Clasificación de la información (I)

En las auditorías de seguridad de la información, al igual que en las de protección de datos personales, uno de los temas que es motivo frecuente de incumplimiento, es la carencia de un procedimiento de clasificación de la información y adicionalmente, la clasificación de los riesgos inherentes a aquella. ¿Cómo se entiende que una organización pueda controlar la información que gestiona (importante activo) sin establecer ciertas categorías en la misma y aplicar los debidos controles para su validación, protección y limitación de uso y acceso?

Unos ejemplos

El periódico que está sobre la mesa de recepción, no tiene clasificación alguna y es de acceso público, pero si casualmente hablase de la organización, probablemente se intentaría evitar su acceso (en caso negativo) o se pincharía en el tablón de anuncios (caso positivo); vemos que el contenido —la información— delimita la categoría del soporte. Un albarán de envío de materiales (pongamos una fábrica de tubos) a un cliente sólo mostrará la dirección social del cliente y la lista de productos, siendo por tanto una información confidencial, pero de bajo nivel de riesgo. Sin embargo, si el mismo albarán va valorado, mostrará precios aplicados al cliente así como posibles descuentos y formas de pago (no quisiera pensar que mostrase la cuenta bancaria), conteniendo de este modo información confidencial de un nivel superior en relación al caso anterior, dado que cualquiera que tuviera acceso a él, podría conocer detalles sobre los términos comerciales de acuerdos en precios, descuentos y formas de pago con el cliente. Esta información es sensible y muy apetecida por la competencia.

[Read more…]

La fiabilidad del proveedor de seguridad

Por todos es conocido el hecho de que el mejor producto que pueda fabricarse, o servicio que pueda proveerse, necesita de una gestión de marketing para su promoción en el mercado al que va dirigido; por bueno que sea, un producto o servicio no se vende si no se da a conocer. La labor del personal de este departamento, tantas veces infravalorada por otras áreas de la empresa es la que da vida a la misma, mediante la promoción de productos y servicios para la obtención de contratos y pedidos por parte de los clientes. Esta tarea es casi siempre callada y confidencial, con el objeto de evitar que otros competidores puedan estar informados de las posibilidades de negocio de la compañía, y sólo cuando una contratación se produce, se anuncia, anuncio que casi nunca transmite de manera evidente el esfuerzo que ha requerido la venta, y más aún en el caso de nuevos clientes.

Sin embargo, en todos los sectores existen factores que el personal de Marketing no ignora y que son decisivos a la hora de valorar las posibilidades de obtener un contrato con un cliente. En el caso que nos ocupa, los servicios de seguridad, hay una serie de componentes que facilitan o complican la presentación de ofertas y sus posibilidades de éxito, y que posteriormente serán los que condicionen la satisfacción del cliente y su fidelidad.

Inicialmente, el cliente valorará el producto o servicio ofrecido, y verá si satisface sus necesidades. En caso de ser así, pasará a valorar al proveedor que se lo ofrece, para lo cual evaluará la infraestructura de soporte de la que el proveedor dispone, las ventajas particulares que le aportaría dicho proveedor frente a otros (valor añadido), y considerará el nivel de satisfacción que otras empresas o clientes usuarios del mismo servicio puedan aportarle como referencia. En definitiva, lo que está haciendo es contrastar la fiabilidad del proveedor antes de realizar la contratación.

Es aquí donde la gestión interna del proveedor, su estructura, su eficacia y su coste van a jugar un papel importante para que el posible cliente juzgue conveniente o no depositar su confianza en él. Además, la información que un cliente satisfecho o insatisfecho puede aportar en estos casos es clave para la obtención de nuevos contratos, y podemos decir que en ese instante, se está valorando sobre todo la fiabilidad y actitud del personal que presta el servicio, mas que la marca o nombre de la empresa proveedora.

Entrando en materia, en lo que concierne a servicios de gestión y seguridad de la información, la actitud de los empleados que prestan el servicio, la calidad de los procesos que intervienen en el control de problemas y solución de los mismos, el tiempo de respuesta y duración de los incidentes, así como la posible repetición o desaparición de estos, son factores clave a la hora de valorar los servicios de un proveedor, y serán transmitidos por el cliente “experto” al “futurible” de una forma positiva o negativa, de acuerdo a su situación y nivel de satisfacción con dicho proveedor.

