoría, información interna de carácter público, cualquier nivel de seguridad.
  • Para la segunda categoría, información confidencial con acceso limitado, a partir del tercer nivel de seguridad.
  • Para la tercera categoría, información confidencial restringida de alto nivel, a partir del cuarto nivel de seguridad.

Como en todo, ya saben cuánto más azúcar más dulce. A partir de ahora cuando vayan a adquirir una destructora de papel, no solo tengan en cuenta cuantas hojas podemos introducir del tirón en la máquina, sino también el nivel de seguridad que proporciona la misma, que la mayoría de veces suele venir indicado. Y si tienen proveedor de destrucción documental además de solicitar el acuerdo de confidencialidad previo deberán exigir un nivel de seguridad en la destrucción de su documentación adecuado sin olvidarse del certificado de destrucción posterior.

En resumen, tener destructora de papel no garantiza que la documentación destruida sea irrecuperable. Así que ahora cuando vean ya sea en la tele o en la vida real una destructora que destruye en tiras de papel… piense que en algún lado puede haber alguien reconstruyendo esa documentación.

Análisis de riesgos con PILAR (II)

Una vez vistos los pasos previos y el punto de entrada al Análisis de riesgos, el siguiente paso es establecer las dependencias entre los activos desde el punto A.1.4 dependencias, para el cual deberemos seguir el esquema de dependencias propuesto en MAGERIT. En la aplicación podremos definir el grado de dependencia entre los activos de modo global o detallando en las dimensiones de seguridad que son de aplicación.

[Read more…]

Análisis de riesgos con PILAR

Si tienen algo de memoria, recordarán que no hace mucho hicimos una breve introducción a PILAR (Deconstruyendo a PILAR y que en otras ocasiones nos hemos introducido en las metodologías de análisis de riesgos: primera parte y segunda parte).

Si conocen PILAR, sabrán que es una mujer que allá por donde va levanta odios o pasiones; lo pudimos comprobar en los comentarios de la anterior entrada. Será quizá porque puede ser complicada, un poco caprichosa e incluso a veces poco amigable. No obstante, tengo que decir que tiene su encanto y me atrevería a decir que se le coge cariño. Lo que está claro es que no es de las que te cautiva a primera vista.

Bromas aparte, podemos decir que PILAR es la herramienta de análisis de riesgos por excelencia al menos en el sector público (español), por diversas razones y por ser una de las principales implementaciones de MAGERIT. En esta entrada vamos a tratar de continuar la introducción anterior, explicando de modo breve y somero cómo llevar a cabo un análisis de riesgos. Para esto vamos a realizar ejemplo analizando nuestro blog favorito: Security Art Work.

[Read more…]

50 sombras de la seguridad

Estimados lectores, he de reconocerles que la lectura se encuentra entre mis numerosas aficiones (aunque suelo huir de best-sellers) y en este sentido si hay algo que no deja de sorprenderme es que allá por donde paso encuentro a alguna persona leyendo o hablando del “Libro del momento”. Si todavía no saben de qué libro estoy hablando, se trata de 50 sombras de Grey. Pero no se preocupen, en este post no vamos a desgranarles el argumento, únicamente lo hemos tomado prestado por la similitud de la temática que vamos abordar en el mismo.

Ya saben que nuestra temática principal es la seguridad de la información y en relación a esto, vamos a tratar incidentes de seguridad vinculados a la difusión de imágenes comprometedoras. Uno de los últimos incidentes que ahora mismo está en boga es el de la concejal de Los Yébenes, Olvido Hormigos, por la difusión de un video íntimo. Al parecer, este video fue enviado por la afectada a través de la aplicación WhatsApp a otra persona con quien mantenía una relación intima, quien tras la ruptura de la relación y como venganza, publicó el comprometedor video en una web de contenido erótico.

Sin embargo no es el único video o imagen comprometida que ha sido difundida con gran repercusión. No tenemos que echar la vista muy atrás para encontrar el robo de las fotos del móvil de Scarlett Johansson allá por septiembre de 2011, o las fotos de Lucía Etxebarría después de que su cuenta de correo y Facebook quedarán comprometidas en enero de 2012. Sin ánimo de asustarles, esto no solo afecta a personajes públicos; sin ir más lejos a primeros de este mismo año fue colgado un video donde dos jóvenes practicaban sexo en una sala de la Universidad Politécnica de Valencia, grabación que tuvo aproximadamente 300.000 reproducción en el primer día (ya querrían muchas tiendas online ese número de visitas).

