Irresponsabilidad Corporativa y Mal Gobierno

Ahora que está tan de moda la Responsabilidad Corporativa y el Buen Gobierno (ver la reciente entrada de José Rosell), parece que los eventos que estamos viviendo a nivel mundial se empeñan en demostrarnos que éstas brillan por su ausencia, o que al menos se están entendiendo más como una moda o una cuestión de imagen de cara a la galería, que como un compromiso real. Sólo así se entienden hechos como el desplome financiero de grandes (y hasta hace poco, reputadísimas) entidades financieras que han incurrido en situaciones de riesgo operacional tan irracionales como irresponsables, o problemas como los que está sufriendo Islandia. Estos acontecimientos hacen cada vez más patente la necesidad de supervisión y control interno real en las organizaciones, y remarcan la necesidad (y al mismo tiempo, su insuficiencia) de la existencia de leyes como la SOX; evidentemente mejorables, pero imprescindibles.

Aunque también habría que implantar controles relacionados con la Responsabilidad Moral o Ética para algunas de estas empresas y sus directivos, pero para esto, así a bote pronto, me cuesta más plantearme el diseño de los controles. Discúlpenme, pero necesitaba desahogarme.

Adeona

Últimamente parece que estemos un poco obsesionados con la seguridad alrededor de los portátiles. Han habido varios posts al respecto. Hemos hablado del auge de su protagonismo como activos a proteger, por el aumento de la extensión de su uso, no sólo por parte de gerentes y ejecutivos —que transportan en ellos información muy confidencial de sus organizaciones— sino también por técnicos y comerciales. También hemos hablado de medidas de seguridad proactivas que se les pueden aplicar: cifrado del disco, protección de acceso, etc.

La cuestión es que es un hecho que los portátiles son activos muy “golosos” para los amigos de lo ajeno, ya sea por el valor económico del dispositivo como tal o por el valor de la información que en él reside (en la mayoría de los casos, infinitamente superior). Buceando por la red me he encontrado con otra medida de seguridad pensada para estos dispositivos (aunque puede ser aplicada de igual manera a ordenadores de sobremesa o servidores), en este caso de tipo reactivo. Quizás alguno de ustedes la conozcan. Se trata de Adeona, una solución open source desarrollada por miembros de la Universidad de Washington en colaboración con participantes de la Universidad de California San Diego y la Universidad de California Davis. Esta herramienta permite trazar la localización de un portátil perdido o robado con la simple instalación de un pequeño software cliente (e incluso fotografiar al ladrón, en ciertos casos), y sus autores están trabajando para llevar esta herramienta al iPhone, “teléfono” que no dudo que tiene su buena tasa de robos.

Entre otras, la herramienta tiene algunas características que la hacen interesante, como que no precisa de un servicio centralizado y propietario para la localización del dispositivo, y preserva la privacidad del propietario del portátil, pues sólo éste puede revisar las pistas de localización del portátil, que permanecen cifradas. Y es open source y gratuita, lo que asegura en gran medida que Adeona no hace cosas que “no debe”.

Desgraciadamente, hoy por hoy, la versión disponible de Adeona no es a prueba de balas. Es inútil si la persona que sustrae el dispositivo lo destruye o desensambla, si lo formatea, le impide conectarse a Internet, o incluso si desinstala el agente. Pero contra aquellos “sujetos” poco duchos en informática que lo roban con el único propósito de venderlo bajo mano, sin más complicaciones, o para aquellos que deciden “fisgonear” por el contenido del dispositivo una vez robado, puede ser altamente efectivo. Les recomiendo que le peguen un vistazo.

“Eso no va conmigo”

Siempre que abordarmos un proyecto de auditoría de ISO 27002 o la implantación de un SGSI nos sigue sorprendiendo la actitud de ciertos directivos, que presionados por la urgencia del día a día, y por el seguimiento de indicadores puramente productivos, digamos que no contemplan (por no decir que desestiman o dejan de lado, que queda más feo) los riesgos a los que sus procesos de negocio se encuentran expuestos desde el punto de vista de la seguridad. Para ser justos, también nos encontramos con gerencias que están preocupadas por estos aspectos, o que ven por ejemplo —como siempre recalcamos en este tipo de proyectos— la viabilidad de trasladar las medidas de seguridad que se implantan para tratar datos de carácter personal al resto de la información que tratan sus organizaciones, y que a fin de cuentas es la que de verdad es importante para ellos desde el punto de vista del negocio. Pero insisto, todavía son “los menos”.