Por ello, el personal de soporte resulta, más en ocasiones que otras personas igualmente vitales pero menos visibles, un elemento crucial en el posible éxito o fracaso del área de servicios de una empresa, tanto por parte del proveedor de dichos servicios (fundamental) como por parte del equipo interno del cliente. Al fin y al cabo, ambos van a menudo de la mano, y el entendimiento y colaboración entre ambas partes llevará al éxito o fracaso del servicio, con independencia del nivel de gravedad de los incidentes que se produzcan; al respecto, suele ser más lesiva una permanencia repetitiva de incidencias de bajo nivel a la que nadie presta la debida atención, pero que comprometen a empleados del cliente, que un incidente de nivel alto solucionado con prontitud, ya que siempre pesará más el día a día que la situación excepcional, sin negar la importancia que tal hecho tenga.

Para que el equipo de soporte alcance el nivel de prestaciones y desempeño que de él se espera, será también necesario organizar internamente el equipo, definiendo roles y responsabilidades (job descriptions), medios de medición de cumplimiento, etc., pero también facilitando herramientas eficaces y claras a los responsables del servicio, de modo que cada cuál sepa qué debe hacer en cada caso, y cuales son las soluciones que puede aportar. Para ello, métodos, procedimientos y políticas serán fundamentales, no bastando con redactarlas y publicarlas sino que será necesario un entrenamiento y puesta al día periódicamente, para alcanzar una alta fiabilidad. En este asunto, el trabajo planificado, los controles de errores, la inspección y test preventivos son fundamentales, pero también la permanencia del personal en su puesto (baja rotación), preservando la experiencia y el conocimiento necesario, tanto sobre su entorno de trabajo como sobre el de los clientes a los cuales presta el servicio. Todo ello proporcionará un importante incremento en la eficacia del servicio.

Es pues necesario recalcar que la labor de venta de un servicio y la contratación del mismo no son artes que una empresa pueda desarrollar sin tener una base de soporte bien asentada y un personal eficaz y responsable que conozca la importancia de su trabajo y lo crucial de sus relaciones con los clientes. La seguridad de los servicios, como en tantos otros negocios, no es solamente un tema técnico sino que está influenciada por un factor humano que los condiciona enormemente.

En 37 años como proveedor y cliente de servicios de seguridad y gestión de la información, he visto toda clase de problemas, graves y menos graves, resueltos con prontitud o con dificultad, pero siempre el factor de confianza en el equipo humano que daba el soporte ha sido crucial en la toma de decisiones posteriores y en la valoración de nuevos contratos. Formación y titulación de los técnicos son factores que generalmente no están al alcance del posible cliente, pero eficacia, disponibilidad y confianza son términos que se manejan con claridad a la hora de que un responsable de contratar un servicio haga una propuesta a la dirección de su empresa. Para ello, siempre contrastará otras experiencias antes de decidir y por ello, de nuevo el personal que presta el servicio es una de las claves de éxito.

¿Seguridad o portabilidad?

Hoy en día, los dispositivos móviles se han convertido en un medio tremendamente eficaz para acceder a la información desde cualquier lugar donde podamos necesitarla. Para sus usuarios, la facilidad de acceso independientemente del lugar donde nos encontremos, con el fin de aportar y utilizar la información en seminarios, reuniones, discusiones y negociaciones, para simplemente realizar trabajos durante tiempos muertos en viajes o durante periodos de ausencia de la oficina por otros motivos, así como la posibilidad de tener la oficina en casa, son simplemente herramientas imprescindibles cuando se realiza un trabajo que requiere permanente atención y disponibilidad personal.

Desde el punto de vista del empresario, la tecnología móvil es un medio de facilitar a sus empleados acceso a los datos de la compañía, tanto de negocio como de producto, que potencia de un modo notable las capacidades de negociación y decisión de aquellos. Sin embargo, es muy fácil ver las ventajas, pero resulta menos frecuente pensar en los inconvenientes y riesgos que tal tecnología aporta.