Ante una situación de este tipo, ¿cómo actuar? En primer lugar se trata de un delito contra la intimidad (obviamente siempre que no hayamos firmado nuestro consentimiento, la cual cosa dudo) y si nos ceñimos al ámbito nacional, constituye una infracción punible con respecto a distintos marcos normativos.

En primer lugar dentro el artículo 7.5 de la Ley Orgánica 1/1982, de Protección Civil del Derecho al Honor, a la intimidad Personal y Familiar y a la propia Imagen.

Artículo 7.

Tendrán la consideración de intromisiones ilegítimas en el ámbito de protección delimitado por el artículo 2 de esta Ley.

[…]

5. La captación, reproducción o publicación por fotografía, filme, o cualquier otro procedimiento, de la imagen de una persona en lugares o momentos de su vida privada o fuera de ellos, salvo los casos previstos en el artículo 8.2.

[…]

Las exclusiones definidas en el artículo 8.2 son las siguientes:

Artículo 8.

[…]

2. En particular, el derecho a la propia imagen no impedirá:

a) Su captación, reproducción o publicación por cualquier medio cuando se trate de personas que ejerzan un cargo público o una profesión de notoriedad o proyección pública y la imagen se capte durante un acto público o en lugares abiertos al público.
b) La utilización de la caricatura de dichas personas, de acuerdo con el uso social.
c) La información gráfica sobre un suceso o acaecimiento público cuando la imagen de una persona determinada aparezca como meramente accesoria.

[…]

El delito contra la intimidad también se encuentra recogido en la Ley Orgánica, 10/1995, del Código Penal, concretamente en su artículo 197. En este mismo artículo también se recogen las penas a las que son sometidas los infractores y para que se hagan una idea les citamos literalmente un punto de este artículo.

Artículo 197.

[…]

4. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores.

[…]

Y con respecto a la ley que más acostumbramos a tocar en este blog, léase la LOPD, ¿existen implicaciones? Sin entrar en detalles, sabemos que esta ley tiene un régimen sancionador y que la difusión sin consentimiento de datos se considera una infracción con una sanción económica asociada. Sin embargo, les pido que perdonen mi desconocimiento pero hasta hoy mismo pensaba que las sanciones solo se podían aplicar a entidades jurídicas, pero tras buscar resoluciones en la Agencia Española de Protección de Datos he encontrado varias resoluciones que implican la difusión de videos por parte de un particular. En concreto, les invito a leer la resolución R/01017/2010, la cual a pesar de no tener contenido sexual, creo que nos serviría para ilustrar una situación análoga. En este caso concreto el fallo resultó en la sanción al denunciado de 1.500 euros.

En cualquier caso, tenemos que tener presente que todos podemos ser víctimas de este tipo de acciones. Aun sabiendo que existen leyes a las que podemos acogernos en caso de vernos afectados, debemos tener cuidado con quién y de qué modo compartimos nuestras fotos y videos personales, ya que en este caso más vale prevenir que curar, y a día de hoy la red no olvida.

Deconstruyendo a PILAR

Siguiendo con la temática iniciada en anteriores post sobre análisis de riesgos en el ámbito del ENS y la metodología MAGERIT (véase Introducción al análisis de riesgos – Metodologías, primera parte y segunda parte), hoy quiero hablarles de una aplicación muy conocida en el mundillo de la seguridad: Procedimiento Informático Lógico de Análisis de Riesgos, que visto así probablemente no les diga nada, pero si les digo PILAR, a lo mejor la cosa cambia.

Muchos de ustedes estarán familiarizados de algún modo con esta aplicación, que cuenta con detractores y seguidores a partes iguales. Si bien debo reconocer que personalmente me encuentro en el segundo bando, el objetivo de este post no es ofrecer una opinión sino introducir a nuestros lectores en esta aplicación.

Antes de empezar me gustaría hacer mención a la aplicación CHINCHON para análisis de riesgos, que podría considerarse la precursora de PILAR, implementado MAGERIT en su primera versión. Al igual que PILAR, CHINCHON también era una aplicación de D. José Antonio Mañas.

[Read more…]

Requisitos del ENS para proveedores de Cloud Computing

Algunos de ustedes se habrán planteado sin duda la posibilidad de externalizar algún plataforma a un servicio cloud, o hacer uso de alguna herramienta SaaS. Además seguramente la mayoría se habrán cuestionado acerca de las implicaciones de seguridad que puedo conllevar delegar la gestión de la información en un proveedor. Efectivamente, la gestión de la información y de los servicios por un tercero supone la pérdida parcial de control sobre sus sistemas de información y no nos engañemos, el ser humano no es un fan acérrimo de la incertidumbre (que se lo digan a los mercados…), a la vez que esta externalización supone que cierta parte de la gestión de los riesgos y el cumplimiento legal recaiga en el tercero.