Si me permiten la expresión, a veces “se me pone la carne de gallina” cuando detectamos las barbaridades que en algunos casos se cometen gestionando esta información, y estoy hablando de grandes organizaciones, no de PYMES: envíos de documentos confidenciales a través de cuentas de webmail (Hotmail, Yahoo!, Gmail, etc.) porque el servidor de correo corporativo tiene una limitación en los ficheros anexados, redes corporativas —con acceso por parte de proveedores externos— sin segmentar, inexistencia de acuerdos de confidencialidad firmados con terceros, etc.

Incluso en el ámbito de auditorías de seguridad lógica comprobamos que sí, efectivamente, la empresa dispone de un IDS, pero que simplemente está “dejado caer”, sin que se haya configurado adecuadamente, o sin que nadie esté dando aunque sea un vistazo a las alertas que se puedan estar generando. O que cuando lanzamos las auditorías automáticas de vulnerabilidades, nadie (ya sea el departamento de sistemas o la empresa externa que dice estar gestionando la seguridad de la red auditada) detecta el aluvión de escaneos de puertos. Y no voy a entrar en el apartado de las medidas de seguridad de los CPDs, en la ausencia de control en el acceso a la información en soporte papel en salas de archivo de uso compartido, o en el espeluznante capítulo de la información confidencial en equipos portátiles, que tan acertadamente describió nuestro compañero Alberto Rivas.

Parece ser que esos riesgos no van con ellos; aparentan creer (por los hechos los conocerás, que decía aquél) que la información de su negocio no le interesa a nadie. Por desgracia, las cosas no son exactamente así, y siempre hay gente interesada en tu información.

Y esta es una PYME.

Con eMas no habría pasado…

[Actualización 29/01: Hemos decidido, para incrementar de alguna manera la participación en el blog, habitualmente escasa como pueden apreciar, abrir de manera indefinida los comentarios, de modo que ya no es necesario estar registrado para realizar un comentario sobre una entrada. Por supuesto, aquellos usuarios registrados pueden seguir comentando como usuarios registrados. Esperamos que esto les motive a dejarnos sus opiniones, que les aseguro estamos ansiosos por escuchar.]

No es mi intención trivializar el caso, todo lo contrario, y sobre todo si tenemos en cuenta su magnitud económica. Pero el caso de la Société Générale (y la que está cayendo) ha vuelto a poner encima de la mesa la necesidad cada vez mayor de implantar sistemas de monitorización de las actividades de negocio de las organizaciones, y sobre todo de aquellas que pueden poner en peligro su estabilidad financiera, como ha ocurrido en el caso que nos ocupa.

Con independencia de que la versión que se ha dado de lo ocurrido me resulta realmente difícil de creer (es decir, que una sola persona sea capaz, sin que nadie se entere, de cometer un fraude por una cantidad equivalente al 80% de los beneficios obtenidos por el BBVA el pasado ejercicio), este hecho nos pone delante de las narices la necesidad del control interno y la oportunidad de la implantación de normas equivalentes a la SOX (Sarbanes-Oxley Act) americana en el ámbito europeo; qué mejor momento que éste para exigirlo.

Es más, a mi modesto entender no debería tratarse de normativas sectoriales (como los acuerdos de Basilea en el sector financiero o Solvencia en el sector asegurador), sino que este tipo de regulación debería extenderse a cualquier sector de negocio, adaptándose a las características intrínsecas de cada caso. Los directivos de cualquier organización deben tener muy presente que la falta de control de factores de riesgo —ya sea un riesgo reputacional, el riesgo de una rotura de stock de un producto crítico, o el riesgo que puede estar asumiendo un comercial en una determinada operación de venta por alcanzar los objetivos de año— puede poner en peligro en un momento dado la continuidad en el mercado de su empresa, sin tener en cuenta posibles perjuicios para terceras partes (los clientes, por ejemplo) y responsabilidades de carácter penal para los implicados.

Tomen esto como una primera aproximación a temas que van cogidos de la mano: el análisis de riesgos, la monitorización de procesos y la continuidad de negocio. Aparte de eso, nada más; que les sea leve el lunes.

[N.d.E. Sin ánimo de hacer autobombo, algo a lo que como pueden ver en este blog no estamos acostumbrados (ni nos gusta, puedo añadir) “eMas” es un producto desarrollado por S2 Grupo y orientado a la monitorización de procesos y la gestión en tiempo real.]

[N.d.E. El próximo miércoles, nuestro compañero Antonio Villalón participará en el 1er Foro Latinoamericano STC a través de videoconferencia, con una ponencia en torno a la Convergencia de las Seguridades. Les seguiremos informando.]

“Habida cuenta del estado de la tecnología”

Probando, probando….