Consideren un Centro de Proceso de Datos. El empresario sabe cuán alto es el presupuesto que le dedica, y considera que es una inversión y un gasto cuyos retornos no siempre están claros o son fácilmente evaluables. No obstante, sí que suele ser consciente de que la seguridad de sus datos es algo como mínimo importante y que el acceso a esta información debe ser controlado y justificado: datos de negocio, de diseño de productos, de estrategias de mercado y desarrollo de la compañía son críticos para la supervivencia de ésta y por otra parte, cada día más, también la protección de los datos personales de sus empleados y colaboradores resulta ser importante, si no se quiere tener un incidente público y encontrarse frente a una fuerte multa y/o un problema de reputación.

Supongamos por tanto que la compañía en cuestión ha invertido un gran presupuesto en almacenamiento de datos, teniendo los sistemas protegidos con tecnologías RAID en los discos duros, haciendo “mirroring” sobre un sistema paralelo con procesador y copia de datos en línea, para dar continuidad a los procesos en caso de recuperación de desastres. Todo esto se encuentra en dos salas separadas y estancas, protegidas con medios de detección y extinción de incendios, protección contra invasión de aguas y gases, paredes y puertas resistentes al fuego, alarmas de intrusión lógica o física, control de accesos, etc. Además hay un sistema de cajas fuertes que guardan las copias de los datos realizadas diariamente. O sea, una fortuna cada mes.

Pues bien, toda esta tecnología y ese gasto mensual, además de la dedicación y el cuidado de un equipo de profesionales especializados en su explotación y control, se ven anulados de repente cuando un empleado hace una copia de datos a su sistema portátil —cuya necesidad no siempre está justificada—, sistema que muy frecuentemente carece de los medios adecuados de protección de la información copiada, creando así un nuevo riesgo en un ambiente externo a la seguridad de sistemas descrita. Esto tendrá como consecuencia la necesidad de un nuevo gasto en seguridad adicional que, por resultar engorrosa para el usuario no especializado, con mucha frecuencia acaba no utilizándose: contraseñas de arranque en BIOS, llaves con certificados digitales, controles biométricos, etc.

A lo largo de las auditorias se detectan de manera reiterada los mismos problemas en diferentes empresas, que aportan riesgos importantes e innecesarios a la información, y ponen en evidencia que la seguridad centralizada no es suficiente.

Por ejemplo. El ciclo de solicitud de un usuario para el acceso a la información suele incluir las firmas y autorizaciones necesarias para otorgar dicho acceso; no siempre se incluyen las funciones que un usuario puede ejecutar, pero al menos si suele incluirse a que bases de datos va a acceder. Una vez ganado el acceso, resulta fácil conseguir volcar una copia de los datos, bien por falta de impedimentos (controles técnicos u organizativos), bien por autorización “tácita” del administrador, que se dice a sí mismo que si tiene acceso autorizado, entonces es que debe poder —estar autorizado a— copiar los datos (tremendo error). En otros casos, el volcado está autorizado debidamente, pero una vez los datos están en los sistemas personales, copiar estos o “sincronizarlos” con una PDA o similar, que el administrador ni siquiera sabe que existe, es bastante más fácil. Con ello, alguien que trabaja con un acceso autorizado, acaba teniendo una copia propia de la información.

Estirando un poco del hilo, muy posiblemente la información acabará llegando a un dispositivo cuyo usuario no sabe que es eso del cifrado, ni le agrada la contraseña tan molesta para arrancar el sistema, ni tampoco es consciente de la cantidad de gente que trabaja vendiendo datos robados, o dicho de una forma más suave, procedentes “de fuentes desconocidas”. A todo esto, el responsable de los sistemas sin enterarse del problema y el empresario creyendo que tan alta factura mensual le asegura que sus datos están protegidos en casa.

Pues bien, aportando datos muy recientes se puede ver cuál es la realidad de esto que parece una exageración:

  • El Canal Historia (de pago) el domingo 20 de julio por la tarde, emite un documental sobre el espionaje. Sorprende saber que una compañía alemana de diseño de aerogeneradores, cuya eficiencia estaba muy por encima de sus competidores, fue denunciada por derechos de patentes cuando intentó comercializarlos en Estados Unidos. Había una empresa que tenía los mismos diseños y tecnología patentados allí. La investigación concluyó en que un grupo de expertos en espionaje industrial, ayudados por algunos empleados, habían copiado diseños y materiales y se habían adelantado en su fabricación y patente en USA. El resultado es que la compañía alemana tuvo que esperar diez años para entrar en el mercado americano y por supuesto hacer un expediente de regulación de empleo.
  • Última hora | EL PAIS | Internacional – 20-02-2008
    La policía brasileña investiga un posible espionaje industrial en Petrobras
    EFE
    «… en Río de Janeiro, Valdinho Jacinto Caetano, afirmó ayer en conferencia de prensa que los ladrones se apoderaron de uno de los cinco ordenadores portátiles que había en el contenedor y de las placas de memoria de otros dos.