Anteriormente en este blog ya hemos hablado en alguna ocasión sobre el cloud computing ([1] [2] [3] [4] [5]). Así pues de acuerdo con lo expuesto, en este post intentaremos arrojar un poco de luz sobre los aspectos legales que deben ser tenidos en cuenta a la hora de contratar un servicio en la nube, aunque solo entraremos en detalles referentes al cumplimiento del ENS y no de un modo exhaustivo.

Si somos un Administración Pública afectada por el ENS, tendremos en cuenta las consideraciones descritas en el punto 4.4. del Anexo II del ENS, como se indica a continuación:

4.4 Servicios externos [op.ext].

Cuando se utilicen recursos externos a la organización, sean servicios, equipos, instalaciones o personal, deberá tenerse en cuenta que la delegación se limita a las funciones.

La organización sigue siendo en todo momento responsable de los riesgos en que se incurre en la medida en que impacten sobre la información manejada y los servicios finales prestados por la organización.

La organización dispondrá las medidas necesarias para poder ejercer su responsabilidad y mantener el control en todo momento.

Este punto comprende 3 apartados:

  • 4.4.1 Contratación y acuerdos de nivel de servicio (solo aplicable a sistemas categorizados de nivel medio o alto)
  • 4.4.2 Gestión diaria (solo aplicable a sistemas categorizados de nivel medio o alto)
  • 4.4.3 Medios alternativos (Solo aplicable a sistemas con disponibilidad categorizada de nivel alto)

En primer lugar, previo a la contratación se deberá hacer o revisar el análisis de riesgos, para evaluar si el riesgo que introducimos al migrar servicios a la nube es mayor que el de tener los sistemas de información en local, en cuyo caso deberemos valorar si el nivel de riesgos es superior al criterio asumible por la Dirección de la entidad, siempre teniendo en cuenta los aspectos contractuales ofrecidos por el proveedor.

En lo referente al punto 4.4.1 el contratante deberá requerir contractualmente, siempre y cuando vaya a migrar servicios categorizados de nivel medio o superior:

  • Descripción del servicio, identificando el lugar o lugares donde residirán los sistemas.
  • Acuerdos de nivel de servicio.
    • Tiempo de respuesta ante desastres.
    • Tiempo de recuperación del servicio.
    • Porcentaje de disponibilidad del servicio.
    • Penalizaciones.
  • Funciones y obligaciones.
  • Devolución o destrucción de la información tras la finalización del acuerdo

Además, en caso de que se incluya el tratamiento de datos, éste deberá estar regulado de acuerdo a lo estipulado en el artículo 12 de LOPD, y siempre teniendo en cuenta las implicaciones que puedan las transferencias internacionales de datos.

Por otra parte, de acuerdo al apartado 4.4.2. Gestión diaria, es necesario establecer un proceso de monitorización para ver cumplimiento de SLA así como otras obligaciones que estén incluidas en el servicio, procedimientos de coordinar mantenimientos (como puede ser actualizaciones) y procedimientos para coordinación de incidencias y desastres. Por último de acuerdo con el punto 4.4.3 se deberán aportar garantías de disponibilidad del servicio ante la caída del servicio contratado. Es decir, que además de disponer de SLA ante desastre, el proveedor disponga de medidas que permitan la continuidad de negocio.

Sin entrar a detallar de modo exhaustivo los requisitos en la contratación de servicios cloud, he querido dar unas pinceladas rápidas de los aspectos que deben ser revisados por las Administraciones Públicas para la contratación de estos servicios. Por otra parte, los principales proveedores se ubican fuera del ámbito nacional, haciendo uso de infraestructura ubicada a su vez en otros países, por lo que están sujetos a legislación que puede ser equiparable o no la Española. Por ello, un aspecto recomendable sería la existencia de un certificación de acuerdo con la norma ISO 27001 cuyo alcance incluyan los servicios de Cloud Computing, para disponer de unas garantías de seguridad razonables.

Sin lugar a dudas el Cloud Computing está de moda, pero la controversia está servida cuando se trata de seguridad en la nube y no hay ninguna duda de que queda un largo recorrido cuando de asegurar la nube se trata. Pasen, con nubes o sin ellas, un buen fin de semana.

[Sobre el autor]