Hay una frase en el artículo 9 de la LOPD que a los que nos dedicamos a esto de la seguridad nos hace mucha gracia. Es aquella que dice que “el responsable del fichero […] deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos […] habida cuenta del estado de la tecnología […]”.

Extrapolemos esto al ámbito de la seguridad en general, y no sólo restringida a los datos de carácter personal: el estado actual de la tecnología hace que, por ejemplo, tengamos a nuestro alcance dispositivos del tamaño de un paquete de tabaco (me parece que esta comparación está pasada de moda) que nos permiten hacer fotografías, grabar imagen, voz, hacer fotocopias y un café descafeinado de máquina.

Esto hace que, por ejemplo, en la revisión que llevamos a cabo en las auditorías de la ISO 27002 del grado de cumplimiento de los controles del dominio de Seguridad Física, estemos valorando la existencia de controles que impidan la entrada de este tipo de dispositivos a áreas de acceso limitado y restringido de las organizaciones.

El otro día hice una prueba: mientras manteniamos una apasionante reunión del Comité de Calidad de mi empresa estuve haciendo fotos con el móvil a los integrantes del Comité que estaban sentados en la mesa. Nadie se dio cuenta. Comprenderán que no ponga las fotos…

To be or not to be… evil?

google_tanga.jpgReconozco que soy “de la vieja escuela”, que me gusta “tocar papel” cuando tengo que revisar un informe o leer un documento mínimamente extenso (y tengo que reconocer que esto me provoca un conflicto con mi conciencia medioambiental, pero eso es otro tema…). Ese gusto por el papel hace que periódicamente —siguiendo la política de mesas limpias implantada en mi organización— tenga que hacer limpieza, y destruir adecuadamente la documentación obsoleta.

Revisando papeles, y teniendo reciente un “correo-sugerencia” que me recordaba que hacía tiempo que no escribía nada para el blog (N.d.E: “hacía tiempo” es una estimación algo optimista, teniendo en cuenta que la anterior aportación es del 25 de mayo) me descubrí a mi mismo ojeando una noticia en ElPais.com sobre el apasionante mundo de “los buscadores y los datos personales”. Y me dije: de hoy no pasa.

Tan sólo quiero lanzar al aire una serie de reflexiones:

1) Si uno visita el sitio www.google.es, tras buscar la política de privacidad de la web, la misma resulta ser realmente vaga (política que ha sido denunciada recientemente por Privacy International como una de las peores que se pueden encontrar por Internet), por ningún lado se le va a dar el derecho de información que exige la legislación sobre protección de datos personales, y tampoco he visto información que responda al cumplimiento de la LSSICE (es un dominio .es, ¿no?)

2) En 2006, según una nota de prensa [PDF] publicada por la AEPD (de la disponibilidad de cuyo servidor hablaremos en otra entrada), un portavoz de ésta comentaba en relación a Google que era una situación complicada, pero aseguraba que “los responsables del buscador saben que tienen que aplicar la legislación y lo tienen en la cabeza”. Recuerdo que es una nota de prensa de 2006.

3) Si uno busca en el Registro General de la AEPD tratamientos de datos personales cuyo responsable contenga la palabra “Google”, aparecen 9 tratamientos, pero ninguno corresponde a datos de navegación, clientes, usuarios, o información similar.

4) Curiosamente en el registro figuran tres tratamientos a nombre de Google Ireland Ltd., con sede en Dublín, y en el detalle de la inscripción de esos tratamientos consta que se hacen una transferencia internacional de datos a sí mismos (¿?).

5) Curiosamente también, la sede europea (que no oficina de venta, ver http://www.google.es/intl/es/corporate/address.html) de Google reside en Irlanda, país afectado por el cumplimiento de la Directiva 46/95 de la CEE. ¿Porque creen ustedes que nuestros datos de navegación residen exclusivamente en la sede central de Google en California?

6) Y no voy a entrar en la polémica de si Google Desktop Search es o no es spyware, o de si Google Maps vulnera la privacidad de las personas que pueden aparecen en sus fotos (tal y como muestra la imagen superior), o de si Gmail vulnera o no la privacidad de sus usuarios…

Repito: sólo son unas reflexiones escritas “sin pensar demasiado”. No soy abogado, y reconozco que el tema me supera pero… ¿a que da qué pensar?

Contraseñas: fortaleza y confidencialidad

politica.jpg

¿Se acuerdan ustedes de aquello que decía que «El 96% de las empresas tiene implantados aspectos relacionados con la política de contraseñas»?

(…)

Las cosas como son. Al menos, caducar, caducan: antes era ‘Registro8’.

Fotografía tomada el miércoles 23 en una organización real.