    “En un robo común, la persona se lleva el ordenador entero para usarlo … lo que indica que sería espionaje industrial”, agregó. Pese a que ni la policía ni Petrobras han confirmado el contenido de las placas de memoria robadas, la prensa local afirmó que contenían datos geológicos de la cuenca marina de Santos, donde la petrolera descubrió un yacimiento de hidrocarburos …»

  • Última hora | EL PAIS | Internet – 18-07-2008
    Los portátiles robados son delatores
    EFE
    « Cientos de miles de ordenadores portátiles desaparecen cada año en EE UU, bien por robo o descuido. Sólo en los aeropuertos del país se pierden cada semana unos 10.000 aparatos, generalmente … en un estudio oficial.»
  • En uno de los periódicos de este fin de semana, las fuerzas aéreas americanas reconocen que en los últimos años les han robado algunos miles de PC’s (solo?).

Y así sucesivamente….. ¿Entonces, qué hacer? Las reglas no son difíciles de explicar pero son bastante difíciles de implementar:

  • Dar acceso a datos en lugar de dar copias de datos.
  • Minimizar accesos y copias.
  • Cuando las copias sean imprescindibles, resumir y seleccionar la información necesaria. Solicitar autorización para la copia y establecer un periodo tras el cual se destruya.
  • Si la información copiada es confidencial, cifrarla y proteger su acceso.
  • TODOS los dispositivos portátiles deberían tener una contraseña de arranque.
  • TODOS los programas de comunicación con otros dispositivos deberían estar protegidos con contraseñas.
  • La seguridad física de los dispositivos debería ser un motivo de incentivación, y la pérdida o robo por descuido un motivo de acción disciplinaria.
  • NUNCA un dispositivo portátil para uso profesional debe estar accesible a personas distintas del empleado (incluyendo la familia los amiguetes, etc).
  • Mantener un inventario de dispositivos autorizados y sus usuarios.
  • Hacer auditorías periódicas del contenido de los sistemas, en el momento que se conectan a la red.

Hay muchas mas reglas, pero la más básica es que la información solo debe almacenarse donde su seguridad esté garantizada. Y eso es todo por ahora. Seguiré dando el tostón.

Diferencias culturales en protección de datos

A causa de la gestión de un proyecto europeo de protección de la privacidad de las personas y de la seguridad de sus datos en una empresa multinacional, tarea a la que llevo dedicado los últimos siete años de mi vida profesional, he tenido que estudiar las diversas leyes y normativas acerca de la protección de datos. Aunque están todas ellas basadas en la Directiva Europea y por tanto con textos legales muy similares, no sólo hay pequeños detalles que las hacen totalmente diferentes, sino que además la manera de interpretar y aplicar dichas leyes por los ciudadanos de cada país, convierten la protección de datos personales en algo muy dispar en requerimientos, riesgos y consecuencias, afectando de manera importante al coste de adaptarse a cumplirlas o simplemente ignorar que existen (ya que de todo hay en esta Unión Europea).

Si empezamos por el ámbito de aplicación, en algunos países se especifica que afecta a las personas físicas, en otros también a personas jurídicas, en otros además a todas las organizaciones legalmente establecidas, y para colmo existe un problema común ya que no hay manera de establecer el límite entre persona identificable y no identificable de una forma clara.

Otro punto a destacar es la manera en que la población de cada país percibe lo que son sus derechos; en algunos países se considera que la libertad de las personas es lo primero, y se entiende por tanto que esta libertad lo es tanto para ciudadanos como para empresas y entidades que puedan hacer negocio con los datos personales, lo que genera una situación opuesta a la pretendida por la ley. En otros países, pasadas épocas represivas hacen que el ciudadano perciba que eso de dirigirse al estado para ejercitar un derecho (los de acceso, por ejemplo) no estaría bien visto, y quién sabe si traería consecuencias negativas. En otras culturas, la libertad es un concepto ambiguo y por tanto uno ni se preocupa de sus datos personales.

A todo esto hay que añadir que el responsable de la privacidad de datos de una empresa no deja de ser un ciudadano más, que percibe los riesgos y requerimientos de cumplimiento legal de acuerdo a su propia cultura, ya no la del país donde se encuentra, lo que complica el asunto un poco más.

Si utilizamos los mismos parámetros para medir el grado de cumplimiento de la protección de datos, los resultados entre países son totalmente dispares, pero la percepción de riesgo es inversamente proporcional a éstos. Es decir, que quién mas riesgo pudiera tener por no haber hecho prácticamente nada en la protección de datos de carácter personal, percibe que tal riesgo no existe porque en su país no pasa nada si no se ocupa uno de estas cosas de la protección de datos. Como todo, esto tiene un coste en dedicación de recursos internos o externos, ya que si hay que solicitar un presupuesto para cumplir, es difícil que quien ha de aprobarlo perciba que es necesario y prioritario algo que en realidad piensa que no lo es.

Por ejemplo, en una gran empresa del Reino Unido, el responsable de protección de datos opina que poner nombres de los pacientes en las facturas dirigidas a la administración del hospital, no tiene ninguna implicación con la ley de protección de datos, pero por supuesto, el hospital requiere de inmediato la supresión de esta práctica. Y este es sólo un ejemplo; mientras que los hospitales del Reino Unido están en el punto de mira de la autoridad británica y se sienten vigilados, sin embargo ni siquiera los pacientes, los verdaderos afectados, se preocupan de que pasa con sus datos.

En el caso de incumplimiento ético y legal en la protección de datos, los empleados de la misma compañía tienen la obligación exigida por reglamento oficial, de reportar las incidencias producidas en su entorno, tanto si son motivadas accidentalmente, como intencionadamente, o la prohibición de tales prácticas, según el empleado se encuentre en Francia, España o Alemania, por ejemplo.

También en el ámbito de registro y documentación, las condiciones son dispares. La mayoría de los países europeos no exigen crear un documento que recoja las medidas de seguridad ni los ficheros y sistemas que los tratan, sin embargo otros como España, Italia o Polonia, exigen la creación y mantenimiento al día de su Documento de Seguridad y Política de Seguridad (no sé decirlo en polaco) o el Documento Programático y Disciplinare Technico respectivamente, con los costes y dedicación que este requerimiento conlleva.

Si registramos ficheros, las diferencias en los formularios son abismales y la reacción de las autoridades en el momento de aceptar o denegar el registro también. Un mismo fichero fue registrado en el Reino Unido en 48 horas, en España costó casi un mes, con requerimientos adicionales de información y en Portugal más de seis meses, tras sucesivas teleconferencias con la CNPD (autoridad portuguesa) y envío de documentación adicional. Otro ejemplo más de la disparidad de condiciones en esto de la protección de datos.

Por otra parte, en España tenemos fama de tener la ley mas restrictiva en protección de datos (léase la mas exigente) y sin embargo la Agencia Española, la AEPD, ha colaborado con la Polaca en la creación de su ley de protección de datos personales. El resultado final es una ley gemela de la nuestra, y un reglamento para chuparse los dedos, ya que el nivel de requerimientos de documentación de los sistemas informáticos raya la locura, además de sugerir que se implemente la seguridad de acuerdo a la ISO 17799. Eso sí, por el momento casi nadie conoce tal ley, y mucho menos el ciudadano polaco.

Si hablamos de Italia, el Garante (autoridad italiana) está haciendo auditorias por sectores para ver si consigue convencer a las empresas de que esto de la protección de datos va en serio. Sin embargo, el ciudadano italiano medio no sabe quién es el Garante ni a qué se dedica.

Y así sucesivamente, de tal modo que estandarizar normas y procedimientos dentro de una compañía multinacional es bastante fácil a la hora de escribirlos y publicarlos pero… ponerlos en práctica es una auténtica utopía. En unos países se considera vital y se agradece el soporte y en otros prácticamente estás molestando y creando problemas innecesarios. Y todos, bajo el mismo paraguas legal: la Directiva Europea.

Y si hablamos de controles y auditorias… eso lo dejaremos para otra ocasión.